Háózati támadáso és férge eeni védeezési mehanizmuso Korn András oevees mérnö-informatius PhD-érteezéséne összefogaója Témavezető: Dr. Fehér Gábor PhD Nagysebességű Háózato Laboratóriuma Távözési és Médiainformatiai Tanszé Budapesti Műszai és Gazdaságtudományi Egyetem Viamosmérnöi és Informatiai Kar Informatiai Tudományo Dotori Isoa Budapest, 20.
Bevezetés A háózatbiztonság fontosságát aigha e hangsúyozni. Ahogy a számítógép-háózato egyre jobban áthatjá éetünet, és egyre több embert érne e, eze az embere pedig egyre evesebbet tudna a háózato műödésérő, ezen háózato biztonsága ritius jeentőségűvé vái. Disszertáiómban ét új háózatbiztonsági agoritmust mutato be, vaamint egy új, gráfoban hasznáható entraitásmérét. Az eső agoritmus, a WANDA, ehetővé teszi, hogy háózato autonóm módon vagy együttműödve feismerjé a pásztázó férgeet. Legvonzóbb tuajdonságai özé tartozi az egyszerű impementáhatóság; az erőforrás-taaréosság; a téves riasztásona a szogátatásonént üönböző üszöbértéene öszönhetően aasony száma; és az, hogy épes aár a szées örben eterjedt NetFow-adato, aár egy apsoatövető tűzfa apsoat-nyivántartása aapján is műödni. A másodi agoritmus, amey a RESPIRE nevet apta, a tűzfaa megevő apsoatövető épességeit fehasznáva gyorsan észei a SYN-áradatoat, azonosítja azo forrásait és megfeeő tűzfaszabáyo étrehozásáva iszűri az áradatot. Más, a SYN áradato szűrését ézó megodásoa szemben a RESPIRE-t eegendő az ádozatra, vagy anna özeébe teepíteni. A RESPIRE aasony erőforrásigény meett iüszöböi a synooie agoritmus [39] hátrányait. Végü javasatot tesze egy új entraitásmére, a obbi-index bevezetésére, vaamint meghatározom az eoszását üönfée generát i. a vaódi éetbő vett gráfon. Egy somópont obbiindexéne meghatározása pusztán oáis informáió (a szomszédo foszáma) aapján is ehetséges, így rendívü osó műveet. A entraitásméré megíséri számszerűsíteni egy-egy gráfsomópontna a gráfon átáramó bizonyos tuajdonságoa bíró foyamo szemszögébő vett fontosságát. Számos bevett entraitásmére étezi, de eze többségéne meghatározásához az egész gráfot ismerni e (iyen p. a oseness, a bridgeness és az eigenvetor entraitás); ezen túmenően átszóag egyi sem igazán reeváns a sáafüggeten gráfoban terjedő fertőzése szempontjábó [36]. A obbi-index azohoz a somópontohoz rende nagy mérőszámot, ameyene so nagy foszámú szomszédja van, így üönösen aamasa arra, hogy egy immunizáó (vagy fertőző!) ágenst terjesszene, i. hogy immunizáiójua hatéonyan aadáyozzá egy fertőzés továbbterjedését a gráfna azon részeibe, ameye rajtu eresztü érhető e. A sáafüggeten gráfo immunizáiójáva apsoatban fontos ihívást jeent, hogy ha egy fertőzés ejut a gazdago ubjába (a gráf rendívü sűrűn összeapsot magjába), megáítása szinte eheteten. Mive magas obbi-indexű somópontbó evesebb van, mint magas foszámúbó, és eze gyaran a gráf magjána apui, gyors immunizáásu gátat szabhat a járványo iaauásána. Noha egyeőre bizonyításra vár, hogy a obbi-index erre a éra vaóban megfeeő, függeten utató már taáta a számára aamazásoat úgy az ad-ho háózato, mint a eresési eredménye sorbarendezése terén. 2 Kutatási éitűzés Természetesen hatamas irodama van a jeen disszertáióban érintett témána; részetes bemutatására a tézisfüzetben terjedemi oobó nins ehetőség, de a disszertáió mintegy huszonöt odat szente enne a éna. Összefogaáséppen: a utató áta javasot új háózatvédemi megodáso gyaran a étező infrastrutúra nehezen megvaósítható megvátoztatását igényi ([9], 2
[43], [45], [47]); vagy annyira összetett agoritmusoat/matematiát hasznána, hogy heyes impementáióju ihívás ([8], [40], [45]); vagy nagy erőforrásigényűe ([9], [4], [42], [47], [49]); vagy az Internet egészéne részvéteét igényő gobáis együttműödésre aapozna ([40], [9], [45], [52], [53]); vagy szabadami védeem aatt ána ([34]); vagy figyemen ívü hagyjá a vaóság vaamey fontos aspetusát ([44]); vagy sa részben odjá meg a probémát ([46], [48], [49], [50], [54]); vagy azon az áron odjá meg a probémát, hogy bevezetésü új gondoat ooz ([39], [5], [46]). Így a gyaoratban többnyire nehezen aamazhatóa. Hosszú távon természetesen értéese és hasznosa eze az eredménye, én azonban oyan megodásoat próbátam taáni, ameyeet autonóm módon (gobáis együttműödés néü), aár azonna is be ehet vezetni. Szándéosan nem szabadamaztattam egyi átaam itaát megodást sem. Az vot a éom, hogy ehetővé tegyem az Interneten jeeneg is szées örben hasznát SYN támadáso eeni védeezést, vaamint hogy javítsam a háózat eenáóépességét a fertőzésee (férgee) szemben. A SYN támadáso és a férge teintetében arra töreedtem, hogy oyan egyszerűen megvaósítható, seéy erőforrásigényű védemi mehanizmusoat taája, ameyeet a védendő eszözöön vagy özeüben e teepíteni úgy, hogy ehhez a étező infrastrutúra miné isebb mértéű módosítása egyen szüséges. A szoftveres megvaósíthatóság önnyűsége (az agoritmuso és adatszerezete egyszerűsége) fontosabb vot, mint az optimaizáás. Oyan is memóriaigényű agoritmusoat erestem, ameye bemenetét a egtöbb háózatban eeve rendeezésre áó adato épezi. Arra is töreedtem, hogy agoritmusaim hasznot húzhassana több háózat együttműödésébő anéü, hogy függnéne tőe. Céom vot továbbá, hogy az Internet i. pontosabban a sáafüggeten overay háózato arhitetúráját eenáóbbá tegyem. A obbi-index (. a 3. tézist) a háózat somópontjaina fontosságát oyan módon méri, hogy a magasabb obbi-indexű somópontoat hamarabb immunizáva jobban orátozható a járványo terjedése (vagy egaábbis ezt reméem bebizonyítani). 3 Kutatási módszertan Az informatiai biztonságga apsoatos eredménye gyaran ét éesen etérő módszer vaameyiéne izáróagos aamazásáva szüetne. Az egyi módszer tisztán tudományos: egy absztrat és eegyszerűsített mode segítségéve eresne megodást egy vét vagy vaós biztonsági hiányosságra. Eze a megodáso átaában nagyon ígéretesne tűnne papíron, ám gyaorati megvaósításu eseteg nehézségebe ütözi. A mási módszert azo az embere szotá aamazni, ai a számítógép-háózato és az átau nyújtott szogátatáso mindennapi üzemetetéséért feeőse és gyaran saját magu tapasztajá, észei a biztonsági hiányosságoat nem ritán aor, amior már éső. Megpróbána ad-ho megodásoat taáni a probémára, ám eze többnyire nem töéetese, vaamint formáis vizsgáatu, átaánosításu is nehézes. Úgy gondoom, mindét megözeítésne vanna fontos eőnyei, ezért megíséretem ombináni őet, saját üzemetetői tapasztaatom fehasznáásáva. Oyan háózatbiztonsági érdéseet erestem, ameyee az üzemetető nap mint nap taáozna, és megpróbátam ráju oyan váaszoat adni, ameye nemsa a gyaoratban ájá meg a heyüet, hanem tudományos szempontbó is érdeese. 3
