Gts Flowtools PDF

http://www.acmesecurity.
org
Utilizando o conjunto de ferramentas

Flow-tools como mecanismo
de Deteco de Intruso
Almir Moreira Sade
Arnaldo Candido Junior
Ronan Pedroso Nogueira Gaeti
Prof. Dr. Adriano Mauro Cansian
Coordenador
ACME! Computer Security Research Labs
UNESP - Universidade Estadual Paulista

Campus de So Jos do Rio Preto
2004 ACME! Computer Security Research
http://www.acmesecurity.org
Roteiro
IPFIX e NetFlow
Ferramentas
Flow-tools
ACME! Flow-Alert
Introduo
Monitoramento clssico de trfego:
MRTG
TCPDUMP
Monitoramento por fluxo:

Uma forma mais interessante para caracterizao de trfego.
Detecta eventos interessantes na rede de forma mais eficiente.
Definio para fluxo:

Um fluxo uma seqncia unidirecional de pacotes com caractersticas
comuns entre uma fonte e um destino.
NeTraMet (RFC 2123): o prprio administrador define quais

so estas caractersticas.
NetFlow: define sete caractersticas.
IPFIX - IP Flow Information eXport

RFC 3917 define alguns requisitos para o protocolo IPFIX.
Deve atender a diferentes propsitos:
Contabilidade de uso
Caracterizao de trfego
Engenharia de trfego
Deteco de Intruso/Anomalias
Monitoramento de QoS
RFC 3955 faz uma avaliao de cinco candidatos a protocolo

IPFIX e recomenda que o NetFlow seja usado.
Deteco de Anomalias
A anlise a partir de fluxos NetFlow pode revelar a existncia
de:
Tentativas de intruso realizadas por worms (ex.: Slammer).

Varreduras de portas e de hosts em busca de servios vulnerveis.
Ataques Distribudos de Negativa de Servio.
Violaes de polticas de uso (ex.: P2P).
Worms e varreduras totalizam 81% dos incidentes de

segurana relatados ao Cert.br no primeiro trimestre de 2005.
NetFlow
Padro de facto para o gerenciamento de fluxos de redes.
Proposto pela Cisco em 1996.
Verso 9 documentada no RFC 3954.
Define um fluxo por uma tupla:
IP de origem
IP de destino
Porta de origem
Porta de destino
Tipo de protocolo (do cabealho IP)
Bits de TOS
Interface de entrada
Topologia
Roteadores
do backbone
configurados
para exportar
fluxos.
Fluxos
Coletor de Fluxos
Internet
Roteador
Fluxos
Roteador
Roteador
Analisador
Fluxos NetFlow
Um novo fluxo criado quando recebido um pacote que no pertence a
nenhum outro fluxo existente.
Um fluxo expira quando:
Permanece inativo por mais de 15 segundos.
Sua durao excede 30 minutos.
Uma conexo TCP encerrada por um FIN ou RST.
Tabela de fluxos est cheia ou usurio redefine configuraes de fluxo.
Amostragem:
Os pacotes usados na gerao de novos fluxos podem ser amostrados como medida
para diminuir overhead.
Agregao:
Fluxos podem ser agregados gerando um nico fluxo. Isto til para diminuir o uso
de banda.
Com agregao: v8.x, v9; sem agregao: v1, v5, v6, v7, v9.
Verses
V1 no possui nmeros de seqncia (no detecta perda de
fluxos).
V5 verso mais difundida atualmente. Cada pacote contm
um cabealho e cerca de 30 registros de fluxo.
V7 traz alguns melhoramentos para switchs Cisco Catalist.
V8.x verses especficas para agregao.
V9 Utiliza templates para definir o formato de um registro de
fluxos.
Verso definida no RFC 3954.
Os templates possibilitam a insero de novos campos sem mudanas
nos softwares j existentes.
Verses 2, 3, 4 e 6 nunca foram oficialmente lanadas.

