Implementacja algorytmu wykrywania i zapobiegania atakom sieciowym opartego o ograniczenie pasma

Transkrypt

1 Implementacja algorytmu wykrywania i zapobiegania atakom sieciowym opartego o ograniczenie pasma Maciej Korczyński, Lucjan Janowski, {korczynski, janowski}@kt.agh.edu.pl, Akademia Górniczo-Hutnicza im. Stanisława Staszica, Al. Mickiewicza 30, Kraków Słowa kluczowe: Wykrywanie anomalii, ograniczenie ruchu, zapobieganie atakom sieciowym Abstrakt Przedstawiony algorytm umożliwia odrzucania pakietów, których ruch wskazuje na anomalie spowodowane atakami z wnętrza sieci. Potrzeba stosowania takich rozwiązań jest coraz większa i spowodowana jest zwiększającą się aktywnością sieci botnet w obrębie sieci lokalnych. 1. Wstęp Robaki sieciowe oraz ataki typu odmowy usługi (ang. distributed denial of service DDoS) mają silny wpływ na bezpieczeństwo w Internecie i stały się przedmiotem zintensyfikowanych badań w ostatniej dekadzie. Robaki internetowe wykorzystują sieć do wysyłania swoich kopi do innych komputerów w sieci. Proces jest zautomatyzowany, zazwyczaj nie wymaga interakcji z człowiekiem i przeważnie odbywa się bez wiedzy użytkownika. Robaki zwykle zawierają kod mający na celu np. zbieranie poufnych danych, usunięcie lub uszkodzenie plików systemowych lub całkowite przejęcie kontroli nad zainfekowanym hostem i wiele innych. Ataki DDoS różnią się od większość ataków sieciowych pod względem formy oraz towarzyszącego im zagrożenia. Agresor przejmuje kontrolę nad ogromną liczbą komputerów, które w dalszej fazie wykorzystuje do przeprowadzenia ataku. Pierwszy krok jest zwykle przeprowadzany za pomocą robaków sieciowych. Następnie napastnik przechodzi do samego ataku typu DDoS. Jego celem jest blokada zasobów serwera lub nawet całych podsieci i uniemożliwienie legalnym użytkownikom skorzystania z oferowanych usług. Tradycyjne podejście wskazuje, że aktywność robaków sieciowych i ataków DDoS różnią się pod względem strategii ataku, formy, zagrożenia i w konsekwencji powinny one być rozpatrywane niezależnie. Oba typy ataków powodują anomalie sieciowe, co stwarza możliwość ich wykrycia, a nawet zapobiegania. Najtrudniejszym wyzwaniem jest rozróżnienie niebezpiecznego zachowania od ruchu normalnego w początkowej fazie ataku w celu ograniczenia zużycia zasobów sieciowych. Natężenie ruchu w szybkich sieci optycznych ciągle rośnie i nieustannie zmienia się w czasie. W związku z tym, nie możemy zakładać, że anomalie ruchu są następstwem szkodliwego zachowania. Takie założenie prowadzi zwykle do wzrostu współczynnika fałszywych alarmów (ang. false positives) tzn. sytuacji, w której legalne pakiety zaklasyfikowane są jako część ataku. Inny problem stanowi złożoność algorytmów np. bazujących na entropii ze względu na brak skalowalności. Efektywność nie jest zapewniona gdyż na poziomie sieci szkieletowych właściwości ruchu mogą pozostać niezmienne nawet podczas zmasowanego ataku typu odmowy usługi (np. rozkład adresów źródłowych IP). Koszty obecnie używanych systemów są bardzo wysokie, ponieważ zakładają analizę każdego pojedynczego pakietu w celu spełnienia wymagań efektywności algorytmów. W związku z tym konieczne wydaje się zastosowanie metod próbkowania pakietów jak np. zaproponowany przez Cisco NetFlow [1] w celu zmniejszenia ilości danych pomiarowych ruchu. Wreszcie, dostępny czas odpowiedzi systemów zabezpieczeń na np. epidemię robaków może wynosić nie więcej niż kilkadziesiąt sekund ze względu na bardzo duże prędkości rozprzestrzeniania się złośliwego kodu. Ataki typu DDoS oraz robaki sieciowe wymagają kompleksowego i zautomatyzowanego mechanizmu obronny. W przedstawionym artykule prezentujemy algorytm wykrywający skanowania portów oraz aktywność 1

