SlideShare ist ein Scribd-Unternehmen logo

Analýza dat z Wardenu

CESNET
CESNET

Prezentace ze Semináře o bezpečnosti sítí a služeb, Praha, 9. 2. 2016

Internet
1 von 26
Downloaden Sie, um offline zu lesen
9. 2. 2016Seminář o bezpečnosti sítí a služeb Analýza dat z Wardenu Václav Bartoš
9. 2. 2016 Analýza dat z Wardenu Analyzovaná data ● 2× 1 měsíc dat z Wardenu – Červen: 29 mil. záznamů ze 7 zdrojů – Listopad: 43 mil. záznamů z 16 zdrojů ● Analýza zaměřena především na počet unikátních adres nahlášených jako zdroj Kategorie Počet záznamů (událostí) Počet unikátních adres červen listopad červen listopad Scanning 27 295 094 42 381 822 814 333 2 965 761 Login attempt 1 718 566 422 201 4 125 4 707 (D)DoS 7 100 70 582 134 315 Exploit attempt -- 26 962 -- 6 997 Copyright 176 790 5 341 732 3 032 Botnet drone 9 981 29 438 61 (bot) 32 (CC) 151 Spam 6 943 15 993 3 593 5 526 Ostatní 7 147 5 585 -- --
9. 2. 2016 Analýza dat z Wardenu Ze kterých zemí přichází nejvíce útoků?
9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres)
9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres)
9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres) Bahrajn ● 1,3 mil obyvatel ● 465,000 IP adres ● 335 / 214 adres zlobí (červen/listopad) ● Pokusy o zalogování na jeden SSH honeypot ● Každá adresa 1-2 hlášení ● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“ ● Vše v rámci 5 hodin / 2 dnů Bahrajn ● 1,3 mil obyvatel ● 465,000 IP adres ● 335 / 214 adres zlobí (červen/listopad) ● Pokusy o zalogování na jeden SSH honeypot ● Každá adresa 1-2 hlášení ● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“ ● Vše v rámci 5 hodin / 2 dnů
9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres)
9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres) (D)DoS útoky ● Polsko, Slovensko, ČR, Rakousko: 77% ● Přímé linky ● Cíle často nejsou v CESNETu ● útoky přes nás jen procházejí ● Reflektivní útoky ● zdroj = zneužitý server ● požadavky i odpovědi → snažší detekce (D)DoS útoky ● Polsko, Slovensko, ČR, Rakousko: 77% ● Přímé linky ● Cíle často nejsou v CESNETu ● útoky přes nás jen procházejí ● Reflektivní útoky ● zdroj = zneužitý server ● požadavky i odpovědi → snažší detekce
9. 2. 2016 Analýza dat z Wardenu Zdroje útoků v ČR
9. 2. 2016 Analýza dat z Wardenu Počet událostí se zdrojem v ČR ● Počet událostí: 70 861 865 – Z toho z ČR: 647 350 (0,91 %) ● Počet zdrojových adres: 3 744 985 – Z toho z ČR: 10 846 (0,29 %)
9. 2. 2016 Analýza dat z Wardenu Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí 18% 20% 5% 5% 6% 9% 9% 19% WEDOS Internet Liberty Global Operations B.V. (UPC) O2 Czech Republic FDCservers.net T-Mobile Czech Republic a.s. OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o. RIO Media a.s. Ostatní české AS (254) CESNET z.s.p.o.
9. 2. 2016 Analýza dat z Wardenu Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí 18% 20% 5% 5% 6% 9% 9% 19% WEDOS Internet Liberty Global Operations B.V. (UPC) O2 Czech Republic FDCservers.net T-Mobile Czech Republic a.s. OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o. RIO Media a.s. Ostatní české AS (254) CESNET z.s.p.o. Téměř vše z jedné IP adresy (scanner jisté bezpečnostní firmy) Téměř vše z jedné IP adresy (scanner jisté bezpečnostní firmy)
9. 2. 2016 Analýza dat z Wardenu Ze kterých českých AS útoky přicházejí? Top-10 AS podle počtu adres (skenování) 3% 32% 3% 6% 22% 25% O2 Czech Republic Liberty Global Operations B.V. (UPC) T-Mobile Czech Republic a.s. PODA a.s. SMART Comp. a.s. RIO Media a.s. Dial Telecom Vodafone Czech Republic a.s. FreeTel CD-Telematika a.s. Ostatní české AS (242) CESNET z.s.p.o. Ostatní typy útoků: Login: 23 adres z 15 AS (D)DoS: 36 adres z 10 AS
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů?
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována? 8,5% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 65% všech událostí 3,4% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 49% všech událostí
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována? 15,4% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 51% všech událostí 6,3% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 37% všech událostí
9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována? 42,9% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 97% všech událostí 29,8% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 94% všech událostí
9. 2. 2016 Analýza dat z Wardenu Predikce útoků
9. 2. 2016 Analýza dat z Wardenu Predikce 1 2 3 4 5 6 7 8 9 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech (D)DoS Login Skenování Počet po sobě jdoucích dní, kdy byla adresa detekována Pravděpodobnostdetekcevnásledujícímdni
9. 2. 2016 Analýza dat z Wardenu Predikce 1 2 3 4 5 6 7 8 9 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech (D)DoS Login Skenování Počet po sobě jdoucích dní, kdy byla adresa detekována Pravděpodobnostdetekcevnásledujícímdni
9. 2. 2016 Analýza dat z Wardenu Predikce 1 2 3 4 5 6 7 8 9 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech (D)DoS Login Skenování Počet po sobě jdoucích dní, kdy byla adresa detekována Pravděpodobnostdetekcevnásledujícímdni
9. 2. 2016 Analýza dat z Wardenu Shrnutí ● Data jen ze sítě CESNET2 – Jen typ události, čas, IP adresa zdroje ● Jen jednoduché statistky → přesto mnoho zajímavých informací ● Ale také spousta nových otázek ● Potřeba mnohem podrobnějších analýz – Víc vstupních dat – Zanořit se hlouběji do dat – Automatizovaně, on-line