Ezen túmenően azza szembesütem, hogy a vírusoa szembeni immunizáió szempontjábó reeváns entraitásmére teintetében [36] az adott probémáva apsoatos aaputatásra is szüség vot. Oyan probémáa fogaoztam, ameyee a vaódi éetben is gyaran femerüte, ami azt sugata, hogy nem vot ráju eegendően jó megodás. Kiderüt, hogy más utató már tette íséretet a megodásura, de a megodáso iyen vagy oyan obó nem bizonyuta töéetesne; ehetségesne tűnt azonban, hogy javítsa rajtu, vagy újszerű módon ombinájam őet anna érdeében, hogy jobb vagy pratiusabb megodás jöjjön étre. Ha sierüt iyen megodást taánom, a övetező módszere egaább egyiéve vizsgátam meg: Formáis módszeree, fetéve, hogy ez ehetséges. A formáis anaízis segítségéve megmutatható, hogy agoritmuso rendeezne a tőü evárt tuajdonságoa; vaamint adható oráto bizonyos paraméterere. Eőfordu azonban, hogy a vizsgáandó mode annyira összetett, hogy a formáis anaízis irreáisan soáig tartana. Matematiai módszerre mutattam meg, hogy a RESPIRE gyorsabban reagá a nagyobb intenzitású támadásora; szintén formáis módszerre határoztam meg a obbi-index eoszását sáafüggeten gráfoban. A formáis anaízishez tú bonyout modee gyaran vizsgáható eredményesen szimuáióva. Szintén a szimuáió a ogius váasztás aor, ha a vaódi megvaósításon végzett mérés tú drága vagy nehezen megszervezhető enne. A paramétertere szisztematiusan bejárható a szimuáió automatizáásáva; önnyen szimuáhatun továbbá a vaóságban sa ritán eőforduó eseményeet. Pédáu igen nehéz ett vona a WANDA viseedését vaós örüménye özött tanumányozni: nemsa számítógépe ezreire ett vona szüség, hanem arra is, hogy eze némeyiét féreg fertőzze meg. Mindez a szimuáió során gyerejáté vot. Szintén nem át rendeezésemre sem több tuat vaódi C osztáyú háózat, ameyebő SYN támadásoat indíthattam vona a RESPIRE een, sem aora sávszéesség, amey másodperenént százezer SYN-somag száítására eegendő ett vona; így ezeet a íséreteet szintén szimuátorban eett evégezni. Végezetü megpróbátam prototípusoat fejeszteni és módszereimet a vaóságban is ipróbáni. A vaós teszte során fény derühet oyan aspetusora, ameyeet a szimuáió figyemen ívü hagyott, vagy arra, hogy a szimuáió vaamey fetevése heyteen vot. A RESPIRE esetében pédáu nehéz ett vona anaitiusan megáapítani, hogy a synooie- áta igényet riptográfiai műveete megspóroásán nyert proesszoridő eegendő-e a RESPIRE futtatására (ráadásu a proesszor ontextusvátásaina hatását is figyeembe eett vona venni); így erre a érdésre mérése adta váaszt. 4 Új tudományos eredménye 4. A WANDA (Worm ANomay Detetor Agorithm) agoritmus Az emút évtizedben a férge áandó fenyegetést jeentette a számítógépe számára. A 2000-es éve eső feében a egeterjedtebb fehasznáói operáiós rendszereben egyi távoró ianázható biztonsági hiányosságot tártá fe a mási után; és ha ez nem ett vona eég, a férge aotói mindig számíthatta (és ma is számíthatna) az embere ívánsiságára és hiszéenységére. 4
Egyre evésbé hatásosa a rosszinduatú ód észeésére hasznát hagyományos tehnoógiá pédáu a vírusereső, írja a Che Point Software ([37]), majd így foytatja: A víruso áta oozott anyagi ár az 995-ös 500 miió doárró 2004-re 6,7 miiárd doárra nőtt. 2005-re, amior a WANDÁ-t pubiátam, a férge eeni védeezés rendívü fontossá vát. Mint azt megáapítottu, aori védeezési módszerein nem vota épese a férge megáítására, amit mi sem bizonyított jobban, mint hogy szinte havonta megjeent egy új, viágszerte gépe tízezreit megfertőző (és többmiió doáros ároat oozó) féreg. A vírusereső többnyire még ma is főént szignatúrá segítségéve ismeri fe a rosszinduatú programoat. Egy új féreg még aor is épes enne az Internet jeentős részét megfertőzni, ha a vírusereső terjesztői peree az eső fertőzés után megezdené egy új féreghez tartozó szignatúrá terjesztését (ami eheteten). A S@mmer féreg pédáu az összes étező, a fertőzésre fogéony rendszert műödése eső 0 pere aatt megfertőzött; eeinte 8,5 másodperenént dupázódott a fertőzött gépe száma [34]. Eépzeheteten, hogy egy új féreg szignatúráit iyen hamar étre ehetne hozni. Mindebbő arra e öveteztetnün, hogy a férge eeni háborút eheteten a fehasznáó számítógépein megnyerni ; ényteene vagyun tehát magát a háózatot a férge eeni védeezésre feészíteni, mégpedig úgy, hogy ne egyen szüség szignatúrá özponti eőáítására és terjesztésére. A háózati védeezés azért is esegtet nagyobb sierre, mert háózati eszözbő evesebb van, mint fehasznáói végpontbó, és mert a háózati eszözöet átaában magasabb színvonaon üzemeteti, mint a munaáomásoat. Javasatot tesze egy WANDA ( Worm Anomay Detetor Agorithm, vagyis féreganomáiaészeő agoritmus) nevű agoritmusra, ameyne segítségéve jeentős mértében orátozható az új és ismereten pásztázó férgene az a épessége, hogy más számítógépeet megfertőzzene. Noha a özemútban nem jeent meg újabb pásztázó féreg, evieg minden további néü megjeenhetne egy aár honap; így a WANDA poteniáisan ma is hasznos, anna eenére, hogy az a veszéy, ameyet söenteni hivatott, most éppen nem tapintható.. tézissoport: ifejesztettem egy oyan agoritmust, ameyne a segítségéve egy autonóm háózat szignatúrá hasznáata néü, pusztán háózati viseedésü aapján feismerheti a pásztázó férgeet. Kifejesztettem enne az agoritmusna az eosztott vátozatát, ameyne a segítségéve több önáó (a)háózat együttműödhet a férge feismerése érdeében, ezze javítva a aranténmehanizmus hatásosságát, vaamint söentve a feismeréshez szüséges időt és az egyes észeő memóriaigényét. Az agoritmus mindét vátozata izoája és aranténba heyezi a fertőzött végpontoat anéü, hogy a egitim háózati forgamat aadáyozná (ivéve, ha a egitim forgaom ugyanazt a száítási rétegbei portot hasznája, mint a féregterjedés), ezáta megaadáyozva a férget a terjedésben. Szimuáió segítségéve megmutattam, hogy a WANDA hatásos. A WANDA a férge eeni haron túmenően a portsan-e és a háózat-etapogatás feismerésére is aamas. 4.. A WANDA autonóm vátozata.-es tézis: ifejesztettem a Worm Anomay Detetor Agorithm, röviden WANDA agoritmust, ameyne vanna eőnyei más, a féregterjedést orátozó megodásoa szemben. Kapsoódó pubiáió: [C6] 2 [C7][C8]. Az autonóm WANDA fő eőnyei az irodaomban szerepő, a disszertáióban részetesen tárgyat más megodásoa szemben a övetező: autonóm műödés (nem igénye eosztottságot; nem függ gobáis együttműödéstő); nem igénye nagyszámú hasznáaton ívüi IP-ímet (ún. darnetet); 5