NetFlow - Formato tpico de pacote

IP/UDP packet
Formato de pacote para as

verses 1, 5, 7, 8.
A verso 5 tem em mdia 30
registros de fluxo por pacote.
Verso 9 pode conter registros
com informaes sobre o
template e registros opcionais
com informaes extras.
NetFlow
header
flow record
flow record
10
Configurao Cisco IOS

Configurando o router:
Router# configure terminal
Router(config)# ip flow-export destination a.b.c.d 7000
Router(config)# ip flow-export version 5 peer-as
Router(config)# ip flow-export source Ethernet 0/1
Configurando as interfaces:
Router(config)# interface Ethernet 0/0
Router(config-if)# ip route-cache flow
Obtendo estatsticas:
Router(config)#show ip flow export
11
Configurao Cisco Catalist

CatIOS:
Console>
Console>
Console>
Console>
(enable)
(enable)
(enable)
(enable)
set
set
set
set
mls
mls
mls
mls
flow full
nde version 7
nde a.b.c.d 7000
agingtime 32
Native IOS:
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
Router(config)#
mls flow ip destination-source

mls nde flow include
mls nde src_address a.b.c.d version 7
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination c.d.e.f 5555
12
Configurao Juniper (1)

Obtendo amostragem de
pacotes atravs do firewall:
Configurao:
forwarding-options {
sampling {
input {
family inet {
rate 100;
}
}
output {
cflowd a.b.c.d {
port 7000;
version 5;
}
}
}
firewall {
filter all {
term all {
then {
sample;
accept;
}
}
}
}
13
Configurao Juniper (2)

Aplicando o filtro de firewall nas interfaces:
interfaces {
ge-0/3/0 {
unit 0 {
family inet {
filter {
input all;
output all;
}
address 192.148.244.1/24;
}
}
}
14
Ferramentas
Flow-tools: conjuntos de ferramentas para coleta e anlise de fluxos.
http://www.splintered.net/sw/flow-tools/
FlowScan: anlise grfica de fluxos NetFlow.

http://dave.plonka.us/FlowScan/
Cflowd: semelhante ao Flow-tools, porm em desuso atualmente.

http://www.caida.org/tools/measurement/cflowd/
Ntop: gerenciamento do trfego de atravs de grficos e relatrios.

Pode utilizar os fluxos NetFlow.
http://www.ntop.org/
Nprobe: permite que seja utilizado um servidor dedicado para exportar

fluxos, deixando os roteadores menos sobrecarregados.
http://www.ntop.org/nFlow/
Argus: ferramenta para exportar, coletar e analisar de fluxos.

http://www.qosient.com/argus/
15
FlowScan (1)
Exemplo de
prospeco:
16
FlowScan (2)
Exemplo de negativa
de servio (DDoS):
17
Flow-tools
Conjunto de ferramentas utilizado para coletar, processar e
gerar informaes sobre dados do NetFlow.
Algumas ferramentas:
Flow-capture: recebe, armazena e rotaciona arquivos de fluxos.
Flow-cat: concatena arquivos NetFlow. Utilizado para repassar
informaes para as outras ferramentas.
Flow-print: visualiza informaes contidas em arquivos NetFlow.
Flow-stat, flow-report: geram relatrios e estatsticas sobre a rede.
Flow-dscan: dispara alertas para fluxos com muitos octetos e procura
por varreduras de hosts e servios.
Flow-filter, flow-nfilter: fornecem opes avanadas de filtragens.
18
Instalao e Configurao
Instalao:
# ./configure
# make
# make install
Iniciando flow-capture:
Receber fluxos do roteador 10.0.0.1 na porta 7200.
Utilizando o formato V5 com 50 GB armazenamento mximo de
disco.
# flow-capture -w <flow_dir> 0/10.0.0.1/7200 -V5 -E50G -N 0
19
Alguns Exemplos (1)

