-
Die
vorliegende Erfindung betrifft allgemein die Computersicherheit.
Insbesondere betrifft die vorliegende Erfindung eine Vorrichtung
und ein Verfahren zum Erfassen eines Urhebers feindlichen Traffics in
einem Netzwerk.
-
Es
sind mehrere Versuche unternommen worden, Urheber von Angriffspaketen
in dem Netzwerk zu identifizieren. Ein Netzwerkteleskop stellt die Fähigkeit
bereit, Opfer bestimmter Arten von Dienstangriffen oder mit Würmern infizierte
Hosts und Fehlkonfigurationen aus einer Entfernung zu sehen. Es wurden
Teergruben eingesetzt, um Ressourcen verdächtiger Angriffsquellen zu
zerstören.
Honeypots können
die Identifikation verdächtiger
IP-Adressen unterstützen.
-
Eine
verbreitete Technik ist ein Honeypot-Mechanismus, der allgemein
als eine Ressource definiert wird, deren Wert in ihrer nicht autorisierten Verwendung
liegt. Ein einfacher Honeypot-Mechanismus
beinhaltet das Bekanntmachen eines dunklen Adressraums (eine Gruppe
von Internet-Protokoll-(IP)-Adressen,
die gegenwärtig
nicht in Gebrauch, d.h. aktiven Maschinen zugeordnet sind) und das
Identifizieren von Urhebern von Traffic mit diesem Raum. Die Annahme
ist, dass derartige Quellen verdächtig
sind. Einige Honeypots hören
einem solchen Traffic passiv zu. Weder die Bekanntmachungen dunkler
Adressen noch das Abhören
eingehenden Traffics ist besonders teuer. Andere Honeypots interagieren
zu einem unterschiedlichen Grad mit dem Traffic. Einige antworten
mit Bestätigungen
auf die eingehenden Nachrichten oder ahmen eine Login-Sitzung nach.
Im anderen Extremfall können
einige Honeypots einen gesamten Kernel nachahmen. Abhängig von
dem Grad des Zusammenwirkens können
mehr Einzelheiten über
den Angriffstraffic gesammelt werden. Für verschiedene Varianten von Sondierungsangriffen
sind öffentliche
Versionen von Honeypotcodes für
verbreitete Betriebssysteme zusammen mit im Handel vertriebener
Software verfügbar,
was auf die Beliebtheit dieser Technik zum Identifizieren von Sondierungstraffic
deutet. Die breite Anerkennung von Honeypots ist auch zum Lokalisieren von
Urhebern von Spam-Emails verwendet worden, obwohl derartige Honeypots über mehr
Infrastruktur verfügen
müssen.
-
Da
Honeypots an dem Ziel für
Sondierungen und anderen ungewünschten
Traffic Daten sammeln, sind sie nicht in der Lage, den genauen Eintrittspunkt derartigen
Traffics zu lokalisieren; außerdem
können einige
der Quelladressen verfälscht
sein. Aufgrund der Verzögerungen
und der Schwierigkeiten, entlang des Wegs eines derartigen Traffics
den Zustand aufrechtzuerhalten, ist die Rückverfolgung des Ursprung dieses
Traffics schwierig. Schwerer wiegt, dass die autonomen Systeme (AS)
auf dem zu dem Ziel führenden
Weg keine Kenntnis darüber
haben, dass die bekannt gemachte Vorsilbe dunkel ist. Somit tragen die
AS auf dem Weg derartigen Traffic zu dem Ziel und profitieren nicht
von der Kenntnis, dass die Urheber solchen Traffics potenziell verdächtig sind. Schließlich kann
das AS, an dem derartiger Traffic seinen Ursprung nimmt, nicht von
dem für
die Einführung
dieses Traffics verantwortlichen Link erfahren.
-
Daher
besteht auf dem Gebiet der Bedarf nach einem Verfahren und einer
Vorrichtung zum Erfassen eines Urhebers feindlichen Traffics näher an dem
Eintrittspunkt derartigen Traffics.
-
Die
vorliegende Erfindung betrifft allgemein ein Verfahren und eine
Vorrichtung zum Erfassen eines Urhebers interessierenden Traffics,
z.B. feindlichen Traffics.
