SlideShare una empresa de Scribd logo

Cómo detectar redes Fast Flux con Passive DNS y PFFDetect

Miquel Tur Mongé
Miquel Tur Mongé

Presentación sobre las Redes FastFlux

Tecnología
1 de 40
Redes Fast Flux Miquel Tur
¿Este quién es?  Miquel Tur  Estudiante del Grado en Ingeniería Informática  Especialización en Tecnologías de la Información (TI)    Sistemas Operativos Redes Finalizando el TFG en la empresa BDigital.  Proyecto relacionado con la seguridad de los dispositivos móviles.  Análisis del tráfico red que producen para detectar dispositivos infectados.
¿Qué nos va a contar?  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
Conocimientos previos  DNS (Domain Name System)   Sistema de nombres de dominio. Principal función:    Traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red. Puertos 53/UDP 53/TCP 3 componentes:    Cliente Servidor Zona autoridad  Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos últimos no son delegados a otras zonas de autoridad.
DNS - Arquitectura
DNS - Servidor Raíz (RootServer)
DNS  Suele ser transparente al usuario   Navegador Cliente de Correo
DNS  Recursiva  Iterativa
DNS - Recursiva  El servidor hará lo posible para devolver la respuesta final al cliente.      Si el servidor tiene la respuesta final, la devuelve. Si no tiene la respuesta final, él mismo pregunta al nivel de autoridad inferior por la respuesta. Puede suceder que dentro de una consulta recursiva haya varias consultas iterativas. No todos los nameservers tienen que soportar búsquedas recursivas. La carga de la consulta recae sobre el servidor.
DNS - Recursiva
DNS - Iterativa  El servidor DNS responde al cliente en función de su propio conocimiento específico acerca del espacio de nombres, sin tener en cuenta los datos de los nombres que se están consultando.  La carga de la consulta recae sobre el cliente.  Se da cuando:   El cliente solicita el uso de la recursividad, pero ésta se encuentra deshabilitada en el servidor DNS. El cliente no solicita el uso de la recursividad cuando consulta el servidor DNS.
DNS - Iterativa
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
¿Por qué investigo las redes Fast Flux?  En el Proyecto me las he encontrado.    He aprendido a detectarlas Son interesantes. Usadas para ocultar el propio servidor y evitar bloqueos al realizar fraudes en la red.
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
¿Qué son las redes Fast Flux?  Las redes Fast Flux:    Dado un nombre de dominio, por ejemplo, “ffdomain.com”, que éste tenga varias direcciones IP asignadas. Estas IP serán de dispositivos comprometidos que servirán de enlace entre el cliente y el servidor que almacena el contenido malicioso. Se irán devolviendo IP diferentes cuando se hagan peticiones DNS.   Devolverá 1 o más direcciones. Elección de IPs:   Round-Robin Otros algoritmos donde intervengan parámetros como:      Ancho de banda Uso de red Saltos entre puntos finales Etc. Tendrán TTL (Time To Live) bajos para que se cambien rápidamente y se vayan alternando.
Ejemplo muy sencillo
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
¿Para qué sirven?  Ocultar el Host central.  Evitar que se bloqueen las IP del dominio.  ¿Por qué nos interesa lo anterior?  Cometer Fraude:  Propagación de spam  Ataques de phishing  Diseminar malware …
Intentando bloquear direcciones IP
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
Ventajas que obtienen los atacantes  Simplicidad.    Menos infraestructura. Ahorro en tiempo de mantenimiento. Protección ante investigaciones.  Una o varias capas entre la víctima y el host central.   Dificulta el rastreado de huellas y llegar al host central. Hosts repartidos por el mundo.   Jurisprudencias diferentes. Auditorias desactivadas.   No deja evidencias. Expansión de la vida de la estafa.  Dinamismo de la red + diferentes capas de conexión  Dificulta y retrasa el proceso de identificación y corte del servicio.