bevezetése nem igényi a megevő infrastrutúra nagyarányú megvátoztatását (a egtöbb útváasztó és számos apsoó áta rendeezésre bosátott NetFow-adato aapján is épes műödni, de apsoatövető tűzfaa is önnyedén integráható); erőforráshatéonyság; egyszerű megvaósíthatóság. A WANDA műödése (isit eegyszerűsítve) az aábbi; az agoritmus pszeudoódja megtaáható a disszertáió A függeéében. Maga a terjedés, i. anna megísérése eredményez oyan háózati forgamat, ameyne a révén a féreg jeenéte feismerhető [8]. Ezze apsoatos utatásaim idején a férge háózati szemszögbő nézve ét üönböző módon terjedhette atívan 3. Az egyi módszer az, hogy e-maiben eüdi maguat egy sor ímzettne egy özponti SMTP-iszogáó segítségéve. A mási módszer a pásztázás ényege az, hogy rengeteg háózati ímre próbána apsoódni és vagy ianázni egy biztonsági hiányosságot a távoi számítógép szoftverében, vagy a távoi gépen futó SMTP-iszogáó segítségéve ézbesíttetni egy a férget tartamazó eveet. A pásztázó férge oozta forgaomra tehát az a jeemző, hogy egy végpont vagy aháózat rengeteg üönböző távoi rendszeren próbá ugyanazon néhány tuat jó ismert port vaameyiére apsoódni. Enne feismeréséhez nyiván e tartanun, miyen rátáva apsoódna a megfigyet háózat végpontjai újabb és újabb ímere minden egyes jó ismert porton. Ezt megtehetjü úgy, hogy a MULTOPS-hoz [35] és a 2. tézissoportban bemutatott RESPIRE-hez hasonóan 256-odfoú számáófáat építün, ihasznáva az IP ímteréne hierarhius votát. Az agoritmus egy-egy iyen fát haszná minden megfigyet éportta apsoatos forgaom vizsgáatára. A fa segítségéve övetjü nyomon, miyen rátáva apsoódi a megfigyet végponto összessége új éímere az adott porton, úgy, hogy ha az A.B.C.D IP-re próbá apsoódni egy végpont, aor étrehozzu az A B C D eveet a fában (fetéve, hogy még nem étezi). Ezután sa azt e figyenün, miyen rátáva jönne étre a fa eveei. Ha a megfigyet háózat újéímrátája együttesen meghaad egy üszöbértéet vaamey p port esetében, a WANDA étrehoz egy-egy új éímeet számáó fát minden oyan végponthoz, amey a p porton ezdeményez háózati apsoatot. Ezen fá segítségéve azonosítható azo a onrét végponto, ameye miatt az aggregát forgaom gyanúsna taátatott. (Az agoritmus részetesebb eírását. a disszertáióban.) Ha egy végpont újéím-rátája meghaad egy üszöbértéet, fertőzöttne teintjü és ehetőeg a hozzá egözeebbi háózati apsoóná iszűrjü a tőe származó, a p portra irányuó somagoat. Ezen a módon a eghatásosabban a megfigyet háózaton beüi férgee szemben tudun feépni; megaadáyozhatju, hogy más beső vagy üső végpontoat fertőzzene meg. Nagyon hasonóan járhatun e, ha a háózatunon ívürő érező fertőzési íséreteet szeretnén észeni és meghiúsítani. Az imént bemutatott módszerre figyejü, időegységenént hány új beső ímre irányuó apsoatfeépítési íséret történi az Internet egésze részérő a megfigyet porto vaameyién 4 ; vaamint azt, időegységenént hány új forrásím ísére meg apsoatot feépíteni ezen porto vaameyiéve bármeyi beső végponton. Ha a ét ráta bármeyie túép egy üszöbértéet (ameyet az ismert trende és szezonáis hatáso figyeembevéteéve e megáapítani), aapos oun van arra gyanaodni, hogy az Interneten féregjárvány van itörőben. A fő üönbség a háózatunon beü és ívü észet féreg özött az, hogy az utóbbi esetben értemeten a onrét fertőzött forrásíme azonosítására töreedni. Eegendő megáapítani, mey C osztáyú ímtartományobó érezne a fertőzést megísérő somago (így az erre a éra étrehozott fában három hierarhiaszint is eegendő). Ha fertőzöttne vét forrás-háózatot taátun, megtehetjü, 6
hogy az innen a fertőzésterjesztésse összefüggő portra irányuó apsoatéréseet eutasítju (vagy aár a tejes, az adott aháózatobó érező forgamat iszűrjü). Ha azonban a érdéses port vaamey fontos nyivános szogátatásé (p. a 80-as TCP port), méregenün e, a szogátatás rendeezésre áását fontosabbna teintjü-e, mint a fertőzés veszéyéne söentését. Mindenéppen értesíteni e az üzembentartóat, hogy az automatia áta hozott döntést feübíráhassá, ha szüséges. 4..2 Eosztott műödés.2-es tézis: Megaottam a WANDA eosztott vátozatát, és szimuáió segítségéve megmutattam, hogy reaióideje aasonyabb az autonóm vátozatná. Az egy WANDÁ-t futtató észeőre jutó memóriaigény az eosztott esetben szintén aasonyabb, mint ha ugyanazt a háózati forgamat egyeten autonóm észeő eemezné. Kapsoódó pubiáió: [C7][C8]. A WANDÁ-ban fontos szerepe van egy önényesen megváasztott gyanúüszöbne (amey azt adja meg, egfejebb meora rátáva apsoódhatna új éímere a megfigyet háózat végpontjai). A üszöbérté megfeeő megváasztása nem egyszerű feadat. Gondot oozhat továbbá, hogy nagy forgamú, több ezer végpontot számáó háózato megfigyeéseor az agoritmus áta hasznát adatszerezete mérete viszonyag nagyra nőhet (több tíz, vagy aár több száz megabájtnyira). Mindét probémát enyhíthetjü úgy, hogy számos észeőt hasznáun, ameye a tejes forgaomna sa bizonyos részeit eemzi. Ha a megfigyet háózat hierarhius feépítésű, természetes feosztás ínáozi: minden aháózatot ássun e saját észeőve. Egyéb eseteben az egyes észeő feeősségi örét tetszőegesen váaszthatju meg. Az észeés reaióidejét javíthatju úgy, hogy a gyanúüszöböt azítju : ényegében ét, saját üszöbértée rendeező gyanavási szintet vezetün be. A magasabb üszöbértéet nevezhetjü vörös riasztási üszöbne; enne vaahányad része a sárga riasztási üszöb. Ha vaamey észeő sárga riasztást ad i, megszavaztatja 5 a többi észeőt, egyen-e vörös riasztás; ha egy eőre megadott számú észeő már iadott sárga riasztást az adott portra, az egész eosztott észeőháózat azonna iadja a vörös riasztást aor is, ha az ahhoz tartozó üszöbértéet még seho sem érté e. Itt fetéteezzü, hogy a féregjárványo itörése többnyire nem eszigeteten történi; ha tehát több függeten aháózat is ugyanazt az enyhén gyanús viseedést mutatja, nagyobb magabiztosságga tippehetün féregjárványra, mint ha sa egyeten aháózat viseedi fursán utóbbit oozhatja aár egyeten, szoatan tevéenységet foytató fehasznáó vagy hibás aamazás is. Sárga riasztás esetén az észeő már nyomon öveti az egyes végponto apsoódási rátáit (nemsa a tejes aháózatét); így a fertőzött végpontoat hamarabb azonosíthatju, ha eérjü a vörös riasztási üszöböt. Ezen túmenően, mive a végpontohoz tartozó gyanúüszöb gyaran ehet aasonyabb, mint az aháózatohoz tartozó, már most taáhatun gyanúsan viseedő végpontoat, ameyene az adott portra irányuó további forgamát iszűrhetjü 6. Noha ezt a ogiát nem vaósítottam meg az aább tárgyat szimuátorban (sa a étfée riasztást és a szavazást; a bonyoutabb ogia sa a [C8] szimuátorába erüt bee), önnyen beátható, hogy söenti a WANDA reaióidejét. Mive egy-egy észeő a tejes forgaomna sa vaameora hányadát vizsgája, evidens, hogy evesebb memóriára van szüsége, mint egy oyan észeőne, amey a tejes forgamat anaizája. 7
