Анализ потока атак сети президиума РАН

Гуркин Ю.Н., Рыжков А.А., Семенов Ю.А., Шер А.С. (ИТЭФ), Овсянников А.П., Шабанов Б.М. (МСЦ РАН)

Проблема сетевой безопасности, к сожалению, становится все более актуальной. Из области любительства сетевые атаки перекочевали в сферу прибыльного бизнеса, что существенно увеличило изощренность атак. Взломанные машины-зомби продаются тысячами для SPAM-рассылок, рэкета, DDoS-атак и т.д. [2,3]. Объектами атаки становятся любые сетевые объекты, успеха же хакеры достигают там, где сетевой безопасности уделяется недостаточно внимания. Несколько лет назад совместная группа из МСЦ РАН и ИТЭФ начала работу в направлении детектирования и противодействия атакам для сети МСЦ.

Сеть ПРАН использует поле IP-адресов порядка 1500. Обычно интенсивность атак пропорционально размеру поля адресов. При этом не важно используются ли все эти адреса, или включена ли та или иная машина. Для анализа атак Межведомственного Суперкомпьютерного центра (МСЦ) весь трафик был направлен на вход сервера, где была активирована программа SNORT [1, система детектирования вторжений], призванная детектировать атаки. Мониторинг атак производится уже около трех лет. С начала 2008 года результаты записываются в базу данных (MySQL).

За два с небольшим месяца в базу данных занесено 7047168 записей об атаках, из них, согласно классификации SNORT, высшую категорию опасности имеют 18876 атак (priority=1). При этом 550002 атаки (~7,8%) предпринято из сети президиума. В среднем за час регистрируется 4255 атак. Все данные представляются на WEB-сервере saturn.rasnet.ru, доступном только для внутреннего просмотра.

Журнальные файлы SNORT анализируются каждые полчаса и строятся распределения по 12 параметрам, отдельно каждый час строятся аналогичные распределения атак со значение priority=1. Для каждого часа SNORT формирует отдельный файл. Средний размер такого файла составляет около 3 Мбайт. Отображаются распределения по IP-адресам и портам атакеров и атакуемых, по времени, по длине пакетов, TTL, по priority, по используемому протоколу, по сигнатурам атак, по доменам, откуда предпринята атака.

Помимо SNORT для регистрации атак привлекается анализ длин и содержимого журнальных файлов сервера. В данном конкретном случае эти данные сравнительно скудны, так как WEB-сервер закрыт для внешнего доступа и его атакуют “вслепую”, как один из IP-адресов. Целенаправленные атаки сервера возможны только из локальной сети.

Для определения домена используются процедуры gethostbyaddr и запросы к серверу whois. Для ускорения выполнения последних создана локальная база данных Whois, базирующаяся на текстах сервера RIPE. Для повышения быстродействия программы широко используются хэш массивы, где хранятся данные об IP-адресах, фигурировавших ранее. Темп пополнения хэш файла может использоваться как инструмент оценки мощности множества IP-адресов хакеров и динамики его изменения. В нашем случае размер хэш-файла увеличивался линейно (эффекта насыщения не наблюдается), что говорит о динамическом обновлении многообразия адресов атакеров.

У источников атак имена машин присутствуют примерно в 20% случаях. WHOIS-запросы эффективнее, так как предоставляют данные о сервис-провайдере и почтовом адресе его администратора.

Результат доменного анализа отображается на карте мира, давая представление о том, из каких стран предпринимается больше всего атак. Число атак из конкретной страны печатается поверх ее изображения на карте. Распределение атак по доменным суффиксам показано на рис. 1 (полное число за полчаса).

