Anlisis de trfico de red Patrones normales Vs.

Ataques
Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co

Agenda
Introduccin Conceptos bsicos de TCP/IP
Paquete IP Paquete TCP Breves ideas sobre fragmentacin

Introduccin a TCPDump/Windump
Sniffers Convenciones para analizar resultados

Patrones
Normales Anormales - Ataques

JCM-2001 All rights

Agenda
Firmas y filtros
Conceptos IDS - Intrusion Detection Systems

Limitaciones de las firmas

Falsos Positivos Falsos Negativos

Ejercicios de anlisis Reflexiones Referencias

JCM-2001 All rights

Introduccin
La evolucin de los ataques a las infraestructuras computacionales cada vez ms son ms sofisticados. Se requiere un entendimiento ms detallado de los ataques y sus consecuencias. Los analistas de seguridad no tienen tiempo para desarrollar habilidades sobre anlisis de trfico de red. Sistemas IDS La ventana de exposicin se hace cada vez mayor: Descubrimiento de la falla Vs. Generacin del parche. Desarrollo de estrategias para anlisis de registros de log. Entrenamiento especializado que detalle las caractersticas tcnicas de los protocolos de comunicaciones, particularmente TCP/IP.
JCM-2001 All rights 4

Conceptos bsicos de TCP/IP

Conceptos bsicos de TCP/IP

Servicios de aplicacin

Aplicacin Presentacin
Sesin

Aplicacin
APLICACIN DE RED Presentacin Sesin

Servicios de Red

Transporte
Red Enlace de datos Fsico

TCP UDP
IP ICMP ARP RARP

Transporte
Red Enlace de datos Fsico
6

JCM-2001 All rights

Conceptos bsicos de TCP/IP Protocolo IP

Version Tamao Cabecera Precedencia Tipo de Servicio Banderas Protocolo Direccin ORIGEN Direccin DESTINO Tamao del Datagrama Desplazamiento del segmento Suma de control de la cabecera

Identificacin Tiempo de vida

OPCIONES
Ruta de origen estricta Marcas de tiempo Seguridad Rellenos DATOS
JCM-2001 All rights 7

Conceptos bsicos de TCP/IP Protocolo IP

TRFICO TOMADO CON HOPPA ANALYZER
--- Packet received: 22:26:43.16 --- Length: 0062 --- Assigned number: 00000 --MAC destination: 01:00:5E:00:00:02 MAC source: 00:B0:C2:F5:4B:E4 Frametype: Ethernet II, Protocol field: 0800h Protocol: IP IP 4 bits IP version: 4h IP 4 bits Header length: IP 8 bits Type of service: C0h IP 16 bits Total length: IP 16 bits Identification: 0000h IP 3 bits Flags: IP 13 bits Fragment Offset: 0000h IP 8 bits TTL: IP 8 bits Protocol type: UDP = 11h IP 16 bits Header Checksum: IP source address: XX.YY.17.253 IP destination address: ZZZ.0.0.2

5h 0048d 0h 02h 2801h

HEX data: ASCII data: 07 C1 07 C1 00 1C 5F 06 00 00 08 01 03 64 01 00 63 69 73 63 ......_......d..cisc 6F 00 00 00 9D FD 11 01 o....... --------------------------------------------------------------------------------

JCM-2001 All rights

Conceptos bsicos de TCP/IP Protocolo TCP

Puerto ORIGEN Puerto DESTINO

Nmero de Secuencia
Nmero de confirmacin Tamao Cabecera Reservado Banderas Ventana Puntero Urgente OPCIONES Suma de control

DATOS

JCM-2001 All rights

Conceptos bsicos de TCP/IP Protocolo TCP

TRFICO TOMADO CON WINDUMP
attacker.23616 > target.53: S 4076745461:4076745461(0) win 8760 <mss 1460> target.53 > attacker.23616: S 2085251122:2085251122(0) ack 4076745462 win 1024 <mss 1460> (DF) attacker.23616 > target.53: . ack 1 win 8760 (DF)

attacker.23616: target.53: S: 4076745461:4076745461 (0): win 8760: mss 1460:

ack 4076745462 . ack 1 (DF)

