reporte t ecnico: detecci on de ataques dos sobre un servidor autoritativo...
TRANSCRIPT
Reporte Tecnico: Deteccion de ataques DoS sobre un
servidor autoritativo DNS.*
Tecnologico de Monterrey
Dr. Jorge Carlos Mex Perera **
Dra. Erika Sanchez ***
Dr. Raul Monroy ∗∗∗
Dr. Luis Trejo ∗∗∗
MC. Gustavo Lozano Ibarra ****
Ing. Alberto F. Martınez Herrera ∗∗
28 de junio de 2009
Indice
1. Contenido 21.1. Terminos empleados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Procedimiento de clasificacion 42.1. Herramientas utilizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2. Clasificacion y filtrado de trazas DNS . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.2.1. Paquete DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. Escenario y base de datos 7
4. Descripcion de los metodos de deteccion empleados 84.1. Descripcion de la entropıa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84.2. Descripcion de χ2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94.3. Descripcion de Factorizacion Matricial no-negativa (NMF) . . . . . . . . . . . . . . 9
*Proyecto apoyado por FRIDA - Fondo Regional para la Innovacion Digital en America Latina y elCaribe
**Tecnologico de Monterrey, Campus Monterrey***Tecnologico de Monterrey, Campus Estado de Mexico
****Departamento de Investigacion y Desarrollo, NIC Mexico
1
5. Procesamiento de datos 105.1. Aplicacion de la entropıa sobre las trazas DNS . . . . . . . . . . . . . . . . . . . . 115.2. Aplicacion de χ2 sobre el trafico DNS . . . . . . . . . . . . . . . . . . . . . . . . . 115.3. Aplicacion de NMF sobre las trazas DNS . . . . . . . . . . . . . . . . . . . . . . . 12
6. Experimentos y resultados 126.1. Resultados de la aplicacion de la entropıa . . . . . . . . . . . . . . . . . . . . . . . 136.2. Resultados de la aplicacion de χ2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146.3. Resultados de la aplicacion de NMF . . . . . . . . . . . . . . . . . . . . . . . . . . 17
7. Conclusiones 19
8. Trabajo futuro 19
Resumen
Este reporte tecnico tiene como finalidad el mostrar los resultados obtenidos en la deteccion deataques de tipo DoS (Denial of Service) a servidores autoritativos de DNS (Domain Name System).Se analizo el desempeno de tres metodos de deteccion: entropıa, χ2 y Factorizacion Matricial Nonegativa (NMF) sobre muestras de trafico DNS en un servidor autoritativo. Para la simulacion delos ataques se sintetizo el trafico y se modificaron las muestras reales con dicho trafico sintetico.Usando estos datos, se realizaron un conjunto de experimentos donde se capturaron los modeloscorrespondientes al trafico normal (sin ataques) para despues probar la factibilidad de la deteccioncon los metodos propuestos. Se presentan los resultados de los experimentos donde se muestra quesi es posible la deteccion de los ataques DoS a servidores DNS autoritativos.
1. Contenido
El contenido de este reporte esta estructurado de la siguiente forma
En la Seccion 2 se describe el contenido de un paquete DNS, ası como las funciones quedesempena cada seccion y cada campo del paquete. Se menciona cuales son los paquetesDNS query y DNS answer. Se muestra como un paquete DNS es embebido en un paqueteUDP. Finalmente, se muestran los campos que componen a un paquete UDP.
En la Seccion 3 se describe brevemente el escenario en el que esta enmarcado el analisis,ası como una breve descripcion de la base de datos utilizada.
En la Seccion 4 se describen en forma resumida los metodos de deteccion usados.
En la Seccion 5 se muestra la metodologıa empleada para el procesamiento de los datos antesde aplicar los metodos de deteccion.
En la Seccion 6 se explica la forma en que se realizaron los experimentos y su respectivaobtencion de resultados.
En la Seccion 7 se dan las conclusiones obtenidas despues de aplicar los metodos de entropıa,χ2 y NMF sobre las trazas.
En la Seccion 8 se menciona el posible trabajo futuro que se podra realizar en la lınea seguidapor este proyecto.
2
1.1. Terminos empleados
Se enlistan a continuacion los terminos que son empleados en la descripcion de este reporte
Paquete DNS: Es un paquete que contiene peticiones o respuestas DNS. En lo que respectaal proceso de resolucion de nombres de dominio, se dividen en 2 tipos: paquetes QUERYy paquetes RESPONSE. Para los propositos de nuestras pruebas solamente se toman encuenta los paquetes QUERY.
Ventana: Es un parametro constante W, donde W representa el numero de paquetes a sertomados a partir de una traza y que evidentemente debe ser menor al numero de paquetestotales.
Traza: Es el conjunto de paquetes DNS obtenidos durante un intervalo [Ta, Tb] de tiempo.Es necesario mencionar que una traza puede ser dividida en N ventanas de longitud W.
Captura: Es la lectura de trafico hecha sobre un dispositivo de red para obtener un conjuntode trazas durante un intervalo [Ta, Tb] de tiempo.
Umbral. Tiempo tomado como base para ser comparado con el tiempo transcurrido entre 2paquetes consecutivos. Este tiempo es expresado en segundos.
Octeto: Dato compuesto por 8 bits. Si se menciona que existen datos con K octetos, se asumeque el numero de bits debe ser 8K
Direccion IP fuente. Direccion IPv41 de donde proviene un paquete de consulta DNS.
Direccion IP destino. Direccion IPv4 hacia donde se dirige la consulta.
RR. Resource Record. Conjunto de campos que describen un atributo particular para unnombre de dominio. Dichos atributos se definen en base a la funcion que van a cumplir enrespecto del funcionamiento general del DNS.
RRSet. Es un conjunto de registros que tienen en comun tener el mismo nombre, la mismaclase, el mismo tipo y el mismo TTL2.
Proceso de anonimato. Procedimiento por el cual se enmascaran los datos sensibles pertenecientesa un paquete. Generalmente dicho proceso se realiza por medio de tecnicas de cifrado y susti-tucion.