4..3 Szimuáiós eredménye.3-as tézis: szimuáió segítségéve megmutattam, hogy a WANDA autonóm és eosztott vátozata is aamas a pásztázó férge terjedéséne orátozására. Kapsoódó pubiáió: [C7][C8]. Szimuáió sorát végeztem e, hogy megmutassam: a férge vaóban étrehozzá az eméeti megfontoáso aapján jósot forgami anomáiát, és hogy a WANDA épes észeni azt, majd orátozni a férge terjedését. Megjegyzem, hogy nem vot éja a [C7]-ben pubiát és itt ismertetett szimuáióna a WANDA tejes paraméterteréne apróéos bejárása: egyeten oyan tipius, vaószerű heyzetet szimuátam, ameyben a WANDA doga üönösen nehéz. A szimuáió éja egyrészt az vot, hogy bebizonyítsá az agoritmus hatásosságát, másrészt az, hogy összehasonítható egyen az autonóm és az eosztott műödés tejesítőépessége. Mieőtt a szimuáiót ismertetném, szeretném bevezetni a övetező jeöéseet: egyen U[x;y] egy egyenetes eoszású, az [x,y] intervaumba eső vaószínűségi vátozó; egyen továbbá exp(x) egy exponeniáis eoszású, x várható értéű vaószínűségi vátozó. A szimuát háózat egy néhány ezer végpontot tartamazó egyetemi háózatra hasonított. A szimuát végponto mindegyie 20 aháózat vaameyiében apott heyet; mindegyiüne vot vaameora egitim forgama azon a porton, ameyen a szimuát féreg is terjedt. A egitim forgaom paramétereit úgy áítottam be, hogy a iense viszonyag so üönböző szerverhez apsoódjana; így a gyanúüszöbne is magasna eett ennie, ami növete az agoritmus reaióidejét. A szimuát háózat 20 aháózatábó egy 50, egy pedig 200 végpontot tartamazott; a többi egyenént U[00;240]-et. A somagtovábbítási idő exp(0,0) másodper vot. Kizáróag a féreg áta is hasznát TCP portra menő forgamat szimuátam. A szimuát topoógia apos vot: minden, az Internet feé tartó adatsomag pontosan egy észeőn haadt át, míg a beső aháózato özötti ommuniáió mindig ét észeőt érintett. Három esetet szimuátam: az esőben az észeő nem műödte; a másodiban autonóm módon műödte; a harmadiban eosztott módon együttműödte. A szimuáió ezdetét övető negyedi óra eején egy a Code Red-re hasonító generius féregge fertőztem meg ét, üönböző aháózatba tartozó végpontot. A szimuát féreg 0 peres paraméterű Poisson-foyamatént műödött. Atív áapotban U[0;20] véetenszerűen váasztott ímre próbát terjedni, ameye mindegyie ugyanabban a véetenszerűen iváasztott C osztáyú háózatban vot. Fevátva próbát beső és üső aháózatoba terjedni (a Code Red 2 és a Nimda viseedése hasonó vot). Minden megtámadott számítógép 20% eséye vot fertőzhető a támadás pianatában. Ez igen nagyvonaú érté: egyeten féreg sem fertőzte meg soha az Internet 20%-át. A egitim forgamat oyan áapotgép szimuáta, amey exp() órán át inatív vot, majd exp(5) perig dogozott ; ebben az áapotban U[0;8] üönböző távoi szerverhez apsoódott egyszerre, majd exp() per szünetet tartott. A szimuáió 8 szimuát óra etetéve ért véget. Az. és 2. ábrán egy 200 végpontot tartamazó aháózat forgama átható. Kée jeötem, hány üönböző távoi iszogáóhoz apsoódta az aháózatban evő végponto perenént. A szüre vona mutatja, hány fertőzött végpont taáható az aháózatban. A szaggatott vonaa a normáis forgaom aapján automatiusan megáapított riasztási üszöbö értéét mutatjá. A üszöbértée aibráására hasznát forgaom megegyezett, azonban a féreg megjeenése után szemme áthatóan más történi a ét esetben. Az. ábrán a szimuáió vége feé is jeentősen meghaadja a normáis értéet a forgaom, míg a 2. ábrán nem, mive evesebb fertőzés történt. 8
200 60 Intetions IDS ounter Threshod IDS ounter & Infetions 20 80 40 0 0:00 :00 2:00 3:00 4:00 5:00 6:00 7:00 8:00 Simuated time. ábra. Autonóm műödés 200 60 Intetions Red aert IDS ounter Yeow aert IDS ounter & Infetions 20 80 40 0 0:00 :00 2:00 3:00 4:00 5:00 6:00 7:00 8:00 Simuated time 2. ábra. Eosztott műödés A 3. ábráró eovasható, hány végpont fertőződött meg az egyes aháózatoban a szimuáió végére. Az eosztott esetben a egaasonyabb a fertőzése száma. A WANDA néüi esetben mind a 3598 szimuát végpont megfertőződött 7 ; az autonóm WANDA esetében 370 fertőzés történt; az eosztott esetben pedig 238, vagyis az összes végpont evesebb, mint 7%-a fertőzödött meg. Téves szűrés (nem fertőzött somópont iszűrése) nem vot, mive a üszöbértéeet úgy áítottam be, hogy a normáis forgaom ne érje e a szűréshez szüséges szintet. Ehhez nem eett soat áítgatni a paramétereet: az eső, a józan észen aapuó besés is megfeeőne bizonyut. 300 250 No IDS Standaone IDS Distibuted IDS Worm infetions 200 50 00 50 0 2 3 4 5 6 7 8 9 0 2 3 4 5 6 7 8 9 20 Subnet 3. ábra. Az egyes aháózatoban történt fertőzése száma 9
4..4 A portsan-e észeése 4.-es tézis: Megmutattam, hogy a WANDA seéy módosításoa hasznáható portsan-e és a háózat-etapogatás feismerésére is. Kapsoódó pubiáió: [C7]. Az imént ismertetett, a WANDA áta feismert forgami anomáia ényegében megegyezi azza, ameyet a portsan vát i. A féreg tevéenysége vaójában egy efajut portsan: aheyett, hogy ugyanahhoz az IP-hez próbána apsoódni számos üönböző porton, számos üönböző IP-hez apsoódi ugyanazon a porton. A feismerőagoritmus módosítható úgy, hogy a férge meett a portsaneet is feismerje 8, azon az áron, hogy a memóriaigénye megnő 9. Az Internet feő a beső háózatba érező portsane feismerése érdeében táronun e minden oyan új bejövő apsoat {éip, éport} 0 párosát, amey nem tartozi egy már étező háózati apsoathoz (tehát p. az FTP adatsatorná feépüéséve nem törődün). Mérjü, miyen rátáva érezne új iyen pároso. Ha a ráta túép egy üszöbértéet, vaószínűeg portsan ádozatai vagyun. Az {IP, port} párosoat tároó adatszerezet mérete orátos, hiszen a gyanúüszöb eérése után fehagyhatun a további számoássa. Az adatszerezet ehet a már átott fa, azza a üönbségge, hogy a eveeben eheyezün