26
DNS Blackholing ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem Patryk Dawidziuk IT BCE / LogicalTrust

Dns Blackholing

Embed Size (px)

DESCRIPTION

ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

Citation preview

Page 1: Dns Blackholing

DNS Blackholingochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

Patryk Dawidziuk IT BCE / LogicalTrust

Page 2: Dns Blackholing

botnet

botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware)

najczęściej trojany

w wielu wariantach, serwują spam, phishing, itp.

Page 3: Dns Blackholing

botnet

botnet w domu, w ogrodzie i w kosmosie

...w domu (domowy komputer zainfekowany trojanem)

...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer)

w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )

Page 4: Dns Blackholing

botnetzalety posiadania botnetu

spam, phishing, fraud

terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki

kradzież tożsamości, danych osobowych, numerów kart kredytowych

Page 5: Dns Blackholing

mechanizmy komunikacjiscentralizowany

boty łączą się do jednego (lub kilku) serwerów C&C

p2p:

fast-flux

hydraflux

inne, nowe, niewykryte

Page 6: Dns Blackholing

metoda scentralizowana

boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć

przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej)

adresy IP zmieniają się często (bardzo często)

domeny w zasadzie nie zmieniają się

Page 7: Dns Blackholing

metoda p-2-p

fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku)

hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą

Page 8: Dns Blackholing

części wspólne

domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się)

adresy IP potrafią się zmieniać raz na kilka minut

ale tylko w ramach tej samej domeny

Page 9: Dns Blackholing

wykrywanie wroga

boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar

wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo

Page 10: Dns Blackholing

wnioski

blokowanie adresów IP nie ma sensu

blokowanie domeny ma dużo sensu

aaale jak zablokować domenę?

Page 11: Dns Blackholing

dns blackholing

boty pytają o domenę, boty dostają adres IP,

inny niż by tego sobie życzył właściciel domeny

nigdzie się nie łączą i nie są groźne

tak, jest to możliwe

Page 12: Dns Blackholing

dns blackholing

klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp):

adres IP, domyślną bramę, maskę podsieci oraz...

serwery DNS, najczęściej dwa (yes, yes, yes!)

Page 13: Dns Blackholing

dns blackholing

kto ma router ten ma władzę

Page 14: Dns Blackholing

dns blackholing

kto ma dnsa i router ten ma władzę absolutną ;-)

Page 15: Dns Blackholing

dns blackholingniby dlaczego to ma działać?

trojany najczęściej wolałyby zostać niewykryte

zmianę dnsów jest stosunkowo prosto i szybko wykryć

... i decydowanie zbyt łatwo naprawić

... więc trojany tego nie dotykają (przeważnie)

Page 16: Dns Blackholing

dns blackholingCiemna Strona Mocy

malware dobierające się do routerów sprzętowych podmieniając dnsy

użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej)

ale od czego są filtry i redirekty ;-)

... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)

Page 17: Dns Blackholing

dns blackholingwszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania?

[blok autoreklamowy]

http://www.malwaredomains.org

a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?

http://www.malwaredomains.org
http://www.malwaredomains.org
Page 18: Dns Blackholing

dns blackholingmożna samemu

sieć honeypotów na nieużywanych adresach IP

... połączona z sieciami honeypotów kolegów

analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę)

wewnętrzne zaufanie

Page 19: Dns Blackholing

dns blackholingw jedności siła

im więcej uczestników tym lepiej,

... ale dobra jest i mikroskala

... nawet tylko we własnym domu

idealnie byłoby globalnie

takie nowoczesne /etc/hosts (blokujące reklamy)

Page 20: Dns Blackholing

dns blackholingskuteczność z życia wzięta

przejęta sieć na 1.2k użyszkodników,

około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami)

po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy).

w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)

Page 21: Dns Blackholing

dns blackholingpozytywne efekty wdrożenia

boty nie działają bez głowy

nie ma spamu

nie ma ataków ddos

nic nie ma, wszystko zlikwidowane ;-)

