Abschlussvortrag zur Bachelorarbeit: Untersuchung von DNS ...11... · Untersuchung von DNSVerkehr durch passive Verkehrsmessungen 2 Inhalt Ziele Verwandte Arbeiten Entwurf und Implementierung

Lehrstuhl für Netzarchitekturen und NetzdiensteInstitut für InformatikTechnische Universität München

Abschlussvortrag zur Bachelorarbeit: Untersuchung von DNSVerkehr durch

passive Verkehrsmessungen

Betreuer: Lothar Braun

Sebastian Krebs

24. November 2010

2Untersuchung von DNSVerkehr durch passive Verkehrsmessungen

Inhalt

Ziele

Verwandte Arbeiten

Entwurf und Implementierung§ BroSkripte§ FastFluxDetektor§ DNSCrawler

Analyse§ allgemeine Beobachtungen zum DNSVerkehr§ FastFluxAnalyse

Fazit


Passive Messung von DNS

Monitoring

Client A

Client B

DNS Server

(A) 1

(A) 2

(A) 3

(A) 4

(B) 1

(B) 2

DNS Server


FastFluxDomains

Domain TTL Class Type IPAdresseexample.com. 12 IN A118.32.88.12example.com. 12 IN A171.49.13.44example.com. 12 IN A102.0.32.114example.com. 12 IN A41.233.12.34example.com. 12 IN A32.103.244.4

DNS Reply

Lokaler NS

C&C Server

Bots

Proxies

118.32.88.12 171.49.13.44

FastFlux NS

5

5

6

6

example.com. ?


Verwandte Arbeiten

Nazario, Holz [2008]: FHY§ Anzahl autonomer Systeme, Anzahl einzigartiger IPs§ FluxScore:§ Schwellwert:

Holz, Gorecki, Rieck, Freiling [2007]: FMUL§ TTL§ IPWerte (Abstand, Anzahl)§ Autonome Systeme§ SOA Retry � ScoringSystem

� Gemeinsamkeit: aktive Messungen

NSASNA nnnxf ⋅+⋅+⋅= 054.1832.1)(

38.142=b


Ziele

Monitoring von DNS

§ Erweiterung von Bro (IDS)

§ Implementierung verschiedener Skripte

§ Unterschied zu Related Work: Passive Messungen

Auswertung an echten DNSDaten

§ Anonymisierte DNSDaten des MWN

§ Allgemeine Statistiken/Kennzahlen zum DNSVerkehr

Erkennen von FastFluxDomains

§ Berücksichtigung verschiedener FastFluxIndikatoren

§ Implementierung eines FastFluxDomainDetektors


BroSkripte und DNSFilter

M onitor

Netzwerk Internet

Logs FastFluxDom ains

Bro

DNSKennzahlen

FFDetektor

BroSkripte


Allgemeine Analyse

Allgemeine Kennzahlen§ 28.6 % aller DNSAnfragen gar nicht beantwortet§ 64.4 % aller DNSAnfragen mit No_Error beantwortet§ 65.7% der DNSAnfragen stammten von einem lokalen DNS

Server§ 71.4% der DNSAntworten stammten nicht aus einem CacheTLDs mit den meisten

SubdomainsTLDs welche die meisten Records

zurücklieferten

Domain Anzahl der Subdomains

Domain Anzahl Records

Ø beobachtete Records/Domain

.com 3049865 .net 71441715 79,90

.de 1317779 .com 69140835 22,67

.org 996805 .de 67975400 51,58

.net 894119 .org 7709389 7,73

.ru 264379 .cn 5648240 54,30


DomainBeobachtungen: Anzahl der Records

Zwei Gründe für viele Records:1. Große Beliebtheit der Domain2. Hohe Anzahl an zurückgelieferten Records pro Domain � CDNAnbieter


DomainBeobachtungen: Anzahl der Subdomains

Viele Subdomains durch:§ generische Domains§ Domainverteilung erst ab 3rdLevelDomain (z.B. co.uk)


FastFlux Analyse

Erste Auswertung der BroLogs mit Hilfe der Blacklisten§ Zu wenige FFDomains gesichtet§ Viele falsche Positive

§ CDN§ CloudServices …

§ Verdächtige Domains, die nicht in den Blacklisten vorkommen:§ eff5f206553f8e2e.panelsconsul.com§ 28887858ebdd4ab2.wingerstaffs.com§ 08178e9288bffd3b.killersissued.com

è weitere Untersuchungen notwendigè künstlich erzeugte DNSQueries zu FFDomainsè usprünglich Teil einer anderen BA


DNSCrawler

DNSCrawler

NameserverSchnittstelle zum Internet

Monitor

Bro NIDS

Datenbank

FastFluxDomains von Blacklist

Eigene Domains

Alexa Top 500 Domains


DNSCrawler und Bro

M onitor

Logs FastFluxDom ains

Bro

DNSKennzahlen

FFDetektor

BroSkripte

DNSCrawler Nameserver

NetzwerkInternet

Viele FFDomains


Auswertung der beiden Detektoren

Zweite Auswertung mit Hilfe des FFDetektors:§ Richtig Positive (beide Detektoren): 32§ Falsch Positive FHY : 2372§ Falsch Positive FMUL : 7433§ Falsch Negative (beide Detektoren): 78

Grund für falsche Negative: Blacklisten stimmen nicht!

Grund für falsche Positive: CDNs, CloudServices…


# Domain

Untersuchung der FFDomains

Beobachtung:§ Bei 70 von 110 Domains nur eine IPAdresse, nur ein autonomes System

� Sehr untypisch für FastFluxDomains

Falsch NegativeRichtig Positive


Untersuchung der Richtig Positiven

§ Starke Streuung der IPAdressen über autonome Systeme§ Zwei Strategien der IPVerbreitung

� ASNFluxScore hätte bei allen 32 erkannten FFDomains gereicht!

# Domain


Untersuchung der Falsch Positiven

§ Bei ca. 55% der als positiv markierten Domains reicht die Anzahl der IPAdressen bereits aus um b = 142.38 zu erreichen àKeine Beachtung der ASNAnzahl mehr!

Viele IPAdressen

Wenige Autonome Systeme

§ Bei 50% der Falsch Positiven lagen die IPAdressen in nur einem einzigen Autonomen System


Zusammenfassung

Blacklists sind weder korrekt noch vollständig Falsche Negative sind möglicherweise keine Aktiven Messungen für Ground Truth benötigt o DNSCrawler

Kriterien aus Related Work matchen auf viele “normale” Domains

Grundlage für weiterführende Arbeiten geschaffen� Untersuchung der falschen Positiven (Reduktion)


Danke für Ihre Aufmerksamkeit

Documents

Abschlussvortrag zur Bachelorarbeit: Untersuchung von DNS ...11... · Untersuchung von DNSVerkehr durch passive Verkehrsmessungen 2 Inhalt Ziele Verwandte Arbeiten Entwurf und Implementierung