egy-egy bitmezőt, ameyben minden porthoz tartozi egy bit. Azo a forrásháózato, ameye evés porthoz és evés éímhez próbána apsoódni, fetehetően egitime; azo, ameye evés portot, de so IP-t ímezne meg, a háózatot tapogatjá e; azo, ameye so porthoz apsoódna evés IP-n, asszius portsanne próbáozna; azo pedig, ameye so porthoz apsoódna so IP-n, véhetően több épont egyidejű portsanjét végzi e. Az agoritmus memóriaigényét orátozhatju úgy, hogy eőször sa a B (vagy aár az A) osztáyú háózato szintjén üönböztetjü meg a távoi forrásoat, és sa aor fogaozun C osztáyú aháózatoa, ha a szüőjühöz tartozó ráta túép egy gyanúüszöböt. Természetesen a bejövő portsane feismerése a egtöbb esetben sehová sem vezet, hiszen semmiyen hasznos váaszépést nem tudun tenni (még a riasztás haszna is étséges). A saját háózatunbó ifeé irányuó portsane feismerése értemesebbne tűni, mive iyenor van reáis eséyün a tettes ézreerítésére főént, ha a háózaton beü megaadáyoztu a forrásíme hamisítását. Az agoritmus ebben az esetben is ugyanaz, mint az imént, azza a üönbségge, hogy most az új {üső IP, üső port} pároso megjeenéséne rátáját e figyenün. 4..5 A téves riasztásoró Téves riasztáshoz (és szűréshez) vezethet, ha egy szogátatás fehasznáása hirteen a orábbihoz épest extrém mértében megvátozi: pédáu, ha egy fehasznáón úgy dönt, hogy viágméretű femérést észít arró, miyen szoftver fut az egyes névszervereen, a WANDA iszűrheti a fehasznáó DNS-forgamát. Erre a probémára nins jó megodás: a fehasznáó jobban teszi, ha eőre szó a háózat üzemetetőine. Fontos megjegyezni, hogy itt a fehasznáó tevéenysége vaóban extrém; így téves féregne nézése nem ugyanaora hiba, ameora pédáu egy web-böngésző féregént történő azonosítása enne. Szintén oozhatna téves riasztást a peer-to-peer fájseréő, ha egy jó ismert porton műödne (pédáu abbó a ébó, hogy ijátsszana egy somagszűrőt). 0
4..6 További (gondoat)ísérete A szimuáiós eredménye és az agoritmus ismeretében megjósoható, mi enne a hatása a szimuáiós paramétere megvátoztatásána. Pédáu a reaióidő (és így a aranténfunió hatéonysága) javuna, ha a gyanúüszöb aasonyabb enne. A 80-as TCP port esetében ugyan nem tudju söenteni a üszöböt, de más protooo, p. az SMTP, a POP3, a SOCKS, a távoi aszta (RDP) vagy az SSH tipius fehasznáásai esetén a üszöbérté minden bizonnya soa aasonyabb is ehetne. Ha nem ett vona ennyire irreáisan magas a sieres fertőzés eséye, a féreg még evesebb végpontot fertőzhetett vona meg, mieőtt a WANDA iszűri a forgamát. Könnyen beátható, hogy a megfigyet háózato mérete esősorban aor számít a WANDA hatásossága szempontjábó, ha az aháózat minden végpontja hajamos üönböző távoi iszogáóa ommuniáni. Ha ugyanis ez a heyzet, és az aháózat so végpontot tartamaz, isszámú assan pásztázó féregpédány forgama önnyebben észrevéten maradhat az aggregát forgaomban, mint ha isebb aháózatoban vizsgáódnán. Érdemes enne ifinomutabb szimuáióat végezni, ameyeben a féreg pásztázó-fertőző viseedése ismert vaódi férgeét mintázza; így egyszerűbbé vána a WANDA és más féregdetetoro összevetése. Ebbe az irányba mutató eredményeet pubiátam a [C8]-ban. A paraméterteret be ehetne járni mind íséreti, mind anaitius úton (a [9]-ben vagy [34]-ben áthatóhoz hasonó módon) az ezze apsoatos muna 2006-ban eezdődött, de erőforráso hiányában fe eett hagynom vee. Végezetü pedig természetesen eőnyös enne a WANDÁ-t vaódi háózatoban is ipróbáni. Érdees további utatásra adna ehetőséget anna vizsgáata, ehetséges enne-e a WANDÁ-t az egész Internetre iterjeszteni oy módon, hogy az egyes autonóm háózato önént vegyene részt a özös féregfeismerésben; ne egyen özponti eem, hanem friend-to-friend even szerveződő overayháózatot aossana az eosztott üzemmódban műödő észeő. Ezen a háózaton (amey várhatóan sáafüggeten enne) hatéonyan ehetne terjeszteni az áapotvátozásoat és a feismert fertőzési portora vonatozó adatoat. 4.2 A RESPIRE (Resoure Effiient Synfood Protetion for Internet Routers and End-systems) agoritmus A SYN-eárasztás (SYN food) enevezésű támadást, amey régi és jó ismert, gyaran aamazzá napjainban is (. p. a [38]-as forrást egy-egy nagyobb szabású iyen támadás még néhány évve ezeőtt is újsághír tudott enni). Oyan szogátatás-megtagadásos (DoS, Denia of Servie) támadásró van szó, amey az ádozat TCP-impementáiója een irányu. Mive a TCP háromutas ézfogást haszná, a féig már feépüt, ún. féig nyitott apsoatoat is nyiván e tartani. Erre a éra egy üön puffer, az ún. TCP baog queue szogá, ameyne mérete természetesen véges. Ha a támadó e tudja érni, hogy megtejen, az ádozat nem épes fogadni a egitim iense apsoatait. 2. tézissoport: Javasatot tesze egy oyan agoritmusra, ameyne segítségéve egy apsoatövető tűzfa saját magát vagy egy háózattopoógiai érteemben mögötte taáható szogátatást vagy háózatot tud hatásosan védeni a SYN-eárasztás (SYN fooding) néven ismert támadás een oyan módon, hogy automatiusan azonosítja a támadás forrásait és iszűri a támadó somagoat. A védett iszogáó() a többi (nem támadó) háózatbó továbbra is eérhető() marad(na), amennyiben a támadás nem hasznája e az ádozat tejes sávszéességét. Szimuáió segítségéve megmutattam, hogy az átaam javasot RESPIRE agoritmus gyorsan és hatásosan
azonosítja a támadás forrásait és anéü szűri i a támadáshoz tartozó adatsomagoat, hogy szignifiáns mértében aadáyozná a egitim forgamat. Anaitiusan meghatároztam a RESPIRE reaióidejét és memóriaigényét (bizonyos impementáiós paramétere függvényeént). Az átaam javasot RESPIRE agoritmus iüszöböi a synooie agoritmus bizonyos hátrányait. Megmértem a RESPIRE és a synooie agoritmus proesszoridőben mért ötségét. 2.