Visualizar todos os fluxos exportados do de primeiro de junho entre
das 17:00 at as 18:00 do dia (supondo que os fluxos estejam no
formato V5):
$ flow-cat ft-v05.2005-06-01.17* | flow-print

srcIP
dstIP
prot srcPort
a.a.a.a
b.b.b.b
6
3261
c.c.c.c
d.d.d.d
17
6346
d.d.d.d
e.e.e.e
6
135
f.f.f.f
g.g.g.g
6
80
h.h.h.h
i.i.i.i
6
80
j.j.j.j
k.k.k.k
6
3046
l.l.l.l
m.m.m.m
6
1233
...
dstPort
21
6346
1076
2603
3047
80
80
octets
144
235
120
6088
40
80
1424
packets
3
5
3
7
1
2
13
20
Alguns Exemplos (2)

Obter estatsticas gerais sobre o uso da rede:
$ flow-cat <flow_files> | flow-stat -f 0
Total Flows
: 247530
Total Octets
: 1963293045
Total Packets
: 3642639
Total Time (1/1000 secs) (flows): 1319883688
Duration of data (realtime)
: 3600
Duration of data (1/1000 secs) : 3659416
Average flow time (1/1000 secs) : 5332.0000
Average packet size (octets)
: 538.0000
Average flow size (octets)
: 7931.0000
Average packets per flow
: 14.0000
Average flows / second (flow)
: 67.6496
Average flows / second (real)
: 68.7583
Average Kbits / second (flow)
: 4292.5238
Average Kbits / second (real)
: 4362.8735
...
21
Alguns Exemplos (3)

Obter os hosts Top-talkers:
$ flow-cat <flow_files> | flow-stat -f11 -S3
# IPaddr
flows
octets
#
a.a.a.a
54230
406727082
b.b.b.b
10204
535210442
c.c.c.c
17316
128301234
d.d.d.d
19041
110948250
...
packets
769252
760396
229786
199408
Informaes sobre varreduras:

$ flow-cat <flow_files> | flow-dscan -b -l -s dscan.statefile -p -W -w
flow-dscan: host scan: ip=a.a.a.a ts=1100288268 start=1112.17:37:48.80
flow-dscan: host scan: ip=b.b.b.b ts=1100288511 start=1112.17:41:51.4
flow-dscan: host scan: ip=c.c.c.c ts=1100288595 start=1112.17:43:15.411
flow-dscan: port scan: src=d.d.d.d dst=80.117.91.22 ts=1100288718 start=
1112.17:45:18.125
flow-dscan: host scan: ip=e.e.e.e ts=1100288964 start=1112.17:49:24.90
...
22
ACME! Flow Alert

Script Perl que utiliza o Flow-tools como backend para
identificar eventos interessantes na rede.
Definio dos parmetros aceitveis da rede feita atravs de um
arquivo de configurao (flow-alert.conf).
Este arquivo tambm define quais testes sero realizados e outras
informaes gerais.
Gera alertas e relatrios estatsticos.

Relatrios: informaes gerais sobre o funcionamento da rede (ex.:
varreduras de portas e hosts). E-mail dirio enviado ao administrador.
Alertas: informaes sobre potenciais problemas na rede (ex.: nmero
de fluxos muito acima do normal). E-mail enviado ao administrador no
momento em que o problema detectado.
23
Eventos Detectveis
Atravs de anlises de octetos:
Ataques de negativa de servio.
Violaes na poltica de trfego.
Atravs de anlise de fluxos:

Ataques de negativa de servio.
Tentativas de intruso provenientes de worms.
Varreduras em busca de servios vulnerveis.
24
Relatrio Estatstico
Prospeces de hosts e portas geradas atravs do flow-dscan.
Os IPs dos servidores mais acessados devem ser armazenados nos
arquivos dscan.suppress.dst e dscan.suppress.src para evitar falsos
positivos.
Trfego de IPs suspeitos:

IPs no roteveis (10.0.0.0/8, 127.0.0.0/8).
IPs de multicast (224-254.0.0.0/8).
IP Spoofing e ataques Smurf.
Top-talkers.
Por fluxos.
Por octetos.
Servios mais populares (top-services).