2 przejawiającą się dużym natężeniem wysyłanych pakietów np. w celu wyczerpania zasobów procesora w sieciach szerokopasmowych. Szczególną uwagę zwróciliśmy na wykrywanie robaków sieciowych i ataków typu DDoS wychodząc na przeciw głównym ograniczeniom istniejących algorytmów tzn. skuteczności, wydajności oraz brakowi wsparcia dla technik próbkowania. 2. Algorytm Podstawą działania przedstawionego algorytmu jest wydobycie szeregu istotnych informacji dotyczących w szczególności koncentracji źródłowych i docelowy adresów IP. Badamy również sesje TCP z nowej perspektywy tak, aby z łatwością można było wykryć asymetrię ruchu w przypadku ataków DDoS lub skanowania portów. Wreszcie, łączymy mechanizm ograniczenia przepustowości (ang. rate limiting) z metodami próbkowania. Ma to na celu ograniczenie ilości analizowanego ruchu sieciowego przy jednoczesnym zapewnieniu wysokiego współczynnika wykrywalności ataków (ang. attacking dropping ratio) oraz niskiego współczynnika fałszywych alarmów. Naszą pracą wykazujemy, że w celu skutecznego wykrycia ataku należy wziąć pod uwagę odpowiednie parametry ruchu i ich integrację ze skuteczną metodą wykrywania oraz odpowiednią techniką próbkowania pakietów. Nasze doświadczenia są oparte na śladach ruchu (ang. packet traces) przechwyconych podczas rzeczywistych ataków sieciowych, w przeciwieństwie do publikacji opartych na niewiarygodnych symulacjach sieciowych lub przestarzałych zestawach danych z nieaktualnym ruchem tła [2] [3]. Podstawy działania algorytmu. W tej części przedstawimy przegląd kluczowych założeń dotyczących algorytmu i ogólny opis proponowanej metody wykrywania. Techniki próbkowania są powszechne stosowane przy pomiarach sieci, aby nie marnować zasobów urządzeń sieciowych na analizę ruchu pakiet po pakiecie. Celem analiz może być klasyfikacja, statystki ruchu, również wykrywanie anomalii itd. Pewna grupa algorytmów przeciwdziałających atakom sieciowym stosuje metody próbkowania, ale ich efektywność jest niezadowalająca. Jedynie przy niskim współczynniku próbkowania osiąga dobre rezultaty. Nasz algorytm został skonstruowany w celu optymalnego dopasowania wymyślonej przez nas metody z istniejącymi technikami próbkowania: systematyczną, losową 1-spośród-N oraz jednolitych prawdopodobieństw. Zaproponowane zostały one przez grupę PSAMP IETF [5] i dokładnie opisane w literaturze [4]. Technika systematycznego próbkowania polega na pobieraniu np., co dziesiątego lub co setnego pakietu, etc. Metoda 1- spośród-n zakłada losowy wybór jednego pakietu spośród grupy zawierającej N pakietów np. wszystkie pakiety dzielimy na grupy po 10 i z każdej z nich losujemy jeden pakiet. Technika jednolitych prawdopodobieństw zakłada wybór każdego pakietu z takim samym, niewielkim prawdopodobieństwem. Rys.1. Trzy zastosowane metody próbkowania. Opisany algorytm jest techniką tzn. ograniczenia przepustowości. Jeżeli zdefiniowane wskaźniki ruchu wychodzącego z sieci LAN są mniejsze lub równe wartościom granicznym, wówczas ruch jest uznany za część ataku i odfiltrowany w celu poprawy jakości QoS np. sieci bezprzewodowych. W celu zwiększenia skalowalności, szczególnie w obliczu zwiększających się przepustowości sieci, konieczne jest monitorowanie ruchu w pobliżu potencjalnych źródeł ataku. Celem jest wykrycie ataku na najwcześniejszym 2

