Ulak-CSIRT Balküpü Çalışma Grubu

Transkript

1 Ulak-CSIRT Balküpü Çalışma Grubu Onur BEKTAŞ onur at ulakbim. gov. tr Murat SOYSAL msoysal at ulakbim. gov.tr 1 Mayıs Konya 1

2 İÇERİK Balküpü nedir? Balküpü Çalışma Grubu & ULAKNET Balküpü ULAKNET Balküpü Ağ Saldırı Tespit Sistemi Program girdisi : Honeyd Log Kayıtları Program Akış Diyagramı Programlar nerden çalıştırılıyor? Honeyd loglarının taşınması Honeyd.log dosyasının saatlik işlenmesi Üniversite IP adresleri nasıl ayıklanıyor? Grafikler nasıl çiziliyor? Program çıktıları Teşekkürler + Sorular? 1 Mayıs Konya 2

3 BALKÜPÜ? Balküpleri bilgi ve ağ güvenliğine yönelik yapılan saldırıların farkına varmak, saldırganların yöntemlerini izlemek, metodlarını belirlemek, yeni geliştirilen saldırı sistemlerini önceden haberdar olmak için özel olarak tasarlanmış yazılım veya sistemlerdir. Balküpleri kullanım alanları ve oluşturulma amaçlarına göre iki sınıf altında incelenebilir. Production balküpü Araştırma balküpü Balküpleri komplekslik seviyesine göre iki kısımda incelenebilir Yüksek iletişimli balküpleri (High interaction honeypot) Düşük iletişimli balküpleri (Low interaction honeypot) 1 Mayıs Konya 3

4 Balküpü Çalışma Grubu & ULAKNET Balküpü CSIRT çalışma grubu. Tüm kullanılmayan IP adresleri balküpüne yönlendiriliyor. İki sunucu üzerinde honeywall + honeyd ikilisi çalıştırılıyor. Düşük iletişimli honeyd tabanlı. IP spoofing ile tüm IP adreslerine yönlenen saldırılar kayıtaltına alınıyor Şubat ayından itibaren faliyette Gökova da, 2008 Akademik Bilişim sunum yapıldı. 1 Mayıs Konya 4

5 ULAKNET Balküpü Ağ Saldırı Tespit Sistemi (1) Hangi ülkeler bize saldırıyor? (kişisel merak) Hangi uçlarımız balküpünetakılıyor? Kimler virüs yayıyor? ULAKNET e bağlı uçlara ağlarındaki güvenlik olayları hakkında bilgi verecek yeni bir araç oluşturmak. 1 Mayıs Konya 5

6 ULAKNET Balküpü Ağ Saldırı Tespit Sistemi (2) 530 Satır bash, Perl, awk, sed, php karması kod. 92 balkupu_run.sh (Ağ saldırı tespit sistemi temel işlevlerini yürüten kod) 43 draw_graph.sh (tüm grafikleri çizer) 12 filter_log_hourly.pl (honeyd.log dosyasını saatlik olarak ayıklar) 13 find_netname.pl (veri tabanında IP adresinin hangi uca ait olduğunu bulur) 59 graph_bar.pl (bar grafiklerini çizer) 55 graph_pie.pl (pie grafiklerini çizer) 28 ip_find_country_daily.sh (saldırı yapan ülkeri günlük bulmak için) 33 ip_find_name_daily.sh (saldırı yapan uçları günlük bulmak için) 27 ip_find_name_hourly.sh (saldırı yapan uçları saatlık bulmak için) 32 ip_parse.pl (honeyd.log dosyasından uç IP adreslerini ayıklar) 55 istatistik.php (Web sayfasını oluştur) 81 kayit.php (Olay kayıtlarını açar) 1 Mayıs Konya 6

7 Program girdisi : Honeyd Log Kayıtları :36: tcp(6) : 48 S [MacOS OTTCP] :48: tcp(6) S [Linux 2.6 ] İlk alan olay kaydı ile ilgili zaman bilgisini verir. İkinci alan protokol bilgisini içereri (tcp, udp, icmp vb) Üçüncü alan aşağıdaki argümanları alabilir S yeni bir bağlantı başlangıcı E bağlantı sonu ( bu argümandan sonra honeyd alınan toplam veri miktarını basar) - paket hernangi bir bağlantının parçası değil ise Dördüncü alan sırası ile Kaynak IP, kaynak Port, hedef IP, hedef Port Bundan sonraki kısımlarda: Daha önce açılan bir bağlantının parçası olmayan TCP paketleri için TCP paket büyüklüğü ve TCP flagları basılır. Honeyd yapılandırılmasında desteğinin verilmesi durumunda bağlantı yapan istemcinin işletim sistemi köşeli parentez içinde verilir [ ] 1 Mayıs Konya 7