-
Gemäß der vorliegenden
Erfindung wird ein Verfahren zum Erfassen eines Urhebers (105)
von interessierendem Traffic bereitgestellt, das das Einrichten
eines oder mehrerer Honeypots und das Bereitstellen von Mobilität an den
einen oder die mehreren Honeypots umfasst, dadurch gekennzeichnet, dass der
eine oder die mehreren Honeypots durch eine oder mehrere dunkle
Vorsilben (145, 150, 155), die einem
oder mehreren Zielen zugeordnet sind, eingerichtet wird und durch
Kommunizieren von der einen oder den mehreren dunklen Vorsilben
(145, 150, 155) zugeordneten Informationen
an mindestens ein autonomes System oder durch Variieren von Informationen
bezüglich
der einen oder den mehreren dunklen Vorsilben, das heißt durch
Variieren einer Länge
der einen oder der mehreren dunklen Vorsilben und/oder einer Dauer
der einen oder der mehreren Vorsilben und/oder eines Schwellwerts
für den
interessierenden Traffic dem einen oder den mehreren Honeypots Mobilität bereitgestellt
wird.
-
Für ein detailliertes
Verständnis
der oben genannten Merkmale der vorliegenden Erfindung kann eine
eingehendere Beschreibung der oben kurz zusammengefassten Erfindung
durch Bezugnahme auf Ausführungsformen
erfolgen, von denen einige in den beigefügten Zeichnungen veranschaulicht
sind. Es sei jedoch darauf hingewiesen, dass die beigefügten Zeichnungen
nur typische Ausführungsformen dieser
Erfindung veranschaulichen und daher nicht als ihren Schutzumfang
einschränkend
angesehen werden sollen, da die Erfindung andere gleichfalls effektive
Ausführungsformen
zulassen kann.
-
1 veranschaulicht
ein System in Übereinstimmung
mit einer Ausführungsform
der vorliegenden Erfindung;
-
2 veranschaulicht
ein Flussdiagramm eines Verfahrens in Übereinstimmung mit einer Ausführungsform
der vorliegenden Erfindung; und
-
3 veranschaulicht
ein Blockdiagramm eines Allzweckcomputers in Übereinstimmung mit einer Ausführungsform
der vorliegenden Erfindung.
-
Die
vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung
zum Erfassen einer Quelle von interessierendem Traffic, z.B. unerwünschten Traffic
(z.B. Paketen) näher
an dem Eintrittspunkt. Um Informationen über dunkle Vorsilben gemeinsam von
stromaufwärtigen
autonomen Systemen (AS) zu benutzen, werden mobile Honeypots mit
dem Ziel bereitgestellt, unerwünschten
Traffic erheblich näher
an seinem Ursprung zu erfassen. Die Mobilität rührt von zwei Aspekten her.
In einer Ausführungsform
werden den stromaufwärtigen
AS die Informationen über
die Dunkelheit der Vorsilben verfügbar gemacht. Durch die Mobilität dieser
Informationen können
mehrere Teilnehmer früher über die
Angriffsquellen Kenntnis haben. In einer weiteren Ausführungsform
kann die Liste dunkler Vorsilben auch aperiodisch geändert werden
und somit erscheinen die Honeypots aus dem Blickwinkel der Angreifer
mobil.
-
Die
mobile Honeypot-Technik ist ein kostengünstiger, zuverlässiger Mechanismus,
der durch feindliche Gruppen im Internet nicht leicht umgekehrt oder
angegriffen werden kann. Die aus verdächtigem Traffic gesammelten
Informationen werden dynamisch an ein Netzwerk freundlicher AS mitgeteilt.
Jedes AS, das von Vorsilben erfährt,
die für
die Erzeugung signifikanter Mengen unerwünschten Traffics verantwortlich
sind, kann von sich aus Abhilfemaßnahmen treffen. Wenn die AS
entlang des Weges beispielsweise wissen, dass es sich bei dem Ziel,
an das Traffic getragen wird, um einen Honeypot handelt, können sie
solchen Traffic fallen lassen und stromabwärtige AS unter Verwendung eines
Außer-Band-Mechanismus über diese
Adressen informieren.
-
Aus
verschiedenen Gründen
könnten
AS nicht motiviert sein, mit einem derartigen Mechanismus zusammenzuwirken.
Informationen über
Quellen, die eine signifikante Menge von Sondierungstraffic oder
anderem Traffic erzeugen, können
beispielsweise von jedem der AS entlang des Weges verwendet werden.