Consulta. Peticion DNS hecha sobre un servidor autoritativo. Dicha peticion es realizadapor un servidor recursivo
Respuesta. Paquete DNS enviado como RESPONSE desde el servidor autoritativo hacia ladireccion IP del servidor recursivo que ha realizado una consulta.
BIN: Es un conjunto de elementos que cumplen con ciertas caracterısticas. Por ejemplo, unBIN puede ser creado a partir de poner como regla el numero de veces que aparecen loselementos, es decir, si X numero de elementos aparece una o 2 veces, si aparece 2 o 4 veces,si aparece entre 5 y 8 veces, etc. Tambıen se puede usar como criterio de organizacion lalongitud de sus paquetes, si algunas de sus caracterısticas se encuentran en cierto rango (vgr.puertos fuente o xID), etc.
1Se refiere a las direcciones IP compuestas por 4 octetos2Time To Live, tiempo que debe transcurrir para que una consulta realizada expire de la memoria cache de un
servidor recursivo
3
2. Procedimiento de clasificacion
A continuacion se describen los metodos de clasificacion, filtrado y enmascarado de las trazasobtenidas. Previamente, se describen cada uno de los elementos que componen tanto un paqueteDNS ası como a un paquete UDP.
2.1. Herramientas utilizadas
Las herramientas empleadas para hacer la clasificacion y el filtrado de las muestras DNS seenumeran a continuacion
Wireshark. Permite ver una traza de paquetes DNS en entorno grafico, lo cual facilita elidentificar cada uno de los campos que pertenecen a cada paquete.
PCAP. Permite procesar rapida y eficientemente cualquier clase de traza capturada.
Perl3 . Es un lenguaje de programacion script. Su ventaja radica en que se puede manipulartexto de forma natural y simple ya que emplea expresiones regulares como elementos quevienen incluidos por defecto. Ademas, cuenta con bibliotecas que facilitan la implementacionde herramientas, que en este caso, ayudan a realizar el analisis de trazas sin tener querecurrir al entorno grafico. La biblioteca Net::Pcap[1] permite el extraer cada una de lascaracterısticas que pertenecen a un paquete en particular desde archivos que hayan sidoguardados con Pcap. Sin embargo, para poder tener acceso al contenido de los paquetesDNS, se requiere el uso de la biblioteca Net::DNS para poder realizar su procesamiento[8].
Plab. Esta herramienta es util para reacomodar o eliminar cualquier error en la captura depaquetes a traves de los dispositivos de red[4].
2.2. Clasificacion y filtrado de trazas DNS
Para poder analizar y procesar las muestras obtenidas, se procede a hacer una clasificaciony filtrado sobre ellas. El objetivo principal es solamente obtener aquellos paquetes que hayansido utilizados como consultas DNS. Para realizar dicha accion primeramente deben conocerse loscampos que componen a un paquete DNS, y asimismo, de como un paquete DNS es embebido enun paquete UDP ([9],[6],[7]).
2.2.1. Paquete DNS
Un paquete DNS es embebido por lo general en un paquete UDP cuyo tamano no excede los512 octetos. Hasta antes de la adopcion de DNSSEC4 , si el tamano de un paquete excedıa eltamano maximo, el DNS intentaba obtener la respuesta a una consulta sobre TCP utilizando alelemento TC5 como bit de senalizacion. A partir de la entrada de DNSSEC, el tamano de unpaquete DNS a ser transportado sobre UDP ha sido ampliado hasta poder contener un tamanomaximo de 4096 octetos. Para los fines del analisis descrito en este reporte, solamente se tomaronen cuenta paquetes que fueron transportados bajo UDP y sin incluir paquetes DNSSEC.
Un paquete UDP contiene los siguientes elementos:
Direcciones IP. Son direcciones IPv4. Se recuerda que una direccion IPv4 esta formada por4 octetos. Las direcciones IP localizadas en un paquete UDP son las siguientes
• Direccion IP fuente. Es una direccion IPv4 de donde procede un paquete. Sus octetosde referencia son localizados entre los octetos 26-29.
3Letras iniciales de Practical extract report language4Es un conjunto de extensiones sobre el protocolo DNS, las cuales permiten sobre el DNS poder realizar opera-
ciones de autenticidad e integridad respecto de la informacion obtenida sobre un dominio5Bit en la seccion HEADER que significa Truncation packet
4
• Direccion IP destino. Es una direccion IPv4 hacia donde se dirige un paquete. Susoctetos de referencia son localizados entre los octetos 30-33.
Puertos : Su representacion abarca 2 octetos. Los puertos localizados en un paquete UDPson los siguientes
• Puerto fuente. Es el puerto, relacionado con la direccion IP fuente, de donde se obtieneun paquete. Abarca los octetos 34-35.
• Puerto destino. Es el puerto, relacionado con la direccion IP destino, hacia donde seenvıa un paquete. Abarca los octetos 36-37.
Se hace mencion de que un paquete DNS usado para consulta tiene como puerto destino alpuerto 53.
UDP header. Esta seccion contiene los siguientes campos
• UDP length. Campo de 2 octetos entre las posiciones 38-39 que almacena la longitudtotal del paquete.
• UDP checksum. Campo de 2 octetos entre las posiciones 40-41 que almacena el checksumdel paquete.
A partir del octeto 42 inicia el contenido de un paquete DNS. Dicho contenido se describe acontinuacion
Seccion HEADER. Contiene los siguientes elementos
• QUERYID. Es un identificador unico para cada cada par consulta-respuesta generadaen DNS. Este identificador tiene un tamano de 2 octetos y es generado de manerapseudoaleatoria por el servidor recursivo. Tambien se le conoce como xID, y TxID si esusado en un paquete de consulta.
• QR. Este es un bit que indica si el paquete DNS es un paquete usado con fines deconsulta o si el paquete es usado con fines de respuesta. En caso de ser un paquete deconsulta el bit vale cero. Este dato es importante si se desea realizar una clasificacionacerca de cuales paquetes son de consulta y cuales paquetes son de respuesta.
• OPCODE. Este es un dato de 4 bits que indica si el paquete DNS es solamente usadopara consultas o respuestas o si es ocupado para algun otro fin. En el caso de lasconsultas, dicho campo vale cero.