8 Program Akış Şeması (1) 1 Mayıs Konya 8

9 Program Akış Şeması (2) 1 Mayıs Konya 9

10 Programlar nerden çalıştırılıyor? Unix cron #### HONEYD #### # Saatlik 0 * * * * (cd /honey/bin ;./balkupu_run.sh filter_log_hourly_run ) 1 * * * * (cd /honey/bin ;./balkupu_run.sh ip_parse_hourly_run ) 6 * * * * (cd /honey/bin ;./ip_find_name_hourly.sh ) 0 * * * * ( cd /honey/bin ;./balkupu_run.sh clear ) 28 * * * * (cd /honey/bin ;./draw_graph.sh) 29 * * * * (cd /honey/bin;./balkupu_run.sh create_case ) # Gunluk 1 0 * * * (cd /honey/bin ;./balkupu_run.sh filter_log_daily ) 0 2 * * * (cd /honey/bin ;./balkupu_run.sh ip_parse_daily_run ) 0 3 * * * (cd /honey/bin ;./ip_find_name_daily.sh ) 0 5 * * * (cd /honey/bin ;./ip_find_country_daily.sh ) 1 Mayıs Konya 10

11 Honeyd loglarının taşınması 1 Mayıs Konya 11

12 Syslog-ng Başlığının Ayıklanması (BR.sh honeylog_parse) Apr 29 13:58: :59: tcp(6) S [Windows 2000 ] function honeylog_parse { $PS -wx -o pid,command $GREP -v grep $GREP $HONEYD_RAW_LOG_FILE $AWK '{print $1}' $XARGS kill $TAIL -f $HONEYD_RAW_LOG_FILE $AWK -F"$HONEYD_IP " '{print $2}'>> $HONEYD_LOG_FILE & } Daha önceden çalışan proses varsa öldür. Honeyd.ip adresinden sonraki kısmı ( ) honeyd.log dosyasına yazdır :59: tcp(6) S [Windows 2000 ] 1 Mayıs Konya 12

13 Honeyd.log dosyasının saatlik işlenmesi #!/usr/local/bin/perl $HONEYD_LOG_FILE="/honey/"; $HONEYD_LOG_PATH="/honey/"; $FILE=`date '+%H'` ; $DATE=`date '+%Y-%m-%d-%H'` ; while (defined($satir = <STDIN>)) { chomp($date) ; open (HOURLY_FILE,">>$HONEYD_LOG_PATH$FILE") die "dosya aclimadi" ; if ( $satir =~/^$DATE/) { print HOURLY_FILE $satir;} close (HOURLY_FILE) ; } DATE değişkenine atanan benzeri bir zaman bilgisini 14 isimli dosyanın altına yazar. 1 Mayıs Konya 13

14 Üniversite IP adresleri nasıl ayıklanıyor? (Ip_parse.pl) #!/usr/local/bin/perl #Onur BEKTAS onur at ulakbim [.] gov [.] tr #26/09/2007 #24/10/2005 (Modified to use Net::IP::Match ) ## Using an ip array do not work because the source filter is invoked at compile-time, ## use Net::IP::Match ; while (defined($satir = <STDIN>)) { ($a,$b,$c,$ip_address) = split (" ",$satir) ; chomp ($ip_address); $a = MATCH_IP($ip_address, qw { / / / / / / / / / / / /21} ); if ($a == 1 ) { print "$satir"} ; } 1 Mayıs Konya 14

15 Grafikler nasıl çiziliyor? (1) (Draw_graph.sh,graph_bar.pl /honey]# more 13.univ.saldiri.txt 582 GATA-NET 104 KARAMAN-NET 40 TRAKYA-NET 33 EGE-NET 21 GIRESUN-NET $CAT $HONEYD_LOG_PATH/$ONEHOURBEFORE.univ.saldiri.txt head -10 awk '{print $1":"$2" ("$1") "}' > /tmp/$onehourbefore.univ.graph.txt /honey]# more 13.univ.graph.txt 582: (GATA-NET) 104: (KARAMAN-NET) 40: (TRAKYA-NET) 21: (GIRESUN-NET) graphbar.pl /tmp/$onehourbefore.univ.graph.txt "$DAY [$ONEHOURBEFORE-$HOUR]" $HONEYD_LOG_PATH/ uc-saatlik$onehourbefore.png "Saldiri Sayisi" "Uc" 1 Mayıs Konya 15