-es tézis: Megaottam a RESPIRE agoritmust, mint a synooie agoritmust iegészítő, fejavító védemet. Kapsoódó pubiáió: [B][J3][J4][C][C2][C3][C4][C5]. Egy iszogáóna so oyan adat á rendeezésére, ameyene a segítségéve edöntheti, éppen SYN-támadás ádozata-e. Ha pédáu az aábbia bármeyie tejesü, gyanaodhatun SYNtámadásra: a SYN somago érezési rátája túép egy üszöbértéet (ez egitim forgami tüsé esetén is beövetezhet); vaamey port TCP baogja megtei, és a iszogáó synooie- üdésére ényszerü (ez egitim forgami tüsé esetén is beövetezhet); a féig nyitott apsoato száma meghaad egy üszöbértéet (ez egitim forgami tüsé esetén is beövetezhet); a féig nyitott apsoato átagéetora meghaad egy üszöbértéet (ez somagvesztés esetén is beövetezhet); etoódi a iüdött SYN ACK és a bejövő apsoatfeépítést befejező ACK somago rátája özötti arány. A RESPIRE ezt az indiátort hasznája. Az agoritmus pszeudoódja a disszertáió B függeéében taáható meg; az aábbiaban egy szöveges összefogaót özö. Ha úgy döntöttün, támadás aatt áun, azonosítanun e a támadás forrásait. Míg orábban az Interneten szinte bármiyen forrásím hamisítására ehetőség vot, mára so háózat nem enged i oyan somagot, ameyne az áítóagos feadója nem beső ím; így a támadó átaában sa egy vagy néhány C osztáyú háózat ímeit hasznáhatja forrásímént (ha ez a fetéteezés nem tejesü, a RESPIRE nem műödi heyesen). Napjainban egy tipius támadás úgy zaji, hogy a támadó számos, orábban az eenőrzése aá vont számítógépet egyszerre utasít arra, hogy árasszá e somagoa az ádozatot. A támadás szűrését megnehezítendő eze a végponto hamis forrásímeet heyezne e az átau üdött somagoban, azonban a hamis íme ugyanabba az aháózatba tartozna, mint az adott végpont vaódi íme. Ha ez nem így enne, fennána a veszéye anna, hogy a somago az eőző beezdésben emített szűrés miatt e sem jutna az ádozatig. Egy iyen támadás áros hatásait enyhíthetjü, ha a támadó aháózatobó érező SYN somagoat nem vesszü figyeembe vagy nem továbbítju. Egy SYN támadás során a imenő SYN ACK somago rátája soa nagyobb esz, mint a bejövő apsoatfeépítést végegesítő ACK somagoé. A egtöbb oyan SYN ACK somagot, ameyre nem érezi váasz, a támadó feé üdjü; így tehát a támadó azonosításához azoat az aháózatoat e megeresnün, ameyee apsoatos forgamunban a egtöbb imenő SYN ACK somag jut egy bejövő apsoat-végegesítő ACK somagra. Erre hasznáhatun oyan dinamius adatszerezetet, amey ihasznája az IP-ímtér hierarhius votát: egy 256-odfoú fát [35]. A fa gyöere 256 mutatót és ét számáót tartamaz. Az ο számáó a iüdött SYN ACK somagoat, míg az ι a beérező apsoat-végegesítő ACK somagoat számoja 2. Ha ο és ι aránya meghaadja a ρ paraméter értéét, fetéteezzü, hogy 2
támadás ádozatai vagyun és eezdjü bővíteni a fát. ρ-t úgy e megváasztani, hogy normáis esetben erre ne erüjön sor. Ha az A B C evé étezi, a vee apsoatos somago száma meghaad egy minimumot és számáóina aránya meghaadja ρ-t, az A.B.C.0/24-et támadó aháózatna teintjü és δ másodperen át nem fogadun e tőe további SYN somagoat. δ-t úgy érdemes megváasztani, hogy isit hosszabb egyen, mint amiyen hosszú támadásora számítun. τ másodperenént eenőrizzü, hogy a fa tartamaz-e gyanús somópontot (oyat, ameyben a számáó aránya nagyobb, mint ρ). Ha igen, nuázzu a számáóiat. Minden más somópontot törün (a gyöér ivéteéve). A RESPIRE és a synooie összehasonítása Danie J. Bernstein synooie agoritmusáva [39] részben megodotta a SYN-támadáso probémáját. A synooie ényege az, hogy a iszogáó úgy váasztja meg a saját ezdeti szeveniaszámát, hogy a visszajövő ACK somagbó (amey ezt a számot is tartamazza) minden oyan adatot i tudjon nyerni, ameyet üönben féig nyitott apsoat formájában a TCP baogban eett vona táronia. Így a iszogáó odaán semmit sem e tároni, amíg az ACK somag meg nem érezi. Enne öszönhetően a iszogáó minden bejövő SYN somagra épes SYN ACK somagga váaszoni; ebben sa a proesszor tejesítőépessége és a fe-irányú (upstream) sávszéesség orátozza. A synooie agoritmusna vanna hátrányai, ameyene mindegyiét söenthetjü vagy eerühetjü, ha a synooie-at a RESPIRE-re együtt hasznáju.. Ha synooie-t hasznáun, és másodperenént SYN somago ezreit apju, ugyanennyi SYN ACK somagot üdün i egy eseteg mit sem sejtő harmadi fé részére, aine a íme (hamisított) forrásímént szerepet a SYN somagoban. Ha a SYN-áradat ádozatána sávszéessége aszimmetrius, és a fe-irányú sávszéesség soa isebb, mint a e-irányú, az ádozat maga fogja ehasznáni saját fe-irányú sávszéességét az átaa üdött SYN ACK somagoa. Az eterjedt forgaomformáó átaában sa rontana a heyzeten, mive a nyugtasomagoat (a SYN ACK-oat is beeértve) többnyire nagyobb prioritásúna teinti, mint a többi somagot. A RESPIRE azonosítja a támadó aháózatoat és iszűri a tőü érező SYN-eet, így az ő részüre a továbbiaban nem üdün SYN ACK somagoat. 2. Gondot oozhat a apsoat-végegesítő ACK somag evesztése. Normáis esetben a iszogáó újraüdené a SYN ACK somagot, amitő a iens újraüdené az ACK-ot; ha azonban a iszogáó synooie-t haszná, nem tartja nyiván a féig nyitott apsoatot és így a SYN ACK újraüdésére sins ehetőség. Ez ahhoz vezethet, hogy a iens azt hiszi, érvényes TCP-apsoat á fenn özte és a szerver özött, míg a szerver errő nem tud semmit. Ha az aamazásszintű protoo szerint eőször a szerverne eene vaamit üdenie (iyen pédáu az SMTP), a iens átaában soáig fog várni a szerver eső üzenetére, mieőtt időtúépés miatt ebontaná a apsoatot és újbó megpróbáozna a feépítéséve. 3. Synooie segítségéve feépített TCP-apsoat nem hasznáhat nagy súszóabaot és a maximáis szegmensméret (MSS) sem tetszőeges. 4. A synooie- iszámítása időigényes feadat: Bernstein a Rijndae titosítóagoritmust javasoja, ameyne a másodperenént soezerszeri futtatása tú ötséges ehet. Ha a támadó hamisított ACK somagoat is üdene, az tovább ötséget jeent, mert eze hiteességérő (i. anna hiányáró) is sa riptográfiai műveete segítségéve tud meggyőződni az ádozat. 3
Miután a RESPIRE iszűrte a támadó somagoat, a synooie- üdéséve fehagyhatun, így a 2., 3. és 4. probéma nem ép fe. 4.2. RESPIRE: szimuáiós eredménye 2.2-es tézis: Szimuáió segítségéve megmutattam, hogy a RESPIRE gyorsan és hatásosan azonosítja a SYN-áradato forrásait és iszűri a forgamuat; a téves szűrés ényegében izárt. Kapsoódó pubiáió: [B][J4][C][C5]. A szimuáió paramétereit részetesen a disszertáió ismerteti: itt sa röviden összefogaom őet. Oyan SMTP-iszogáót szimuátam, amey a viág minden tájáró érező iense apsoatait fogadja. Fetéteeztem, hogy a iszogáó synooie- segítségéve védeezi a SYN-támadáso een. A szerverne átagosan 62,8 atív apsoata vot és másodperenént átagosan 2,6 új egitim iens ezdeményezett vee apsoatot. Nyo támadót szimuátam, ai eosztott SYN-támadásoat indította a iszogáó een. Mindegyiüne egy 6 és 24 bit özötti (véetenszerű) prefixhosszú aháózat át rendeezésére; az átau üdött SYN-somago forrásímei az adott aháózaton beüi véeten íme vota. A támadó 60 és 00.000 db özötti somagot üdte másodperenént; ez véeményem szerint reáis 3. Az. tábázat a támadó tevéenységét fogaja össze. Az eső oszopban a szimuáió ezdetétő