Prof. Dr. Norbert Pohlmann
Internet-Frühwarnsysteme
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Analyse-System
Internet-Verfügbarkeits-System
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Analyse-System
Internet-Verfügbarkeits-System
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Analyse-System (IAS)
Idee
Beobachtung der kritischen
Infrastruktur
„Internet“.
Sonden
werden an
ausgesuchten Positionen des
Internets zur Erfassung von
Rohdaten in die
Kommunikationsleitungen
eingebunden.
Zählen von
Header-Informationen, die nicht
datenschutzrelevant sind.
System sammelt Informationen
über einen großen Zeitraum!
Ein zentrales
Auswertungssystem
Sonde
Sonde
Sonde
Sonde
Internet
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Internet-Analyse-System (IAS)
Ziele
3) Erkennen von
Angriffssituationen und
Anomalien
2) Überblick über den
aktuellen Zustand des
Internets
1) Beschreibung von Profilen,
Mustern, Technologietrends und
Zusammenhängen.
Schaffung einer
Wissensbasis.
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Umsetzung des IAS
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Umsetzung des IAS
Prinzip: Zählen von Header-Informationen
Nur Zähler
+1
+1
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Umsetzung des IAS
Sonde
RDTPs-Protokoll
(ca. 60 KByte)
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Umsetzung des IAS
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
Transport-Protokoll Verteilung (Profil)
TCP
ESP
ICMP
GRE
UDP
UDP
7%
TCP
89%
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
HTTP Methoden
Tagesrhythmus
HEAD genutzt von automatischen Prozessen
GET und POST i.d.R. genutzt von
menschlichen Nutzern
HEAD
GET
POST
GET
92%
HEAD 6%
POST
2%
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Technologietrend
Browserverteilung (Technologietrend)
Tagesprofile, Keine Serverstatistik,
sondern „Leitungsstatistik“
Unterschied zwischen manueller Nutzung
(z.B. Internet Explorer und Firefox) und
automatischer Nutzung (z.B. wget)
zu erkennen.
Firefox
Andere (wget, etc)
Internet Explorer
Andere
(wget, etc)
21 %
Internet
Explorer
42 %
Mozilla
Firefox
32 %
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Technologietrend (TLS)
53%:
RC4 / MD5
30%:
AES / SHA1
11%:
AES / SHA1
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Zusammenhänge
SYN-Scan (Potentielle Angriffsituation)
Vergleich unterschiedlicher Zeiträume
Normal: SYN > SYN/ACK > 2xFIN/ACK
Diskrepanz: Normalverteilung zu Verteilung in einer Angriffssituation
Angriffssituationserkennung
SYN
(31% - 52%)
SYN/ACK
(26% - 19%)
FIN/ACK
(43% - 30%)
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Profile
SYN-Scan (Potentielle Angriffsituation)
Scan-Zeitraum deutlich zu erkennen
SYN/ACK
FIN/ACK
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Wissensbasis: Erfahrungen
SMTP Content Type
60% “text” Mails
33 % “attachments”
33%: multipart/mixed
26%: text/plain
4%: text/html
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Beispiele von Ergebnissen des IAS
Angriffssituationserkennung
SMTP Content Type
Zeitweise mehr E-Mail mit content-type multipart/mixed
-> Mail-Virus?
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Beispiele von Ergebnissen des IAS
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Beispiele von Ergebnissen des IAS
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Inhalt
Internet-Analyse-System
Internet-Verfügbarkeits-System
ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en
Internet-Verfügbarkeits-System
Idee
Beobachtung der kritischen Infrastruktur
„Internet“.
Dronen
werden an ausgesuchten
Positionen des Internets zur Erfassung
von Verfügbarkeitsdaten eingebunden.
Es werden verschiedene Arten von
Verfügbarkeiten gemessen
Wichtige Webdienste
DNS-Dienst
Kommunikationsverbindungen und
Router
Mail-Dienste und –Server
Parameter:
Dienstgüte: Funktionen,
Fehlerrate, Jitter, Verzögerung,
Paketverlust
Drone
Drone
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en
Internet-Verfügbarkeits-System
Beispiele von Ergebnissen (1/2)
rapidshare.de
File Sharing
Portal
ann, Insti tut fü r Int ernet -Sich erhe it (if is), F H Ge lsen kirch en