Empfohlen

Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Vladimír Smitka
 
Manejo del diabético con enfermedad coronaria
Manejo del diabético con enfermedad coronariaManejo del diabético con enfermedad coronaria
Manejo del diabético con enfermedad coronariaLina Patricia Pradilla
 
Portfolio
PortfolioPortfolio
Portfoliotazevil6668
 
33. fisiopatologia de la diabetes
33. fisiopatologia de la diabetes33. fisiopatologia de la diabetes
33. fisiopatologia de la diabetesxelaleph
 
Manejo Hidroelectrolitico Del Recien Nacido 2009
Manejo Hidroelectrolitico Del Recien Nacido 2009Manejo Hidroelectrolitico Del Recien Nacido 2009
Manejo Hidroelectrolitico Del Recien Nacido 2009xelaleph
 
Fisiopatologia Diabetes Mellitus 2
Fisiopatologia Diabetes Mellitus 2Fisiopatologia Diabetes Mellitus 2
Fisiopatologia Diabetes Mellitus 2Lina Patricia Pradilla
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETCESNET
 
Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNSCESNET
 

Empfohlen

Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Co ukázal globální scan přístupných .git repozitářů?
Co ukázal globální scan přístupných .git repozitářů?Vladimír Smitka
 
Manejo del diabético con enfermedad coronaria
Manejo del diabético con enfermedad coronariaManejo del diabético con enfermedad coronaria
Manejo del diabético con enfermedad coronariaLina Patricia Pradilla
 
Portfolio
PortfolioPortfolio
Portfoliotazevil6668
 
33. fisiopatologia de la diabetes
33. fisiopatologia de la diabetes33. fisiopatologia de la diabetes
33. fisiopatologia de la diabetesxelaleph
 
Manejo Hidroelectrolitico Del Recien Nacido 2009
Manejo Hidroelectrolitico Del Recien Nacido 2009Manejo Hidroelectrolitico Del Recien Nacido 2009
Manejo Hidroelectrolitico Del Recien Nacido 2009xelaleph
 
Fisiopatologia Diabetes Mellitus 2
Fisiopatologia Diabetes Mellitus 2Fisiopatologia Diabetes Mellitus 2
Fisiopatologia Diabetes Mellitus 2Lina Patricia Pradilla
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETCESNET
 
Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNSCESNET
 
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůCESNET
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíCESNET
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyCESNET
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratořCESNET
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware HoudinyCESNET
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 openingCESNET
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksCESNET
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresCESNET
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksCESNET
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progressCESNET
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETCESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...CESNET
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeCESNET
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratořCESNET
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETuCESNET
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyCESNET
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíCESNET
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNETCESNET
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2CESNET
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2CESNET
 

Weitere ähnliche Inhalte

Mehr von CESNET

Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůCESNET
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíCESNET
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyCESNET
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratořCESNET
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware HoudinyCESNET
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 openingCESNET
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksCESNET
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresCESNET
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksCESNET
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progressCESNET
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETCESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...CESNET
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeCESNET
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratořCESNET
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETuCESNET
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyCESNET
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíCESNET
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNETCESNET
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2CESNET
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2CESNET
 

Mehr von CESNET (20)

Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostí
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými Incidenty
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratoř
 
Malware Houdiny
Malware HoudinyMalware Houdiny
Malware Houdiny
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 opening
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networks
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructures
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networks
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progress
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném čase
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratoř
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETu
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické pošty
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využití
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNET
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2
 
Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2Komunikační infrastruktura - síť CESNET2
Komunikační infrastruktura - síť CESNET2
 

