IPv6 SALDIRI TRAFİĞİNDEN İMZA ÜRETME

Transkript

1 IPv6 SALDIRI TRAFİĞİNDEN İMZA ÜRETME Ümit Çavuş BÜYÜKŞAHİN Yavuz GÖKIRMAK Abstract New attacks on Internet networks become widespread shortly after first the attach appeared. In particular, internet worms can reach all possible targets in a short time that human intervention does not have the opportunity to prevent. In order to defend against attacks, automatic attack signatures must be generated and attack trafik should be blocked. This study describes mechanisms to generate a signature from attack traffic taken from a honeypot in IPv6 networks. Index Terms IPv4, IPv6, Honeypot, Automatic Attack Signature Özet İnternet ağlarına yönelik yeni saldırılar, ortaya çıktıktan kısa bir süre sonra yaygınlık kazanmaktadır. Özellikle solucanlar, insan müdahalesine imkan vermeyen kısa sürelerde hedeflerinin önemli bir bölümüne ulaşabilmektedirler. Saldırılara engel olabilmek amacıyla saldırı imzalarının otomatik olarak üretilmesi ve trafiğin engellenmesi gerekmektedir. Bu çalışmada, balküpüden alınan saldırı verisi içeren bir IPv6 trafiğinden saldırı imzası çıkarılması için yapılan çalışmalar anlatılmaktadır. Anahtar Kelimeler IPv4, IPv6, Balküpü, Otomatik Saldırı İmzası I. GİRİŞ İNTERNET ağlarına yönelik yeni saldırılar, ortaya çıktıktan kısa bir süre sonra yaygınlık kazanmaktadır. Özellikle solucanlar, insan müdahalesine imkan vermeyen kısa sürelerde hedeflerinin önemli bir bölümüne ulaşabilmektedirler. Saldırılara engel olabilmek amacıyla bu saldırıları tanımlayan imzalar çıkarılması ve imzalarla saldırı trafiğinin engellenmesi gerekmektedir. Bir saldırının insanlar tarafından analiz edilmesi ve imzasının çıkarılmasına kadar geçen sürede saldırı amacına ulaşabilmektedir. Tüm bu nedenlerden dolayı saldırı imzası çıkarma süreçleri otomatikleştirilmektedir. Ulusal IPv6 Altyapısı Tasarımı ve IPv6 ya Geçiş Projesi kapsamında IPv6 trafiğinden imza üretme çalışmaları yapılmıştır. Proje kapsamında geliştirilen IPv6 balküpü Kovan, kendisine yapılan saldırıları kayıt altına alarak bu saldırıları tanımlayan imzaları üretmeyi hedeflemektedir. 24 Kasım 2010 tarihinde gönderilmiştir. Ümit Çavuş Büyükşahin Orta Doğu Teknik Üniversitesi 4. Sınıf öğrencisidir. e-posta: e @ceng.metu.edu.tr Yavuz Gökırmak TÜBİTAK Ulusal Akademik Ağ ve Bilgi Merkezinde çalışmaktadır. Telefon: Faks: e-posta: yavuzg@ulakbim.gov.tr Bu çalışmada saldırı verisi içeren bir IPv6 trafiğinden saldırı imzası çıkarılması için yapılan çalışmalar anlatılmaktadır. Makalenin ikinci bölümünde saldırı imzası çıkarma için kullanılan araçlar incelenmektedir. Üçüncü bölümde, IPv6 trafiğinden imza üretmek için yapılan çalışmalar, karşılaşılan zorluklar ve çözümler anlatılmaktadır. II. İMZA ÜRETME TEKNİKLERİ Otomatik imza çıkarma teknikleri değişik kriterlere göre sınıflandırılabilir. Bu araştırmada imza üretme teknikleri ikisınıfta toplanmıştır: Saldırı tespiti yaparak imza üretme ve saldırı tespiti yapmadan imza üretmek. İki yöntem, üstünde çalıştıkları ağ trafiğinin içeriğine göre farklılık göstermektedir. A. Saldırı Tespiti Yaparak İmza Üretme Saldırı tespiti yaparak imza üretme yönetiminde, imza üretilmek istenen trafiğin içinde saldırı olmayan trafik de bulunmaktadır. Bu nedenle saldırı imzalarının çıkarılabilmesi için mevcut trafik içinde saldırı olmayan masum paketler ayıklanarak, imza üreticisine sadece saldırıyı oluşturan paketler verilmelidir. Bütün trafikten saldırıyı ayıklama işlemine saldırı tespiti adı verilmektedir. Saldırı tespiti yaparak imza üreten sistemlerde, ağ cihazlarına yerleştirilen ağ sensörleri ile tüm paketler görüntülenir. Bu sistemler kendi aralarında, saldırı tespitini yaptıkları seviyeye göre farklılık göstermektedirler. 1) Ağ Seviyesinde Saldırı Tespiti ile İmza Çıkarma: Saldırılar, ağ seviyesinde paketler üzerinden tespit edilmeye çalışılır. Gelen paketlerin sisteme girdikten sonraki eylemleri (bellek erişimi, program akışı değişimi vb) göz önüne alınmaz, sadece paketleri tanımlayan bir dizilim yakalanmaya çalışılır. Bu yaklaşımla incelenen imza çıkarma teknikleri şunlardır: Autograph ın[1] oldukça basit bir saldırı tespit sistemi vardır. Sisteme yapılan başarısız TCP bağlantı denemeleri kayıt altında tutulur ve bir kaynak adresinden gelen belirli bir eşikten fazla başarısız TCP bağlantısı olması durumunda, bu kaynak adres saldırgan olarak işaretlenir. Autograph, sadece TCP tabanlı ağ saldırılarını tespit eder ve bunların imzalarını çıkarabilir. Saldırganın, kaynak adresini değiştirerek tarama yapması durumunda ise saldırı tespiti yapılamaz. İmza üretme aşamasında ise şüpheli kaynak adresinden gelen paketler içinde birbirleriyle kesişmeyen ortak bit dizileri aranır. En sık rastlanan bit dizileri birer imza adayı olarak belirlenir. Üretilen imza, kesintisiz bit dizisi şeklindedir. Aşağıdaki imza, kesintisiz bit dizilimi türündeki imzalara örnek olarak gösterilebilir: 71