Page 22: Dns Blackholing

dns blackholing

a wszystko to bez jakiejkolwiek ingerencji w komputer klienta

Page 23: Dns Blackholing

dns blackholing

konfiguracja

Page 24: Dns Blackholing

konfiguracja binda (9)

/etc/bind/named.conf – główny konfig

zone "niedobradomena.pl" IN { type master; file „dnsblackholing.conf”};

dnsblackholing.conf – plik domeny

$TTL 15m@ IN SOA ns1.domena.pl. admin.domena.pl. ( 2006112402 ; serial 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl )@ IN NS ns1.domena.pl.@ IN NS ns2.domena.pl.@ IN A 127.0.0.1* IN A 127.0.0.1

Page 25: Dns Blackholing

pytania?

No questions, violators will be shot. Survivors will be shot again!

Page 26: Dns Blackholing

dziękuję za uwagę

patryk dawidziuk IT BCE / LogicalTrust

@: [email protected] (także jid)

mailto:[email protected]
mailto:[email protected]

DNS. Sommario Introduzione al DNS Introduzione al DNS La terminologia del DNS La terminologia del DNS Nomi DNS in un dominio Windows 2003 Nomi DNS in

DNS. Sommario Introduzione al DNS Introduzione al DNS La terminologia del DNS La terminologia del DNS Nomi DNS in un dominio Windows 2003 Nomi DNS in

Documents
2010 ICF Canoe Slalom World Championships SLOKA 2010...2010/09/12  · 25 FORIZS Reka HUN DNS DNS 27 POLEZHAEVA Svetlana KAZ DNS DNS 28 NIKOLAEVA Irina UZB DNS DNS Chief Judge _____

2010 ICF Canoe Slalom World Championships SLOKA 2010...2010/09/12  · 25 FORIZS Reka HUN DNS DNS 27 POLEZHAEVA Svetlana KAZ DNS DNS 28 NIKOLAEVA Irina UZB DNS DNS Chief Judge _____

Documents
DNS New World Order: QuadX! DoH! DoT! Da Fuq? · Domain Name System (DNS) in general & new encrypted DNS methods like DNS over HTTPS (DoH), DNS over TLS (DoT). ... DNS comes great

DNS New World Order: QuadX! DoH! DoT! Da Fuq? · Domain Name System (DNS) in general & new encrypted DNS methods like DNS over HTTPS (DoH), DNS over TLS (DoT). ... DNS comes great

Documents
Configuring DNS · Example: Configuring DNS Spoofing Inthefollowingexample,thedeviceisconfiguredtospoofrepliestoanyDNSqueries: ip dns server ip dns spoofing no ip domain lookup

Configuring DNS · Example: Configuring DNS Spoofing Inthefollowingexample,thedeviceisconfiguredtospoofrepliestoanyDNSqueries: ip dns server ip dns spoofing no ip domain lookup

Documents
DNS-2640 User Manual QS0001 - DataON Storagedoc.dataonstorage.com/product/DNS/2640/DNS-2640_User_Manual.pdf · DNS-2640 User Manual 2 Package content The DNS-2640 box contains the

DNS-2640 User Manual QS0001 - DataON Storagedoc.dataonstorage.com/product/DNS/2640/DNS-2640_User_Manual.pdf · DNS-2640 User Manual 2 Package content The DNS-2640 box contains the

Documents
Windows Server 2008 R2 IPv6 的 DNS 及 IIS 設定 · DNS f6e5d4 (SOA) IPv6 (AAAA) 17 CTR) DNS DNS w1N2008 imntcedll im_ntc _ ed u _ tv im.ntc.edn.tv DNS DNS DNS w1N2008 imntcedll

Windows Server 2008 R2 IPv6 的 DNS 及 IIS 設定 · DNS f6e5d4 (SOA) IPv6 (AAAA) 17 CTR) DNS DNS w1N2008 imntcedll im_ntc _ ed u _ tv im.ntc.edn.tv DNS DNS DNS w1N2008 imntcedll