Рис. 2. Распределение атак по доменам, где работают атакеры

На первом месте с большим отрывом находится РФ, на втором месте безымянные узлы, полагаем наиболее опасные, далее следует Китай, коммерческие сети, Япония, Италия, Германия, Австрия и Турция. В других выборках часто бывают представлены скандинавские страны, Польша и Франция. США и Канада, практически всегда отсутствуют. Другим достаточно информативным распределением является распределения по IP-адресам отправителя (атакера). Пример распределения по адресам отправителя представлено на рис. 2.

Рис. 2. Распределение атак по IP-адресу атакерам

Это распределение позволяет разделить внутренние и внешние атаки, а также выявить наиболее активных участников. После расследования характера атаки, такие адреса могут быть включены в ACL, чтобы закрыть им доступ к ресурсам сети. В перспективе эта процедура может выполняться автоматически. В таблице 1 показано распределение атак по приоритетам (число атак за полчаса). Следует учитывать, что число атак в единицу времени варьируется в очень широких пределах. Так, например, число высокоприоритетных атак за час лежит в пределах от 15 до 70.

Таблица 1.

Приоритет атакиЧисло атак (за 30 мин)
112
23550
3724

На рис. 3 показаны временные распределения высокоприоритетных атак за сутки, месяц и год. Из рисунка видно, что поток атак не стационарен и претерпевает огромные флуктуации.

Рис. 3. Временные распределения высокоприоритетных атак

Таблица 2. Список “наиболее популярных” сигнатур атак с priority=1.

Сигнатура атакиОписаниеАдрес источника > объект атаки
[1:2229:4]
(рекордсмен)		WEB-PHP viewtopic.php access[Class: Web Application Attack]83.149.215.14:3270 -> 82.179.208.8:80
[1:2329:6]MS-SQL probe response overflow attempt. Class: Attempted User Privilege Gain192.36.125.2 -> 83.149.214.3
[1:2114:3]
(2-е место)		RSERVICES rexec password overflow attempt. Class: Attempted Administrator Privilege Gain 83.149.214.40:59362 -> 200.125.80.157:512
[1:7978:3]
(3-е место)		WEB-CLIENT ShockwaveFlash.ShockwaveFlash ActiveX CLSID access. Class: Attempted User Privilege Gain 64.12.174.57:80 -> 83.149.215.13:1091
64.12.174.57:80 -> 83.149.215.13:1520
64.12.174.57:80 -> 83.149.215.14:1731
64.12.174.57:80 -> 83.149.215.14:2407
[1:1054:7]WEB-MISC weblogic/tomcat .jsp view source attempt. Class: Web Application Attack 83.149.215.25:1054 -> 88.212.196.89:80
[1:2250:5]POP3 USER format string attempt Class: Attempted Administrator Privilege Gain 83.149.215.17:4038 -> 194.67.106.32:110
[1:2528:13]SMTP PCT Client_Hello overflow attempt. Class: Attempted Administrator Privilege Gain 82.112.160.11:33258 -> 83.149.214.3:25
[1:3200:3]EXPLOIT WINS name query overflow attempt UDP. Class: Attempted Administrator Privilege Gain 83.149.214.40:3952 -> 81.39.186.153:42

В правой колонке представлены адреса и порты атакеров и объектов атаки. Чаще всего пытаются атаковать WEB и почтовый сервис (порты 80, 110, 25), а также сервисы базы данных.

Всего в распределении по сигнатурам (данные за час) присутствует около 60 типов атак. Приведенный перечень указывает, что данное распределение следует сложившейся за последнее время тенденции: атаки переполнения буфера, атаки PHP, почтовых протоколов и службы имен. Это лишний раз показывает, какие сервисы наиболее уязвимы и где наиболее жестко следует отслеживать и внедрять обновления прикладных программ.

На рисунке справа представлена характерная картина обращения к сайту (по протоколу http). В ночные часы активность пользователей уменьшается, а в дневное время суток возрастает. В то же время количество обращения за 15 минут не превышает 2200 обращений.

В левой части того же рисунка показывается активность внешних пользователей в рамках протокола ssh.