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
Tipos de Redes Fast Flux  Single Fast-Flux  Double Fast-Flux
Single Fast-Flux  La implementación sencilla.  ¿Cómo funciona?     La víctima intenta acceder a un dominio. La respuesta DNS se corresponde a una o varias direcciones IP de equipos infectados. Las IP varían constantemente. Los equipos actúan como proxy entre la victima y el servidor central.  Normalmente se aplica a tráfico HTTP.  Se puede aplicar a cualquier otro tipo de conexión.   TCP UDP
Single Fast-Flux
Double Fast-Flux  El mismo concepto.  Añadimos una capa más de redundancia.  Varían los registros NS correspondientes a los servidores DNS autorizados.  Las peticiones DNS de la víctima son respondidas directamente por la red Fast-Flux.
Double Fast-Flux
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
¿Cómo detectarlas? – Passive DNS  Montamos un Passive DNS  Monitoreo y almacenamiento del tráfico DNS.  Usaremos 3 Tablas:  Dominios consultados     ID (identificador) Nombre del domino Registros A (IP) totales devueltos. Registros NS totales devueltos.  Registros A por dominio     ID del dominio IP Fecha de la última vez que se ha devuelto esa IP El AS (Autonomous System) a la que pertenece la IP   Registros NS por dominio    ID del dominio Nombre del servidor de nombres devuelto Fecha de la última vez que se ha devuelto ese NS    Lo encontramos con MaxMind. El país en el que está el host de la IP. El rango de la IP (IP/16) También podemos guardar el TTL.
¿Cómo detectarlas? – Primeros indicios 1. Buscamos dominios que tengan más IP devueltas que las IP que devuelve en cada consulta. 2. Aplicamos fórmula matemática*: 1.32*nA + 18.54*nASN + 0*nNS > b with b = 142.38    3. nA = número total de registros A nASN = número total de AS distintos nNS = número total de registros NS Si la fórmula nos da un número superior a 142.38, ya tenemos los primeros indicios de que se trata de una red FastFlux. * Fórmula extraída del paper “Measuring and Detecting Fast-Flux Service Networks” http://pi1.informatik.uni-mannheim.de/filepool/publications/fast-flux-ndss08.pdf
¿Cómo detectarlas? – Diferencias con CDNs  Los dominios obtenidos hasta ahora pueden ser redes FastFlux o CDNs (Content Distribution Network).  ¿Cómo distinguirlas?  CDNs:    Suelen distribuirse por un par de países (o uno). Suelen tener pocos rangos de IP. Redes FastFlux  Al estar compuesta por ordenadores infectados, estos:   Están distribuidos de forma aleatoria por todo el mundo (muchos países) Al ser las IP aleatorias, hay muchos rangos de IP.
¿Cómo detectarlas? - Ya la tenemos  Hay que seleccionar aquellas que:    Sus IP pertenezcan a hosts distribuidos por muchos países Al mirar la IP/16 (El rango) haya muchas. Un análisis propio me dio como resultados:   Más de 10 países Más de 10 rangos * No es 100% seguro. Alta probabilidad de éxito
¿Cómo detectarlas? – Solución Rápida  Manera rápida:  Proyectos que ya existen como pffdetect    https://code.google.com/p/pffdetect/ Posibilidad de procesar un único dominio o lista de ellos. Múltiples formas de comprobar el AS de una dirección IP      Team-Cymru MaxMind Posibilidad de usar múltiples cores Posibilidad de ejecutarse como aplicación de consola o importarse como módulo Calcula las probabilidades de que un dominio utilice técnicas de Fast-Flux.
 Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
Passive DNS
PFFDetect
Redes Fast Flux interconectadas  Obtenida de SecViz y realizada por Jaime Blasco.
FIN   Gracias por su atención ¿Alguna pregunta? Miquel Tur

