analýza dat z wardenu - cesnet9. 2. 2016 analýza dat z wardenu analyzovaná data 2× 1 měsíc dat...
TRANSCRIPT
9. 2. 2016Seminář o bezpečnosti sítí a služeb
Analýza dat z Wardenu
Václav Bartoš
9. 2. 2016 Analýza dat z Wardenu
Analyzovaná data● 2× 1 měsíc dat z Wardenu
– Červen: 29 mil. záznamů ze 7 zdrojů– Listopad: 43 mil. záznamů z 16 zdrojů
● Analýza zaměřena především na počet unikátních adres nahlášených jako zdroj
Kategorie Počet záznamů (událostí) Počet unikátních adres
červen listopad červen listopad
Scanning 27 295 094 42 381 822 814 333 2 965 761
Login attempt 1 718 566 422 201 4 125 4 707
(D)DoS 7 100 70 582 134 315
Exploit attempt -- 26 962 -- 6 997
Copyright 176 790 5 341 732 3 032
Botnet drone 9 981 29 438 61 (bot)32 (CC)
151
Spam 6 943 15 993 3 593 5 526
Ostatní 7 147 5 585 -- --
9. 2. 2016 Analýza dat z Wardenu
Ze kterých zemí přichází nejvíce útoků?
9. 2. 2016 Analýza dat z Wardenu
Zdroje podle země
33,9%
4,1%4,3%4,5%4,5%
6,4%
6,5%
14,0%
18,2%Čína
Rusko
USA
Španělsko
Indie
Thajsko
Brazílie
Turecko
Ukraina
Itálie
Ostatní
21,2%
2,6%5,4%
6,3%
6,7%
11,0%
13,2%
14,1%
15,1% Čína
Indie
Brazílie
USA
Rusko
Bahrain
Itálie
Hong Kong
Jižní Korea
Pákistán
Ostatní
Skenování (3,7 mil adres) Login (8 598 adres)
Top 10 podle počtu unikátních adres
8,6%
3,8%5,4%
8,6%
26,3%
38,7%
Polsko
Slovensko
Česká republika
Thajsko
Rakousko
Rusko
Čína
Německo
Velká Británie
USA
Ostatní
(D)DoS (385 adres)
9. 2. 2016 Analýza dat z Wardenu
Zdroje podle země
33,9%
4,1%4,3%4,5%4,5%
6,4%
6,5%
14,0%
18,2%Čína
Rusko
USA
Španělsko
Indie
Thajsko
Brazílie
Turecko
Ukraina
Itálie
Ostatní
21,2%
2,6%5,4%
6,3%
6,7%
11,0%
13,2%
14,1%
15,1% Čína
Indie
Brazílie
USA
Rusko
Bahrain
Itálie
Hong Kong
Jižní Korea
Pákistán
Ostatní
Skenování (3,7 mil adres) Login (8 598 adres)
Top 10 podle počtu unikátních adres
8,6%
3,8%5,4%
8,6%
26,3%
38,7%
Polsko
Slovensko
Česká republika
Thajsko
Rakousko
Rusko
Čína
Německo
Velká Británie
USA
Ostatní
(D)DoS (385 adres)
9. 2. 2016 Analýza dat z Wardenu
Zdroje podle země
33,9%
4,1%4,3%4,5%4,5%
6,4%
6,5%
14,0%
18,2%Čína
Rusko
USA
Španělsko
Indie
Thajsko
Brazílie
Turecko
Ukraina
Itálie
Ostatní
21,2%
2,6%5,4%
6,3%
6,7%
11,0%
13,2%
14,1%
15,1% Čína
Indie
Brazílie
USA
Rusko
Bahrain
Itálie
Hong Kong
Jižní Korea
Pákistán
Ostatní
Skenování (3,7 mil adres) Login (8 598 adres)
Top 10 podle počtu unikátních adres
8,6%
3,8%5,4%
8,6%
26,3%
38,7%
Polsko
Slovensko
Česká republika
Thajsko
Rakousko
Rusko
Čína
Německo
Velká Británie
USA
Ostatní
(D)DoS (385 adres)
