Анализ потока атак сети президиума РАНГуркин Ю.Н., Рыжков А.А., Семенов Ю.А., Шер А.С. (ИТЭФ), Овсянников А.П., Шабанов Б.М. (МСЦ РАН)Проблема сетевой безопасности, к сожалению, становится все более актуальной. Из области любительства сетевые атаки перекочевали в сферу прибыльного бизнеса, что существенно увеличило изощренность атак. Взломанные машины-зомби продаются тысячами для SPAM-рассылок, рэкета, DDoS-атак и т.д. [2,3]. Объектами атаки становятся любые сетевые объекты, успеха же хакеры достигают там, где сетевой безопасности уделяется недостаточно внимания. Несколько лет назад совместная группа из МСЦ РАН и ИТЭФ начала работу в направлении детектирования и противодействия атакам для сети МСЦ. Сеть ПРАН использует поле IP-адресов порядка 1500. Обычно интенсивность атак пропорционально размеру поля адресов. При этом не важно используются ли все эти адреса, или включена ли та или иная машина. Для анализа атак Межведомственного Суперкомпьютерного центра (МСЦ) весь трафик был направлен на вход сервера, где была активирована программа SNORT [1, система детектирования вторжений], призванная детектировать атаки. Мониторинг атак производится уже около трех лет. С начала 2008 года результаты записываются в базу данных (MySQL). За два с небольшим месяца в базу данных занесено 7047168 записей об атаках, из них, согласно классификации SNORT, высшую категорию опасности имеют 18876 атак (priority=1). При этом 550002 атаки (~7,8%) предпринято из сети президиума. В среднем за час регистрируется 4255 атак. Все данные представляются на WEB-сервере saturn.rasnet.ru, доступном только для внутреннего просмотра. Журнальные файлы SNORT анализируются каждые полчаса и строятся распределения по 12 параметрам, отдельно каждый час строятся аналогичные распределения атак со значение priority=1. Для каждого часа SNORT формирует отдельный файл. Средний размер такого файла составляет около 3 Мбайт. Отображаются распределения по IP-адресам и портам атакеров и атакуемых, по времени, по длине пакетов, TTL, по priority, по используемому протоколу, по сигнатурам атак, по доменам, откуда предпринята атака. Помимо SNORT для регистрации атак привлекается анализ длин и содержимого журнальных файлов сервера. В данном конкретном случае эти данные сравнительно скудны, так как WEB-сервер закрыт для внешнего доступа и его атакуют “вслепую”, как один из IP-адресов. Целенаправленные атаки сервера возможны только из локальной сети. Для определения домена используются процедуры gethostbyaddr и запросы к серверу whois. Для ускорения выполнения последних создана локальная база данных Whois, базирующаяся на текстах сервера RIPE. Для повышения быстродействия программы широко используются хэш массивы, где хранятся данные об IP-адресах, фигурировавших ранее. Темп пополнения хэш файла может использоваться как инструмент оценки мощности множества IP-адресов хакеров и динамики его изменения. В нашем случае размер хэш-файла увеличивался линейно (эффекта насыщения не наблюдается), что говорит о динамическом обновлении многообразия адресов атакеров. У источников атак имена машин присутствуют примерно в 20% случаях. WHOIS-запросы эффективнее, так как предоставляют данные о сервис-провайдере и почтовом адресе его администратора. Результат доменного анализа отображается на карте мира, давая представление о том, из каких стран предпринимается больше всего атак. Число атак из конкретной страны печатается поверх ее изображения на карте. Распределение атак по доменным суффиксам показано на рис. 1 (полное число за полчаса). Рис. 2. Распределение атак по доменам, где работают атакеры На первом месте с большим отрывом находится РФ, на втором месте безымянные узлы, полагаем наиболее опасные, далее следует Китай, коммерческие сети, Япония, Италия, Германия, Австрия и Турция. В других выборках часто бывают представлены скандинавские страны, Польша и Франция. США и Канада, практически всегда отсутствуют. Другим достаточно информативным распределением является распределения по IP-адресам отправителя (атакера). Пример распределения по адресам отправителя представлено на рис. 2. Рис. 2. Распределение атак по IP-адресу атакерам Это распределение позволяет разделить внутренние и внешние атаки, а также выявить наиболее активных участников. После расследования характера атаки, такие адреса могут быть включены в ACL, чтобы закрыть им доступ к ресурсам сети. В перспективе эта процедура может выполняться автоматически. В таблице 1 показано распределение атак по приоритетам (число атак за полчаса). Следует учитывать, что число атак в единицу времени варьируется в очень широких пределах. Так, например, число высокоприоритетных атак за час лежит в пределах от 15 до 70. Таблица 1.
На рис. 3 показаны временные распределения высокоприоритетных атак за сутки, месяц и год. Из рисунка видно, что поток атак не стационарен и претерпевает огромные флуктуации. Рис. 3. Временные распределения высокоприоритетных атак Таблица 2. Список “наиболее популярных” сигнатур атак с priority=1.
В правой колонке представлены адреса и порты атакеров и объектов атаки. Чаще всего пытаются атаковать WEB и почтовый сервис (порты 80, 110, 25), а также сервисы базы данных. Всего в распределении по сигнатурам (данные за час) присутствует около 60 типов атак. Приведенный перечень указывает, что данное распределение следует сложившейся за последнее время тенденции: атаки переполнения буфера, атаки PHP, почтовых протоколов и службы имен. Это лишний раз показывает, какие сервисы наиболее уязвимы и где наиболее жестко следует отслеживать и внедрять обновления прикладных программ. На рисунке справа представлена характерная картина обращения к сайту (по протоколу http). В ночные часы активность пользователей уменьшается, а в дневное время суток возрастает. В то же время количество обращения за 15 минут не превышает 2200 обращений. В левой части того же рисунка показывается активность внешних пользователей в рамках протокола ssh.
Рис. 4. Активность регистрируется в файле "secure", часть из которого, относящаяся к представленному отрезку времени, выведена под рисунком. В первых строчках (вся текстовая информация не поместилась на рисунке) видна активность пользователя с IP адресом 83.170.113.138 (доменное имя server52137.uk2net.com), который пытается перебором портов получить информацию, полезную для себя. На рис 5 показан пример распредедения атак по используемому протоколу. Рис. 5. Распределение атак по кодам протокола Составляющие UDP, TCP и ICMP не могут привлечь особого внимания, но PIM и PROTO:255 не могут не вызвать интереса. Последний - сопряжен со сканированием портов в рамках протокола ТСР (такова нотация SNORT). Но изобилие пакетов PIM говорит о необычной ситуации. Либо это сопряжено с активно используемым в сети мультикастингом, либо это разновидность своеобразной DoS-атаки (обращения по адресу 224.0.0.13; priority=2). Из приведенных данных видно, что требовать реакции администратора на каждую атаку невозможно, нужны средства автоматизации распознавания и оповещения о существенных угрозах. Причем число таких уведомлений в сутки в норме не должно быть слишком велико. Статистические критерии во многих случаях не работают, так как дисперсия распределения оказывается слишком большой. Использование базы данных GROIP позволило определить географическое распределение атак, сотри рис. 6. Рис. 6. Географическое рапределение атак сети ПРАН Выводы
Ссылки
|