Recomendados

Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Daniel Oscar Fortin
 
Clase 03 Protocolos Y Servicios De Red
Clase 03 Protocolos Y Servicios De RedClase 03 Protocolos Y Servicios De Red
Clase 03 Protocolos Y Servicios De RedJaime Valenzuela
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingG2K Hosting
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEHéctor López
 
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONRESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONEdgaarImaanoolOrteeg
 
Servidor proxi
Servidor proxiServidor proxi
Servidor proxijesusraultkm
 
Replay attack
Replay attackReplay attack
Replay attackAlexander Velasque Rimac
 
Sistemas Distribuidos de Denegación de Servicio
Sistemas Distribuidos de Denegación de ServicioSistemas Distribuidos de Denegación de Servicio
Sistemas Distribuidos de Denegación de ServicioAlan Resendiz
 

Recomendados

Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Daniel Oscar Fortin
 
Clase 03 Protocolos Y Servicios De Red
Clase 03 Protocolos Y Servicios De RedClase 03 Protocolos Y Servicios De Red
Clase 03 Protocolos Y Servicios De RedJaime Valenzuela
 
Ataques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingAtaques DDoS y DoS | G2k hosting
Ataques DDoS y DoS | G2k hostingG2K Hosting
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEHéctor López
 
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONRESUMEN LIBRO IPv6 NETWORK ADMINISTRATION
RESUMEN LIBRO IPv6 NETWORK ADMINISTRATIONEdgaarImaanoolOrteeg
 
Servidor proxi
Servidor proxiServidor proxi
Servidor proxijesusraultkm
 
Replay attack
Replay attackReplay attack
Replay attackAlexander Velasque Rimac
 
Sistemas Distribuidos de Denegación de Servicio
Sistemas Distribuidos de Denegación de ServicioSistemas Distribuidos de Denegación de Servicio
Sistemas Distribuidos de Denegación de ServicioAlan Resendiz
 
Denegacion de servicio
Denegacion de servicioDenegacion de servicio
Denegacion de servicioTensor
 
Scapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redScapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redDavid Cristóbal
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
Envenenamiento arp - spoofing
Envenenamiento arp - spoofingEnvenenamiento arp - spoofing
Envenenamiento arp - spoofingsaul calle espinoza
 
¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?Supra Networks
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarGabriel Marcos
 
La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...Jaime Sánchez
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Chema Alonso
 
Transparencia resumen examen final
Transparencia resumen examen finalTransparencia resumen examen final
Transparencia resumen examen finalRuben Torres Bazan
 
Seguridad en IPv6
Seguridad en IPv6Seguridad en IPv6
Seguridad en IPv6Gabriel Marcos
 
Main in the middle
Main in the middleMain in the middle
Main in the middleAlexander Velasque Rimac
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Cain & abel (sniffer)
Cain & abel (sniffer)Cain & abel (sniffer)
Cain & abel (sniffer)Tensor
 
Pedro ruiz
Pedro ruizPedro ruiz
Pedro ruizPEDROYHANSY
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
los seguridad puertos
los seguridad puertos los seguridad puertos
los seguridad puertos jhordy2000
 
Trabajo de Multimedia
Trabajo de MultimediaTrabajo de Multimedia
Trabajo de Multimediamigueleon593
 
software
softwaresoftware
softwareEduardo Rolas
 
SIS Herald#10
SIS Herald#10SIS Herald#10
SIS Herald#10Aysem Bray
 
bshaffer_resume_may15
bshaffer_resume_may15bshaffer_resume_may15
bshaffer_resume_may15Brian Shaffer
 
Ben Herzog Resume
Ben Herzog ResumeBen Herzog Resume
Ben Herzog ResumeBen Herzog
 

Más contenido relacionado

La actualidad más candente

Denegacion de servicio
Denegacion de servicioDenegacion de servicio
Denegacion de servicioTensor
 
Scapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redScapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redDavid Cristóbal
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?Supra Networks
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarGabriel Marcos
 
La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...Jaime Sánchez
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Chema Alonso
 
Transparencia resumen examen final
Transparencia resumen examen finalTransparencia resumen examen final
Transparencia resumen examen finalRuben Torres Bazan
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Cain & abel (sniffer)
Cain & abel (sniffer)Cain & abel (sniffer)
Cain & abel (sniffer)Tensor
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
los seguridad puertos
los seguridad puertos los seguridad puertos
los seguridad puertos jhordy2000
 