2 ULUSAL IPv6 KONFERANSI 2011 PADS (position-aware-distrubition) [14], hem TCP hem de UDP üzerinden yapılan saldırıların imzası çıkarılabilmektedir. İmza çıkarma sürecinde iki farklı balküpünden faydalanılmaktadır. Tüm bağlantılar öncelikle yüksek etkilişimli balküpüne yapılmaktadır. Yüksek etkileşimli balküpüyle yakalayabilen trafik düşük etkileşimli balküpüne yönlendirilerek saldırılar hakkında bilgi elde edilmeye çalışılır. Trafiğin yüksek etkileşimli balküpünden düşük etkileşimli balküpüne yönlendirilmesinin sebebi saldırganın balküpünü ele geçirmesini engellemektedir. Sistemin zayıf yönü, sadece yüksek etkileşimli balküpündeki açıklıklardan faydalanan saldırıların yakalanabilmesi ve bu yüzden sadece bu saldırıların imzası üretilebilmesidir. PADS; elde ettiği saldırıların bit-pozisyon dağılımı olasılıkları üzerine bir imza üretmektedir. Sabit bir imza yerine, olasılık temelli bir imza üretilmesiyle, aynı solucanın farklı bit dizilimli türleri arasında bir benzerlik yakalanması hedeflenmektedir. Bu özelliği ile belirli tipteki polimorfik solucanları tespit edebilir. PAYL[15], bir porta giren/çıkan paketlerdeki anormallikleri tespit ederek, anormal trafiğin imzasını çıkarır. PADS te olduğu gibi, TCP ve UDP üzerinden yapılan saldırıların imzasını çıkarabilmektedir. Eğer anormal bir paketin girdiği portta yine anormal bir paket çıkıyorsa, PAYL bu trafiğin bir saldırı olabileceği üstünde durur. Anormal olarak işaretlenen gelen paketler, çıkan paketlerle karşılaştırılmak için bir tampon bellekte depolanır. Fazla trafiğin gelmesi durumda sabit büyüklüklü bu tampon, Payl ın imza çıkarmasını yavaşlatmaktadır. İmza çıkarma aşamasında; şüpheli olarak depolanmış bir gelen paket, aynı porttan çıkmaya çalışan bir giden paketle karşılaştırılır. Burada en uzun ortak altdizi (LCS[23]) algoritması uygulanarak bir skor elde edilir ve en uzun ortak diziler bulunup kesintisiz ve kesintili bayt dizisi şeklinde imzalar üretilir. Son olarak elde edilen skor belli bir eşik değerin üzerindeyse, giden paket bir saldırı olarak algılanır ve durdurularak yayılması önlenir. Arakis, CERT Polska projesi[17] kapsamında geliştirilmi ştir. Balküplerinden gelen trafik üzerinden yeni tehditleri tanımlayarak imza üretir. Üretilen imzada; ağ paketlerinin başlık ve yük bilgileri, belirli bir ASCII karakter dizisinin görülme sıklığı şeklinde gösterilmektedir. Her akımdaki (flow) yükler görüntülenir ve Rabin[19] parmak izleri çıkarılır. Bu parmak izlerinin benzerliklerine göre gruplanır ve her balküpü bu grupları belli bir eşik değerine göre karşılaştırır. Eğer eşik değer aşılmışsa, gruptaki akımların LCS leri hesaplanarak imzaları oluşturur. Bu imzalar arasındaki mesafeye göre kümeleme yapılır. Her kümenin elemanı olan imzalardan süper imza adında yeni bir imza çıkarılır. 2) Cihaz Seviyesinde Saldırı Tespiti ile İmza Üretme: Ağ paketi cihaza girip ağ yığını geçtikten sonra ne yaptığı, nasıl bir hal aldığı incelenerek saldırı tespiti yapılmaya çalışılır. Bu yaklaşımı kullanan sistemlerin birkaçı incelenmiştir: COVER (Context-Based Vulnerability-Oriented), Address-Space-Randomization[2] kullanılarak saldırı tespiti yapmaktadır. Bu teknikte, bellekteki nesneler varsayılan yerlerinden alınıp rasgele bir bellek alanına yerleştirili. Saldırının başarılı olabilmesi için, saldırganın bu alanı tahmin etmesi gerekmektedir, aksi takdirde bir bellek erişim hatası oluşur. İmza üretme sürecinde, ağ paketindeki bulunan ve bellek erişim hatasının oluşmasında etkili olan veri üzerinde çalışılır[3]. Üretilen imza belli bir atağa ait olmaz, sistem açığına sebeb olan karakteristik olaylara imza çıkarılır. Bu sayede aynı sistem açığını kullanan farklı ataklar engellenebilir. DIRA (Detecetion Identification and Repair), kontrolhijacking [4] saldırısına önlem olarak geliştirilmiştir. Kontolhijacking saldırıları, saldırı yapılacak olan sistemin kod akışını ele geçirmek için dönüş adresi(return address) ve fonksiyon işaretçisi gibi veri yapılarını değiştirir. DIRA, yapısındaki GCC[7] eklentisi sayesinde bu tür saldırları tespit eder, tanımlar ve belleğe verdikleri zararları onarır. Kod akışını kontrol eden veri yapılarını depolayan DIRA, bu yapılardaki değişiklikleri karşılaştırarak