16 Grafikler Nasıl Çiziliyor (2) Graph_bar.pl #!/usr/local/bin/perl #Onur BEKTAS onur at ulakbim [nokta] gov [nokta] tr #ULAKNET'e yapilan saldiri istatistigi grafiklari cizim betigi use GD::Graph::bars; use GD::Graph::hbars; use GD::Graph::Data; $stat_dosyasi=$argv[0] ; $baslik=$argv[1]; $cikti_dosyasi=$argv[2]; $x_ekseni=$argv[4]; $y_ekseni=$argv[3]; if ($#ARGV < 4) {print "Kullanim: \n $0 dosya_adi baslik cikti.png" ; exit(0); } chomp($stat_dosyasi); ; open(stat,"$stat_dosyasi") die ("Istatistik Dosyasi =<STAT>; foreach $satir(@stat) { ($saldiri_sayisi,$uc) = split (/:/, $satir) ; chomp($saldiri_sayisi); chomp($uc) ; push (@A,$Uc) ; push (@B,$saldiri_sayisi) ; } 1 Mayıs Konya 16

17 Grafikler Nasıl Çiziliyor = ([@A],[@B]); my $mygraph = GD::Graph::hbars->new; $mygraph->set( x_label => "$x_ekseni", y_label => "$y_ekseni", title => "$baslik", transparent => 0, logo => csirt.png, logo_position=>ul, bar_spacing => 8, shadow_depth => 0, shadowclr => 'dred', transparent => 0, dclrs => ['#9999CC', '#CCCC66', '#339900', '#990000', '#FFCC33'], boxclr => '#FFFFFF', ) or warn $mygraph->error; my $myimage = $mygraph->plot(\@data) or die $mygraph->error; open (IMG,">$cikti_dosyasi") or die $! ; binmode IMG; print IMG $myimage->png ; 1 Mayıs Konya 17

18 Çizilen Grafik 1 Mayıs Konya 18

19 Saldırı yapan ülkeler nasıl bulunuyor? Geoiplookup Günlük dosyadaki ip adreslerini çıkar $CAT $DAYFILE awk -F")" '{print $2}' awk '{print $2}' > /tmp/gunluk.tum.ip.list.tmp.txt Dosyada boş satır varsa sil $GREP -v "^$" /tmp/gunluk.tum.ip.list.tmp.txt > /tmp/gunluk.tum.ip.list.txt Dosyada IP adreslerinin kaç kez geçtiğini saydır $CAT /tmp/gunluk.tum.ip.list.txt $SORT -n uniq -c > /tmp/gunluk.tum.ip.dagilim.txt Her bir IP adresini hangi ülkeye ait olduğunu bul for i in `$CAT /tmp/gunluk.tum.ip.dagilim.txt awk '{print $2}'` ; do $GEOIPLOOKUP $i ; done > /tmp/gunluk.tum.ulke.txt IP adresi dosyası ile ülke dosyasını birleştir $PASTE /tmp/gunluk.tum.ip.dagilim.txt /tmp/gunluk.tum.ulke.txt > /tmp/gunluk.ulke.merge.txt Sonuçları en çok saldırı yapan en üstte olacak şekilde diz. $CAT /tmp/gunluk.ulke.merge.txt $SORT -rn > $DAYFILE.gunluk.ip.ulke.txt 1 Mayıs Konya 19

20 Olay Kaydı nasıl açılıyor? ~/honey]$ more 13.univ.ip.dagilim.txt GATA-NET KARAMAN-NET TRAKYA-NET function create_case { for i in `$CAT $HONEYD_LOG_PATH/$ONEHOURBEFORE.univ.ip.dagilim.txt $AWK '{ if ($1 > 50) print ; }' $AWK '{print $2}'` ; do echo -n "IPADRESI $i " grep $i $HONEYD_LOG_PATH/$ONEHOURBEFORE.univ.ip.dagilim.txt awk '{print $1}' grep $i $HONEYD_LOG_PATH/$ONEHOURBEFORE tail -50 ; done > $CASE_FILE } 1 Mayıs Konya 20