JCM-2001 All rights

Puerto ORIGEN Puerto DESTINO Bandera de SYN Nmero de secuencia. Se utiliza para ordenar los datos recibidos. Nmero de bytes enviados en el paquete. Ventana. Buffer que se esta recibiendo en bytes de attacker Maximun Segment Size (Campo OPCIONES) Indicar el tamao del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo. Informa que la red fsica en la que esta attacker no debera recibir ms de 1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460 bytes = 1500 Bytes, que es la MTU de Ethernet. Acusa recibo de la conexin. 4076745461+ 1= 4076745462 ACK final e independiente a target. No fragmentado.
10

Conceptos bsicos de TCP/IP Fragmentacin

Cundo?
Se produce cuando un datagrama IP que viaja por una red tiene que atravesar una red con una unidad de transmisin mxima (MTU) que es menor que el tamao del datagrama. EJEMPLO:
MTU de un datagrama IP para Ethernet es 1500 bytes Si un datagrama es mayor de 1500 bytes y necesita atravesar una red Ethernet, necesita ser framentado por medio de un enrutador que se dirija a la red Ethernet.

Qu informacin se necesita para reconstruir el paquete?

No. identificacin del fragmento. Informacin del lugar dentro del paquete inicial Informacin sobre longitud de datos transportados por el fragmento. Indicador sobre si existen mas fragmentos.
11

JCM-2001 All rights

Conceptos bsicos de TCP/IP Fragmentacin

TRFICO TOMADO CON WINDUMP
attack.org > mynet.com: icmp: echo request (frag 21233:1480@+) attack.org > mynet.com: (frag 21233:1480@1480+) attack.org > mynet.com: (frag 21233:1480@2960)
icmp: echo request Peticin de echo request a mynet.com

(frag 21233:1480@+)

Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos (0 pues es el primer fragmento, ms el signo +, que indica la presencia de ms fragmentos.
Note que se omite la identificacin del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en windump. El signo + advierte que vienen ms fragmentos. Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos:2960. No aparece signo +, lo que sugiere que no hay ms fragmentos.

(frag 21233:1480@1480+)

(frag 21233:1480@2960)

JCM-2001 All rights

12

Introduccin a TCPDump/Windump

Introduccin a TCPDump/Windump Sniffers - Escuchas electrnicas

Definicin
Sniffer es un mtodo de ataque pasivo por medio del cual un equipo captura informacin que circula de un medio fsico, independientemente de si sta se encuentra destinada a su MAC. Tomado de: www.hackersinc.com/hacking/sniffers.html

Objetivos
Observar los patrones del trfico de la red. Identificar las direcciones IP origen y destino de los paquetes IP. Determinar relaciones entre mquinas y servicios. Capturar informacin crtica que permita el acceso a otros recursos de la red. Capturar informacin confidencial que circula a travs de la red. Obtener informacin sin generar rastros.

JCM-2001 All rights

14

Introduccin a TCPDump/Windump Windump

Consideraciones
Sniffer para Windows, creado en el Instituto Politcnico de Torino en Italia. Http://netgroup-serv.polito.it/windump Captura:
UDP, ICMP, ARP, TCP http, snmp, nntp, pop, ftp, imap (internet message access protocol)

Requisitos de instalacin
Packet Driver - Segn si es NT o 2000 Ejecutable: windump.exe

Sintxis
windump -n -S -v
-n Mostar la direccin IP en lugar del nombre del equipo -S Mostrar nmero de secuencia -v Verbose

windump host <nombre_equipo>

Slo revisa el trfico desde y hacia el host descrito.
JCM-2001 All rights 15

Introduccin a TCPDump/Windump Windump

Convenciones
13:50:13.205539 ATTACK01-093695.1363 > gserv.zdnet.com.80: F 27982697:27982697(0) ack 1496615818 win 8553 (DF)

Estampilla de tiempo: 13:50:13.205539 IP y Puerto fuente: ATTACK01-093695.1363 IP y puerto destino: gserv.zdnet.com.80

F 27982697:27982697(0) ack 1496615818
F
27982697:27982697(0) ack 1496615818:

Flag de fin de transmisin

Nmero de secuencia.(0) No datos Acuse en sincronizacin esperado

win 8553: Tamao de la ventana.