Bahrajn● 1,3 mil obyvatel● 465,000 IP adres
● 335 / 214 adres zlobí (červen/listopad)● Pokusy o zalogování na jeden SSH
honeypot● Každá adresa 1-2 hlášení
● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“
● Vše v rámci 5 hodin / 2 dnů
Bahrajn● 1,3 mil obyvatel● 465,000 IP adres
● 335 / 214 adres zlobí (červen/listopad)● Pokusy o zalogování na jeden SSH
honeypot● Každá adresa 1-2 hlášení
● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“
● Vše v rámci 5 hodin / 2 dnů
9. 2. 2016 Analýza dat z Wardenu
Zdroje podle země
33,9%
4,1%4,3%4,5%4,5%
6,4%
6,5%
14,0%
18,2%Čína
Rusko
USA
Španělsko
Indie
Thajsko
Brazílie
Turecko
Ukraina
Itálie
Ostatní
21,2%
2,6%5,4%
6,3%
6,7%
11,0%
13,2%
14,1%
15,1% Čína
Indie
Brazílie
USA
Rusko
Bahrain
Itálie
Hong Kong
Jižní Korea
Pákistán
Ostatní
Skenování (3,7 mil adres) Login (8 598 adres)
Top 10 podle počtu unikátních adres
8,6%
3,8%5,4%
8,6%
26,3%
38,7%
Polsko
Slovensko
Česká republika
Thajsko
Rakousko
Rusko
Čína
Německo
Velká Británie
USA
Ostatní
(D)DoS (385 adres)
9. 2. 2016 Analýza dat z Wardenu
Zdroje podle země
33,9%
4,1%4,3%4,5%4,5%
6,4%
6,5%
14,0%
18,2%Čína
Rusko
USA
Španělsko
Indie
Thajsko
Brazílie
Turecko
Ukraina
Itálie
Ostatní
21,2%
2,6%5,4%
6,3%
6,7%
11,0%
13,2%
14,1%
15,1% Čína
Indie
Brazílie
USA
Rusko
Bahrain
Itálie
Hong Kong
Jižní Korea
Pákistán
Ostatní
Skenování (3,7 mil adres) Login (8 598 adres)
Top 10 podle počtu unikátních adres
8,6%
3,8%5,4%
8,6%
26,3%
38,7%
Polsko
Slovensko
Česká republika
Thajsko
Rakousko
Rusko
Čína
Německo
Velká Británie
USA
Ostatní
(D)DoS (385 adres)
(D)DoS útoky● Polsko, Slovensko, ČR, Rakousko: 77%● Přímé linky● Cíle často nejsou v CESNETu
● útoky přes nás jen procházejí● Reflektivní útoky
● zdroj = zneužitý server● požadavky i odpovědi → snažší detekce
(D)DoS útoky● Polsko, Slovensko, ČR, Rakousko: 77%● Přímé linky● Cíle často nejsou v CESNETu
● útoky přes nás jen procházejí● Reflektivní útoky
● zdroj = zneužitý server● požadavky i odpovědi → snažší detekce
9. 2. 2016 Analýza dat z Wardenu
Zdroje útoků v ČR
9. 2. 2016 Analýza dat z Wardenu
Počet událostí se zdrojem v ČR
● Počet událostí: 70 861 865 – Z toho z ČR: 647 350 (0,91 %)
● Počet zdrojových adres: 3 744 985– Z toho z ČR: 10 846 (0,29 %)
9. 2. 2016 Analýza dat z Wardenu
Ze kterých českých AS útoky přicházejí?Top-10 AS podle celkového počtu událostí
18%
20%
5%5%
6%
9%
9%
19%
WEDOS Internet
Liberty Global Operations B.V. (UPC)
O2 Czech Republic
FDCservers.net
T-Mobile Czech Republic a.s.