Analýza dat z Wardenu

  • 1. 9. 2. 2016Seminář o bezpečnosti sítí a služeb Analýza dat z Wardenu Václav Bartoš
  • 2. 9. 2. 2016 Analýza dat z Wardenu Analyzovaná data ● 2× 1 měsíc dat z Wardenu – Červen: 29 mil. záznamů ze 7 zdrojů – Listopad: 43 mil. záznamů z 16 zdrojů ● Analýza zaměřena především na počet unikátních adres nahlášených jako zdroj Kategorie Počet záznamů (událostí) Počet unikátních adres červen listopad červen listopad Scanning 27 295 094 42 381 822 814 333 2 965 761 Login attempt 1 718 566 422 201 4 125 4 707 (D)DoS 7 100 70 582 134 315 Exploit attempt -- 26 962 -- 6 997 Copyright 176 790 5 341 732 3 032 Botnet drone 9 981 29 438 61 (bot) 32 (CC) 151 Spam 6 943 15 993 3 593 5 526 Ostatní 7 147 5 585 -- --
  • 3. 9. 2. 2016 Analýza dat z Wardenu Ze kterých zemí přichází nejvíce útoků?
  • 4. 9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres)
  • 5. 9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres)
  • 6. 9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres) Bahrajn ● 1,3 mil obyvatel ● 465,000 IP adres ● 335 / 214 adres zlobí (červen/listopad) ● Pokusy o zalogování na jeden SSH honeypot ● Každá adresa 1-2 hlášení ● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“ ● Vše v rámci 5 hodin / 2 dnů Bahrajn ● 1,3 mil obyvatel ● 465,000 IP adres ● 335 / 214 adres zlobí (červen/listopad) ● Pokusy o zalogování na jeden SSH honeypot ● Každá adresa 1-2 hlášení ● Whois: „Zain Bahrain WiMax“ „Mena WiMAX core“ ● Vše v rámci 5 hodin / 2 dnů
  • 7. 9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres)
  • 8. 9. 2. 2016 Analýza dat z Wardenu Zdroje podle země 33,9% 4,1% 4,3% 4,5% 4,5% 6,4% 6,5% 14,0% 18,2% Čína Rusko USA Španělsko Indie Thajsko Brazílie Turecko Ukraina Itálie Ostatní 21,2% 2,6% 5,4% 6,3% 6,7% 11,0% 13,2% 14,1% 15,1% Čína Indie Brazílie USA Rusko Bahrain Itálie Hong Kong Jižní Korea Pákistán Ostatní Skenování (3,7 mil adres) Login (8 598 adres) Top 10 podle počtu unikátních adres 8,6% 3,8% 5,4% 8,6% 26,3% 38,7% Polsko Slovensko Česká republika Thajsko Rakousko Rusko Čína Německo Velká Británie USA Ostatní (D)DoS (385 adres) (D)DoS útoky ● Polsko, Slovensko, ČR, Rakousko: 77% ● Přímé linky ● Cíle často nejsou v CESNETu ● útoky přes nás jen procházejí ● Reflektivní útoky ● zdroj = zneužitý server ● požadavky i odpovědi → snažší detekce (D)DoS útoky ● Polsko, Slovensko, ČR, Rakousko: 77% ● Přímé linky ● Cíle často nejsou v CESNETu ● útoky přes nás jen procházejí ● Reflektivní útoky ● zdroj = zneužitý server ● požadavky i odpovědi → snažší detekce
  • 9. 9. 2. 2016 Analýza dat z Wardenu Zdroje útoků v ČR
  • 10. 9. 2. 2016 Analýza dat z Wardenu Počet událostí se zdrojem v ČR ● Počet událostí: 70 861 865 – Z toho z ČR: 647 350 (0,91 %) ● Počet zdrojových adres: 3 744 985 – Z toho z ČR: 10 846 (0,29 %)
  • 11. 9. 2. 2016 Analýza dat z Wardenu Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí 18% 20% 5% 5% 6% 9% 9% 19% WEDOS Internet Liberty Global Operations B.V. (UPC) O2 Czech Republic FDCservers.net T-Mobile Czech Republic a.s. OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o. RIO Media a.s. Ostatní české AS (254) CESNET z.s.p.o.
  • 12. 9. 2. 2016 Analýza dat z Wardenu Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí 18% 20% 5% 5% 6% 9% 9% 19% WEDOS Internet Liberty Global Operations B.V. (UPC) O2 Czech Republic FDCservers.net T-Mobile Czech Republic a.s. OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o. RIO Media a.s. Ostatní české AS (254) CESNET z.s.p.o. Téměř vše z jedné IP adresy (scanner jisté bezpečnostní firmy) Téměř vše z jedné IP adresy (scanner jisté bezpečnostní firmy)
  • 13. 9. 2. 2016 Analýza dat z Wardenu Ze kterých českých AS útoky přicházejí? Top-10 AS podle počtu adres (skenování) 3% 32% 3% 6% 22% 25% O2 Czech Republic Liberty Global Operations B.V. (UPC) T-Mobile Czech Republic a.s. PODA a.s. SMART Comp. a.s. RIO Media a.s. Dial Telecom Vodafone Czech Republic a.s. FreeTel CD-Telematika a.s. Ostatní české AS (242) CESNET z.s.p.o. Ostatní typy útoků: Login: 23 adres z 15 AS (D)DoS: 36 adres z 10 AS
  • 14. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů?
  • 15. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
  • 16. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
  • 17. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
  • 18. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována?
  • 19. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována? 8,5% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 65% všech událostí 3,4% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 49% všech událostí
  • 20. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována? 15,4% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 51% všech událostí 6,3% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 37% všech událostí
  • 21. 9. 2. 2016 Analýza dat z Wardenu Jak moc se opakují útoky ze stejných zdrojů? ● V kolika dnech v měsíci byla jedna adresa detekována? 42,9% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 97% všech událostí 29,8% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 94% všech událostí
  • 22. 9. 2. 2016 Analýza dat z Wardenu Predikce útoků
  • 23. 9. 2. 2016 Analýza dat z Wardenu Predikce 1 2 3 4 5 6 7 8 9 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech (D)DoS Login Skenování Počet po sobě jdoucích dní, kdy byla adresa detekována Pravděpodobnostdetekcevnásledujícímdni
  • 24. 9. 2. 2016 Analýza dat z Wardenu Predikce 1 2 3 4 5 6 7 8 9 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech (D)DoS Login Skenování Počet po sobě jdoucích dní, kdy byla adresa detekována Pravděpodobnostdetekcevnásledujícímdni
  • 25. 9. 2. 2016 Analýza dat z Wardenu Predikce 1 2 3 4 5 6 7 8 9 10 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech (D)DoS Login Skenování Počet po sobě jdoucích dní, kdy byla adresa detekována Pravděpodobnostdetekcevnásledujícímdni
  • 26. 9. 2. 2016 Analýza dat z Wardenu Shrnutí ● Data jen ze sítě CESNET2 – Jen typ události, čas, IP adresa zdroje ● Jen jednoduché statistky → přesto mnoho zajímavých informací ● Ale také spousta nových otázek ● Potřeba mnohem podrobnějších analýz – Víc vstupních dat – Zanořit se hlouběji do dat – Automatizovaně, on-line