Система DNS: Противодействие противоправной активности в Рунете Шаг первый: Угрозы Шаг второй: Классификатор Павел Храмцов (p.khramtsov@faitid.org)

Презентация:

Advertisements

Похожие презентации

1 Протоколы Интернета Протокол – это набор соглашений и правил, определяющих порядок обмена информацией в компьютерной сети. Протокол TCP/IP (1974) TCP.

Advertisements

Адресация в сети ИнтернетАдресация в сети Интернет.

Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level June 10 th, 2009Event details (title,

Интернет-2004 в России Итоги и прогнозы А. Артамонова А. Беляев (Rambler.Ru), Л. Делицын (Rambler.ru) А.Себрант (Yandex.ru)

Задача: Петя записал IP-адрес школьного сервера на листке бумаги и положил его в карман куртки. Петина мама случайно постирала куртку вместе с запиской.

Перспективы развития системы доменных имен. Взгляд из России Храмцова Татьяна Руководитель проектов RU-CENTER

1 Опережающие технологии защиты информационных ресурсов Олег Шабуров Опережающие технологии защиты информационных ресурсов.

Зона RU: вторичный рынок доменов. RU-CENTER - центр регистрации доменов 2 Зона RU: вторичный рынок доменов Как только появилась возможность.

Виктория Бунчук ИННОВАЦИИ в системе доменных имен.

The Galaxy The star group to which our system belongs is called the Milky Way or just the Galaxy…

Особенности использования партнерских сервисов RU-CENTER Екатерина Манько, руководитель проектов.

Хостинг-провайдер и противоправный контент в условиях Российской Федерации ENOG IV / RIPE NCC Regional Meeting 23 – 24 October 2012, Moscow Phil Kulin.

ИНТЕРНЕТ мировая сеть сетей Интернет - Адресация в Интернете.

Санкт-Петербург , Русскоязычные домены, зарубежный опыт внедрения IDN Лесников Алексей.

«DNS-фильтрация, DNSSEC и последняя миля» Павел Храмцов 2011 ник.рф.

ИПАТОВО МКОУ СОШ 14 НАУМЕНКО НИНА АЛЕКСАНДРОВНА. Познакомиться с сетями общего назначения. Рассмотреть структуру сети Интернет. Дать понятия «адресация.

От киберсквотеров к доменным инвесторам ( Профессиональное сообщество, порожденное технологией ) Павел Храмцов Stat.nic.ru 21 февраля 2008.

1 Работа Электронной горячей линии по противодействию детской порнографии в Интернете Международный женский правозащитный центр «Ла Страда-Украина» Наталия.

Хостинг и доменное имя: что необходимо для открытия сайта Павел Храмцов, Заместитель ген.директора

MONEY MAKES THE WORLD GO ROUND……. Whenever people pay for goods or services, they use some form of money. Money can be almost anything, as long as everyone.

Транксрипт:

Система DNS: Противодействие противоправной активности в Рунете Шаг первый: Угрозы Шаг второй: Классификатор Павел Храмцов

Основные угрозы Вывести из строя DNS (ТЦИ) Подменить соответствие в DNS (DNS-провайдеры) Использовать DNS в качестве средства доставки «плохого» контента (провайдеры и DNS- сервисы) Построить обузоустойчивый хостинг или регистратора доменов (Хостинг- провайдеры и регистраторы)

Ключевой элемент инфраструктуры

DDoS DNS Цель: затруднить возможность получения IP-адресов 12 февраля 2012 о подготовке к такой атаке сообщила команда Anonimous, потом правда от этого объявления они открестились.

DNS amplification Суть борьбы: - фильтровать на входе resolver-а по IP-отправителя; - входная фильтрация; - непубличные resolver-ы; - корректная обработка запросов;

DNS amplification Согласно VeriSign на корневых серверах за месяц отметилось примерно 10 млн. резолверов Согласно данным ТЦИ на авторитативных серверах RU за сутки отмечается в среднем 1,5 млн. резолверов со всего мира 1/4 отвечает на spoof-пакеты 1/8 - открытые резолверы Power dns resolver тыс ответов в секунду, у bind производительность в 4-5 раз меньше.

DNSChanger 4 млн зараженных компьютеров; регистратор EstDomains - Rove Digital; 2 года расследований ФБР; Привлечение лидеров рынка; 8 месяцев «лечения» through through through through through through DNS - серверы

Carlos Díaz Hidalgo Francisco J.Gomez Rodrigues Malware Cloud Distribution Что можно хранить в файле зоны?

И весь этот спам (2010) Начиная с февраля 2010 года интернет-домен.ru находится на первом месте по количеству зарегистрированного на нем нежелательного контента (спама), обогнав такие домены, как.com,.net,.cn и.info. Среди стран, где физически расположены серверы, с которых отправляется спам, Россия занимает 4 позицию с 5,3% от общего объема нежелательной почты. Первые три места достались США (9.7% спама), Бразилии (8.4%) и Индии (8.1%). При этом более 60% зарегистрированных в Китае спамерских URL-адресов имеют домен.ru. Таким образом, согласно исследованию, типичное спам-сообщение рассылается с компьютера, физически расположенного в США, Индии или Бразилии, но имеет URL на домене.ru, а его хостинг находится в Китае.» 2010 Mid-Year Trend and Risk Report треть всех доменов, зарегистрированных под спам в мире были зарегистрированы в зоне.RU. Почти все эти домены были зарегистрированы через двух российских регистраторов NAUNET и REGRU. «Russian Pro-Spam Registrars», М86 Security Lab, 09,2010