a támadás ezdetéig másodperben mért idő; a másodiban a támadás végéne időpontja; a harmadiban támadó áta hasznát forrásíme; a negyediben pedig a támadás somagrátája (somag/s) átható. A 4. ábrán azt ábrázotam, másodperenént hány SYN somag jutott e a iszogáó TCP verméig (tehát hány miatt eetezett féig nyitott apsoat vagy synooie-s SYN ACK somag); az 5. ábrán pedig azt, másodperenént hány SYN somagot szűr i a tűzfa (figyeem! a ét ábra éptée etér!). Az ábráró eovasható, hogy a támadáso sa nagyon rövid ideig sierese; a RESPIRE szinte azonna feismeri és iszűri őet (vegyü észre, hogy a 4. ábrán ninsene vízszintes szaaszo). Az 5. ábra azt is bizonyítja, hogy a RESPIRE nagy (40.000 somag/s-ot meghaadó) somagrátájú támadáso een is hatásos. Eső somag Utosó somag Aháózat Csomagráta 80,780 357,949 7.85.28.0/7 4274 239,046 254,77 92.22.0.0/23 9938 764,754 903,272 96.0.2.0/20 58563 890,803 2009,53 9.8.250.0/23 8203 229,573 2498,843 90.43.64.0/8 39586 2039,08 3568,49 20.83.28.0/9 40932 4060,253 430,985 8.255.28.0/7 88895 4729,277 4975,907 29.52.4.0/23 3267. tábázat. A támadó tevéenysége 4
25,000 SYN Rate - Unfitered 20,000 Rate (SYNs/s) 5,000 0,000 5,000 0 0 000 2000 3000 4000 5000 6000 Time (s) 4. ábra. Ki nem szűrt SYN somago rátája az idő függvényében A 4. ábrán sa a SYN somago összesített rátája átható; a 2. tábázatban taáható meg az egyes SYN-támadáso áta sieresen ézbesített támadó somago száma és a támadás iszűréséhez szüséges idő. Az idő mindenho másodperben vanna megadva. Eső somag Utosó somag Átjutott somago Reaióidő 80,780 8,409 229 0,629 239,046 239,057 505 0,0 764,754 764,799 920 0,045 890,803 890,84 505 0,0 229,573 229,87 6766 0,244 790,84 790,82 505 0,06 2039,08 2039.89 3535 0,0 229,699 229,864 6767 0,65 2939,57 2939,270 3535 0,3 4060,253 4060,446 323 0,93 4729,277 4729,298 505 0,02 2. tábázat. A RESPIRE reaióideje 50,000 25,000 SYN Rate - Boed Rate (SYNs/s) 00,000 75,000 50,000 25,000 0 0 000 2000 3000 4000 5000 6000 Time (s) 5. ábra. Kiszűrt SYN-somago rátája az idő függvényében Eze az adato igazojá, hogy az átaam javasot védemi mehanizmusna még igen eosztott, 7 bites prefixhosszú háózatbó érező támadáso esetén is jó a reaióideje (. és 0. sor). A szimuáió során a RESPIRE erőforrásigényét is vizsgátam. A 6. ábrán átható a RESPIRE áta hasznát adatszerezet somópontjaina száma az idő függvényében. tüsét figyehetün meg, ameye a támadáso ezdőidőpontjaira esne. Eor aoáta a RESPIRE azoat a somópontoat, ameyene a segítségéve a támadóat azonosította. A támadáso iszűrése után eze feszabaduta és sa a fa gyöere maradt meg. Még a /7-es háózatbó érező támadáso esetén sem vot szüség 66-ná több somópontra; ez nem jeentős mennyiség. 5
200 Tree nodes 60 20 80 40 0 0 000 2000 3000 4000 5000 6000 Time (s) 6. ábra. A RESPIRE fájána mérete (a somóponto száma) az idő függvényében Azt is megvizsgátam, hány tűzfaszabáy szüséges a támadáso iszűréséhez; az eredmény a 7. ábrán átható. 60 Boing rues 20 80 40 0 0 000 2000 3000 4000 5000 6000 Time (s) 7. ábra. A tűzfaszabáyo számána aauása Természetesen a szüséges tűzfaszabáyo száma sa a támadó áta hasznát aháózato számátó és méretétő függ; attó nem, hogy miyen módszerre taáju meg a iszűrendő aháózatoat, fetéve, hogy vaamennyit megtaáju. Azonban mive itt tudju, hány aháózatbó érezte a támadó somago vaójában, az ábráró eovashatju, hogy az agoritmus nem szűrt i enné több aháózatot. 4.2.2 A RESPIRE erőforrásigénye 2.3-as tézis: Matematiai módszerre meghatároztam a RESPIRE erőforrásigényét és besést adtam reaióidejére (váasztható i. a támadásra jeemző paramétere függvényében). Kapsoódó pubiáió: [B][J3][C2][C3][C4]. Anna érdeében, hogy a RESPIRE een a memória efogyasztására irányuó eredményes támadást ne ehessen indítani, a fa-somóponto számát orátozni e. Egy somópont b. 2B memóriát igénye 64 bites és b. B-ot 32 bites arhitetúra esetén. A somóponto számára feső besést a ad az IPv4-es ímtér mérete; ha az egészet e aarnán fedni somópontoa, 256 65536 677726 darab somópontra enne szüség. Ennyi adat tároásához b. 32,5 GB memóriára enne szüség; egy tűzfaon nem á rendeezésre eora tár. A tényegesen étrejövő somóponto száma attó függ, hány aháózat viseedi gyanúsan, vagyis hogy hányban taáható támadó áta eenőrzött végpont. A vaóságban a 200 üönböző C osztáyú háózatot hasznáó támadáso rendívü ritá; az, hogy eze mindegyie üönböző A osztáyú háózatban egyen, már sa a üöneges éora fenntartott A osztáyú háózato miatt is szinte izárt. Ebben a vaószínűten esetben 600 somópontra enne szüségün, ami aig több, mint 6
MB memória efogaását jeenti. Ezze együtt érdemes mesterségesen is orátozni a fa méretét; egy ehetséges megodást bemutato a disszertáióban. Könnyen beátható, hogy ha a támadás intenzitása nő, az agoritmus reaióideje söen. Legyen Δt az az idő, amennyive egy számáó-iniiaizáás után a támadás megezdődi. Ha a bejövő SYN-áradatot ψ paraméterű Poisson-foyamatta modeezzü 4, a egitim forgamat pedig λ paraméterűve, aor a támadás feismeréséhez a övetező ét fetétene e tejesünie: t( λ ψ ) ρ és t ( λ ψ ) µ. tλ Az eső egyenőtenség függeten Δt-tő 5, így a támadást feismerjü, ha már egaább μ SYN ACK somagot iüdtün, aho μ a RESPIRE-na az a paramétere, amey megadja, egaább hány SYN ACK somagot e üdeni egy aháózat feé azeőtt, hogy iszűrhetnén az adott háózat forgamát. Így a támadó aháózat megtaáásához a fa vaamey szintjén szüséges idő a övetezőéppen írható fe: µ t szint = λ ψ Aho szint λ a egitim forgaomna a fa adott szintjén megjeenő intenzitása (tehát az a egitim szint forgaom, amey a támadó aháózatbó érezi). Látható, hogy a reaióidő anná isebb, miné nagyobb a támadás intenzitása. 