saldırıyı tespit eder. Saldırıya neden olan paketler, saldırı tekrarlandığında ayıklanabilmesi için tanımlanır. DIRA güncellenen belleğin kütüğünü tuttuğu için, bellekteki değişikliği iptal ederek saldırı tarafından verilen hasarı onarabilmektedir. DOME (Detection of Malicious Execuatable)[5], programlarda bulunan çalıştırılabilir dosyalara yerleşen ve sistem çağrılarını kullanan zazarlı kodları tespit eder. Bunu yaparken çalıştırılabilir dosyalar içindeki sistem çağrılarını analiz ederek yerlerini belirler. Çalıştırılabilirlerin bulunduğu programların çalışması sırasında, sistem çağrılarının tanımlanan alanlarda olup olmadığı kontrol edilir. Bu mekanizma ile çalışan programın içine kod aşılanmasını veya dinamik bir şekilde üreyerek şekil değiştiren zararlı kodlar (trojanlar,virüsler) tespit edilir. İşlem sonucunda herhangi bir imza üretilmez, saldırı tanımlanır ve saldırıya karşı yapılan imzalama doğrulanır. Minos[10], güvenilmeyen giridileri leke(taint) olarak işaretliyerek şüpheli girdilerin dosya sistemine ve belleğe yayılmasını engeller. Minos şüpheli girdilerin yayılmasını engellemek için Pentium mimarisinde ve işletim sistemi çekirde ğinde değişilik yaptığı için cihaz temelli imza üretme sınıfına girmektedir. Minos, program akışını değiştirebilecek veri bloklarının değiştirilmesini tespit ederek engel olduğu için, program akışını değiştirme saldırılarına karşı koyabilmektedir. Programın çalışması esnasında yapılan(dinamik) şüpheli veri analizi kaynak tüketimi açısından dezavantajlı olmasına karşın donanım seviyesinde çözümlerle bu sorunlar aşılmaya çalışılmaktadır. TaintCheck, Minos gibi dinamik şüpheli veri analizi yapar. Bu sayede uygulamanın çalışması süresince ortaya çıkan tampon taşırma gibi saldırıları tespit edebilmektedir. Bu yakla şımda, tespit aşamasında kaynak kodlara veya özel derleyicilere gerek duyulmaz. TaintCheck şüpheli 72

3 uygulamaları inceliyerek üç baytlık imzalar üretir. Üç bayt uzunluğundaki imzaların, normal trafikte de gözlenme olasılığı yüksek olduğundan, TaintCheck in bu yönü zayıf bir nokta olarak göze çarpmaktadır[13]. Proje kapsamında, balküpünden elde edilen ağ trafiğinden saldırı imzası üretme konusunda çalışılmıştır. IPv6 balküpü, gerçek bir servis sağlamadığı için ve gerçek bir kullanıcısı olmadığı için normal şartlar altında bir ağ trafiği üretmemelidir. Fakat, saldırganlar bu sistemi gerçek sandıkları için ona ulaşmaya ve sistemi kırmaya çalışırken ağ trafiği gözlenmektedir. Bu noktadan hareketle balküpü tarafından elde edilen ağ trafiğinin bir saldırı olduğu kabul edilmektedir ve imza üretme sürecinde ek olarak bir saldırı tespiti yapılması gerekmemektedir. B. Saldırı Tespiti Olmadan İmza Üretme Saldırı tespiti olmadan imza üretme tekniklerinde, balküpü ya da IDS gibi araçlar kullanılarak sadece zararlı trafikler elde edilerek imza üretmede kullanılır. Bu yaklaşımla çalışan birkaç teknik incelenmiştir, Honeycomb, balküpü tarafından yakalanmış zararlı trafikten imza üretildiği için, imza üretme öncesinde bir saldırı tespiti yapılmamaktadır. Zararlı trafikten imza üretilmesi temel olarak iki süreçten oluşmaktadır[9]: paket başlığı incelenmesi ve şekil tespiti(pattern-detection). Başlık incelenmesinde, öncelikle alınan her paket için boş bir imza kaydı oluşturulur. Daha sonra alınan paketler için ağ ve taşıma seviyelerindeki protokol analizi yapılarak imza kaydına eklenir. Örneğin, TCP sıra numaraları incelenerek sorunlu numaralar tespit edilir veya geçersiz IP parçalanması gibi olaylar imza kaydına eklenir. Protokol analizlerinde karşılaşılan bu tür olaylar artıkça imza kaydının büyüklüğü de artar. Dikkat edilmesi gereken bir nokta bu aşamada anormallikler sadece kayıt altına alınmasıdır, anormalliklerin tespiti veya önlem alma eylemi yoktur. Anormalliklerin tespitinden sonra imza kaydı, incelenen paketin kaynak/hedef adresleri ve port numaralarını tutan bir bağlantı ile özdeşleştirilir. Önceden yapılmış bir eşleştirme varsa, eşleştirme güncelleştirilir. Başlık inceleme aşaması bittikten sonra şekil-tespiti aşamasına geçilir. Sekiltespiti aşamasında, oluşturulan eşleştirmelerden imza çıkarılır. İncelenen paketle özdeşlenen bağlantı, kayıtlı olan diğer bağlantılarla karşılaştırılır. Eğer hedef port numaralarında örtüşme olan bir bağlantı varsa, iki bağlantı üzerinden LCS algoritmasıyla şekil-tespiti yapılır. LCS algoritmasının suffixtree ile kullanılması durumunda lineer zamanda sonuç alınmaktadır. Bu işlem sonucunda ortak diziler bulunur ve imza kaydına eklenerek güncelleştirilir. Ortak altdizi bulanamazsa, imza