Documents
DNS Session 2: DNS cache operation and DNS debuggingbrian/doc/dns/dns2-presentation.pdf · DNS Session 2: DNS cache operation and DNS debugging ... the wrong answers if the authoritative

DNS Session 2: DNS cache operation and DNS debuggingbrian/doc/dns/dns2-presentation.pdf · DNS Session 2: DNS cache operation and DNS debugging ... the wrong answers if the authoritative

Documents
BLACKHOLE BGP Community for Blackholing T. King, C. Dietzel, J. Snijders, G. Doering, G. Hankins

BLACKHOLE BGP Community for Blackholing T. King, C. Dietzel, J. Snijders, G. Doering, G. Hankins

Documents
Networking:! UDP&!DNS! · 2018-06-27 · Root DNS Servers com DNS servers org DNS servers edu DNS servers poly.edu DNS servers umass.edu DNS servers yahoo.com DNS servers amazon.com

Networking:! UDP&!DNS! · 2018-06-27 · Root DNS Servers com DNS servers org DNS servers edu DNS servers poly.edu DNS servers umass.edu DNS servers yahoo.com DNS servers amazon.com

Documents
Таблица 1. В Домашнем регионеfederal/news/novost_ne_besplatnie... · dns://acs.feib.ru/ dns://acs.kjbank.com/ dns://acs.ktc.co.th

Таблица 1. В Домашнем регионеfederal/news/novost_ne_besplatnie... · dns://acs.feib.ru/ dns://acs.kjbank.com/ dns://acs.ktc.co.th

Documents
Inferring BGP Blackholing Activity in the Internet BGP Blackholing Activity in the Internet IMC’17, November 2017, London, UK touseforBGPblackholing,seeFigure1(a).Historically,blackholing

Inferring BGP Blackholing Activity in the Internet BGP Blackholing Activity in the Internet IMC’17, November 2017, London, UK touseforBGPblackholing,seeFigure1(a).Historically,blackholing

Documents
GRIS - DNS - Apresentação sobre segurança DNS

GRIS - DNS - Apresentação sobre segurança DNS

Documents
Domain Name System (DNS). Outline Functions of DNS Design goals of DNS History of DNS Elements of DNS –Name space and resource records –Name servers –Name

Domain Name System (DNS). Outline Functions of DNS Design goals of DNS History of DNS Elements of DNS –Name space and resource records –Name servers –Name

Documents
A First Joint Look at DoS Attacks and BGP Blackholing in ... · BGP blackholing is an operational countermeasure that builds upon the capabilities of BGP to achieve DoS mitigation

A First Joint Look at DoS Attacks and BGP Blackholing in ... · BGP blackholing is an operational countermeasure that builds upon the capabilities of BGP to achieve DoS mitigation

Documents
Module 4: DNS As a Solution for Name Resolution. Overview Introducing DNS Designing a Functional DNS Solution Securing DNS Enhancing a DNS Design for

Module 4: DNS As a Solution for Name Resolution. Overview Introducing DNS Designing a Functional DNS Solution Securing DNS Enhancing a DNS Design for

Documents
Constellation: automated discovery of service and host ......DHCP MOM DNS DNS KERBEROS LDAP HTTP SMB LDAP MOM DNS DNS DNS DNS Figure 1: Small fragment of a constellation depicting

Constellation: automated discovery of service and host ......DHCP MOM DNS DNS KERBEROS LDAP HTTP SMB LDAP MOM DNS DNS DNS DNS Figure 1: Small fragment of a constellation depicting

Documents
Réalisée par : ??? L’attaque DNS Spoofing. Spoofing de l’identificateur DNS. Présentation L’attaque DNS Spoofing L’empoisonnement du cache DNS. Outils

Réalisée par : ??? L’attaque DNS Spoofing. Spoofing de l’identificateur DNS. Présentation L’attaque DNS Spoofing L’empoisonnement du cache DNS. Outils

Documents
Internet Pirates: blackholing, hijacking and other dirty tricks

Internet Pirates: blackholing, hijacking and other dirty tricks

Technology
DNS DNS overview DNS operation DNS zones. DNS Overview Name to IP address lookup service based on Domain Names Some DNS servers hold name and address