• AA. Este es un bit que indica si la respuesta proviene de un servidor que es autoritativopara el dominio consultado. En caso de la respuesta a un dominio sea generada desdesu servidor autoritativo, dicho bit vale uno.
• TC. Este es un bit que indica que , en caso de que un paquete exceda los 512 octetos,se necesita de TCP para obtener la respuesta correspondiente.
• RD. Este es un bit que indica al servidor sobre el que se consulta que se desea realizaruna consulta recursiva. Se asume que en cada consulta DNS que se realiza dicho bitvale uno por defecto. Un servidor autoritativo que este bien configurado no debe teneractivada dicha opcion, puesto que su funcion en el DNS es solamente proporcionarinformacion acerca de los dominios que contiene, mas no resolver nombres de dominio.
• RA. Es un bit que se relaciona directamente con el bit RD. Indica si el servidor sobreel que se realizan las consultas permite realizar consultas recursivas. Sobre un servidorque tenga como funcion ser recursivo va a indicar por defecto que si es capaz de realizardichas funciones, por lo que el valor del bit es uno. En un servidor autoritativo el bitRD retornado deberıa ser cero, dado que los servidores autoritativos no deben realizarconsultas recursivas.
5
• Z. Es un conjunto de 3 bits cuyo fin estaba reservado. Con la llegada de DNSSEC, losprimeros dos bits han sido designados para alojar a los bits CD6 y AD7, respectivamente,quedando libre solamente un bit. En consultas DNS que no involucren DNSSEC, los 3bits deben valer cero.
• RCODE: Es un dato de 3 bits que indica si la consulta ha sido exitosa, no exitosa masestados adicionales.
• QCOUNT. Es un campo de 2 octetos que indica el numero de consultas que contieneel paquete DNS. Ası, indica el numero de consultas que han sido almacenadas en laseccion QUERY.
• ACOUNT. Es un campo de 2 octetos que indica el numero de Resource Recordsdisponibles en la seccion ANSWER.
• AUTHCOUNT. Es un campo de 2 octetos que indica el numero de Resource Recordsdisponibles en la seccion AUTHORITY.
• ADDCOUNT. Es un campo de 2 octetos que indica el numero de Resource Recordsdisponibles en la seccion ADDITIONAL.
Seccion QUESTION : En esta seccion se almacena la consulta a realizar. Los campos quealmacena se refieren tanto al dominio consultado, que tipo de registros se van a pedir acercade ese dominio, y la clase a la cual pertenece dicho nombre de dominio.
Seccion ANSWER : Esta seccion almacena la lista de respuestas disponibles para el dominioconsultado bajo un tipo y clase dados.
Seccion AUTHORITY : Esta seccion almacena la lista de servidores autoritativos de dondela respuesta es o puede ser obtenida.
Seccion ADDITIONAL : Esta seccon por lo general almacena los A RRs pertenecientes alos servidores autoritativos de donde se obtiene la respuesta DNS.
Un ejemplo de obtencion de una consulta DNS, por medio del comando dig, se muestra en elrecuadro 1.
Recuadro 1: Obtencion de un paquete de respuesta DNS, usando el comando dig�� �; <<>> DiG 9 . 3 . 2 <<>> www. example . example
; ; g l o b a l opt ions : printcmd; ; Got answer :
; ; −>>HEADER<<− opcode : QUERY, s t a t u s : NOERROR, id : 51519
; ; f l a g s : qr rd ra ; QUERY: 1 , ANSWER: 1 , AUTHORITY: 5 ,ADDITIONAL: 3
; ; QUESTION SECTION:
;www. example . example . IN A
; ; ANSWER SECTION:
www. example . example . 5716 IN A 1 9 2 . 1 6 8 . 5 . 1 0
6Checking Disabled7Authenticated Data bit
6
; ; AUTHORITY SECTION:
example . example . 5716 IN NS ns1 . example . example .example . example . 5716 IN NS ns2 . example . example .example . example . 5716 IN NS ns3 . example . example .example . example . 5716 IN NS ns4 . example . example .example . example . 5716 IN NS ns5 . example . example .
; ; ADDITIONAL SECTION:
ns1 . example . example . 1698 IN A 1 9 2 . 1 6 8 . 6 . 7ns2 . example . example . 1698 IN A 1 9 2 . 1 6 8 . 6 . 8ns2 . example . example . 1698 IN A 1 9 2 . 1 6 8 . 6 . 9
; ; Query time : 1 msec; ; SERVER: 192 . 168 . 1 . 200#53(192 . 168 . 1 . 200 ); ; WHEN: Tue Nov 11 11 : 19 : 2 5 2008; ; MSG SIZE rcvd : 191
Si se desea observar de forma mas detallada el contenido de un paquete DNS y ver los camposque se han descrito anteriormente, es necesario utilizar herramientas que permitan la captura depaquetes y que ademas tengan un entorno amigable. El software comunmente empleado para llevara cabo esas tareas es Wireshark [10]. Wireshark es capaz de distinguir y clasificar cada paquetecapturado. Wireshark es capaz de llevar a cabo funciones de filtrado, lo cual nos permite solamentetrabajar con aquellos paquetes que sean de interes, en este caso, paquetes DNS. En la Fig.2 semuestra una captura de una pantalla en Wireshark donde se observa:
1. : Wireshark filtra y obtiene todos los paquetes que sean DNS.
2. : Wireshark no solo se limita a obtener una lista, sino que es capaz de darnos el contenidode cada paquete.
3. : Cada paquete esta formado tal como se muestra en la Fig.1.
s
Figura 1: Descripcion de los campos de un paquete DNS sobre UDP. Los numeros entre parentesisindican el numero de octetos ocupados por cada campo en el paquete
Con fines de preservacion de anonimato, se omite el contenido desplegado en Wireshark.