La actualidad más candente (17)

Denegacion de servicio
Denegacion de servicioDenegacion de servicio
Denegacion de servicio
 
Scapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de redScapy. Generación y manipulación básica de paquetes de red
Scapy. Generación y manipulación básica de paquetes de red
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusos
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaning
 
Envenenamiento arp - spoofing
Envenenamiento arp - spoofingEnvenenamiento arp - spoofing
Envenenamiento arp - spoofing
 
¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?¿Se pueden evitar los ataques DDoS?
¿Se pueden evitar los ataques DDoS?
 
Seguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerarSeguridad en IPv6: los riesgos que las empresas deben considerar
Seguridad en IPv6: los riesgos que las empresas deben considerar
 
La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...La problemática de la identificación de los participantes en las plataformas ...
La problemática de la identificación de los participantes en las plataformas ...
 
Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6Pitufo Isa Server 2 K6
Pitufo Isa Server 2 K6
 
Transparencia resumen examen final
Transparencia resumen examen finalTransparencia resumen examen final
Transparencia resumen examen final
 
Seguridad en IPv6
Seguridad en IPv6Seguridad en IPv6
Seguridad en IPv6
 
Main in the middle
Main in the middleMain in the middle
Main in the middle
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
Cain & abel (sniffer)
Cain & abel (sniffer)Cain & abel (sniffer)
Cain & abel (sniffer)
 
Pedro ruiz
Pedro ruizPedro ruiz
Pedro ruiz
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
los seguridad puertos
los seguridad puertos los seguridad puertos
los seguridad puertos
 

Destacado

Trabajo de Multimedia
Trabajo de MultimediaTrabajo de Multimedia
Trabajo de Multimediamigueleon593
 
bshaffer_resume_may15
bshaffer_resume_may15bshaffer_resume_may15
bshaffer_resume_may15Brian Shaffer
 
Ben Herzog Resume
Ben Herzog ResumeBen Herzog Resume
Ben Herzog ResumeBen Herzog
 
EXMA - ExpoMarketing Bogotá 2015 | Ouali Benmeziane
EXMA - ExpoMarketing Bogotá 2015 | Ouali BenmezianeEXMA - ExpoMarketing Bogotá 2015 | Ouali Benmeziane
EXMA - ExpoMarketing Bogotá 2015 | Ouali BenmezianeOuali Benmeziane
 
postcard_Sealofex _eco-friendly
postcard_Sealofex _eco-friendlypostcard_Sealofex _eco-friendly
postcard_Sealofex _eco-friendlyBrittany Brown
 
E portafolio salud y sociead
E portafolio salud y socieadE portafolio salud y sociead
E portafolio salud y socieadkeissel
 
Palabras claves del ph jefer lozada
Palabras claves del ph jefer lozadaPalabras claves del ph jefer lozada
Palabras claves del ph jefer lozadaJeferson Lozada
 
Marketing mix presentation
Marketing mix presentationMarketing mix presentation
Marketing mix presentationleek1
 
Undercover Boss Research
Undercover Boss ResearchUndercover Boss Research
Undercover Boss ResearchAna Popovic
 
DM2E - Europeana Cloud
DM2E - Europeana CloudDM2E - Europeana Cloud
DM2E - Europeana CloudJoris Klerkx
 

Destacado (19)

Trabajo de Multimedia
Trabajo de MultimediaTrabajo de Multimedia
Trabajo de Multimedia
 
software
softwaresoftware
software
 
SIS Herald#10
SIS Herald#10SIS Herald#10
SIS Herald#10
 
bshaffer_resume_may15
bshaffer_resume_may15bshaffer_resume_may15
bshaffer_resume_may15
 
