Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce analizowanego ruchu, przygotowaliśmy wizualizacje przedstawiające przepływy z portu 80/TCP otrzymywane przez nasze honeypoty.
Poniższe animacje obrazują ruch zebrany od 7 do 12 lipca 2011. W celu zwiększenia przejrzystości wybraliśmy jedynie pakiety skierowane na porty docelowe zakwalifikowane przez system ARAKIS jako coraz częściej używane. Pozwoliło to usunąć część ruchu związanego ze skanowaniem popularnych portów. Analiza otrzymanych w ten sposób danych wykazała, że większość przepływów pochodzi od wąskiego zakresu adresów IP (prawdopodobnie celu ataku DDoS): 113.105.171.54-62
. Przepływy pochodzące z tego zakresu adresów zostały zaznaczone kolorem czerwonym.
1 sekunda animacji = 2.7 godziny ruchu
okno czasowe 60 minut
1 sekunda animacji = 30 minut ruchu
okno czasowe 30 minut
Szczegóły techniczne
Każda linia odpowiada przepływowi TCP z portu 80. Zmienna „source” to źródłowy adres IP, względem całej przestrzeni adresowej IPv4. W analizowanym przypadku adresy źródłowe zazwyczaj odpowiadają serwerom, które są atakowane. Zmienna „port” określa na jaki port docelowy został wysłany pakiet (zakres 0-65535). Zmienna „destination” odpowiada docelowemu adresowi IP, jednak w tym przypadku są one narysowane względem połączony zakresów IP wszystkich honeynetów, a nie pełnej 32-bitowej przestrzeni. Każda ramka animacji jest wykresem w równoległych współrzędnych (parallel coordinates plot). Sekwencja wykresów została utworzone poprzez zastosowanie przesuwnego okna na całym 3-dniowym zbiorze danych.
Wnioski
Obserwując charakterystykę generowanego ruchu, można podzielić adresy źródłowe na kilka grup.
- wysyłające pakiety na pojedyncze porty i wąskie zakresy IP przez krótki czas – różne możliwe przyczyny, np. skanowanie, odpowiedzi na sfałszowane żądania
- źródła pojedynczych przepływów – „szum”
- wysyłające pakiety na losowe porty i szerokie zakresy IP przez ograniczony czas – prawdopodobnie odpowiedzi na sfałszowane żądania, echa DoS
- jak wyżej, ale przez długi okres czasu
Wyróżniony zakres IP odpowiedzialny za większość ruchu należy do ostatniej grupy – był nieprzerwanie aktywny przez cały analizowany okres.
Można również zauważyć, że rozkład połączeń przychodzących względem przestrzeni adresowej sond nie jest jednostajny i niektóre klasy otrzymują znacznie więcej ruchu związanego z atakami DoS lub skanowaniami.