3. Escenario y base de datos
En el escenario a analizar se consideran unicamente ataques distribuidos DoS (Denial of Ser-vice). Para este proposito se sintetiza el comportamiento del trafico que se tendrıa cuando unconjunto de hosts controlados por un atacante generara paquetes de consulta a un servidor DNSde tipo autoritativo. Se asume que los hosts estan distribuidos geograficamente por lo que lasdirecciones IP poseen una distribucion uniforme. Es importante senalar que la eleccion del ataqueDoS se justifica porque han sido reportados ataques de este estilo en los ultimos anos a servidoresDNS de alto nivel jerarquico como los servidores raiz, ademas de que por razones de tiempo yrecursos fue necesario delimitar los ataques al DNS considerados en este proyecto. Sin embargo,algunas modificaciones a la sıntesis del ataque podrıa permitir analizar otros ataques como el cache
7
ss
Figura 2: Uso de wireshark para la captura de paquetes, en este caso, de paquetes DNS
poisoning”, el cual consiste en envenenar la cache de un servidor recursivo y cuyo objetivo princi-pal es el que los usuarios que hagan consultas a traves del servidor atacado obtengan referenciasfalsas acerca de un nombre de dominio. Esto significa que si alguien desea obtener la direccion IPa la que apunta un dominio (vgr.: www.midominiopreferido.com), un atacante puede hacer quedicha direccion IP de www.midominiopreferido.com sea X.X.X.X en lugar de la direccion legıtimaY.Y.Y.Y. Evidentemente esto tiene potenciales consecuencias tales como ir a sitios con contenidosuplantado.
Para poder realizar dicho ataque, se aprovechan elementos esenciales en la creacion de consul-tas DNS. Dichos elementos tienen que ver con la generacion de secuencias para los campos xIDy puerto fuente. En el caso de que dichos campos no sean generados de forma correcta, permiterealizar un ataque llamado dns-spoofing. Variantes mas peligrosas de cache poisoning, tales comola encontrada por Dan Kaminsky, han aparecido recientemente[5]. Se recomienda que las secuen-cias de los parametros tales como el xID y los puertos fuente deben ser generados de manerapseudoaleatoria para reducir lo mas posible los riesgos de tener un problema de cache poisoning([3]).
4. Descripcion de los metodos de deteccion empleados
4.1. Descripcion de la entropıa
En esta parte del documento se describe la aplicacion de la entropıa en el analisis de trazascon paquetes DNS. Se toma como referencia el uso de la entropıa descrito en [2].
La entropıa se define como el grado de incertidumbre que se tiene para determinar el resultadode un evento. A manera de ejemplo, en el caso de una moneda, la incertidumbre maxima se da almomento de que ambas caras se encuentran equilibradas, lo cual implica que cuando dicha monedase lance, no se tenga la certeza que se va a obtener en el lanzamiento; expresado de otra forma,si se elige uno de los lados de la moneda, no se sabe si el lado que se ha elegido se obtendra enel lanzamiento. En cambio, en el caso de que la moneda se encuentre desbalanceada, la certezade obtener el lado en donde se encuentra desbalanceada la moneda aumenta y evidentemente laincertidumbre disminuye, ya que se asume de antemano que la obtencion del lado desbalanceadode la moneda va a ocurrir la mayorıa de las veces.
Explicado lo anterior, se asume que un grado de entropıa maximo sobre un conjunto de elemen-tos es posible obtenerlo si todos tienen la misma probabilidad de aparicion, es decir uniformemente.
8
Asimismo, si un conjunto k de elementos aparece con mas frecuencia que el resto, se asume quedicha entropıa tendera a disminuir dado que se tiene mas certeza que los elementos que pertenecena k van a aparecer la mayor de las veces que el resto.
Shannon planteo dichas relaciones en la formula de la entropıa mostrada en la Ec.1.
H{X} = E{I{X}} = −n∑i=1
p(xi)logb(p(xi)) (1)
Con la formula 1 se obtiene el grado de entropıa. Dependiendo del tipo de base b ocupada parael calculo de dicha entropıa, sus unidades se miden de la siguiente forma
Se mide en bits, si la base utilizada esta en base b = 2.
Se mide en nats, si la base utilizada esta en base b = e.
Se mide en dits, si la base utilizada esta en base b = 10.
En las graficas mostradas en este documento que describen el comportamiento de la entropıa,el eje Y tiene sus resultados expresados en bits.
4.2. Descripcion de χ2
Otra forma de caracterizar al trafico capturado en una traza es utilizando χ2. La formula usadaes la formula de Pearson, la cual se muestra en la Ec.2.
χ2 =B−1∑i=0
[E{i} −O{i}]2
E{i}(2)
donde
E{xi} es el valor esperado para el elemento xi.
O{xi} es el valor observado para el elemento xi.
B es el numero de BINs obtenidos. Los BINs son conjuntos cuyos elementos compartenalguna caracterıstica, tal como puede ser la frecuencia de aparicion, la longitud del elemento,si cuenta con una propiedad en particular, etc.
La Ec.2 es una herramienta bastante buena si se desea comparar la diferencia entre una trazarespecto de una traza de referencia. El numerador cuenta con la caracterıstica de que permiteutilizar de forma implıcita la formula de mınimos cuadrados y el denominador asume la funcionde normalizar el resultado obtenido en el numerador. Como es de esperarse, la Ec.2 maximiza ominimiza la diferencia de ambas trazas y ademas las normaliza respecto de la traza de referencia[2].
Sin embargo, para usar χ2, previamente se necesitan agrupar los datos de una traza en BINs.La restriccion de los criterios de agrupacion esta limitada al hecho de que el valor de B deba sermayor a 5 y que el numero de elementos significativos por cada bin deba ser lo suficientementegrande.
4.3. Descripcion de Factorizacion Matricial no-negativa (NMF)
El metodo de factorizacion matricial no negativa (NMF por sus siglas en ingles) fue aplicadoinicialmente por el grupo de trabajo a la deteccion de intrusos en ambientes moviles, el artıculotitulado Intrusion Detection for Mobile Ad-Hoc Networks Based on a Non-Negative Matrix Fac-torization Method” fue presentado en el ”Workshop in Computer Security-Mexican International
9
Conference on Artificial Intelligence-MICAI 08”. En este artıculo se muestra la viabilidad del usodel metodo NMF para el modelado de comportamiento normal en la actualizacion de las tablas deenrutamiento debido a la movilidad inherente a los usuarios, se pudo constatar que la desviaciondel modelo normal era indicativo de una actividad maliciosa por parte de alguno de los nodos queno respetaba las reglas del protocolo de enrutamiento. Una vez que se comprobo que el metodoNMF podıa ser usado en problemas de deteccion de ataques y que el grupo de trabajo adquirio laexperiencia necesaria para su correcta aplicacion, se planteo como una posible solucion para elproblema de deteccion de ataques al DNS.
