Analýza dat z Wardenu

9. 2. 2016Seminář o bezpečnosti sítí a služeb

Analýza dat z Wardenu

Václav Bartoš

9. 2. 2016 Analýza dat z Wardenu

Analyzovaná data● 2× 1 měsíc dat z Wardenu

– Červen: 29 mil. záznamů ze 7 zdrojů– Listopad: 43 mil. záznamů z 16 zdrojů

● Analýza zaměřena především na počet unikátních adres nahlášených jako zdroj

Kategorie Počet záznamů (událostí) Počet unikátních adres

červen listopad červen listopad

Scanning 27 295 094 42 381 822 814 333 2 965 761

Login attempt 1 718 566 422 201 4 125 4 707

(D)DoS 7 100 70 582 134 315

Exploit attempt -- 26 962 -- 6 997

Copyright 176 790 5 341 732 3 032

Botnet drone 9 981 29 438 61 (bot)32 (CC)

151

Spam 6 943 15 993 3 593 5 526

Ostatní 7 147 5 585 -- --


Ze kterých zemí přichází nejvíce útoků?


Zdroje podle země

33,9%

4,1%4,3%4,5%4,5%

6,4%

6,5%

14,0%

18,2%Čína

Rusko

USA

Španělsko

Indie

Thajsko

Brazílie

Turecko

Ukraina

Itálie

Ostatní

21,2%

2,6%5,4%

6,3%

6,7%

11,0%

13,2%

14,1%

15,1% Čína

Indie

Brazílie

USA

Rusko

Bahrain

Itálie

Hong Kong

Jižní Korea

Pákistán

Ostatní

Skenování (3,7 mil adres) Login (8 598 adres)

Top 10 podle počtu unikátních adres

8,6%

3,8%5,4%

8,6%

26,3%

38,7%

Polsko

Slovensko

Česká republika

Thajsko

Rakousko

Rusko

Čína

Německo

Velká Británie

USA

Ostatní

(D)DoS (385 adres)


Zdroje podle země

33,9%

4,1%4,3%4,5%4,5%

6,4%

6,5%

14,0%

18,2%Čína

Rusko

USA

Španělsko

Indie

Thajsko

Brazílie

Turecko

Ukraina

Itálie

Ostatní

21,2%

2,6%5,4%

6,3%

6,7%

11,0%

13,2%

14,1%

15,1% Čína

Indie

Brazílie

USA

Rusko

Bahrain

Itálie

Hong Kong

Jižní Korea

Pákistán

Ostatní



8,6%

3,8%5,4%

8,6%

26,3%

38,7%

Polsko

Slovensko

Česká republika

Thajsko

Rakousko

Rusko

Čína

Německo

Velká Británie

USA

Ostatní

(D)DoS (385 adres)


Zdroje podle země

33,9%

4,1%4,3%4,5%4,5%

6,4%

6,5%

14,0%

18,2%Čína

Rusko

USA

Španělsko

Indie

Thajsko

Brazílie

Turecko

Ukraina

Itálie

Ostatní

21,2%

2,6%5,4%

6,3%

6,7%

11,0%

13,2%

14,1%

15,1% Čína

Indie

Brazílie

USA

Rusko

Bahrain

Itálie

Hong Kong

Jižní Korea

Pákistán

Ostatní



8,6%

3,8%5,4%

8,6%

26,3%

38,7%

Polsko

Slovensko

Česká republika

Thajsko

Rakousko

Rusko

Čína

Německo

Velká Británie

USA

Ostatní

(D)DoS (385 adres)

Bahrajn● 1,3 mil obyvatel● 465,000 IP adres

● 335 / 214 adres zlobí (červen/listopad)● Pokusy o zalogování na jeden SSH

honeypot● Každá adresa 1-2 hlášení

● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“

● Vše v rámci 5 hodin / 2 dnů

Bahrajn● 1,3 mil obyvatel● 465,000 IP adres

● 335 / 214 adres zlobí (červen/listopad)● Pokusy o zalogování na jeden SSH

honeypot● Každá adresa 1-2 hlášení

● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“

● Vše v rámci 5 hodin / 2 dnů


Zdroje podle země

33,9%

4,1%4,3%4,5%4,5%

6,4%

6,5%

14,0%

18,2%Čína

Rusko

USA

Španělsko

Indie

Thajsko

Brazílie

Turecko

Ukraina

Itálie

Ostatní

21,2%

2,6%5,4%

6,3%

6,7%

11,0%

13,2%

14,1%

15,1% Čína

Indie

Brazílie

USA

Rusko

Bahrain

Itálie

Hong Kong

Jižní Korea

Pákistán

Ostatní



8,6%

3,8%5,4%

8,6%

26,3%

38,7%

Polsko

Slovensko

Česká republika

Thajsko

Rakousko

Rusko

Čína

Německo

Velká Británie

USA

Ostatní

(D)DoS (385 adres)