3 jego stadium, aby zminimalizować skutki dla potencjalnej ofiary np. ataku DDoS oraz ograniczyć spadek parametrów jakości usług w sieciach tranzytowych. Aby lepiej zrozumieć zasady proponowanego systemu, możemy rozważyć sieć standardu IEEE a/b/g/e z punktem dostępowym w postaci routera brzegowego. Proponowany algorytm, zaimplementowany w routerze brzegowym, będzie monitorował pakiety opuszczające sieć bezprzewodową. System wykrywania składa się z 5 modułów opisanych poniżej (Rys. 2.). Filtrowanie wstępne (M1): Moduł kontroli fałszywych adresów źródłowych (ang. IP spoofing) wszystkich pakietów opuszczających sieć lokalna. W następnej kolejności pakiety poddawane są procesowi próbkowania, co umożliwi zmniejszenie ilości analizowanych pakietów w kolejnych modułach. Kontrola przepływu pakietów UDP/ICMP (M2): Moduł zezwala na wysłanie pakietów ICMP oraz UDP na dany adres docelowy IP, jeżeli ich ilość nie przekracza wcześniej zdefiniowanych wartości granicznych. Sprawdzane historii połączeń TPC (M3): Moduł ten składa się z dwóch części: pierwszy z nich obejmuje skanowanie portów, druga wykrywa ataki polegające na zalewaniu ofiary pakietami TCP SYN. Obie części sprawdzają jedynie pakiety inicjujące połączenie TCP czy ich ilość nie przekraczają wartości granicznych. Kontrola pakietów TCP (M4): Moduł kontroli wszystkich przychodzących pakietów TCP ACK oraz przyporządkowania adresów źródłowych i docelowych na odpowiednich listach dostępowych. Metoda zastosowana w opisanym module pozwala na zachowanie wysokiej skuteczności wykrycia ataków przy zastosowaniu metod próbkowania. Filtrowanie (M5): W module M5 dokonywane są wszelkie aktualizacje na liście dostępowej routera lub ścianie ognia (ang. firewall), które są następstwem poprzednich modułów. Rys. 2. Schemat ogólny zaproponowanego systemu. Szczegółowy opis działania algorytmu. W dalszej części przedstawiony jest szczegółowy opis proponowanego systemu obrony (Rys. 3). Notacja użyta do prezentacji algorytmu przedstawiona została w tabeli 1. 3

4 Tab. 1. Notacja użyta do opisu algorytmu wykrywającego anomalie sieciowe Srate D t UI th UI max UI cnt R th R max R cnt W t W th W max W cnt CX Współczynnik próbkowania Odstęp czasu (s) zastosowany przy wykrywaniu ataków DDoS Brzegowa wartość współczynnika wysyłania pakietów UDP/ICMP względem adresu docelowego; uzyskany podczas wstępnej analizy ruchu sieciowego (#pakietów/ Dt) Maksymalna wartość współczynnika wysyłania pakietów UDP/ICMP względem adresu docelowego; zależna od Srate oraz UIth (#pakietów/ Dt) Chwilowa wartość współczynnika wysyłania pakietów UDP/ICMP względem adresu docelowego (#pakietów/ Dt). Brzegowa wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu docelowego; uzyskany podczas wstępnej analizy ruchu sieciowego (#pakietów/ Dt) Maksymalna wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu docelowego; zależna od Srate oraz Rth (#pakietów/ Dt) Chwilowa wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu docelowego (#pakietów/ Dt). Odstęp czasu (s) zastosowany w wykrywaniu skanowania portów Brzegowa wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu źródłowego; uzyskany podczas wstępnej analizy ruchu sieciowego (#pakietów/ Wt) Maksymalna wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu źródłowego; zależna od Srate oraz Wth (#pakietów/ Wt) Chwilowa wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu źródłowego (#pakietów/ Wt). Stała wartość zależna od wykrywanej anomalii sieciowej M1 (Filtrowanie wstępne): Na wstępnie algorytm sprawdza czy adres źródłowy pakietu przesyłanego z lokalnej sieci bezprzewodowej został sfałszowany (ang. source