El metodo NMF se basa en que las m observaciones estadısticas realizadas en el servidor DNSson representadas como m vectores de dimension n produciendo una matriz V de dimensiones nx m la cual pueda ser aproximada por
Viµ ≈ (WH)iµ =∑ra=1WiaHaµ (3)
Donde las dimensiones de la matriz W y H son respectivamente n x r y r x m. El modelo delos datos se captura en la matriz W , la cual se puede ver como una version comprimida de losdatos originales ya que el parmetro r se selecciona de tal forma que (n + m)r < nm, es decir elvalor de r implica una reduccion en la dimension de la matriz V .
Por otra parte H tiene los coeficientes de codificacion en m vectores requeridos para aproximarlas m observaciones estadısticas contenidas en la matriz V .
Para efectuar la factorizacion de V se aplicaron las siguiente reglas iterativas
Haµ ←− Haµ
∑i(Viµ/(V H)iµ)Wia (4)
Wia ←−Wia
∑µ(Viµ/(WH)iµ)Haµ (5)
Wia ←−Wia/∑jWja (6)
5. Procesamiento de datos
Se procedio a hacer el filtrado de trazas para obtener los paquetes que solamente involucraranla consulta de un dominio. Usando el campo QR, se dejaron todos los paquetes cuyo QR = 0 yse descartaron todos los paquetes cuyo QR = 1. Hecho lo anterior se procedieron a realizar lossiguientes pasos:
Se extrajeron algunos de los campos del paquete DNS, los cuales se enlistan a continuacion,
• Campo tiempo. El campo tiempo almacena los segundos mas las fracciones de segundoen el cual el paquete es capturado. El tiempo en segundos es contado en formato Epoch(a partir del 1o de Enero de 1970).
• Campo IP fuente. Direccion IP de donde proviene la consulta.• Campo IP destino. Direccion IP hacia donde se dirige la consulta.• Campo puerto fuente. Puerto origen sobre el cual se realizo la consulta.• Campo QNAME. El nombre de dominio consultado.• Campo QTYPE. El TYPE consultado para el nombre dado.• Campo TxID. Es el QUERYID del paquete generado.
Los datos anteriores extraıdos para cada conjunto de paquetes se guardaron en un conjuntode archivos TXT.
Para mantener los datos anonimos, se enmascararon las correspondientes direcciones IPası como los dominos en base a un esquema de sustitucion. Lo anterior fue hecho de de talforma que la informacion extraıda aparezca modificada pero sin ser alterada su estructura.La informacion obtenida es guardada en otro conjunto de archivos TXT.
10
5.1. Aplicacion de la entropıa sobre las trazas DNS
Al procesar un conjunto de elementos durante una ventana W , algunos de los elementos ten-deran a ser descartados conforme W se deslice a traves de la traza, por lo que ciertos elementospueden aumentar o disminuir su frecuencia conforme W sea deslizada a traves de las trazas. Elmodo de deslizamiento puede ser observado en la Fig.3, donde PK es el numero de paquete y WK
es la ventana correspondiente. Se aprecia el proceso de ingreso-salida cada vez que W se deslizaa traves de la traza. Sobre el numero de paquetes que contiene la ventana actual, se calcula laentropıa en base a la Ec.1.
s
Figura 3: Deslizamiento de una ventana W sobre una traza con paquetes DNS
Cada vez que se deslizo la ventana W a traves de las muestras obtenidas, se obtuvo una listaconcatenada tanto de direcciones IP fuente como de nombres de dominio de la forma IP−fuente−enmascaradak||dominio − enmascaradok. Obtenida dicha lista, se aplica el algoritmo de la Fig.8. Los datos extraıdos pueden ser analizados por separado o realizando combinaciones tal como lamostrada anteriormente.
5.2. Aplicacion de χ2 sobre el trafico DNS
Para el caso de χ2, se aplico el algoritmo descrito en [2]. Con ese proposito, se generan 2archivos por cada traza, un archivo que nos es util para obtener el perfil del trafico, y otro que noses util para almacenar los valores observados. Cada caracterıstica obtenida es clasificada en bins,es decir, para el bin uno se obtiene su valor esperado y su valor observado, para el bin 2 se realizalo mismo y ası sucesivamente, tal como se muestra en el Cuadro 1.
BINi E{xi} O{xi}BIN0 1200 1001BIN1 3000 2894BIN2 500 445BIN3 702 750BIN4 203 200BIN5 104 100
Cuadro 1: Ejemplo de valores esperados y observados
Se uso dicho algoritmo con una ventana deslizante por grupo de paquetes, con valor half life =5000. Para la generacion del perfil de trafico se uso un valor baseline halflife = 5000. Se hizoel analisis solamente sobre las direcciones IP fuente, a diferencia de lo ocurrido con el analisis deentropıa. Las direcciones IP fuente fueron agrupadas de tal forma que aquellas direcciones IP conmayor incidencia aparecieran en un BIN, las siguientes direcciones IP con menor frecuencia en otro
11
BIN y ası sucesivamente hasta almacenar las direcciones IP menos frecuentes en el BIN restante.Para mayores detalles el proceso de agrupamiento se muestra en el Cuadro 2.
BINi Frecuencia O{xi}BIN0 0-1 1001BIN1 2-4 2894BIN2 5-8 445BIN3 9-16 750BIN4 16-32 200BIN5 > 32 100
Cuadro 2: Ejemplo del proceso de agrupamiento sobre una traza
5.3. Aplicacion de NMF sobre las trazas DNS
Cada una de las columnas en la matriz V corresponde a vectores de dimension n formados porlas variables descritas a continuacion:
1. IP fuente: srcIP, muestra el numero de direcciones IP fuente diferentes entre el numero totalde elementos = Packet durante un tiempo = WinSize.