И весь этот спам (2011) «the top five countries sending spam include India, Russia, Brazil, South Korea and Indonesia.» Mid-Year Trend and Risk Report Россия занимает первое место в мире по уровню спама (82,2%) Intelegence Report, Symantec, May 2011 Russia and the USA maintained their status as the countries where malware was detected most frequently in mail traffic. Russia was the overall leader, with the amount of blocked s with malicious attachments decreasing slightly. Spam report: June Kaspersky Lab Cooperation from ICANN and Top Level Domains. Members of the Working Group were especially pleased with the cooperation and coordination of ICANN and the ccTLDs in the33process. They view ICANN and ccTLD cooperation as a precedent that will help future efforts and discourage malware authors from believing they can easily exploit that portion of the DNS system. Several said they want this emphasized publicly to reinforce that message and thank those organizations for the job they did. Conficker Working Group: Lessons Learned. June 2010 (Published January 2011)

И весь этот спам (2012) «Согласно статистике ZeuS Tracker по состоянию на 1 февраля, число активных центров управления ZeuS в Сети приближается к 200. Больше половины из них находятся на территории США, вдвое меньше в России. Из регистраторов хуже всех ситуация у российских «Наунет СП» (94 домена, ассоциированных с ZeuS) и REG.RU (78), из AS-провайдеров у азербайджанской ADaNET (15 C&C серверов) и американской GNAXNET (12)»приближаетсянаходятся «Зевс нашел тихую гавань», Kaspersky Lab, (2 февраля 2012) Spamhaus also recommends that networks use our Don't Route Or Peer list to drop all traffic originating from or destined for NAUNET's IP address space. This will help protect end users from the activities of the cybercriminals to whom NAUNET persists in providing services. Russian registrar NAUNET knowingly harbours Cybercriminals. Spamhous,

Microsoft против Джон Доу 1-39 AGAVA-REG-RIPN1 NAUNET-REG-FID90 R01-REG-RIPN4 REGGI-REG-RIPN1 REGISTRATOR-REG-RIPN5 REGRU-REG-RIPN107 REGTIME-REG-RIPN25 RU-CENTER-REG-RIPN39 Всего на анкетах, которым принадлежат эти домены, ~21000 доменов

Работа по новым правилам Когда администратор не виноват (не контролирует контент) Парковка Блоки коммерческой рекламы Дефекты ПО хостинг-провайдера

Классификатор целей использования доменов Account Имя домена Вредоносная активность Взломанный хостинг Fast-Flux Экспертная оценка

Вредоносная активность Malware Количество зарегистрированных в БД фактов размещения malware на данном домене Тип(ы) Malware если возможно определить в случае если мы распологаем такой информацией. First seen / Время начала активности (время первого зарегистрированного в БД размещения malware на данном домене) Last Seen / Время последней активности (последние данные о размещении malware по данному домену) Уровень доверия (0-10) в зависимости от достоверности источников и частоты жалоб (по фактам размещения malware) на данный домен присваивается число. Phishing Botnet

Вредоносная активность Malware Phishing Количество зарегестрированных в БД фактов размещения phishing на данном домене Phishing Target(s) (Ebay, Paypal, Яндекс Деньги etc..) если возможно определить First seen (по аналогии с malware) Last Seen Уровень доверия (0-10) Botnet

Вредоносная активность Malware Phishing Botnet Количество зарегестрированных в БД фактов размещения элементов управления ботнетами Botnet type (Zeus, Spyeye etc..) если возможно определить Уровень доверия (0-10)

Порядок накопления информации и ее использования 1.Предупреждение администратора о наличии проблем по аналогии с поисковыми системами 2.Предупреждение Хостинг-провайдеров о наличии проблем 3.Предупреждение регистраторов о наличии проблем 4.Подготовка информации для администрации КЦ и ТЦИ 5.Взаимодействие с коллегами и «братьями по оружию»

Что может получиться 0bc6652ff d881c93cf6b8799bNAUNET-REG-RIPN a9b9c9e188e eb5affdc125NAUNET-REG-RIPN bfb6cefe8a b38017ff000eR01-REG-RIPN e830a10f9b1a99eab41a9f48cb5f4R01-REG-RIPN ce76fd52928d523d8d21a8e411b0ba81REGRU-REG-RIPN22 c7556a0ea7b1c75c6fc5e0b93a340aaaREGRU-REG-RIPN bea4c3d0d74bf b4488a8REGRU-REG-RIPN1172 d9e7f1fd3f30c53a3154e934bfbde0fdREGRU-REG-RIPN fbfc98638b324d6e8d582e REGRU-REG-RIPN284 e96bb0fda446f0f e588c543REGRU-REG-RIPN b870324c21be ccf77fbed1d2REGRU-REG-RIPN d4491dfd1bf9c9e0e207923ef88ab858REGRU-REG-RIPN d8a5cbd622ca74ad0c51e8fd268REGRU-REG-RIPN ba2f1af9542ccf4ca92c488f615763eREGRU-REG-RIPN d8d689813feabf49a0a55ecf2e652687REGRU-REG-RIPN c291b37079df0d5cc9bb16fceabREGRU-REG-RIPN d0d5407b77ad303fe eec96bcREGRU-REG-RIPN a2345dd16e40f5e3f0f2c68b6abREGRU-REG-RIPN a83fc781c767ca42192b119da03116b8REGRU-REG-RIPN a44aa8a0e93fc013d78c2c5ccbe438REGRU-REG-RIPN a5e5a32a21166a24f58ce41ce7afa08REGTIME-REG-RIPN410 В дополнение к существующему бану было проверено и добавлено доменов А всего в бане домен

Резюме Быть изгоями плохо Нужно реально понимать «картину мира» Нужно интегрироваться в общую систему мероприятий по безопасности DNS Нужно и демонстрировать и реально участвовать в общем деле