geliştirilmek için imza havuzuna konulmaktadır. Bağlantı karşılaştırma safhasında, eğer incelenen bağlantının hedef port numarası hiçbir bağlantınınkiyle örtüşmüyorsa, bağlantı durdurulmuş olarak işaretlenir belirli bir süre depolanır. Honeycomb kesintisiz bayt dizisi şeklinde imzalar oluşturur. Çoklutoken imzalarına göre daha başarısızdır ve kesintisiz bayt dizisi şeklindeki imzasından dolayı polimorfik solucanlara imza sağlayamaz. Basit bir imza çıkarma yöntemi kullanan Honeycomb, küçük trafiklerde kullanılmaya uygundur. C.Kreibich ve J.Crowcroft tarafından 2003 yılında geliştirilen honeycomb, açık kaynak olan honeyd in bir uzantısıdır. Linux, FreeBSD, OpenBSD de kullanmaya uygundur. En son sürümü Haziran 2007 de yayımlanmıştır. Honeycomb u kullanmak için gerekli olan honeyd de en son Mayıs 2007 de yayınlanmıştır. Polygraph, solucanların değişmez bayt dizilerini referans alarak imza üretmektedir[13]. Polygrapha gelen ağ trafiği, akım sınıflandırıcıdan geçer. Burada paketler akım bilgileriyle (IP,kaynak/hedef port) tekrar birleştirilerek şüpheli ve şüphesiz akımlar havuzlarına ayrılır. Akışların (flowların) yanlış sınıflandırılması imzanın başarısını düşürmektedir. İmza üretme sürecinde şüpheli ve şüphesiz adında iki farklı akış havuzunun bulunmasının imzanın doğruluğunu arttırmaktadır. Üretilen imzanın şüpheli havuzdaki paketlerle örtüşürken şüphesiz havuzunda bulunan paketlerle örtüşmemesi gerekmektedir. Bu sayede imzadaki doğruluk arttırılmış olunur[16]. Polimorfik solucanları tanımlayabilmek için Polygraph da üç çeşit imza türü bulunmaktadır: Birleşim imzaları: Solucan paketi içinde, bütün tokenlarının sıraları dikkate alınmadan var olup olmadığı kontrol edilir. Sıralı imzaları: Solucan paketi içinde, imza tokenlarının sıralı bir şekilde olup olmadığı kontrol edilir. Sıralı tokenleri belirlemek için Smith-Waterman algoritması[22] kullanılır. İmzalar düzenli ifadelerle belirtilir. Bayes: İlk iki türden farklı olarak ilgili paketin solucan olup olmadığına kara verir. Her tokenin, zararlı veya zarasız akımlarda olma olasılığı ile elde edilen bir skor değeri vardır. Bu skor değerlerinin hepsi toplanır, eşik değerden büyükse solucan olduğuna karar verilir. Yukardaki imza yöntemleri, tokenlarin kullanılma biçimleri arasındaki farklılıklarla, farklı imzalar üretir. Sıralı-token imzaları en başarılı imzaları üretmektedir[16]. Bayes imzaları, her bir tokeni ayrı ayrı değerlendirdiği için diğer iki yönteme göre daha zayıf kalmaktadır. Polygraph da, polimorfik solucanların sözdizimi yapısında değişmeyen bayt dizilerinden yola çıkılır ve onlara önlem amaçlı imzalar çıkarılır. Fakat, honeycombun aksine protokol temelli ataklar için zayıf kalmaktadır. Sıralıtoken ve birleşim imzalarında, benzer zararlı akımlar aralarında kümeler oluşturulur ve kademeli olarak bu kümeler birleştirilerek etkili imzalar çıkarılır. Nebulaya bu kümeleme yapısı ile benzemektedir fakat polygraph ın, uzunluğu n olan s tane girdiden token çıkarması O(sn2) de olmaktadır[11]. Bu durum, polygraphı imza çıkarmada performans olarak nebuladan daha başarısız kılmaktadır. Earlybird, iki aşamalı bir imza üretme sistemine sahiptir. İlk adımda ağa gelen tüm paketlerin yaygınlığı ölçülür; ikinci adımda ise ağa gelen her paketin yagınlığı için, kaynak/hedef adreslerin dağılımı belirlenir. İlk adımda, adres dağılımını ölçülmesi önemlidir çünkü solucanlar ağda tek bir aralıktan yola çıkarak tüm cihazlara bulaşmayı hedeflemektedir[6]. Her gelen paketin, belirli bir uzunluktaki tüm altdizilerinin Rabin parmakizleri[19] hesaplanır. Bu parmakizleri gelen paketlere özgüdür. İkinci adımda -yani adres dağılımında- 73

4 ULUSAL IPv6 KONFERANSI 2011 ilk adımda belirlenen her parmakizi, kaynak/hedef port ve protokolleri ile özet(hash) değerleri hesaplanır. Elde edilen özet değerleri, yaygınlık tablosuna bir sayıcı ile kaydedilir. Yaygınlık tablosunun yanında, elde edilen özet değerleri, kaynak ve hedef adresleri ile indekslenerek adres dağılım tablosu elde edilir. Bu sayıcılar solucanın yaygınlığını gösterir ve yaygınlık tablosu sayıcılara göre sıralanınca da solucan trafiğine benzer bilgiler elde edilir. Sayıcının değerinin fazla olması onun bir solucan trafiği olduğunu işaret eder ve onu normal trafikten ayırır. Bu nedenle, earlybird sayıcılara denk gelen dizilimler ile kaynak/hedef port numaralarının ve protokol bilgilerinin bulunduğu, sürekli bayt dizisi şeklinde imzalar üretir. Adres dağılım tablosunun sürekli büyümesinin bellekte açacağı sorunları çözmek için scale-bitmap tekniği kullanılır. İmzalar