2. Puerto Fuente :srcPtr muestra el numero de puertos fuente diferentes entre el numero totalde elementos = Packet durante un tiempo = WinSize.
3. Dominio : Domain , muestra el numero de dominio fuente diferentes entre el numero totalde elementos = Packet durante un tiempo = WinSize.
4. TYPE : Type, muestra el numero de TYPE diferentes entre el numero total de elementos =Packet durante un tiempo = WinSize.
5. TXID : TXID, muestra el numero de TxID diferentes entre el numero total de elementos =Packet durante un tiempo = WinSize.
El tamano de ventana fue ajustado de tal forma que fuera lo mas cercano a 30s, a excepcion delos elementos sobrantes los cuales se ajustaron al tiempo restante. Cada columna fue normalizadade acuerdo con el numero total de paquetes (mostrados en la columna Packet). En la Fig.2 semuestra un archivo de ejemplo con el contenido de las columnas ocupadas en NMF.
Recuadro 2: Tabla de ejemplo utilizada con NMF�� �WinSize s r c Ip s rcPtr Domain Type TXID Packet SrcPtrvsIPSrc PacketsvsTime
29.999349 0.360852 0.296242 0.454541 0.000591 0.820755 22009.000000 0.820952 733.64925129.999604 0.359877 0.298668 0.464105 0.000603 0.834888 21549.000000 0.829916 718.30948229.999983 0.355952 0.298661 0.465115 0.000592 0.828126 21958.000000 0.839048 731.93374629.998106 0.364120 0.300664 0.464247 0.000612 0.835711 21243.000000 0.825727 708.14470729.999729 0.355539 0.295090 0.449414 0.000612 0.835413 21241.000000 0.829979 708.03973129.999481 0.360417 0.300060 0.445111 0.000651 0.821444 21489.000000 0.832537 716.31239329.996858 0.370451 0.307622 0.460248 0.000628 0.836402 20691.000000 0.830398 689.77224529.998232 0.377847 0.311464 0.459411 0.000629 0.853261 20683.000000 0.824312 689.473963
6. Experimentos y resultados
En esta seccion se presentan los resultados obtenidos al aplicar los tres metodos, χ2, entropıay NMF.
12
6.1. Resultados de la aplicacion de la entropıa
El calculo de la entropıa tiene como base el sacar cada una de las frecuencias obtenidas paracada elemento IP − fuente − enmascaradak||dominio − enmascaradok sobre una ventana depaquetes W . Cada uno de los archivos procesados cuenta con alrededor de 160 mil lıneas, ca-da una representando los campos extraıdos de los paquetes de peticiones DNS sobre un servi-dor autoritativo. Se utilizo una ventana de W paquetes sobre cada archivo perteneciente a ca-da muestra. La ventana W se desliza a traves del contenido del archivo y forma los elementosIP − fuente− enmascaradak||dominio− enmascaradok.
Como se observa en la Fig. 4, se tiene un archivo de entrada llamado muestra ∗ .txt quealmacena los campos enmascarados pertenecientes a una traza almacenada en un archivo ∗.pcap.Dicho archivo ∗.txt es utilizado de la misma manera que si se estuviera manipulando el archivo∗.pcap original. Cada vez que hay un deslizamiento sobre los campos enmascarados, las frecuenciasde cada elemento IP − fuente − enmascaradak||dominio − enmascaradok se van actualizando.Evidentemente la relacion P{IP − fuente − enmascaradak||dominio − enmascaradok} = f
W seactualiza y por lo tanto tambien el calculo de la entropıa. En la grafica obtenida, el eje x representael numero de referencia de los paquetes sobre los cuales W se va deslizando; expresado de otraforma, en el eje x se muestra el momento en el cual el elemento xW+i+1 es anexado a W y dondexi es eliminado, lo cual justifica el inicio de la grafica en W = 5000 para el ejemplo mostrado. Porotra parte, en el eje Y se grafica el valor de la entropıa, expresada en bits. En una muestra con uncomportamiento relativamente normal, la entropıa permanece acotada sobre una banda estrecha,es decir, que entre su valor mınimo y su valor maximo las diferencia de ambas es relativamentepequena.
Figura 4: Entropıa calculada para una de las trazas analizadas
Como se describıa previamente, la grafica inicia en W = 5000 ya que es a partir de ahı de dondeinicia el calculo de la entropıa; expresado de otra forma, esto significa que para el primer puntose ha calculado la entropıa de los paquetes que caen en el rango [1, 5000]; el siguiente punto en lagrafica representa la entropıa de los elementos que caen en el rango [2− 5001] y ası sucesivamente(vease la Fig.3). Como datos adicionales se muestran los valores de entropıa mınimo y maximopara la traza analizada.
Posteriormente se altera la distribucion de las direcciones IP, haciendo que esta tienda ha-
13
cia la uniformidad para obtener la entropıa maxima, usando la misma construccion de elementoIP −fuente−enmascaradak||dominio−enmascaradok y realizando el analisis con un tamano deventana de W = 10, 000. Para esto se hizo una sustitucion de direcciones IP con direcciones IP gen-eradas de manera aleatoria. Dichos elementos se generaron sobre m paquetes en un rango aleatorio[Pk, Pk+m], donde m < 20, 000. Se genero un nuevo archivo ∗.txt con los datos modificados, sobreel cual se vuelve a calcular la entropıa.
Se muestra en la Fig. 5 una traza que ha sido electa a proposito para visualizar de mejor formael comportamiento de la entropıa. Se contrasta el hecho de que al principio la entropıa tiendea aumentar hacia su valor maximo, debido a la mayor diversidad de direcciones IP. Se observaasimismo que al final de la figura la grafica tiende a disminuir su valor de entropıa, por lo que sededuce que hay un grupo de elementos que se repite de manera muy frecuente respecto del resto deelementos en W . En la grafica obtenida se observe la existencia de un pico al principio y un valleal final, lo que indica la existencia de mayor o menor diversidad de elementos, respectivamente.
