Embed Size (px)
Citation preview
CERT-RS
Controlando o Tráfego Peer-to-Peer
Leandro Bertholdo, Andrey Andreoli, Liane TaroucoCERT-RS / POP-RS / UFRGS
{andrey,berthold, liane}@penta.ufrgs.br
{mell,emerson}@tche.br
2
POP-RS / CERT-RS
Sumário
• Histórico do Peer-to-Peer• Impactos e riscos• Mensurando o Problema• Experiências com P2P
3
POP-RS / CERT-RS
Histórico
• 1998 - Shawn Fanning, estudante da universidade de Massachussets, criou um software conhecido como Napster para facilitar a troca de arquivos mp3 com seus colegas
• Bloqueio: Simples, bastava filtrar os IPs dos servidores (64.124.41.0/24)
4
POP-RS / CERT-RS
Histórico
• 2004: Bearshare, BitTorrent, Earthstation, eDonkey, eMule, KazaA, KazaA Lite, MlMac, SoulSeek, WinMX
• Bloqueio: Complexo, quando não impossível – é preciso analisar o protocolo
• Existem implementações que cifram a conexão.
5
POP-RS / CERT-RS
Impactos e Riscos: Viroses
• O maior medo são vírus/vermesque venham a utilizar redes P2P
• O primeiro deles foi o Slapper(Linux) em 2002 que contaminou mais de 14.000 servidores Linux (fonte: Symantec)
• Geralmente usado em DDoS
6
POP-RS / CERT-RS
Impactos e Riscos: Viroses
• Uma pesquisa por Kazaa na base de vírus da Symantec retornou 373 resultados
Symantec Security Response -W32.HLLW.SankerW32.HLLW.Sanker is a worm that canspread through the Kazaa file-sharing network and through IRC. This worm copies itself into a Kazaa-shared folder under ...
7
POP-RS / CERT-RS
Impactos e Riscos: Recursos da Rede
• Aplicações P2P são grande consumidores de banda (um filme compartilhado geralmente é composto de 2-3 CDROMs em formato mpeg gerando ~2GB)
• Estimativas recentes contabilizam que P2P representa 60% de todo o tráfego da Internet.
� Resolvemos fazer nossas próprias estatísticas
8
POP-RS / CERT-RS
Impactos e Riscos: Recursos da Rede
• Implementado um filtro para aplicações peer-to-peer às 18:45 e retirado as 19h
9
POP-RS / CERT-RS
Impactos e Riscos: Recursos da Rede
• 20h: um host disponibilizando vários filmes entra na rede P2P
• 21:30h: o host é retirado da rede
10
POP-RS / CERT-RS
Impactos e Riscos: Violação de Copyright
Algumas Universidade Americanas já chegaram a contabilizar 200 reclamações/mês em 2003 (RIAA/MPAA)
02468
1012
Total de reclamações
Abril/Maio/Jun2003
Jul/Ago/Set2003
Out/Nov/Dez2003
Jan/Fev/Mar2004
Período
Total de reclamações de material com Copyright
11
POP-RS / CERT-RS
Como Mensurar o Problema?
• Para valores confiáveis somente poderíamos mensurar a banda
• Abordagens possíveis– Unix rodando SAIF (Statefull Aplication Inspection Filter)
– Cisco com IOS superior a 12.2(15) ]– Packeteer e outras soluções comerciais.
• Versões anteriores ao IOS 12.2(15) (2003) usando NBAR eram deficientes
12
POP-RS / CERT-RS
Contabilizando o Tráfego P2P
13
POP-RS / CERT-RS
Contabilizando o Tráfego P2P – Configuraçao Cisco
class-map match-all class-p2p-allmatch any
policy-map marca-p2pclass class-p2p-allset dscp 63
interface FastEthernet0/0service-policy input marca-p2p
14
POP-RS / CERT-RS
Contabilizando o Tráfego P2P - Ethereal
15
POP-RS / CERT-RS
Contabilizando o Tráfego P2P – Netflow
• [root@pampa ft]# flow-cat ft-v05.2004-04-16.02* | flow-stat -f22 -P -S2 • # --- ---- ---- Report Information --- --- ---• #• # Fields: Percent Total• # Symbols: Disabled• # Sorting: Descending Field 2• # Name: IP ToS• #• # Args: flow-stat -f22 -P -S2 • #• #• # ToS flows octets packets• #• 252 65.802 97.618 58.292• 0 34.138 2.382 41.707• 16 0.060 0.000 0.000
16
POP-RS / CERT-RS
Experiências na Rede Tchê
• Uma instituição com um circuito de 8M havia sofrido 2 aumentos em 1 ano (sem restrição de tráfego P2P)
17
POP-RS / CERT-RS
Quantificando o tráfego P2P - Octetos
Duranteo horár io comercial ~50% do tráfego(octetos) é Peer-to-peer
Percentual de OctetosCircuito de 8Mbps
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
5,5
6
6,5
7
7,5
8
12:00
12:10
12:20
12:30
12:40
12:50
13:00
13:10
13:20
13:30
13:40
13:50
14:00
14:10
14:20
14:30
14:40
14:50
15:00
15:10
15:20
15:30
15:40
15:50
16:00
P2P Outros(Mbps)
18
POP-RS / CERT-RS
Quantificando o Tráfego P2P - Octetos
Percentual de OctetosCiruito de 8 Mbps
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
12:00
12:10
12:20
12:30
12:40
12:50
13:00
13:10
13:20
13:30
13:40
13:50
14:00
14:10
14:20
14:30
14:40
14:50
15:00
15:10
15:20
15:30
15:40
15:50
16:00
P2P Outros
19
POP-RS / CERT-RS
Quantificando o trafego P2P - Fluxos
Existeuma relação fluxos X “ número de usuár ios” ?