Ben Herzog Resume
Ben Herzog ResumeBen Herzog Resume
Ben Herzog Resume
 
LAURA RASMUSSEN1-1-2-1
LAURA RASMUSSEN1-1-2-1LAURA RASMUSSEN1-1-2-1
LAURA RASMUSSEN1-1-2-1
 
EXMA - ExpoMarketing Bogotá 2015 | Ouali Benmeziane
EXMA - ExpoMarketing Bogotá 2015 | Ouali BenmezianeEXMA - ExpoMarketing Bogotá 2015 | Ouali Benmeziane
EXMA - ExpoMarketing Bogotá 2015 | Ouali Benmeziane
 
Resume-Aerothermo-updatedzil
Resume-Aerothermo-updatedzilResume-Aerothermo-updatedzil
Resume-Aerothermo-updatedzil
 
postcard_Sealofex _eco-friendly
postcard_Sealofex _eco-friendlypostcard_Sealofex _eco-friendly
postcard_Sealofex _eco-friendly
 
Evangelio según san juan 17
Evangelio según san juan 17Evangelio según san juan 17
Evangelio según san juan 17
 
E portafolio salud y sociead
E portafolio salud y socieadE portafolio salud y sociead
E portafolio salud y sociead
 
Palabras claves del ph jefer lozada
Palabras claves del ph jefer lozadaPalabras claves del ph jefer lozada
Palabras claves del ph jefer lozada
 
Overview - S.A.
Overview - S.A.Overview - S.A.
Overview - S.A.
 
James Resume
James ResumeJames Resume
James Resume
 
BUDAYA
BUDAYABUDAYA
BUDAYA
 
Marketing mix presentation
Marketing mix presentationMarketing mix presentation
Marketing mix presentation
 
Undercover Boss Research
Undercover Boss ResearchUndercover Boss Research
Undercover Boss Research
 
Darketos
DarketosDarketos
Darketos
 
DM2E - Europeana Cloud
DM2E - Europeana CloudDM2E - Europeana Cloud
DM2E - Europeana Cloud
 

Similar a Cómo detectar redes Fast Flux con Passive DNS y PFFDetect

tema y seguridad de redes
tema y seguridad de redes tema y seguridad de redes
tema y seguridad de redes DavidPanchi3
 
Seguridad
SeguridadSeguridad
Seguridad1 2d
 
Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2DUBANTKDX
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesmagyta_aleja
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxJeryBrand
 
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalAplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalGiovanni Orozco
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informaticaysabel moreno
 
Dispositivas
DispositivasDispositivas
DispositivasLupitaAR
 
Manejo de Datos Seguros En La Deepweb
Manejo de Datos Seguros En La DeepwebManejo de Datos Seguros En La Deepweb
Manejo de Datos Seguros En La DeepwebOmar Escalante
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensaMariano Galvez
 
Practicas proxy
Practicas proxyPracticas proxy
Practicas proxyyese94
 
Denegación de servicio
Denegación de servicioDenegación de servicio
Denegación de servicioYufri Soto
 

Similar a Cómo detectar redes Fast Flux con Passive DNS y PFFDetect (20)

Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusos
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
tema y seguridad de redes
tema y seguridad de redes tema y seguridad de redes
tema y seguridad de redes
 
Seguridad
SeguridadSeguridad
Seguridad
 
Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Unidad 3 seguridad de redes
Unidad 3 seguridad de redesUnidad 3 seguridad de redes
Unidad 3 seguridad de redes
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redes
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
ANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptxANÁLISIS-DE-METADATOS-1(2).pptx
ANÁLISIS-DE-METADATOS-1(2).pptx
 
Seguridad en rede sjuandavidvelez
Seguridad en rede sjuandavidvelezSeguridad en rede sjuandavidvelez
Seguridad en rede sjuandavidvelez
 
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalAplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación Final
 
Actividad 3-redes-y-seguridad
Actividad 3-redes-y-seguridadActividad 3-redes-y-seguridad
Actividad 3-redes-y-seguridad
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informatica
 
Informatica
InformaticaInformatica
Informatica
 
Dispositivas
DispositivasDispositivas
Dispositivas
 
Manejo de Datos Seguros En La Deepweb
Manejo de Datos Seguros En La DeepwebManejo de Datos Seguros En La Deepweb
Manejo de Datos Seguros En La Deepweb
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
Practicas proxy
Practicas proxyPracticas proxy
Practicas proxy
 