Zdroje podle země

33,9%

4,1%4,3%4,5%4,5%

6,4%

6,5%

14,0%

18,2%Čína

Rusko

USA

Španělsko

Indie

Thajsko

Brazílie

Turecko

Ukraina

Itálie

Ostatní

21,2%

2,6%5,4%

6,3%

6,7%

11,0%

13,2%

14,1%

15,1% Čína

Indie

Brazílie

USA

Rusko

Bahrain

Itálie

Hong Kong

Jižní Korea

Pákistán

Ostatní



8,6%

3,8%5,4%

8,6%

26,3%

38,7%

Polsko

Slovensko

Česká republika

Thajsko

Rakousko

Rusko

Čína

Německo

Velká Británie

USA

Ostatní

(D)DoS (385 adres)

(D)DoS útoky● Polsko, Slovensko, ČR, Rakousko: 77%● Přímé linky● Cíle často nejsou v CESNETu

● útoky přes nás jen procházejí● Reflektivní útoky

● zdroj = zneužitý server● požadavky i odpovědi → snažší detekce

(D)DoS útoky● Polsko, Slovensko, ČR, Rakousko: 77%● Přímé linky● Cíle často nejsou v CESNETu

● útoky přes nás jen procházejí● Reflektivní útoky

● zdroj = zneužitý server● požadavky i odpovědi → snažší detekce


Zdroje útoků v ČR


Počet událostí se zdrojem v ČR

● Počet událostí: 70 861 865 – Z toho z ČR: 647 350 (0,91 %)

● Počet zdrojových adres: 3 744 985– Z toho z ČR: 10 846 (0,29 %)


Ze kterých českých AS útoky přicházejí?Top-10 AS podle celkového počtu událostí

18%

20%

5%5%

6%

9%

9%

19%

WEDOS Internet

Liberty Global Operations B.V. (UPC)

O2 Czech Republic

FDCservers.net

T-Mobile Czech Republic a.s.

OVH SAS

Vodafone Czech Republic a.s.

METRONET s.r.o.

itself s.r.o.

RIO Media a.s.

Ostatní české AS (254)

CESNET z.s.p.o.


Ze kterých českých AS útoky přicházejí?Top-10 AS podle celkového počtu událostí

18%

20%

5%5%

6%

9%

9%

19%

WEDOS Internet


O2 Czech Republic

FDCservers.net


OVH SAS


METRONET s.r.o.

itself s.r.o.

RIO Media a.s.


CESNET z.s.p.o.

Téměř vše z jedné IP adresy(scanner jisté bezpečnostní firmy)

Téměř vše z jedné IP adresy(scanner jisté bezpečnostní firmy)


Ze kterých českých AS útoky přicházejí?

Top-10 AS podle počtu adres (skenování)

3%

32%

3%6%

22%

25%

O2 Czech Republic



PODA a.s.

SMART Comp. a.s.

RIO Media a.s.

Dial Telecom


FreeTel

CD-Telematika a.s.


CESNET z.s.p.o.

Ostatní typy útoků:

Login: 23 adres z 15 AS

(D)DoS: 36 adres z 10 AS


Jak moc se opakují útoky ze stejných zdrojů?


Jak moc se opakují útoky ze stejných zdrojů?● V kolika dnech v měsíci byla jedna adresa detekována?









8,5% adres nahlášeno v 5 či více dnechTyto jsou zodpovědné za 65% všech událostí











Predikce útoků


Predikce

1 2 3 4 5 6 7 8 9 100%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech

(D)DoS Login Skenování

Počet po sobě jdoucích dní, kdy byla adresa detekována

Pra

vdě

po

do

bn

ost

de

tekc

e v

ná

sle

du

jícím

dn

i


Predikce

1 2 3 4 5 6 7 8 9 100%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%




Pra

vdě

po

do

bn

ost

de

tekc

e v

ná

sle

du

jícím

dn

i


Predikce

1 2 3 4 5 6 7 8 9 100%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%




Pra

vdě

po

do

bn

ost

de

tekc

e v

ná

sle

du

jícím

dn

i


Shrnutí● Data jen ze sítě CESNET2

– Jen typ události, čas, IP adresa zdroje

● Jen jednoduché statistky

→ přesto mnoho zajímavých informací

● Ale také spousta nových otázek

● Potřeba mnohem podrobnějších analýz– Víc vstupních dat– Zanořit se hlouběji do dat– Automatizovaně, on-line