kesintisiz bayt dizisi şeklinde imzalar olduğu için polimorfik solucanları tespitte başarısız olunabilir. Ayrıca bu teknik belli bir adres yayılımında çalıştığı için, daha genel ataklar için çok kullanılabilir değildir. Ayrıca Rabin parmak izlerinin her paket için hesaplanması ve hesaplamanın CPU ağırlıklı bir işlem olması, yolun trafik altında bu aracın kullanımını etkilemektedir[6]. Nemean da, imza üretimi iki aşamada yapılmaktadır: dataabstaction(dac) ve signature-generation(sgc)[12]. DAC a gelen paketlere öncelikle normalleştirme işlemi uygulanır. Bu normalleştirme sürecinde paketlerin ağ, taşıma ve uygulama seviyelerindeki protokol belirsizlikleri ortadan kaldırılır; paketler yeniden birleştirilerek geçersiz veya tekrarlanmış paketler ayıklanır. Protokol analizini anlamsal olarak yapılır. Örneğin, paket içeriğindeki HTTP, FTP gibi uygulama seviyesi protokollerini anlamsal analiz sonucunda anlaşılmaktadır. İki düğüm arasındaki normalleştirilmiş paketler kümelenir ve oturumlar oluşturulur. Oluşturulan oturumlar iki düğüm arasındaki bağlantıları ve bu bağlantıların sırasını gösterir. SGC de oturumların benzerliklerine göre kümeleme işlemi yapılır. Kümele yapılırken Online-Star Clustring yöntemi uygulanır. Kümele süresince oturum bilgileri anlamsal olarak incelenir. İmzalar, oturumların bulunduğu kümelerde otomata kullanılarak çıkarılır. Finite-State- Automata kullanılarak imzalar istenilen saldırı tespit sistemi (intrusion detection systems) formatlarına dönüştürülür[12]. Nemean imzaları diğer imzalardan farkı, üretilme aşamasında anlamsal analiz yapılmasıdır. Anlamsal incelemede prtokol bilgisine ihtiyaç duymaktadır fakat bu bilgi herzaman olmayabilir[11]. Hamsa, solucanların bir veya daha fazla sunucu açığı bulacağını varsayar ve bu nedenle solucanların bir takım değişmez bitdizilerine sahip olduğunu varsayar. Bu varsayımdan hareketle imzasını üretildiği için polimorfik solucanlara için imza üretebilmektedir[8]. Ağ trafiği koklanarak, paketler akışlar halinde yakalanır. Akışlar, protokolerine (TCP/UDP/ICMP) ve port numralarına göre sınıflandırılır. Hamsa, her protokol ve port numarası bilgisine göre, bilinen solucan akımlarını filtreliyerek şüpheli trafik havuzuna, diğerlerini de normal trafik havuzuna ayrırır. Süpheli havuzundaki tüm altdiziler; suffix-array temelli algoritmalarla elde edilir[8]. Buradan elde edilen altdiziler normal havuzundaki akımlarla karşılaştırılır. Böylece normal trafik içinde bulunan solucan trafikleri elenmiş olur. Altdiziler daha sonra imza üretimi için kullanılır. İmzalar polygraph birleşim imzalarına benzemektedirler ve snort gibi saldırı tespit sistemlerine uygun yapıdadırlar. Gerek imzaları havuzlara ayırmada gerek de çıkardığı imza bakımından polygraph a benzese de daha güvenilir imzaları, daha hızlı bir şekilde çıkardığı için polygraphtan daha başarılı bir imza üretme tekniğidir[8]. Tehlikeli trafiği tanımada Nebula ya benzerlik gösterir. Fakat imza üretilmesi NP-Hard tır. Bu nedenle aynı anda gelen farklı saldırıları net olarak saptayamaz ve çok genel bir imza çıkarır[11]. Bunun yanında Nebula girdi boyutuna bağlı kalarak linear zamanlı imza çıkarırken, Hamsa sadece girdinin boyutu değil, altidiz sayılarını da göz önüne alarak imza çıkarır. Nebula, saldırı imzası üretirken kümelendirme (clustering) yöntemini kullanılır. Her kümeden benzerlik derecesine göre sınıflandırılmış saldırıların imzası çıkarılır. Kümelendirme aşamasında, tüm girdilerin ve birbirlerine olan mesafeleri tanımlanır, yeni bir girdi geldiğinde önceki kümedeki elementlere olan mesafeleri hesaplanır. Bu, en yakındaki kümeyi bulabilmek için yapılır ve en yakındaki kümeye olan uzaklılğı o girdinin mesafesi olarak kaydedilir. Yeni alınan girdinin mesafesinin eşik değerin üzerinde olması durumda, yeni input ayrık değer (outlier) olarak depolanır, aksi takdirde en yakındaki elemanın kümesine dahil olunur. Bu işlem linear zamanda olur. Eğer girdi için, birden fazla kümeye girebilme şartı sağlanıyorsa kümeler o girdiyle beraber bütünleştirilir. Kümeleri ve ayrık değerleri sabit boyutlu bir queuede tutulur[11]. Burada hedeflenen az aralıklarla olan saldırıların geri planda kalmasını sağlamak. Bu sayede gelen bir saldırının, az aralıklarla olan saldırıların oluşturduğu kümlerle karşılaştırılma olasılığı azaltılır. Aynı zamanda sık sık olan saldırılar ön planda olur ve queue nun geri kalan kısmı atlanmış olur. Böylelikle sistemin karmaşıklığı daha iyile şmiş olur. İmzalar mesafelerine göre kümelenen saldırıların bulunduğu clusterlardan üretilir. Burada