Internet-Frühwarnsysteme: Überwachung von Internet-Risiken

(1)

Prof. Dr. Norbert Pohlmann

Internet-Frühwarnsysteme

(2)

ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

(3)

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

(4)

Internet-Analyse-System (IAS)

 Idee

Beobachtung der kritischen

Infrastruktur

„Internet“.

Sonden

werden an

ausgesuchten Positionen des

Internets zur Erfassung von

Rohdaten in die

Kommunikationsleitungen

eingebunden.

Zählen von

Header-Informationen, die nicht

datenschutzrelevant sind.

System sammelt Informationen

über einen großen Zeitraum!

Ein zentrales

Auswertungssystem

Sonde

Internet

(5)

ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en

Internet-Analyse-System (IAS)

 Ziele

3) Erkennen von

Angriffssituationen und

Anomalien

2) Überblick über den

aktuellen Zustand des

Internets

1) Beschreibung von Profilen,

Mustern, Technologietrends und

Zusammenhängen.

Schaffung einer

Wissensbasis.

(6)

Umsetzung des IAS

(7)

Umsetzung des IAS

 Prinzip: Zählen von Header-Informationen

Nur Zähler

+1

(8)

Umsetzung des IAS

 Sonde

RDTPs-Protokoll

(ca. 60 KByte)

(9)

Umsetzung des IAS

(10)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

Transport-Protokoll Verteilung (Profil)

TCP

ESP

ICMP

GRE

UDP

7%

TCP

89%

(11)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

HTTP Methoden

Tagesrhythmus

HEAD genutzt von automatischen Prozessen

GET und POST i.d.R. genutzt von

menschlichen Nutzern

HEAD

GET

POST

GET

92%

HEAD 6%

POST

2%

(12)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Technologietrend

Browserverteilung (Technologietrend)

Tagesprofile, Keine Serverstatistik,

sondern „Leitungsstatistik“

Unterschied zwischen manueller Nutzung

(z.B. Internet Explorer und Firefox) und

automatischer Nutzung (z.B. wget)

zu erkennen.

Firefox

Andere (wget, etc)

Internet Explorer

Andere

(wget, etc)

21 %

Internet

Explorer

42 %

Mozilla

Firefox

32 %

(13)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Technologietrend (TLS)

53%:

RC4 / MD5

30%:

AES / SHA1

11%:

AES / SHA1

(14)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Zusammenhänge

SYN-Scan (Potentielle Angriffsituation)

Vergleich unterschiedlicher Zeiträume

Normal: SYN > SYN/ACK > 2xFIN/ACK

Diskrepanz: Normalverteilung zu Verteilung in einer Angriffssituation

 Angriffssituationserkennung

SYN

(31% - 52%)

SYN/ACK

(26% - 19%)

FIN/ACK

(43% - 30%)

(15)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Profile

SYN-Scan (Potentielle Angriffsituation)

Scan-Zeitraum deutlich zu erkennen

SYN/ACK

FIN/ACK

(16)

Beispiele von Ergebnissen des IAS

 Wissensbasis: Erfahrungen

SMTP Content Type

60% “text” Mails

33 % “attachments”

33%: multipart/mixed

26%: text/plain

4%: text/html

(17)

Beispiele von Ergebnissen des IAS

 Angriffssituationserkennung

SMTP Content Type

Zeitweise mehr E-Mail mit content-type multipart/mixed

-> Mail-Virus?

(18)

Beispiele von Ergebnissen des IAS

(19)

Beispiele von Ergebnissen des IAS

(20)

Inhalt

Internet-Analyse-System

Internet-Verfügbarkeits-System

(21)

Internet-Verfügbarkeits-System

 Idee

Beobachtung der kritischen Infrastruktur

„Internet“.

Dronen

werden an ausgesuchten

Positionen des Internets zur Erfassung

von Verfügbarkeitsdaten eingebunden.

Es werden verschiedene Arten von

Verfügbarkeiten gemessen

Wichtige Webdienste

DNS-Dienst

Kommunikationsverbindungen und

Router

Mail-Dienste und –Server

Parameter:

Dienstgüte: Funktionen,

Fehlerrate, Jitter, Verzögerung,

Paketverlust

Drone

_Drone

(22)

Internet-Verfügbarkeits-System

 Beispiele von Ergebnissen (1/2)

rapidshare.de

File Sharing

Portal

(23)

Internet-Verfügbarkeits-System

 Beispiele von Ergebnissen (2/2)

t-online.net

Informations-Portal

(24)

Prof. Dr. Norbert Pohlmann

Vielen Dank für Ihre Aufmerksamkeit

Fragen ?

Internet-Frühwarnsysteme