Denegación de servicio
Denegación de servicioDenegación de servicio
Denegación de servicio
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (13)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

Cómo detectar redes Fast Flux con Passive DNS y PFFDetect

  • 2. ¿Este quién es?  Miquel Tur  Estudiante del Grado en Ingeniería Informática  Especialización en Tecnologías de la Información (TI)    Sistemas Operativos Redes Finalizando el TFG en la empresa BDigital.  Proyecto relacionado con la seguridad de los dispositivos móviles.  Análisis del tráfico red que producen para detectar dispositivos infectados.
  • 3. ¿Qué nos va a contar?  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 4.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 5. Conocimientos previos  DNS (Domain Name System)   Sistema de nombres de dominio. Principal función:    Traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red. Puertos 53/UDP 53/TCP 3 componentes:    Cliente Servidor Zona autoridad  Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos últimos no son delegados a otras zonas de autoridad.
  • 7. DNS - Servidor Raíz (RootServer)
  • 8. DNS  Suele ser transparente al usuario   Navegador Cliente de Correo
  • 10. DNS - Recursiva  El servidor hará lo posible para devolver la respuesta final al cliente.      Si el servidor tiene la respuesta final, la devuelve. Si no tiene la respuesta final, él mismo pregunta al nivel de autoridad inferior por la respuesta. Puede suceder que dentro de una consulta recursiva haya varias consultas iterativas. No todos los nameservers tienen que soportar búsquedas recursivas. La carga de la consulta recae sobre el servidor.
  • 12. DNS - Iterativa  El servidor DNS responde al cliente en función de su propio conocimiento específico acerca del espacio de nombres, sin tener en cuenta los datos de los nombres que se están consultando.  La carga de la consulta recae sobre el cliente.  Se da cuando:   El cliente solicita el uso de la recursividad, pero ésta se encuentra deshabilitada en el servidor DNS. El cliente no solicita el uso de la recursividad cuando consulta el servidor DNS.
  • 14.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 15. ¿Por qué investigo las redes Fast Flux?  En el Proyecto me las he encontrado.    He aprendido a detectarlas Son interesantes. Usadas para ocultar el propio servidor y evitar bloqueos al realizar fraudes en la red.
  • 16.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 17. ¿Qué son las redes Fast Flux?  Las redes Fast Flux:    Dado un nombre de dominio, por ejemplo, “ffdomain.com”, que éste tenga varias direcciones IP asignadas. Estas IP serán de dispositivos comprometidos que servirán de enlace entre el cliente y el servidor que almacena el contenido malicioso. Se irán devolviendo IP diferentes cuando se hagan peticiones DNS.   Devolverá 1 o más direcciones. Elección de IPs:   Round-Robin Otros algoritmos donde intervengan parámetros como:      Ancho de banda Uso de red Saltos entre puntos finales Etc. Tendrán TTL (Time To Live) bajos para que se cambien rápidamente y se vayan alternando.
  • 19.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 20. ¿Para qué sirven?  Ocultar el Host central.  Evitar que se bloqueen las IP del dominio.  ¿Por qué nos interesa lo anterior?  Cometer Fraude:  Propagación de spam  Ataques de phishing  Diseminar malware …
  • 22.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 23. Ventajas que obtienen los atacantes  Simplicidad.    Menos infraestructura. Ahorro en tiempo de mantenimiento. Protección ante investigaciones.  Una o varias capas entre la víctima y el host central.   Dificulta el rastreado de huellas y llegar al host central. Hosts repartidos por el mundo.   Jurisprudencias diferentes. Auditorias desactivadas.   No deja evidencias. Expansión de la vida de la estafa.  Dinamismo de la red + diferentes capas de conexión  Dificulta y retrasa el proceso de identificación y corte del servicio.