Jan 28 23:59:27 saturn sshd[18759]: refused connect from
c-71-206-85-247.hsd1.fl.comcast.net (71.206.85.247)		 29/Lan/2008 07:00:00—07:15:00
Lines with address kazmail.asdc.kz meet 2 times
Jan 29 00:00:23 saturn sshd[18811]: refused connect from
c-71-206-85-247.hsd1.fl.comcast.net (71.206.85.247)		 Lines with address robot9.rambler.ru meet 2 times
Lines with address lj511326.crawl.yahoo.net meet 2 times
Jan 29 02:03:43 saturn sshd[19713]: refused connect from
server52137.uk2net.com (83.170.113.138)		 Lines with address lj512354.crawl.yahoo.net meet 2 times
Lines with address lj511408.crawl.yahoo.net meet 2 times
Jan 29 02:14:51 saturn sshd[19780]: refused connect from
server52137.uk2net.com (83.170.113.138)		 Lines with address 205.214.60.134 meet 30 times
Lines with address lj511327.crawl.yahoo.net meet 2 times
Jan 29 02:22:28 saturn sshd[19780]: refused connect from
server52137.uk2net.com (83.170.113.138)		 Lines with address 220.181.41.80 meet 2 times
Lines with address 225.ya1.ru meet 22 times
Jan 29 02:30:13 saturn sshd[19931]: refused connect from
server52137.uk2net.com (83.170.113.138)		 Lines with address lj511304.crawl.yahoo.net meet 2 times
Lines with address fjy.nske.ru meet 10 times
Jan 29 02:37:36 saturn sshd[19971]: refused connect from
server52137.uk2net.com (83.170.113.138)		 Lines with address lj511375.crawl.yahoo.net meet 2 times
Lines with address 193.19.127.17 meet 730 times
Jan 29 02:45:19 saturn sshd[20043]: refused connect from
server52137.uk2net.com (83.170.113.138)		 Lines with address host42.net60.omskelecom.ru meet 12 times

Рис. 4.

Активность регистрируется в файле "secure", часть из которого, относящаяся к представленному отрезку времени, выведена под рисунком. В первых строчках (вся текстовая информация не поместилась на рисунке) видна активность пользователя с IP адресом 83.170.113.138 (доменное имя server52137.uk2net.com), который пытается перебором портов получить информацию, полезную для себя. На рис 5 показан пример распредедения атак по используемому протоколу.

Рис. 5. Распределение атак по кодам протокола

Составляющие UDP, TCP и ICMP не могут привлечь особого внимания, но PIM и PROTO:255 не могут не вызвать интереса. Последний - сопряжен со сканированием портов в рамках протокола ТСР (такова нотация SNORT). Но изобилие пакетов PIM говорит о необычной ситуации. Либо это сопряжено с активно используемым в сети мультикастингом, либо это разновидность своеобразной DoS-атаки (обращения по адресу 224.0.0.13; priority=2).

Из приведенных данных видно, что требовать реакции администратора на каждую атаку невозможно, нужны средства автоматизации распознавания и оповещения о существенных угрозах. Причем число таких уведомлений в сутки в норме не должно быть слишком велико. Статистические критерии во многих случаях не работают, так как дисперсия распределения оказывается слишком большой.

Использование базы данных GROIP позволило определить географическое распределение атак, сотри рис. 6.

Рис. 6. Географическое рапределение атак сети ПРАН

Выводы

  1. Основная угроза исходит от пользователей локальной сети, что совпадает с данными общемировой практики [3]
  2. Требуется выработка критериев, при которых программа будет автоматически информировать администратора об определенной атаке

Ссылки

  1. Джей Бил, “SNORT 2.1. Обнаружение вторжений”, Бином-Пресс, 2006, 656c.
  2. Обзор некоторых видов атак и средств защиты.
  3. Доклад компании Symantec об угрозах безопасности Интернет в 2006-2007.