Dont Fragment Bit Presente?: (DF)

JCM-2001 All rights

16

Patrones de trfico de Red

Patrones de trfico Normales

FTP
1. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: S 1884312222:1884312222(0) 2. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: S 3113925437: 3113925437 (0) ack 1884312223 3. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 1
4. 11:46:14.212003 flood.victim.com.21> maq1.hack.com.1053: P 1:24 (23) ack 1 5. 11:46:14.212003 maq1.hack.com.1053 > flood.victim.com.21: . ack 24

Conexin FTP
Sincronizacin de tres sentidos - (1,2,3) Transmisin de mensaje de bienvenida - (4, 5)

JCM-2001 All rights

18

Patrones de trfico Normales

DNS
- Solicitud de resolucin de la direccin www.sans.org

1. host.my.com.1716 > dns.my.com.53: 1+ (35) 2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF) 3. h.root-servers.net.53>dns.my.com.53: 12420 - 0/3/3 (153) (DF) 4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF) 5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172) 6. dns.my.com.53>host.my.com.1716: 1* 1/3/3
Trfico tomado de: Northcutt y Novak (2001) Pg. 100. 1. Host.my.com efecta peticin para resolver la direccin www.sans.org. UDP de 35 bytes 2. Dns.my.com intenta conexin por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. peticin 12420 3. h.root-servers.net no obtiene respuesta a la peticin (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres adiconales. 4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. peticin:12421. Solicita recursin (signo +) 5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada. 6. dns.my.com responde a host.my.com, con la direccin IP de www.sans.org (no se ve aqui) mas los tres registros autorizados y los adicionales. JCM-2001 All rights 19

Patrones de trfico Normales

PING - ICMP
13:50:14.056364 otro0304.victim.net > otro.victim.net: icmp: echo request 13:50:14.060145 otro.victim.net > otro0304.victim.net: icmp: echo reply 13:50:15.066611 otro0304.victim.net > otro.victim.net: icmp: echo request 13:50:15.153021 otro.victim.net > otro0304.victim.net: icmp: echo reply 13:50:16.040259 otro0304.victim.net > otro.victim.net: icmp: echo request 13:50:16.043643 otro.victim.net > otro0304.victim.net: icmp: echo reply

Mquina arriba
Ejecucin del comando ping otro.victim.net

JCM-2001 All rights

20

Patrones de trfico Normales

TELNET
1. maq1.net.39904 > victim.com.23: S 733381829: 733381829 (0) win 8760 <mss 1460> (DF) 2. victim.com.23 > maq1.net.39904: S 1192930639: 1192930639 (0) ack 733381830 win 1024 <mss 1460> (DF) 3. maq1.net.39904 > victim.com.23: . ack 1win 8760 (DF) 4. maq1.net.39904 > victim.com.23 : P 1:28(27) ack 1 win 8760 (DF) 5. victim.com.23 > maq1.net.39904 : P 1:14(13) ack 1 win 1024 6. victim.com.23 > maq1.net.39904 : P 14:23(9) ack 28 win 1024
1, 2, 3 Sincronizacin de tres sentidos 4. La mquina maq1.net enviando 27 bytes de datos a victim.com.23. 28 representa el siguiente byte que se espera. 5. La mquina victim.com.23 envia 13 bytes y acuse de recibo de los primeros datos. 6. Envo de la mquina victim.com.23 enva 9 bytes adicionales y se efecta un ACK 28 ya que el byte 28 es el que se espera.

JCM-2001 All rights

21

Patrones de trfico Normales

ARP
13:50:17.384288 arp who-has LK01-112322 tell otra.victim.net 13:50:17.406848 arp who-has LK01-112322 tell info.victim.net 13:50:17.410944 arp who-has COLASRV tell xxx.victim.net 13:50:17.436873 arp who-has LK01-112297 tell LK01-112322 13:50:17.530452 arp who-has 172.23.1.1 tell 172.23.1.6 13:50:17.547320 arp who-has INFOGER tell info.victim.net 13:50:17.700603 arp who-has 172.16.103.10 tell DCO-01084202 13:50:18.017876 arp who-has LP01-10213 tell info.victim.net

Preguntas de reconocimiento de mquinas en una red LAN. Particularmente en una red NT.