Figura 5: Entropıa calculada para una de las trazas con distribucion de elementos modificada
6.2. Resultados de la aplicacion de χ2
Se muestran algunas de las graficas obtenidas al aplicar χ2. Para la obtencion de dichas graficas,se utilizo una traza la cual mostrara variaciones mınimas en su entropıa (o traza base), respectodel resto de trazas obtenidos. Se utilizaron trazas con trafico original y trafico modificado para sucomparacion con la traza base. El campo que se tomo en cuenta fue el campo de direcciones IPfuente.
En cada una de las Figs.(6,7), la primer subgrafica es una referencia del valor observado O{xi}tomado por cada uno de los BINS conforme la ventana half life se va desplazando a traves de latraza. En la segunda sub-grafica se muestran referencias del valor esperado E{xi} por cada unode los BINS conforme la ventana baseline life se va desplazando a traves de la traza. En la tercergrafica se muestran las salidas obtenidas para los valores de χ2 obtenidos a partir de los valoresde las trazas graficadas en la primer y segunda subgrafica. Como se puede observar en la Fig.6,se tiene una traza que presenta un cambio en uno de sus BINS respecto del resto(en el BIN cuyoselementos se presentan mas de 32 veces o que son mas frecuentemente vistos).
14
Para fines de simplicidad, la ventana utilizada no es deslizante en el sentido de que van agre-gando y quitando elementos cada vez que la ventana agrega y elimina un nuevo paquete, sinoque cada half life = 5000 paquetes se va calculando el valor de la χ2. Se ha asumido quebaseline life = half life.
Figura 6: Grafica de BINs y χ2 sobre una traza respecto de una traza base, para direcciones IPfuente
Para el siguiente caso, y a manera de ejemplo, se deja a proposito como referencia la traza sobrela cual se obtuvieron las graficas de la Fig.6. A su traza original correspondiente se cambiaronlas direcciones IP con direcciones IP generadas de manera aleatoria. Se obtuvieron los valoresde χ2 cuyas salidas son mostradas en la Fig.7. En la primer subgrafica, como se ha descrito conanterioridad, se muestra la grafica de BINS de la traza analizada; se observa que algunos de losBINS cambian sus valores de manera notable conforme la ventana avanza a traves de la traza.
Al principio se observa un pico (en el BIN de elementos que se presentan una o 2 veces) yposteriormente se presenta un valle (en el BIN de elementos que se presentan mas de 32 veces,los mas frecuentemente vistos). En la segunda subgrafica se observan los BINS del perfil tomadocomo base de comparacion (E{xi}). En la tercer sub-grafica se muestran los valores de χ2 quefueron calculados.
Se hace notar que, a diferencia de lo que ocurre con el analisis de entropıa, si solamente seobtuviera la grafica de Xi2 no se sabrıa con certeza la causa, salvo que alguno de los BINSaumento su peso respecto del resto. Dado que la funcion χ2 es par, se pierde la capacidad dedistinguir en que momento ciertos elementos aumentan su frecuencia de aparicion respecto delresto o si la frecuencia de los elementos tiende a ser uniforme.
En la Fig.8 se muestra la grafica de χ2 entre una traza respecto de si misma.Las siguientes Figs.(9,10) se obtuvieron a partir de aplicar χ2 sobre las mismas trazas anal-
izadas previamente, pero en esta ocasion se hizo utilizando ventana deslizante. Esto significa que,conforme W = half life se va desplazando a traves de la traza, el primer elemento de la ventanaes descartado y un nuevo elemento es agregado a la ventana. En la Fig.9 se puede observar que alfinal de la grafica el valor de χ2 cambia notablemente, lo cual puede ser indicativo de que existaalgun comportamiento no normal.
En la Fig.10 se muestra la grafica obtenida al aplicar χ2, con ventana deslizante, sobre una de
15
Figura 7: Grafica obtenida con un analisis de χ2 sobre una traza previamente modificada condirecciones IP generadas aleatoriamente
Figura 8: Grafica obtenida con un analisis de χ2 sobre una traza respecto de su mismo perfilgenerado
las muestras modificadas. Como se puede observar, en el caso de que alguno de los BINs cambiesu composicion respecto del resto, el valor obtenido en la χ2 aumenta.
16
Figura 9: Grafica χ2 obtenida sobre una traza respecto de una traza base, usando ventanadeslizante
Figura 10: Grafica obtenida con χ2 sobre una traza previamente modificada con direcciones IPgeneradas aleatoriamente respecto de una traza base, usando ventana deslizante
6.3. Resultados de la aplicacion de NMF
Para probar el metodo NMF se realizo lo siguiente: Como se puede ver en el Recuadro 2, cadauna de las lıneas contiene caracterısticas tomadas durante un cierto intervalo de tiempo, en este
17
caso, cada 30s aproximadamente. Se recuerda que los datos se encuentran normalizados respectodel numero total de paquetes. Se tomo la primera linea para cada conjunto de trazas (4 conjuntosde trazas en total) como elemento de entrenamiento para NMF, tomando en cuenta solamentelas caracterısticas enlistadas en 5.3. Posteriormente y usando los resultados obtenidos a partir delentrenamiento en NMF, se empezaron a aplicar las pruebas sobre las lıneas de datos restantes encada conjunto de trazas, es decir, la primer linea del conjunto de trazas M1 fue utilizada para llevara cabo la prueba sobre el resto de los elementos presentes en M1, y ası sucesivamente. Se hace laobservacion de que la prueba fue llevada a cabo sobre el conjunto total de datos obtenido paracada conjunto de trazas; expresado de otra forma, en M1 se concentran todos los datos obtenidospara los archivos de trazas pertenecientes al primer conjunto de trazas, etc.