DNS DNS overview DNS operation DNS zones. DNS Overview Name to IP address lookup service based on Domain Names Some DNS servers hold name and address

Documents
Protokół routingu BGP i blackholing

Protokół routingu BGP i blackholing

Documents
Securing DNS: Doing DNS As If DNS Actually Matteredjoe/secprof10-dns/secprof10-dns.pdf · Doing DNS As If DNS Actually Mattered ... -- releasing malware that tweaks host file entries

Securing DNS: Doing DNS As If DNS Actually Matteredjoe/secprof10-dns/secprof10-dns.pdf · Doing DNS As If DNS Actually Mattered ... -- releasing malware that tweaks host file entries

Documents
A First Joint Look at DoS Attacks and BGP Blackholing in the Wild · 2020. 2. 12. · Blackholing Communities – Within the BGP data, we look for BGP announcements tagged with a

A First Joint Look at DoS Attacks and BGP Blackholing in the Wild · 2020. 2. 12. · Blackholing Communities – Within the BGP data, we look for BGP announcements tagged with a

Documents
DHCP DNS: DNS: WINS: WINS

DHCP DNS: DNS: WINS: WINS

Documents
RIPE76 DNS Privacy measurements · DNS WG @ RIPE76 DNS Privacy Measurements Latest Measurements on DNS Privacy Sinodun ... Unbound . DNS WG @ RIPE76 DNS Privacy Measurements Test

RIPE76 DNS Privacy measurements · DNS WG @ RIPE76 DNS Privacy Measurements Latest Measurements on DNS Privacy Sinodun ... Unbound . DNS WG @ RIPE76 DNS Privacy Measurements Test

Documents
Passive DNS Hardening - Farsight Security...Introduction DNS Security Issues Passive DNS hardening DNSDB DNS Passive DNS ISC SIE Passive DNS I Passive DNS replicationis a technology

Passive DNS Hardening - Farsight Security...Introduction DNS Security Issues Passive DNS hardening DNSDB DNS Passive DNS ISC SIE Passive DNS I Passive DNS replicationis a technology

Documents
DNS DNS SPS ThreatAvertdnsops.jp/event/20180627/DNSセキュリティはDNSで... · 2018-09-11 · DNS DNS " " SPS ThreatAvert DNS " DDoS ( $30 5+ 2018*6-27, ! " %&#1 '.46)/2 ©Akamai

DNS DNS SPS ThreatAvertdnsops.jp/event/20180627/DNSセキュリティはDNSで... · 2018-09-11 · DNS DNS " " SPS ThreatAvert DNS " DDoS ( $30 5+ 2018*6-27, ! " % '.46)/2 ©Akamai

Documents
Networking:! UDP&!DNS! · Root DNS Servers com DNS servers org DNS servers edu DNS servers poly.edu DNS servers umass.edu DNS servers yahoo.com DNS servers amazon.com

Networking:! UDP&!DNS! · Root DNS Servers com DNS servers org DNS servers edu DNS servers poly.edu DNS servers umass.edu DNS servers yahoo.com DNS servers amazon.com

Documents
DNS Setup DNS CONFIGURATION. DNS Configuration DNS Setup named daemon is used A DNS Server may be caching/master/slave server The named.ca file has information

DNS Setup DNS CONFIGURATION. DNS Configuration DNS Setup named daemon is used A DNS Server may be caching/master/slave server The named.ca file has information

Documents
Monitor Windows DNS Server using DNS Analytics … · Monitor Windows DNS Server using DNS Analytics (Preview) ... analyzes and correlates Windows DNS analytic and audit logs and

Monitor Windows DNS Server using DNS Analytics … · Monitor Windows DNS Server using DNS Analytics (Preview) ... analyzes and correlates Windows DNS analytic and audit logs and

Documents
DNS for Dummies Ebook Amazon | DNS

DNS for Dummies Ebook Amazon | DNS

Marketing