OVH SAS
Vodafone Czech Republic a.s.
METRONET s.r.o.
itself s.r.o.
RIO Media a.s.
Ostatní české AS (254)
CESNET z.s.p.o.
9. 2. 2016 Analýza dat z Wardenu
Ze kterých českých AS útoky přicházejí?Top-10 AS podle celkového počtu událostí
18%
20%
5%5%
6%
9%
9%
19%
WEDOS Internet
Liberty Global Operations B.V. (UPC)
O2 Czech Republic
FDCservers.net
T-Mobile Czech Republic a.s.
OVH SAS
Vodafone Czech Republic a.s.
METRONET s.r.o.
itself s.r.o.
RIO Media a.s.
Ostatní české AS (254)
CESNET z.s.p.o.
Téměř vše z jedné IP adresy(scanner jisté bezpečnostní firmy)
Téměř vše z jedné IP adresy(scanner jisté bezpečnostní firmy)
9. 2. 2016 Analýza dat z Wardenu
Ze kterých českých AS útoky přicházejí?
Top-10 AS podle počtu adres (skenování)
3%
32%
3%6%
22%
25%
O2 Czech Republic
Liberty Global Operations B.V. (UPC)
T-Mobile Czech Republic a.s.
PODA a.s.
SMART Comp. a.s.
RIO Media a.s.
Dial Telecom
Vodafone Czech Republic a.s.
FreeTel
CD-Telematika a.s.
Ostatní české AS (242)
CESNET z.s.p.o.
Ostatní typy útoků:
Login: 23 adres z 15 AS
(D)DoS: 36 adres z 10 AS
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
8,5% adres nahlášeno v 5 či více dnechTyto jsou zodpovědné za 65% všech událostí
3,4% adres nahlášeno v 10 či více dnechTyto jsou zodpovědné za 49% všech událostí
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
15,4% adres nahlášeno v 5 či více dnechTyto jsou zodpovědné za 51% všech událostí
6,3% adres nahlášeno v 10 či více dnechTyto jsou zodpovědné za 37% všech událostí
9. 2. 2016 Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?
42,9% adres nahlášeno v 5 či více dnechTyto jsou zodpovědné za 97% všech událostí
29,8% adres nahlášeno v 10 či více dnechTyto jsou zodpovědné za 94% všech událostí
9. 2. 2016 Analýza dat z Wardenu
Predikce útoků
9. 2. 2016 Analýza dat z Wardenu
Predikce
1 2 3 4 5 6 7 8 9 100%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech
(D)DoS Login Skenování
Počet po sobě jdoucích dní, kdy byla adresa detekována
Pra
vdě
po
do
bn
ost
de
tekc
e v
ná
sle
du
jícím
dn
i
9. 2. 2016 Analýza dat z Wardenu
Predikce
1 2 3 4 5 6 7 8 9 100%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech
(D)DoS Login Skenování
Počet po sobě jdoucích dní, kdy byla adresa detekována
Pra
vdě
po
do
bn
ost
de
tekc
e v
ná
sle
du
jícím
dn
i
9. 2. 2016 Analýza dat z Wardenu
Predikce
1 2 3 4 5 6 7 8 9 100%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech
(D)DoS Login Skenování
Počet po sobě jdoucích dní, kdy byla adresa detekována
Pra
vdě
po
do
bn
ost
de
tekc
e v
ná
sle
du
jícím
dn
i
9. 2. 2016 Analýza dat z Wardenu
Shrnutí● Data jen ze sítě CESNET2
– Jen typ události, čas, IP adresa zdroje
● Jen jednoduché statistky
→ přesto mnoho zajímavých informací
● Ale také spousta nových otázek
● Potřeba mnohem podrobnějších analýz– Víc vstupních dat– Zanořit se hlouběji do dat– Automatizovaně, on-line