  • 24.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 25. Tipos de Redes Fast Flux  Single Fast-Flux  Double Fast-Flux
  • 26. Single Fast-Flux  La implementación sencilla.  ¿Cómo funciona?     La víctima intenta acceder a un dominio. La respuesta DNS se corresponde a una o varias direcciones IP de equipos infectados. Las IP varían constantemente. Los equipos actúan como proxy entre la victima y el servidor central.  Normalmente se aplica a tráfico HTTP.  Se puede aplicar a cualquier otro tipo de conexión.   TCP UDP
  • 28. Double Fast-Flux  El mismo concepto.  Añadimos una capa más de redundancia.  Varían los registros NS correspondientes a los servidores DNS autorizados.  Las peticiones DNS de la víctima son respondidas directamente por la red Fast-Flux.
  • 30.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 31. ¿Cómo detectarlas? – Passive DNS  Montamos un Passive DNS  Monitoreo y almacenamiento del tráfico DNS.  Usaremos 3 Tablas:  Dominios consultados     ID (identificador) Nombre del domino Registros A (IP) totales devueltos. Registros NS totales devueltos.  Registros A por dominio     ID del dominio IP Fecha de la última vez que se ha devuelto esa IP El AS (Autonomous System) a la que pertenece la IP   Registros NS por dominio    ID del dominio Nombre del servidor de nombres devuelto Fecha de la última vez que se ha devuelto ese NS    Lo encontramos con MaxMind. El país en el que está el host de la IP. El rango de la IP (IP/16) También podemos guardar el TTL.
  • 32. ¿Cómo detectarlas? – Primeros indicios 1. Buscamos dominios que tengan más IP devueltas que las IP que devuelve en cada consulta. 2. Aplicamos fórmula matemática*: 1.32*nA + 18.54*nASN + 0*nNS > b with b = 142.38    3. nA = número total de registros A nASN = número total de AS distintos nNS = número total de registros NS Si la fórmula nos da un número superior a 142.38, ya tenemos los primeros indicios de que se trata de una red FastFlux. * Fórmula extraída del paper “Measuring and Detecting Fast-Flux Service Networks” http://pi1.informatik.uni-mannheim.de/filepool/publications/fast-flux-ndss08.pdf
  • 33. ¿Cómo detectarlas? – Diferencias con CDNs  Los dominios obtenidos hasta ahora pueden ser redes FastFlux o CDNs (Content Distribution Network).  ¿Cómo distinguirlas?  CDNs:    Suelen distribuirse por un par de países (o uno). Suelen tener pocos rangos de IP. Redes FastFlux  Al estar compuesta por ordenadores infectados, estos:   Están distribuidos de forma aleatoria por todo el mundo (muchos países) Al ser las IP aleatorias, hay muchos rangos de IP.
  • 34. ¿Cómo detectarlas? - Ya la tenemos  Hay que seleccionar aquellas que:    Sus IP pertenezcan a hosts distribuidos por muchos países Al mirar la IP/16 (El rango) haya muchas. Un análisis propio me dio como resultados:   Más de 10 países Más de 10 rangos * No es 100% seguro. Alta probabilidad de éxito
  • 35. ¿Cómo detectarlas? – Solución Rápida  Manera rápida:  Proyectos que ya existen como pffdetect    https://code.google.com/p/pffdetect/ Posibilidad de procesar un único dominio o lista de ellos. Múltiples formas de comprobar el AS de una dirección IP      Team-Cymru MaxMind Posibilidad de usar múltiples cores Posibilidad de ejecutarse como aplicación de consola o importarse como módulo Calcula las probabilidades de que un dominio utilice técnicas de Fast-Flux.
  • 36.  Conocimientos previos  ¿Por qué investigo las redes Fast Flux?  ¿Qué son las redes Fast Flux?  ¿Para qué sirven?  Ventajas que obtienen los atacantes  Tipos de redes Fast Flux  ¿Cómo detectarlas?  Ejemplos
  • 39. Redes Fast Flux interconectadas  Obtenida de SecViz y realizada por Jaime Blasco.
  • 40. FIN   Gracias por su atención ¿Alguna pregunta? Miquel Tur