25
Exemplo de Relatrio
Top 10 Hosts by octets:
IP
Octets
d.d.d.d
1126337522
e.e.e.e
1096880263
f.f.f.f
842165643
Report date: 2005-06-25

Port scans: 1
Host scans: 162
Top 10 destination ports by flow:
port
flows
a
410346
b
245921
c
223171
...
Top 10 Hosts by flow:
IP
flows
a.a.a.a
494981
b.b.b.b
347351
c.c.c.c
259700
...
Uncommon IPs:
10.0.0.0/8: 1453
127.0.0.0/8: 0
172.16.0.0/12: 1470
192.168.0.0/16: 160
Multicast IPs: 39716
Report start: 01:00
Report finish: 01:01
26
Alertas
Alertas por fluxos
Disparado quando o total de fluxos gerados excede o limite prdefinido.
Alerta para o administrador informando os hosts e servios que esto
consumindo mais fluxos.
Alertas por octetos

Funciona de forma semelhante ao alerta por fluxos, informando ao
administrador taxas muito elevadas de octetos por segundo e
detalhando os servios e hosts envolvidos.
27
Exemplos de Alerta
Total flows / second:
89.2000
Total kbits / second:
3450.2566
Top 10 Hosts by flow:

IP
flows
a.a.a.a
5581
b.b.b.b
3419
c.c.c.c
2487
...
Top 10 Hosts by octets:

IP
Octets
d.d.d.d
27829564
e.e.e.e
23275696
f.f.f.f
9728153
...
Top 10 destination ports by flow:

port
flows
a
3688
b
2538
c
2170
...
Top 10 destination ports by octets:

port
octets
d
6334912
d
5167528
d
4959120
...
In order to avoid false alarms keep

flow_limit_alert high enough
In order to avoid false alarms keep

kbits_limit_alert high enough
28
Prospeco Detectada
Prospeces detectadas de mquinas infectadas pelo worm Slammer s
9:00, 14:00 e 15:00 horas.
Grfico correspondente:
29
Falso-Positivo
Alto trfego de octetos na porta 25. Aparentemente trfego de spam.
Grfico correspondente:
Posterior anlise mostrou tratar-se de um usurio que envia correntes.

30
Instalao
Requisitos mnimos de hardware considerando 1 GB de dados por dia:
Pentium IV 1.8 ou equivalente.
512 megas de RAM.
Download
www.acmesecurity.org/flow-alert
Instalao
./install.sh
Instalar biblioteca Perl NetAddr::IP
Configurao
Revisar configuraes em /etc/flow-alert/flow-alert.conf.
E-mail do administrador.
Limites para fluxos e octetos (sugesto: usar o dobro da mdia da rede).
Anlises que devero ser habilitadas.
31
Observaes
possvel que algumas anlises possam no ser efetuadas em
configuraes muito especficas ou diferentes do ambiente de
desenvolvimento.
Roteador Cisco 7200.
Exports no formato V5.
Slackware GNU/Linux e Debian GNU/Linux.
recomendado que o script seja executado sem permisses de