clusterlarda bulunan saldırıların ortak altdizileri imza için kullanılır. Bir imzanın uzun olması, kümelerin içindeki saldırıların ortak altdizilerinin çok olduğu gösterir. Ayrıca o dizinin dahilindeki saldırıları daha iyi kapsadığı için uzun imzalar üretilmesi önemlidir. En uzun ortak diziyi bulan LCS algoritması, NP-hard oldugu için en uzun ortak diziyi bulmak zordur. Nebula, tüm girdilerin ortak altdizilerini GST(generalized suffix-tree) ile linear zamanda bulur. Greedy algoritması ile altdiziler sıralanır ve sırayla en uzundan alınarak imzalar oluşur. Oluşan imzalarda, ortak altdizilerinin bulunurlukları da belirli bir aralıkta belirlenerek imzaya dahil edilir. Ayrıca nebulanın ürettiği imza, polygraph tan elde edilen imzalar gibi snort a uyumludur. Bu yüzden imzada, protokol bilgisi, kaynak ve hedef adresslerini içermektedir ve kesintisiz bayt dizisinde olmaktadır. Diğer tekniklerden farklı olarak imzaya pozisyon ve sıra numaraları bilgileri eklenir, bu imzayı daha doğru kılmaktadır. Ve imza çıkarma işlemini de oldukça hızlı bir şekilde gerçekleştirmektedir. Nebula açık kaynak bir sistem olup, 9 Aralık 2008 de 74

5 son sürümü yayımlanmıştır. Linux, FreeBSD gibi tüm Posix işletim sistemlerine uyumludur. Tillman Werner tarafından geliştirilen Nebula, geliştiriciler tarafından güncellenmektedir. Bu çalışmada değişik imza üretme teknikleri ve araçları karşılaştırılarak incelenmiştir. İmza üretme işlemi balküpünden alınan veri üzerinden yapılacağı için, saldırı tespiti yapılmadan imza üretme teknikleri üzerine yoğunlaşılmıştır. Bu teknikler, uyguladıkları algoritmalar, oluşturdukları imzalar gibi açılardan farklılık gösterir. Örneğin; honeycomb, earlybird gibi kesintisiz bayt dizilimi imzası çıkaran araçlar, yapısı sürekli değişen polimorfik solucanlara karşı başarılı olamamaktadır. Mevcut çalışmaların incelenmesi sonucu, Nebula nın pozisyon ve sıra bilgilerini imzada bulundurmasından dolayı, daha doğru ve polimorfik solucanları da tanımlayan imzalar üretebileceği görülmüştür. Polimorfik solucan tespitinde Hamsa ve Polygraph benzer teknikler uygular fakat hamsa hem atak tespit hızında hemde imza doğruluğunda polygrah a göre çok daha başarılıdır[8]. Fakat Hamsanın imza çıkarma karmaşıklı ğı sadece girdinin büyüklüğüne bağlı değildir, bu girdilerden çıkarılan tokenlara da bağlı olması sebebiyle performans olarak Nebuladan kötüdür[11]. Nemean ve honeycomb balküplerinden elde edilen trafik verisi üzerinde çalışırken; earlybird, autograph araçları saldırı ve normal trafiğin bir arada bulunduğu trafik verisi üzerinde çalışır. Nemean, anlamsal (semantik) olarak imza çıkarır. Nebula ve diğerlerinde, saldırıların syntax içeriğinden yola çıkılarak imza çıkarılır. Çıkarılan imzaların doğruluğu için imzalar, farklı saldırılar için genellenmeli fakat herbir saldırı için özelleşmeli mantığında olmalı. Bu nedenle benzer saldırıları sınıflandırma ile imza çıkarma önemlidir. Polygraph ve Nebula tekniklerinde benzer saldırılar kendi aralarında sınıflanarak kümeler oluşturur. Fakat Nebula nın benzerlik çıkarma ve sınıflandırma yöntemleri Polygraph a göre süre açısından daha iyidir. III. AĞ TRAFİĞİNDEN SALDIRI İMZASI ÜRETME İkinci bölümde yapılan imza üretme sistemleri inclemesi sonucunda, Nebula nın hem güncel geliştirici desteği hem de imza üretme yöntemi açısından Kovan bünyesinde kullanılmaya uygun olduğu kararı verilmiştir. IPv6 trafiğinden imza üretme çalışmasında ilk olarak, IPv4 trafiğinden imza üretilip test edilerek süreç hakkında tecrübe kazanılmaya çalışıllmıştır. A. Test Trafiğinin Hazırlanması IPv6 protokolünü kullanan saldırı trafiği üretmek amacıyla IPv6-GO bünyesinde iki adet FreeBSD 7.1 (H1BSD, H13BSD) ve bir adet Windows XP SP0 (WIN8XP) işletim sistemine sahip bilgisayarlar kullanılmıştır. H1BSD saldırı yapan, H13BSD trafiği izleyen ve kaydeden, WIN8XP ise kurban bilgisayar olarak kullanılmıştır. H13BSD transparan olarak H1BSD ve H8XP arasına yerleştirilmiştir. Trafik ISIC, Nmap ve Metasploit araçları ile üretilmiştir. ISIC aracı ile farklı bant genişliğinde parçalanmış, geçersiz versiyon bilgisine sahip ve/veya rastgele veri içeren paketler üretilerek H1BSD den WIN8XP ye gönderilmiştir. Nmap aracı kullanılarak H1BSD den H8XP üzerinde yer alan açık portlar taranmıştır. Metasploit aracı ile H1BSD den WIN8XP ye Windows XP SP0 işletim sistemi güvenlik açığı[20] kullanılarak saldırılmış ve uzak komut satırı erişimi elde edilmiştir. Tüm bu saldırılar esnasında üretilen trafik H13BSD ile kayıt edilmiştir. B. IPv4 Trafiği Üzerinden İmza Üretme Bu bölümde IPv4 