IP spoofed). Jeżeli adres znajdujący się w nagłówku pakietu nie należy do puli adresów z sieci lokalnej wówczas pakiet zostaje odrzucony. Następnie, algorytm próbkuje pakiety przy użyciu jednej z wcześniej przedstawionych metod. M2 (Kontrola przepływu pakietów UDP / ICMP): Jeżeli wysyłany pakiet jest dostarczany przy użyciu protokołu UDP lub ICMP, algorytm porównuje chwilową liczbę wysyłanych pakietów UI cnt danego typu na adres docelowy z wartością graniczną UI max. Jeżeli UI cnt > UI max w czasie D t pakiety zaadresowane do konkretnego miejsca przeznaczenia będą odrzucane. M3 (Sprawdzane historii połączeń TPC): Kolejne dwa moduły sprawdzają połączenia TCP, gdyż znaczna cześć ruchu w obrębie sieci Internet to ruch połączeniowy. W konsekwencji większość ataków sieciowych wykorzystuje pakiety TCP w celu wykrywania potencjalnych ofiar poprzez skanowanie portów lub też do przeprowadzania właściwego ataku typu DDoS. W omawianym module wykorzystane są dwie struktury pamięci typu hashmap, aby usprawnić klasyfikację pakietów synchronizacyjnych TCP: Czarna Lista Adresów Źródłowych (ang. Black Source List - BSL) oraz Biała Lista Adresów Docelowych (ang. White Destination List - WDL). Jeżeli pakiet TCP SYN wysłany z lokalnej sieci bezprzewodowej nie jest zaklasyfikowany na żadnej z list, wówczas jest on przepuszczony przez filtr i system oczekuje na jego potwierdzenie (TCP ACK). Jeżeli adres źródłowy wysłanego pakietu znajduje się na czarnej liście adresów źródłowych, wówczas algorytm sprawdza czy lista nie wygasła (W t ). W zależności od rezultatu lista zostaje zresetowana i pakiet zostaje przepuszczony przez filtr lub chwilowa wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu źródłowego W cnt zostaje zwiększona. Dla przykładu wyobraźmy sobie skanowanie sieci, którego celem jest znalezienie i zainfekowania np. serwera SQL. W tym celu atakujący wysyła znaczną ilość zapytań typu TCP SYN na różne adresy docelowe. Większość z połączeń nie zostanie potwierdzona pakietami TCP ACK. Jeżeli warunek W cnt <= W max przestanie być spełniony wówczas następne pakiety wysłane z danego adresu IP zostaną odrzucone. 4

5 Rys. 3. Architektura zaproponowanego algorytmu 5

6 Gdy adres docelowy znajduje się na białej liście adresów docelowych (w następstwie weryfikacji odbywającej się w module 4), wówczas zwiększany jest współczynnik R cnt. Jeżeli w ciągu wcześniej zdefiniowanego odstępu czasu D t zostanie przekroczona chwilowa wartość współczynnika wysyłania pakietów inicjalizacyjnych TCP względem adresu docelowego R cnt > R max wówczas taka aktywność zostanie zaklasyfikowana, jako atak TCP SYN i dalsze pakiety wysyłane na adres docelowy potencjalnej ofiary zostaną odfiltrowane. M4 (Kontrola pakietów TCP): Moduł ten został stworzony głównie z myślą o minimalizacji utraty informacji podczas procesu próbkowania pakietów. Jego celem jest weryfikacja czy połączenie TCP (ang. Three-way handshake) zostało zestawione. Strategia kontroli pakietów zakłada, że jeżeli dowolny przychodzący pakiet ma ustawiona flagę ACK, wówczas połączenie zakończyło się sukcesem. Jeżeli adres docelowy pakietu opuszającego sieć bezprzewodową nie znajduje się na białej liście adresów docelowych, algorytm czeka na przychodzący pakiet ACK i wówczas kolejne pakiety mogą zostać sklasyfikowane na białej liście ze względu na adresy docelowe. Jeżeli przychodzący pakiet ACK zostaje przechwycony i jego adres docelowy znajduje się na czarnej liście adresów źródłowych wówczas wartość W cnt zostaje zmniejszona. Może wystąpić sytuacja, w której warunek