administrador.
O tempo de criao dos fluxos deve ser um mltiplo de 5
minutos.
Bugs encontrados podem ser encaminhados aos autores.
32
Concluses
A anlise de fluxos uma forma importante para deteco de
algumas formas de anomalias na rede e de tentativas de
intruso.
Dentre as opes disponveis, o conjunto Flow-tools se
mostrou uma ferramenta poderosa e flexvel para a anlise de
fluxos.
O script apresentado pode ser utilizado como ferramenta de
apoio para deteco de anomalias. possvel obter
informaes sobre um ataque pouco tempo aps seu incio.
O script fornece informaes mais detalhadas sobre eventos
anmalos, quando detectados, do que uma anlise superficial
do grfico do FlowScan.
33
Referncias
Cert-br:
http://www.nbso.nic.br/stats/incidentes/2005-jan-mar/tipos-ataque.html
Cisco NetFlow:
http://www.cisco.com/warp/public/732/Tech/nmp/netflow/index.shtml
FlowScan:
http://dave.plonka.us/FlowScan/
Flow-tools:
http://www.splintered.net/sw/flow-tools/
GTS 2003 - Andrey Verdana Andreoli
http://eng.registro.br/gter15/videos/experienciascomnetflow/
Juniper Cflowd:
www.juniper.net/techpubs/software/junos/
National Center for Network Engineering:
http://www.ncne.org/training/techs/2002/0127/presentations/
Ntop:
http://www.ntop.org/
RFCs 2123, 3917, 3954, 3955.
www.ietf.org
34
Obrigado!
Para entrar em contato e obter mais informaes:
almir at acmesecurity dot org Key ID: 0x77F86990
arnaldo at acmesecurity dot org Key ID: 0x85A6CA01
ronan at acmesecurity dot org Key ID: 0x165130A6
adriano at acmesecurity dot org Key ID: 0x3893CD28
Agradecimentos a Gustavo Rodrigues Ramos pela ajuda na elaborao
deste material
ACME! Computer Security Reseach Labs
UNESP IBILCE
So Jos do Rio Preto - Brasil
35

Gts Flowtools PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gts Flowtools PDF

Enviado por

Direitos autorais:

Formatos disponíveis

http://www.acmesecurity.

Utilizando o conjunto de ferramentas

UNESP - Universidade Estadual Paulista

2004 ACME! Computer Security Research

2004 ACME! Computer Security Research

Monitoramento por fluxo:

Definio para fluxo:

NeTraMet (RFC 2123): o prprio administrador define quais

IPFIX - IP Flow Information eXport

RFC 3955 faz uma avaliao de cinco candidatos a protocolo

2004 ACME! Computer Security Research

Tentativas de intruso realizadas por worms (ex.: Slammer).

Worms e varreduras totalizam 81% dos incidentes de

2004 ACME! Computer Security Research

2004 ACME! Computer Security Research

Verses 2, 3, 4 e 6 nunca foram oficialmente lanadas.

NetFlow - Formato tpico de pacote

Formato de pacote para as

2004 ACME! Computer Security Research

Configurao Cisco IOS

2004 ACME! Computer Security Research

Configurao Cisco Catalist

mls flow ip destination-source

2004 ACME! Computer Security Research

Configurao Juniper (1)

2004 ACME! Computer Security Research

Configurao Juniper (2)

2004 ACME! Computer Security Research

FlowScan: anlise grfica de fluxos NetFlow.

Cflowd: semelhante ao Flow-tools, porm em desuso atualmente.

Ntop: gerenciamento do trfego de atravs de grficos e relatrios.

Nprobe: permite que seja utilizado um servidor dedicado para exportar

Argus: ferramenta para exportar, coletar e analisar de fluxos.

2004 ACME! Computer Security Research

2004 ACME! Computer Security Research

2004 ACME! Computer Security Research

Alguns Exemplos (1)

$ flow-cat ft-v05.2005-06-01.17* | flow-print

2004 ACME! Computer Security Research

Alguns Exemplos (2)

2004 ACME! Computer Security Research

Alguns Exemplos (3)

Informaes sobre varreduras:

ACME! Flow Alert

Gera alertas e relatrios estatsticos.

Atravs de anlise de fluxos:

2004 ACME! Computer Security Research

Trfego de IPs suspeitos:

Servios mais populares (top-services).

Report date: 2005-06-25

2004 ACME! Computer Security Research

Alertas por octetos

2004 ACME! Computer Security Research

Total kbits / second:

Top 10 Hosts by flow:

Top 10 Hosts by octets:

Top 10 destination ports by flow:

Top 10 destination ports by octets:

In order to avoid false alarms keep

In order to avoid false alarms keep

2004 ACME! Computer Security Research

2004 ACME! Computer Security Research

Posterior anlise mostrou tratar-se de um usurio que envia correntes.