trafiğinden imza üretme süreci incelenmektedir. İmza üretimi başlığı ile imza üretimi sırasında kullanılan araçlar ve bu araçların imza üretimi sırasındaki kullanımları incelenmiştir. Üretilen imzanın kontrolu kısmında da örneklerle imza üretimi gösterilmiş ve bu imzanın doğrulanması incelenmiştir. Nebula istemci-sunucu mimarisi ile çalışmaktadır ve yakalanan saldırı trafiğinden doğrudan imza üretememektedir. Yakalanan trafiğin TCP oturumlarına ayırılması ve nebula sunucusunun bu oturumlar ile beslenmesi gerekmektedir. Nebula istemcisi, kendisine verilen TCP oturumlarını Nebula sunucusu göndererek imza çıkarma sürecini başlatmış olur. Nebula sunucusu, istemci tarafından gönderilen TCP oturumlarını LCS algoritmasıyla sınıflandırır ve belirli bir eşik değere ulaşılınca imza üretilir. Eşik değeri kullanıcı tarafından belirlenebileceği gibi varsayılan ayar da kullanılabilmektedir. Bu bölümde, nebula kullanılarak saldırı imzası üretilmiş ve imzanın doğruluğu test edilmiştir. İmza üretilmesi ve imzanın doğrulanması süresince aşağıdaki basmaklar takip edilmiştir: tcpdump yardımıyla ağ trafiği yakalanarak pcap formatında bir dosyaya kaydedilmiştir (bu örnekte yerel arayüze yapılan trafik kaydedilmiştir): Elde edilen ağ trafik TCP oturumlarına ayrılarak kaydedilir: Nebula için gerekli olan TCP oturumları elde edildikten sonra, nebula sunucusu çalıştırılır ve istemciden girdileri bekler. Bu örnekte eşik değer 5, girdilerin gönderileceği port 2000 olarak belirlenmiştir. İmzanın kaydedileceği dosyada signature_file olarak belirtilmiştir. İşlemler sonucunda imza üretilir. Üretilen imza Snort saldırı tespit sistemine gönderilir. Snort protokol analizi, içerik arama ve bünyesinde bulunan kurallar 75

6 ULUSAL IPv6 KONFERANSI 2011 sayesinde çeşitli saldırıların tespiti yeteneklerine sahiptir. IPv4 trafiğinden üretilen imzası signature_file adlı dosyada bulunmaktadır. Bu dosyayı Snort un kullanabileceği şekilde snort.conf dosyasına eklemek gerekmektedir. Gerekli değişiklikler yapıldıktan sonra snort ayar dosyasıyla çalıştırılır: Snortu eklenilen kural ile doğru bir şeklilde çalıştırdıktan sonra, imzası üretilen ağ trafiği test edilir. Trafiği alan snort, trafiği nebula da üretilen imza sayesinde tespit edilir. Böylece nebula ile IPv4 trafiğinin imzası çıkarılmış ve Snort yardımıyla doğrulanmış olur. C. IPv6 Trafiği Üzerinden İmza Üretme Bu bölümde IPv6 trafiğinden imza çıkarma çalışması anlatılmaktadır. İmza üretimi başlığı altında IPv6 trafiğinin imzasının çıkarılmasında karşılaşılan zorluklar ve çözümler üzerinde durulmuştur. Üretilen imzanın kontrolu kısmında da üretilen imzanın doğrulanması anlatılmaktadır. IPv6 ağ trafiğinden imza üretiminde, IPv4 trafiğinden imza üretilirken izlenen adımlar uygulanmaktadır. IPv6 trafiğinden imza üretme çalışmasından, Metaspliot saldırı aracıyla gerçekleştirilen Microsoft RPC DCOM Interface Overflow saldırısından elde edilen gerçek bir trafik kullanılmıştır. Nebulanın, trafik imzası üretebilmesi için trafiğin TCP oturumlarına göre bölümlendirilmesi gerekmektedir. Trafiğin TCP oturumlarına ayırılması için, IPv4 te kullanılan tcpick uygulaması kullanılmıştır. Yapılan testler sonucunda tcpick in sadece IPv4 trafiği üstünde çalışabildiği görülmüştür. Tcpick uygulaması ağ paketlerini yakalamak için soket arayüzünü kullanmamaktadır. Paketler, pcap kütüphanesi aracılığıyla ağ da dolaştıkları şekilde yakalanmakta ve yorumlama işlemi tcpick uygulamasının içinde yapılmaktadır. Bu yüzden, uygulamaya IPv6 desteği verilebilmesi için uygulamanın yorumlama mantığı anlaşılarak kodunda değişiklikler yapılması gerekmiştir. IPv6 yaması uygulanan tcpick in, IPv6 saldırı trafiği ile beslendiğinde TCP oturumlarını oluşturduğu gözlenmi ştir. Oluşturulan TCP oturum dosyaları, nebula istemcisi yardımıyla nebula sunucuna gönderildiğinde saldırı tanımlayan bir imza üretilmiştir. İmzanın doğruluşunun test edilmesi amacıyla imza Snort un veritabanına eklenmiş ve diğer bütün imzalar kapatılmıştır. Bu sayede, imzası çıkarın trafik Snort aracılığıyla analiz edildiğinde bir saldırı yakalanması durumunda bunun üretilen imza sayesinde yakalandığı anlaşılacaktır. Snort un imzayı doğrudan kullanarak başarılı olamadığı gözlenmiştir fakat imzada yapılan ufak bir değişiklikle başarılı bir şekilde saldırıyı yakalayabilmiştir. IV. SONUÇ IPv4 ağlarında olduğu gibi IPv6 ağlarında da otomatik imza üretme sistemlerinin kurulması saldırıların zararını en düşük düzeye indirmek açısından önemlidir. Bu çalışmada üretilen imzalar Snort saldırı tespit sistemi tarafından kullanılabilmektedir. IPv6 