W cnt < W max przestaje być spełniony. Wówczas odświeżona zostaje lista dostępowa, na której umieszczony zostaje wpis umożliwiający przepływ pakietów opuszczających sieć z danego adresu źródłowego. M5 (Filtrowanie): Wszelkie zmiany będące konsekwencją poprzednich modułów są wprowadzone w liście kontroli dostępu (ang. Access Control List) w routerze brzegowym, w ścianie ognia lub w innym urządzeniu filtrującym. Dzięki temu wszystkie pakiety będące częścią ataku zostaną odfiltrowane nawet, jeżeli algorytm analizuje tylko część z nich. Wybór parametrów bazowych algorytmu. Podczas fazy wstępnej algorytm analizuje zachowanie sieci oraz wyznacza wartości brzegowe algorytmu w odniesieniu do normalnej aktywności użytkowników. System wyznacza trzy wartości: R th, W th, oraz UI th na podstawie analizy pakietów synchronizacyjnych TCP oraz wszystkich pakietów UDP oraz ICMP opuszczających sieć. Nie możemy założyć, że w czasie fazy wstępnej ruch sieciowy zawiera jedynie legalne pakiety. Potencjalny atakujący może oszukać system generując atak w czasie wyznaczania maksymalnych wartości brzegowych. Zaleca się, aby po zakończeniu fazy wstępnej administrator zweryfikował uzyskane wartość przed wykorzystaniem ich w wykrywaniu ataków sieciowych. W dalszej części musimy wyznaczyć wartości algorytmu w zależności od uzyskanych parametrów bazowych oraz współczynnika próbkowania. Empiryczne doświadczenia dokonane na dostępnych śladach ruchu wskazują, że maksymalne wartości brzegowe algorytmu są liniową funkcją próbkowania ze stałą w postaci wartości brzegowej wyznaczonej w fazie początkowej dla analizy każdego pojedynczego pakietu: X max (S rate ) = X th * S rate, gdzie: X max to wartość maksymalna dla jednej z anomalii sieciowych (tzn. R max, W max, lub UI max ), której wartość zależy od X th (wartość brzegowa wyznaczona w fazie początkowej tzn. R th, W th, lub UI th ) oraz od współczynnika próbkowania S rate przyjmującego wartości z przedziału (0,1>. 3. Implementacja Algorytm przedstawiony w poprzednim rozdziale został zaimplementowany w C++. Szczegóły tej implementacji przedstawia ten rozdział Omawiany system składa się z trzech współpracujących ze sobą modułów przedstawionych na Rys. 4 i opisanych poniżej: Modułu Iptables programu sterującego filtrowaniem pakietów głównie używanego jako zapora sieciowa lub NAT opracowana dla systemu operacyjnego Linux. W naszym przypadku spełnia podwójną rolę: w sposób losowy pobiera pakiety przychodzące do urządzenia sieciowego umieszczonego w pobliżu routera brzegowego (możliwa jest również analiza całego ruchu bez zastosowania metod próbkowania). Drugą spełnianą rolą jest filtracja pakietów uznanych za potencjalnie szkodliwe. Zaletą powyższego rozwiązania jest fakt, że filtracja obywa się na poziomie jądra systemu, co zapewnia minimalizację obciążenia systemu oraz nie jest konieczna analiza każdego pakietu na poziomie użytkownika. 6

7 Przestrzeń użytkownika Algorytm Modu MWNA++ Przestrzeń jądra systemu Sieć lokalna IPtables losowy wybor pakietów IPtables blokada adresów IP Internet Rys. 4. Architektura zaproponowanego systemu trzy moduły składowe oraz umiejscowienie w sieci. Modułu MWNA++ został zaproponowany jako samodzielny program napisany w oparciu o bibliotekę netfilter/netqueque [6]. Służy do kontroli i interakcji z komputerami będącymi częścią sieci botnet. Ze względu na fakt, że program podejmuje decyzje o odrzuceniu pakietów na poziomie użytkownika wykorzystujemy go jedynie w celu przetwarzania pakietów przekazanych przez moduł Iptables, pobrania interesujących