JCM-2001 All rights

22

Patrones de trfico Anormales (An) - Ataques (At)

At - Land Attack
13:50:17.384288 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.406848 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.410944 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.436873 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46 13:50:17.530452 protect-50.sawyer.af.mil.135 > protect-50.sawyer.af.mil.135: udp 46

Efecto
Negacin de servicio sobre Microsoft NT 4.0 SP.4

Explicacin:
Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que aparece como si un RPC server enva datos errneos a otro RPC server. El segundo servidor rechaza (REJECT) el paquete y el primer servidor responde con otro REJECT, creando un loop infinito que compromete la red.

JCM-2001 All rights

Tomado de: Northcutt et al. (2001) Pg. 191.

23

Patrones de trfico Anormales (An) - Ataques (At)

At - Smurf Attack
13:50:17.384288 179.135.168.43 > 256.256.30.255: icmp echo request (DF) 13:50:17.406848 68.90.226.250 > 256.256.30.255: icmp echo request (DF) 13:50:17.410944 138.98.10.247 > 256.256.30.255: icmp echo request (DF) 13:50:17.436873 130.113.202.100 > 256.256.30.255: icmp echo request (DF) 13:50:17.530452 171.1.55.45 > 256.256.30.255: icmp echo request (DF) 13:50:17.550424 174.30.0.46 > 256.256.30.255: icmp echo request (DF)

Efecto
Negacin de servicio sobre una red. Generalmente la direccin destino de los paquetes es una direccin broadcast.

Explicacin:
Los atacantes crean paquetes donde no utilizan su direccin IP, sino que crean paquetes con direcciones suplantadas. Cuando las mquinas en el sitio intermediario respondan al ICMP echo request, ellos responden al computador vctima. Se presenta congestin en la red y el computador vctima se degrada.
JCM-2001 All rights

Tomado de: Northcutt et al. (2001) Pg. 215-216.

24

Patrones de trfico Anormales (An) - Ataques (At)

At - Prediccin de secuencia
13:50:17.384288 apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990: 1382726990(0) win 4096 13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000: 2021824000(0) ack 1382726991 win 4096 13:50:17.410944 apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991: 1382726991(0) win 0 13:50:17.414288 apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991: 1382726991(0) win 4096 13:50:17.406848 x-terminal.shell > apollo.it.luc.edu.999: S 2021952000: 2021952000(0) ack 1382726992 win 4096 13:50:17.410944 apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992: 1382726992(0) win 0

Efecto
Si efectuamos la resta entre 2021824000 - 2021952000, tenemos como resultado 128.000. Con esto podemos predicir la respuesta de una conexin y la capacidad de silenciar un lado, podemos invadir una sesin entre dos mquinas

Explicacin:
Esta es la fase preliminar de un ataque. Mientras se efecta un SYN Flood, el servidor se congestiona, se utiliza la relacin de confianza que se tenga para efectuar la conexin.
JCM-2001 All rights

Tomado de: Northcutt y Novak (2001) Pg. 122.

25

Patrones de trfico Anormales (An) - Ataques (At)

An - Exploracin Web extraa
x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440 x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440 x.y.y.6879 > 172.20.1.0.80: S 1025092638: 1025092638(0) win 61440 x.y.y.7395 > 172.20.3.0.80: S 1059077568: 1059077568(0) win 61440 x.y.y.7136 > 172.20.2.0.80: S 1041868014: 1041868014(0) win 61440

Efecto
Esta exploracin busca identificar servidores WEB.

Explicacin:
El envo de paquetes a la direccin 0 para tratar de difundir el paquete en ese segmento. Sin embargo, la difusin de paquetes se aplica a protocolos UDP. Por tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una direccin nica y ningn host responder esta peticin.

JCM-2001 All rights

Tomado de: Northcutt y Novak (2001) Pg. 256.

26

Firmas y Filtros

Firmas y Filtros
Conceptos
Firma
Define o describe un patrn de trfico de inters. Est presente en el trfico y la idea es encontrarlas y entenderlas.