saldırı trafiğinden imza üretilmesinden önce IPv4 ağlarında kullanılan yöntemler ve araçlar incelenerek değerlendirilmiştir. Değerlendirmeler sonucunda, IPv6 saldırı trafiğinden imza üretebilmek için Nebula uygulaması seçilmiştir. Nebula uygulamasıyla birlikte kullanılan Tcpick uygulamasına IPv6 desteği verilerek saldırı imzası üretilmiştir. Üretilen imza Snort ile test edilerek saldırı trafiği tespit edilerek engellenmiştir. TEŞEKKÜRLER Bu çalışma Türkiye çapında IPv6 altyapısı oluşturmak ve Türkiye nin IPv6 protokolüne geçişini planlamak amacıyla TÜBİTAK - ULAKBİM in yönetici, Gazi Üniversitesi ve Çanakkale 18 Mart Üniversitesi nin yürütücü, Bilgi Teknolojileri ve İletişim Kurumu nun müşteri kurum olarak katıldığı Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi kapsamında gerçekleştirilmiştir [18]. Bu proje TÜBİTAK tarafından desteklenmektedir. KAYNAKLAR [1] Kim, H.-A. and Karp, B., Autograph: Toward Automated, Distributed Worm Signature Detection, in the Proceedings of the 13th Usenix Security Symposium (Security 2004), San Diego, CA, August, [2] Hovav Shacham, Matthew Page, Ben Pfaff, Eu-Jin Goh, Nagendra Modadugu, Dan Boneh, On the Effectiveness of Address-Space Randomization, in Proceedings of CCS 2004, pages ACM Press, Oct [3] Z. Liang and R. Sekar, Fast and automated generation of attack signatures: A basis for build- ing self-protecting servers. in Proceedings of the 12th ACM Conference on Computer and Communications Security (CCS), Alexandria, VA, November [4] C. T. Smirnov A., Dira: Automatic detection, identification, and repair of control-hijacking attacks, in Proceedings of NDSS05: Network and Distributed System Security Symposium Confrence Proceedings, San Diego, California, February [5] J. C. Rabek, R. I. Khazan, S. M. Lewandowski, and R. K. Cunningham. Detection of Injected, Dynamically Generated, and Obfuscated Malicious Code, in Proceedings of the 2003 ACM Workshop on Rapid Malcode, Oct [6] Sumeet Singh, Cristian Estan, George Varghese, Stefan Savage, Automated worm fingerprinting, OSDI, December [7] T. G. team. Gcc, the gnu compiler collection, Online, [8] Zhichun Li, Manan Sanghi, Yan Chen, Ming-Yang Kao and Brian Chavez, Hamsa: Fast Signature Generation for Zero-day Polymorphic Worms with Provable Attack Resilience, IEEE Symposium on Security and Privacy 2006 (Oakland 2006). [9] Christian Kreibich, Jon Crowcroft, Honeycomb - Creating Intrusion Detection Signatures Using Honeypots, IEEE/ACM Transactions on Networking, February [10] J. R. Crandall, S. F. Wu, and F. T. Chong, Experiences using minos as a tool for capturing and analyzing novel worms for unknown vulnerabilities, ACM SIGARCH Computer Architecture News - Proceedings of the 2006 ASPLOS Conference,December [11] Tillmann Werner, Christoph Fuchs, Elmar Gerhards-Padilla, Peter Martini, Nebula - Generating Syntactical Network Intrusion Signatures, Proc. of 4th International Conference on Malicious and Unwanted Software (Malware 2009), Montreal, Canada, October 13-14, [12] VinodYegneswaran, Jonathon T. Giffin, Paul Barford, and 76

7 Somesh Jha, An architecture for generating semanticsaware signatures, in 14th USENIX Security Symposium, Baltimore, Maryland, August [13] Attack Detection and Signature Generation -The NoAH Project [14] Y. Tang and S. Chen, Defending against internet worms: A signature-based approach, in Proceedings of IEEE INFOCOM 05, March [15] S. S. Wang K., Anomalous payload-based network intrusion detection, in Proceedings of the 7th International Symposium on Recent Advances in Intrusion Detection, Sophia Antipolis, France, September [16] James Newsome, Brad Karp, Dawn Song, Polygraph: Automatically Generating Signatures for Polymorphic Worms, IEEE Symposium on Security and Privacy 2005: [17] CERT Polska Projesi, [18] Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi ( [19] A. Z. Broder, Some applications of Rabin s fingerprinting method, in Sequences II: Methods in Communications, Security, and Computer Science, pages Springer-Verlag, [20] RPC Vulnerability, mspx [21] J.Newsome and D.Song, Dynamic taint analysis for automatic detection, analysis, and signature generation of exploits on commodity software, CMU-CS , May [22] Smith, Temple F.; and Waterman, Michael S. (1981). Identification of Common Molecular Subsequences, Journal of molecular biology, Vol. 147, No. 1. (25 March 1981), pp [23] L. Bergroth and H. Hakonen and T. Raita, A Survey of Longest Common Subsequence Algorithm, SPIRE (IEEE Computer Society) 00:

8 ULUSAL IPv6 KONFERANSI