En la Fig.11 se muestran las pruebas hechas sobre las trazas normales ası como las correspon-dientes trazas sinteticas. En las trazas sinteticas se modificaron algunas de las direcciones IP dela misma forma que se realizo para el caso de la entropıa y χ2. En el eje de las X se muestra elnumero de paquetes acumulados a traves del tiempo y en Y se muestra la norma obtenida paracada prueba hecha con NMF. La NMF es capaz de mostrar si algunos conjuntos de datos se alejande la norma (es decir, que cuentan con caracterısticas que no son comunes). En algunos casos, ycomo se mostro en el caso de la entropıa y χ2, algunas de las muestras contaban con caracterısticasespeciales antes de sintetizarlas, por lo que en algunos casos la norma obtenida coincide con lanorma de la traza sintetica aun cuando dicha norma esta alejada del cero. Para fines de simplicidadse muestran los primeros 200 puntos obtenidos con NMF, ademas, las normas obtenidas para lastrazas sinteticas son graficadas por medio de asteriscos para su mejor apreciacion respecto de lagrafica correspondiente a la norma de las trazas sin sintetizar.
Figura 11: Grafica obtenida con NMF sobre el conjunto de trazas M1 respecto de su correspondi-ente traza sintetica
18
7. Conclusiones
La entropıa es capaz de distinguir entre el aumento o disminucion de la frecuencia de loselementos que componen una ventana W . La entropıa aumenta conforme la distribucion de loselementos tiende a ser uniforme y disminuye si un conjunto de elementos en W aparece conmayor frecuencia que el resto. En el caso de χ2, al ser una funcion par, solamente es capaz deindicarnos si existe algun cambio, pero se pierde de forma directa la capacidad de distinguir si elcomportamiento obtenido se debe a que en la ventana W los elementos que la componen tiendena tener una distribucion uniforme o si se debe a que hay ciertos elementos que se presentan conmas frecuencia que el resto, por lo que se necesita una referencia adicional (el comportamiento delos BINS) para determinar que esta ocurriendo.
Para el caso del metodo basado en NMF, el modelo capturado en la matriz W parece ser su-ficientemente bueno para cuando la norma resultante en los experimentos sea considerablementemenor en los datos pertenecen al trafico normal respecto de los datos que contienen compor-tamiento anomalo. En general los tres metodos parecen realizar la deteccion de comportamientosanomalos, pero el tiempo de procesamiento para los metodos de entropıa y NMF es menor quepara χ2. En el caso de las modificaciones realizadas en la base de datos, serıa conveniente compararlos resultados aquı obtenidos con la sıntesis de ataques conocidos que se obtendrıan a partir de unescenario donde servidores y hosts se encuentren en una red simulada a traves de una red grid opor medio de alguna herramienta de simulacion como ns.
8. Trabajo futuro
Para poder comparar los metodos considerados en este reporte hace falta calcular la tasade deteccion ası como de la tasa de errores, tambien es importante encontrar un metodo paraestablecer el nivel del umbral de decision, para esto se requiere hacer mas experimentos y probardiferentes estrategias en la eleccion del umbral que define el lımite entre un trafico normal y otroanormal donde cabe la posibilidad de un ataque. El uso de metodos de reduccion de datos como elPCA (Principal Component Analysis) puede ayudar para seleccionar aquellas variables estadısticasque sean mas relevantes para la deteccion y que no esten correlacionadas entre sı.
En la sıntesis de los ataques tambien es posible considerar otras formas de que estos puedanllevarse a cabo, contemplando no solamente ataques de tipo DoS, sino ataques mas sutiles quepretendan estar enmascarados. Tambien es posible considerar otros metodos de deteccion basadosen clasificadores como el SVM (Support Vector Machine), ripper, c4.5, etc.
Otra enfoque que podrıa ser interesante de investigar serıa el de uso de agentes distribuidos enservidores recursivos que puedan realizar la deteccion de ataques en forma temprana colaborandocon los servidores autoritativos, con esto serıa posible generar estrategias de reaccion ante ataquesque sean efectivas. Para este escenario, una simulacion basada en una red grid podrıa ser de granutilidad.
Referencias
[1] Rob Austein. Perl and Net::Pcap. Web page: http://www.perlmonks.org/index.pl?nodeid=170648,2002.
[2] Ravindra Balupari, Darrell Kindred, Laura Feinstein, and Dan Schnackenberg. Statistical Ap-proaches to DDoS Attack Detection and Response. In DARPA, editor, DARPA InformationSurvivability Conference and Exposition, volume 1, page 303, 2003.
[3] Dan Kaminsky. Catching up with Kaminsky. Network Security, 2008(9):4–7, September 2008.
[4] Dipartimento di Informatica e Sistemistica. Plab Software. Web page:http://www.grid.unina.it/software/Plab/.
19
[5] Steve Friedl. An Illustrated Guide to the Kaminsky DNS Vulnerability. Web page:http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html, 2008.
[6] Paul Mockapetris and K. Dunlap. Implementation of the Domain Name System. In 2ndworkshop on Making Distributed Systems Work, pages 1–2, Amsterdam, Netherlands, 1986.
[7] Paul Mockapetris and K. Dunlap. Development of the Domain Name System. In Sympo-sium Proceedings on Communications’ Architectures and Protocols, pages 123–133, Stanford,California, United States, 1988.
[8] Chris Reinhardt, Olaf M. Kolkman, and Michael Fhur. Net::DNS library. Web page:http://www.net-dns.org.
[9] Paul Vixie. DNS complexity. ACM Queue, 5(3):24–29, April 2007.
[10] Wireshark and CACE Technologies. Wireshark Protocol Analyzer. Web site :http://www.wireshark.org.
20
Apendice: Algoritmo de entropıa
?
-
?
?
?
?
?
W− > paquetes/ventana, Ej: W=2000Pi− >paquete en W
Pi = Px = Py = ... = Pr
p(Pi) = freq(Pi)W
H0 =∑Wi=1 pilog2( 1
pi)
j− > 1
L = p(P0) = frec(P0)W
E = HP0 = Llog2( 1L )
I = P0
P1− > P0, P2− > P1, ..., PW− > PW−1, PW+1− > PW
Q = p(PW ) = frec(PW )−1W
F = HPW= Qlog2( 1
Q )
H = H − E − F
L = p(I) = frec(I)−1W
E = HI = Llog2( 1L )
Q = p(PW ) = frec(PW )W
F = HPW= Qlog2( 1
Q )
Hj = H + E + Fj=j+1
Figura 12: Diagrama de flujo del metodo de analisis de entropıa
21