Filtros
Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la descripcin de la firma, bien en cdigo legible por una mquina o en las tablas de consulta para que un sensor pueda identificar el trfico.

Intrusion Detection Systems

Tipos de software de acuerdo con el Tipo de anlisis
Basados en firmas Basados en estadsticas Basados en anlisis de integridad.

Base de datos de firmas

http://whitehats.com, http://www.snort.org
JCM-2001 All rights 28

Limitaciones de las firmas

Falsos positivos Vs. Falsos negativos
Falso Positivo
Trfico de red que aparentemente parece malicioso cuando realmente no lo es.

Falso Negativo
Trfico de red que aparentemente parece normal cuando realmente se est materializando un ataque.

Implicaciones
Requieren correlacin de otras fuentes para verificar si el trfico normal o no. Actualizacin permanente de nuevos patrones. Personal especializado y entrenado en anlisis de trfico. Aumentan sustancialmente la ventana de exposicin. Las firmas son susceptibles de ser manipuladas y falseadas, para confundir al IDS.
JCM-2001 All rights 29

Ejercicios de Anlisis

Ejercicios
El siguiente trfico corresponde a una fragmentacin patolgica de paquetes. Cuando se reemsamblan los paquetes cul es tamao total del paquete?
08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:1480@0+) 08:22:49.389005 thumper > 192.168.38.5: (frag 4321:1480@1480+) 08:22:49.389050 thumper > 192.168.38.5: (frag 4321:1480@2960+) . 08:22:49.425543 thumper > 192.168.38.5: (frag 4321:1480@63640+) 08:22:49.425753 thumper > 192.168.38.5: (frag 4321:1480@65120)

a. 65120 b. 1480 c. 4321 d. 66600 e. Ninguno de los anteriores

JCM-2001 All rights

31

Ejercicios
Considere el siguiente trfico de red. Este trfico corresponde a:
13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512 13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512 13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 512 13:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 512 13:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512

a. Posible manera de eludir la deteccin de un IDS

b. Posible manera para penetrar un Firewall c. Combinacin sospechosa de Flags d. Posible manera de eludir sistemas de filtrado e. Todas las anteriores

JCM-2001 All rights

32

Reflexiones
Tcnicas
Los analistas de trfico de red, son personal altemente entrenado y especializado en protocolos de red, particularmente TCP/IP Se requiere software especializado. Recuerde que esta tecnologa es naciente y an tiene que madurar.

Organizacionales
Personal tcnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido de la responsabilidad con la informacin. Se requiere una disposicin de la gerencia para que esta funcin de anlisis de trfico se de dentro de la funcin de seguridad informtica como factor complementario a las actividades de dicha funcin.

Legales
El trfico de red es informacin digital de la organizacin. Se est teniendo acceso va medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en violacin de confidencialidad de los datos. El anlisis de trfico puede ser parte de la evidencia en el proceso de anlisis forense de un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.
JCM-2001 All rights 33

Referencias
Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. Northcutt, S y Novak, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin. Prentice Hall. Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com. Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing. Anomino. (2000) Linux Mxima Seguridad. Prentice Hall. Northcutt, S. (1999) Network intrusion detection. An analysts handbook. New Riders. Bace, R. (1999) Intrusion detection. Prentice Hall Gollman, D. (1999) Computer security. John Wiley & Son. Feit, S. (1998) TCP/IP. McGraw Hill. Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. OReally. Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edicin.

Referencias
Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html Frederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html Spitzner, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html Johnson, J. (2000) The joys of incident handling response process. Mayo 15. Securityportal.com Casey, E. (2000) Digital evidence and computer crime. Academic Press. Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighters handbook. OReally. Weber, R. (1999) Information Systems control and audit. Prentice Hall. Stehpheson, P. (1999) Investigating computer-related crime. CRC Press. Richards, K. (1999) Network based intrusion detection: A review of technologies. Computers & Security. Vol 18. Stephenson, P. (1998) Investigation internet security incidents. A brief introduction to cyber forensic analysis. Presentacin en Power Point Amoroso, E. (1998) Intrusion Detection: An introduction to internet survillance, correlation, traps, trace back and response. John Wiley & Son.

Anlisis de trfico de red Patrones normales Vs. Ataques

Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co