Número de Fluxos
40%
45%42%
34%
35% 33%35%
60%55%
58%
66%
65% 67%
65%
0
500000
1000000
1500000
2000000
2500000
3000000
3500000
4000000
4500000
11:00 12:00 13:00 14:00 15:00 16:00 17:00
P2P Outros
20
PO
P-R
S / C
ER
T-R
S
Relação
Percen
tualb
ytes, paco
tese flu
xos
Percentual de OctetosCiruito de 8 M
bps
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
12:00
12:10
12:20
12:30
12:40
12:50
13:00
13:10
13:20
13:30
13:40
13:50
14:00
14:10
14:20
14:30
14:40
14:50
15:00
15:10
15:20
15:30
15:40
15:50
16:00
P2POutros
Percentual de P
acotes
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
12:00
12:10
12:20
12:30
12:40
12:50
13:00
13:10
13:20
13:30
13:40
13:50
14:00
14:10
14:20
14:30
14:40
14:50
15:00
15:10
15:20
15:30
15:40
15:50
16:00
P2P
Outros
Percentual de Fluxos
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
12:00
12:10
12:20
12:30
12:40
12:50
13:00
13:10
13:20
13:30
13:40
13:50
14:00
14:10
14:20
14:30
14:40
14:50
15:00
15:10
15:20
15:30
15:40
15:50
16:00
P2P
Outros
21
POP-RS / CERT-RS
Experiências
• Decidiu-se não filtrar no backbone• Os próprios usuários (instituições)
tomaram consciência do problema• Algumas instituições optaram por
filtragem direta usando Filtros de Aplicação
• Outras por advertir diretamente osusuários (rrd).
22
POP-RS / CERT-RS
Experiências
• Difusão de SAIF devido a máimplementação do cisco/NBAR
• Nenhuma instituição optou por QoSde aplicações P2P � outrosproblemas além da banda.
23
POP-RS / CERT-RS
Experiências
• A Universidade Federal do Rio Grande do Sul optou por alertarusuários ao invés de bloqueio
• Utiliza a Firewall– Preparada para filtragem (SAIF)– Amostra com ngrep 1min a cada hora– Emite relatório diário para as unidades sobre o uso– Geralmente são os mesmos usuários– A mais de 2 anos tenta conscientizar seus usários– Teve bons resultados
24
PO
P-R
S / C
ER
T-R
S
Exp
eriências n
a Ufrg
s –O
corrên
cias Diárias
0
10
20
30
40
50
60
70
80
90
14/7/2003
16/7/2003
18/7/2003
20/7/2003
22/7/2003
24/7/2003
26/7/2003
28/7/2003
30/7/2003
1/8/2003
3/8/2003
5/8/2003
7/8/2003
9/8/2003
11/8/2003
13/8/2003
15/8/2003
17/8/2003
19/8/2003
21/8/2003
23/8/2003
25/8/2003
27/8/2003
29/8/2003
31/8/2003
2/9/2003
4/9/2003
6/9/2003
8/9/2003
10/9/2003
12/9/2003
14/9/2003
16/9/2003
18/9/2003
Da
ta
Ocorrências
25
POP-RS / CERT-RS
Experiências na Ufrgs – Gráficos por sub-rede
26
POP-RS / CERT-RS
Conclusões e outras abordagens
• Na Rede Tchê a maioria dasuniversidades optou por filtragem
• Algumas universidades como a Florida State University optaram porqualificar os serviços
• Para usuários finais de banda largao tráfego é livre (ADSL, cable)
27
POP-RS / CERT-RS
Florida State UniversityFonte: http://bfs-test.acns.fsu.edu/Network/dscp.shtml
28
POP-RS / CERT-RS
Conclusões e Preocupações
• Desde o fastrack até os filtros poraplicações foi impossível o bloqueio. Hoje está sob controle!
• O que fazer quando os usuáriosP2P começarem a cifrar o tráfego– Será que se poderá filtrar?– Forçar o uso de criptografia somente para aplicações
registradas?
– Aumentar o controle nas máquinas dos usuários?
29
POP-RS / CERT-RS