4.2.3 RESPIRE: mérési eredménye 2.4-es tézis: Mérése segítségéve összehasonítottam a RESPIRE és a synooie agoritmus erőforrásigényét. Kapsoódó pubiáió: [B]. A RESPIRE inuxos impementáióját fehasznáva összehasonítottam a RESPIRE i. a synooie agoritmus hasznáata áta oozott proesszor-terheést úgy, hogy megmértem, mennyi időt töt a CPU az ún. softirq áapotban SYN-támadás aatt, ha a) semmiyen védeem nem atív; b) sa a RESPIRE atív; ) sa a synooie atív; és d) ha mindettő atív. A softirq -ban tötött időbe beeszámít a beérező somago fedogozásána ideje, és a Linux erne eeve exportája ezt a statisztiát, így ézenfevő vot a mérésne ez a módja. A 3. tábázat röviden összegzi a mérési eredményeet; ebben a íséretben a támadás intenzitása b. 6 Mbps vot (ami b. 32 pps-ne 32.000 somag/s-na fee meg). A támadó C osztáyú aháózato száma 500 vot. Amíg nins jeentős forgaom, a erne másodperenént aig 0ms-ot töt somago fedogozásáva. A támadás aatt, védeem néü, b. 45-75ms tet e másodperenént a baog arbantartásáva. A RESPIRE beapsoása után egy rövid b. 50ms/s-os softirq-tüsét mértem (ez a fa feépítéséve apsoatos teendő időigénye). Rövid időve ezután az eső támadóat iszűri az agoritmus, de nem az összeset, mive synooie- híján nem tudtun mindegyine eegendő SYN ACK somagot üdeni. Ezt övetően a softirq áapotban etötött idő b. 20-25ms/s örü stabiizáódi a támadás hátraevő része aatt; a megtaarítást az magyarázza, hogy a bejövő SYN somagora nem e váaszoni. Ha sa synooie-a védeezün, b. 0ms-ot taarítun meg másodperenént a védeem néüi esethez viszonyítva; ez az eredmény némieg megepő, mert arra enged öveteztetni, hogy a ooie- eőáítása evesebb CPU-időbe erü, mint a baog arbantartása (amire most nem erü sor). 7
Mindét védemi mehanizmus ativáása esetén a softirq-ban tötött idő 20ms/s öré söen, ami özeebb van a támadás néü mért 8 ms/s-os aapértéhez, mint ahhoz a 45ms/s-hoz, amibe a támadás védeem néüi átvészeése erü. védeem néü, támadás aatt 45-75 ms synooie-va, támadás aatt RESPIRE-re, támadás aatt synooie-va és RESPIRE-re, támadás aatt 35-75 ms 25-50 ms 20 ms védeem és támadás néü 8 ms 3. tábázat. Soft IRQ áapotban tötött idő másodperenént Az érdeődő Ovasó a disszertáióban további részeteet és grafionoat taá. Megvizsgátam azt is, hogyan vátozna eze a számo a támadás intenzitásána függvényében. Ebben a íséretben az ádozat TCP-ve apsoatos beáításai a Linux aapbeáításai vota (az eső íséretben az ádozat beáításait úgy módosítottam, hogy jobban megbirózzon a támadássa: p. evesebbszer isméteje meg a SYN ACK somagot). A íséret eredményeit a 8--es ábráon ábrázotam. A támadás sávszéességét 8Mbps-ró 6, majd 32Mbps-ra emetem (ez rendre b. 6, 32 i. 64 pps-ne fee meg). A grafionoon a softirq-ban tötött időn ívü a CPU tétenü tötött idejét is ábrázotam (százaéban). A 4. tábázatbó a softirq-ban tötött idő numeriusan is iovasható (ms/s-ban). 6pps 32pps 64pps RESPIREsynooie 4 29 00 RESPIRE 8 34 9 synooie 38 44 90 nins védeem 36 60 200 4. tábázat. SoftIRQ-ban tötött idő (ms/s) üönböző intenzitású támadáso aatt 8. ábra. CPU-terheés támadás esetén, védeem néü. Átagos terheés: 36ms, 60ms i. 200ms. 8
9. ábra. Atív synooies, inatív RESPIRE. Átagos terheés: 38ms, 44ms i. 90ms. 0. ábra. Atív RESPIRE, inatív synooie. Átagos terheés: 8ms, 34ms i. 9ms.. ábra. Atív RESPIRE és synooie. Átagos terheés: 4ms, 29ms i. 00ms. A mérése eredményeibő a övetező öveteztetése adódna: Taán némieg váratan, de aor hasznáju a egtöbb CPU-időt, ha sehogyan nem védeezün a SYN-támadás een. Iyenor természetesen a megtámadott TCP szogátatás is eérhetetenné vái. A RESPIRE jó sáázódott. Beapsoása után a staionárius áapotban (amior a támadást már iszűrte) jeentősen söent a CPU terheése. A szogátatás 0-20 másodper után ismét eérhető vot. A synooie agoritmus szavatoja a szogátatás eérhetőségét aor is, ha SYN-támadás van foyamatban, ám ez a riptográfiai műveete miatt viszonyag so proesszoridőbe erü. A 9
íséretben fehasznát ádozat synooie hasznáata esetén egfejebb b. 33Mbps-os támadást vot épes átvészeni; ez az érté RESPIRE hasznáata esetén 38Mbps vot. A proesszor terheése aor vot a egaasonyabb, ha mind a synooie, mind a RESPIRE egyidejűeg vot atív. Iyenor a szogátatás is eérhető maradt, ráadásu megszűnt a SYN ACK somagobó áó ifeé irányuó áradat is. 4.2.4 Újabb eredménye 2004. óta, amior eőször pubiátam a RESPIRE agoritmust, többen javasota más módszereet a SYN áradato ezeésére. Ezeet részetesebben a disszertáióban mutatom be; itt sa néhány szót ejte róu. Kompea et a. [56] (aig néhány hónappa a RESPIRE [C] megjeenése után) javít az [52]-es forrásban eírt, a SYN és FIN somago arányát figyeő öteten. Ciüben egy partia ompetion fiter enevezésű agoritmust javasona, amey a RESPIRE-hez hasonóan ehetővé teszi több forrásím SYN/FIN arányána aggregát nyivántartását, de apsoatövetés néü (így sáázhatóbban). Emiatt azonban a téves pozitív azonosítás eséye megnő. A-Duwairi és Manimaran azt javasoja, aamazzu az SMTP-ben a spam eeni harban hasznát szüreistázást (greyisting) a TCP-re [55]. Ötetü azon a tényen aapu, hogy a egitim iense, ha az eső apsoódási íséretü sierteen, egy idő után újrapróbáozna; így evieg eegendő támadás észeése esetén minden apsoat eső SYN-somagját edobni és megnézni, mennyi idő múva érezi a övetező. Nandivada és Pasberg [57] iében oyan időzített automatán aapuó absztraiót mutat be, ameyne a segítségéve a SYN een védő mehanizmuso féformáisan vaidáható; a segítségéve megáapítható, hogy a SYN-áradat (ameyet szintén időzített automatáva modeezne) épes ehet-e arra, hogy a TCP-impementáiót reprezentáó automatát rossz áapotba vigye (oyanba, ameyben egitim apsoatoat veszít e). 4.3 A obbi-index egy új entraitásmére gráfo számára Az összetett gráfo (háózato) topoógiájána jobb megértése eengedheteten, ha hatéonyan aarun veü apsoatos feadatoat megodani. Számos aamazásná merüne fe a topoógiáva apsoatos érdése: pédáu háózati somóponto fertőzésse szembeni immunizáása [20] esetén az a sorrend, ameyben az immunizáásra sor erü, döntően befoyásohatja egy járvány efoyását [2]. A véeten gráfona üönösen érdees részhamaza a sáafüggeten gráfoé, mive számos, a vaóságban étrejövő gráf sáafüggeten (iyene p. az embere özötti ismeretségi háózato; az Internet AS-szintű gráfja; a webodaa egymásra mutató hivatozásai áta ifeszített gráf; az egymássa e-mait vátó embere áta ifeszített gráf; vagy a utatói özössége társszerzői gráfja). A sáafüggeten gráfo immunizáásáva apsoatos orábbi irodaom főént a fiziai immunizáásra összpontosított (. p. [20] i. [2]): arra az esetre, amior p. orvoso adna be vainát emberene egy járvány megféezése érdeében. Mive a fertőzéseet gyaran szoiáis érintezés özben ragasztju egymásra, az immunizáás során érdemes a so más emberre érintező szeméyeet hamar beotani. A probéma némieg megvátozi, ha informatiai vonatozású sáafüggeten háózatoat vizsgáun (pédáu F2F friend-to-friend fájseréőt 6 ). Az immunizáó ágens iyenor nem egy orvos, hanem egy tetszőegesen so pédányban emásoható szoftver, amey végigterjedhet az egész 20