nas cech z nagłówka i przesłania go do właściwego programu. Algorytm stanowiący główną część systemu zostanie szczegółowo przedstawiony w następnym podrozdziale Implementacja algorytmu. Główną część programu (ang. core package) stanowi interfejs, dzięki któremu możliwe było stworzenie wersji programu działającej w czasie rzeczywistym umieszczonego w pobliżu zapory sieciowej (ang. firewall) jak również wersji, która analizuje ślady ruchu (ang. packet traces) przechwycone wcześniej poprzez np. Wiresharka lub Tcpdumpa. Druga wersja stanowi bardzo ciekawe narzędzie pomocne w przeprowadzaniu testów i udoskonalaniu algorytmu. Program posiada również prosty interfejs użytkownika oparty o bibliotekę ncurses. Składowe programu (ang. core package) Lista : Adresy IP Menedżer zasad (singleton) Mapa list pól nagłówka TCP/IP (static) Rys. 5. Główna część zaproponowanego systemu (ang. core package) trzy części składowe: lista adresów IP, menedżer zasad (ang. rules manager) oraz mapa list pól nagłówka TCP/IP. Części składowe programu przedstawione są na Rys. 5. i opisane poniżej: Kluczową częścią programu jest kontener Std::map przechowujący rekordy (kluczem są adresy IP), co zapewnia szybki dostęp do danych i podejmowanie decyzji w czasie 7

8 rzeczywistym. Co pewien okres czasu z list usuwane są stare rekordy, co zapewnia wysoką wydajność algorytmu. Wraz z usunięciem rekordu możliwa jest zmiana wpisu w Iptables, który jest z nim powiązany. Lista skonstruowana jest w sposób umożliwiający rozwój oprogramowania poprzez poszerzenie spektrum badanych cech (pól w nagłówku pakietu np. portu źródłowego i docelowego, wielkości pakietu, wartości TTL, itd.). Menedżer zasad, będący singletonem, odpowiedzialny jest za komunikacje z Iptables. Za każdym razem, gdy algorytm sygnalizuje możliwość ataku menedżer zasad wykonuje polecenie mające na celu wpis w zaporze sieciowej opartej o Iptables. Klasa ta również ma za zadanie utrzymać prosty mechanizm logowania. Ostatnia część została zaprojektowana z myślą o użytkowniku i ma za zadanie przejrzyste przedstawienie danych oraz komunikacje z interfejsem graficznym 4. Podsumowanie W prezentowanym artykule zaproponowano praktyczną implementację systemu opartego o autorski algorytm w celu przeciwdziałania atakom typu odmowy usługi oraz skanowania portów. Biorąc pod uwagę najczęściej występujące ataki typu DDoS oraz aktywność robaków sieciowych, proponujemy nowe techniki właściwe dla wykrywania ataków w sieciach szerokopasmowych właściwe dla metod próbkowania. Aby zminimalizować problem utraty informacji w procesie próbkowania proponujemy szereg rozwiązań m. in. nowe podejście w analizie sesji TCP. W fazie wstępnej algorytm jest w stanie określić progi algorytmu dla różnych sieci. Implementacja algorytmu cechuje się prostotą, przejrzystym interfejsem użytkownika i możliwością poszerzenia spektrum badanych pól w nagłówkach pakietów. Bibliografia [1] [2] Cheng, J. Yin, J. Liu, Y. Cai, Z. Li M.: DDoS Attack Detection Algorithm Using IP Address Features., Frontiers in Algorithmics, June 2009, Springer Berlin / Heidelberg [3] Guo, S-Q. Zhao, Z-H.: An Anomaly Intrusion Detection Model Based on Limited Labeled Instances., 2008 International Symposium on Electronic Commerce and Security, August 2008 [4] Androulidakis, G. Chatzigiannakis, V. Papavassiliou, S. Grammatikou, M. Maglaris, V.: Understanding and Evaluating the Impact of Samplingon Anomaly Detection Techniques., Military Communications Conference, MILCOM IEEE [5] Packet Sampling (PSAMP) IETF Working Group Charter. [6] 8