21 Üniversite Sunucuları,Kritik IP adreslerinin bulunması #!/bin/bash ### Universiter icin mx, ns,www, ftp sunucu bulma betigi # Onur BEKTAS # onur at ulakbim nokta gov nokta tr rm -f uni_web.htm edudomain ns nstmp nsip mx mxip wwwip ftpip mergetmp mergeip wget -c grep -i edu.tr uni_web.htm awk -Fhref\=\" '{print $2}' awk -F\" '{print $1}' sed 's/\/$/ /g' sed 's/ > edudomain ## NS for i in `cat edudomain` ; do host -t ns $i ns4.nic.tr grep "name server" awk '{print $NF}' grep -v ulakbim.gov.tr grep -v ulak.net.tr sed 's/.$//g' ; done > nstmp cat nstmp sort uniq > ns for i in `cat ns` ; do host $i grep "has address" awk '{print $1":"$NF}'; done >nsip #### MX for i in `cat edudomain` ; do host -t mx $i ns1.ulakbim.gov.tr grep "mail is handled" awk '{print $NF}' sed 's/\.$//g' ; done > mx for i in `cat mx` ; do host $i grep "has address" awk '{print $1":"$NF}'; done >mxip ### WWW for i in `cat edudomain` ; do host grep -i "has address" awk '{print $1":"$NF}' ; done > wwwip ### FTP for i in `cat edudomain` ; do host ftp.$i grep -i "has address" awk '{print $1":"$NF}' ; done > ftpip ### Sonuc IP adresleri topla dosyaya yaz for i in `cat ftpip mxip nsip wwwip` ; do echo $i awk -F: '{print $2}' ; done > mergetmp cat mergetmp sort uniq > mergeip 1 Mayıs Konya 21

22 Program çıktıları Saatlik 1. En çok saldırı yapan 10 ULAKNET IP sinin hangi uca bağlı oldukları. 2. En çok saldırı gerçekleştiren ilk 10 ULAKNET ucu Günlük 1. Saldırı yapan ülke dağılımı (Ip sayısına göre,günlük) 2. Saldırı yapan ülke dağılımı (Saldırı sayısına göre,günlük) 3. Saldırı yapan IP/Ülke dağılımı (En çok saldırı yapan 10 IP adresinin hangi ülkere ait olduğu) 1 Mayıs Konya 22

23 İstatistikler I KRİTER 1. ÇALIŞMA 2. ÇALIŞMA Zaman Aralığı 1-31 Aralık 5-25 Nisan Toplam Gün Dosya Büyüklüğü Mbyte Mbyte Satır Sayısı ,296,193 Tekil IP Adresi Uç Tekil IP Adresi Mayıs Konya 23

24 Gün Toplam Satır Uç Oran % Toplam Gün Tekil IP Uç Oran % Mayıs Konya 24

25 İstatistikler II En çok saldırı yapan 10 ULAKNET IP Adresi (BOUNET) (BOUNET) (GATA-NET) (BOUNET) (BOUNET) (KARAMAN-NET) (BOUNET) (BOUNET) (KASTAMONU-NET) Mayıs Konya 25

26 İstatistikler III En Çok Saldırı Yapan 10 IP Adresi (Tüm) (Rusya) (Çin) (Çin) (Romanya) (Romanya) (Polonya) (Tayland) (Çin) (Almanya) Mayıs Konya 26

27 İstatistikler IV En Çok Saldırı Yapan 10 Ülke İtalya İngiltere Türkiye ABD Rusya Bilinmeyen Romanya Polonya Almanya Çin Mayıs Konya 27

28 İstatistikler V IP Sayısına Göre İlk 10 Ülke İngiltere İtalya Romanya Kanada Almanya Fransa Türkiye İspnaya ABD Çin Mayıs Konya 28

29 Sonrası.. Uçlarda balküpü ağlarının kurulması Saldırı kayıtları honeywall üzerinde çalışan snort ile birlikte gönderililebilir Saldırı yapan IP adreslerinin spoof olup olmadığı flow kayıtlarından kontrol edilebilir. Bunları yapacak: bash,perl,awk,sed,php bilen insanlara ihtiyacımız var. 1 Mayıs Konya 29

30 Referanslar,Eski çalışmalar Nepenthes, Honeytrap Balküpü Kurumları ve Yapılandırılma CSRT Viki, Onur BEKTAŞ Koray Üçtop,Honeyd Kurulumu Belgesi HoneyWall Kurulumu, Murat Soysal-Onur BEKTAŞ ULAKNET Ağ Saldırı Tespit Sitemi,Akademik Bilişim 2008,Onur BEKTAŞ- Murat Soysal 1 Mayıs Konya 30

31 Teşekkürler + Sorular? 1 Mayıs Konya 31