Sie könnten
sich entscheiden, den Traffic dieser Quellen auf eine graue Liste
zu setzen oder fallen zu lassen, wenn er an ihre Kunden gerichtet
ist. Quellenbasiertes Filtern wird in der Regel nicht ausgeführt, da
es ein größeres Risiko
mit sich bringt. Wenn sich Informationen über wiederholte Sondierungen
verbreiten, können
die Quellinformationen gezielt von AS entlang des Weges verwendet
werden, um ihre Richtlinien zu beeinflussen. Jedes der an dem Schema
mitwirkenden AS kann die Bekanntmachungen dunkler Vorsilben verstärken. Da
jedes mitwirkende AS an der frühestmöglichen
stromaufwärtigen
Position Traffic herausfiltert und Informationen über Quell-IP-Adressen
weitergibt, besteht eine potenzielle Verringerung unerwünschten
Traffics, der durch eines der mitwirkenden Netzwerke von AS in das
Internet eintritt. Da AS, die den Quellen solchen unerwünschten
Traffics näher
sind, über
die verdächtigen
Aktivitäten
informiert werden, ist es nun außerdem möglich, die Ursprungsquelle
solchen unerwünschten
Traffics genauer zu identifizieren.
-
Ein
AS kann mehrere Vorsilben besitzen. Dieses AS kann eine Untergruppe
der Vorsilben aufnehmen und der Außenwelt, d.h. benachbarten
AS, über
Bekanntmachungen mitteilen, dass es beabsichtigt, Traffic zuzulassen,
der sich an diese Vorsilben richtet. Eine oder mehrere der bekannt
gemachten Vorsilben können
von dem AS als dunkle Vorsilben gekennzeichnet sein. Wenn die benachbarten AS
diese Bekanntmachungen empfangen, achten sie dann auf Traffic, der
sich an die in den dunklen Vorsilben enthaltenen IP-Adressen richtet,
und wenn Traffic vorliegt, wird dieser an das AS, das die Bekanntmachungen
durchgeführt
hat, weitergeleitet.
-
1 veranschaulicht
ein System in Übereinstimmung
mit einer Ausführungsform
der vorliegenden Erfindung. In 1 wird eine
Vielzahl autonomer Systeme (AS) gezeigt, d.h. AS 90210, AS 10003,
AS 666, AS 7, AS 4, AS 314 und AS 1239. Ein autonomes System (AS)
ist eine Einheit einer Routerrichtlinie, entweder ein einzelnes
Netzwerk oder eine Gruppe von Netzwerken, die von einem gemeinsamen
Netzwerkadministrator (oder einer Gruppe von Administratoren) im
Auftrag einer einzelnen administrative Gruppe (wie einer Universität, eines
Wirtschaftsunternehmens oder einer Wirtschaftsabteilung) gesteuert
wird. Ein autonomes System wird manchmal auch als Routingbereich
bezeichnet. Einem autonomen System wird eine global eindeutige Nummer
zugewiesen, die manchmal als Autonome-System-Nummer (ASN) bezeichnet
wird. Netzwerke in einem autonomen System kommunizieren unter Verwendung
eines Internen Gatewayprotokolls (IGP) Routinginformationen miteinander.
Ein autonomes System benutzt unter Verwendung des Weiteren Gatewayprotokolls
(Broader Gateway Protocol, BGP) Routinginformationen zusammen mit
anderen autonomen Systemen.
-
Es
wird eine Vielzahl von Honeypots eingerichtet. Honeypots sind Informationsressourcen,
deren Wert in der nicht autorisierten oder illegalen Verwendung
dieser Ressource liegt. Durch die Elemente 145, 150, 155 werden
bekannt gemachte dunkle Vorsilben angezeigt. In einer Ausführungsform
hören (nicht
gezeigte) Maschinen, z.B. Server, dem an die dunklen Vorsilben gerichteten
Traffic zu, um die Quelle des unerwünschten Traffics zu bestimmen.
In einem veranschaulichenden Beispiel tritt der interessierende
Traffic, z.B. Sondierungstraffic eines Angreifers 105 über AS 90210
ein. Es wird gezeigt, dass AS 7 Bekanntmachungen mobiler Honeypots
an AS 4 sendet. AS 4 leitet die Bekanntmachungen mobiler Honeypots
weiter an AS 314 und AS 1239, die beide an dem Schema teilnehmen,
obwohl sie ihre eigenen dunklen Vorsilben nicht bekannt machen.
AS 666 wird (sozusagen) dadurch umgangen, dass das Proxy-Gemeinschafts-Attribut
verwendet wird, um AS 10003 Traffic an die dunkle Vorsilbe 150 von
AS 7 überwachen
zu lassen.
-
2 veranschaulicht
ein Flussdiagramm eines Verfahrens 200 in Übereinstimmung
mit einer Ausführungsform
der vorliegenden Erfindung. Verfahren 200 startet bei Schritt 205.
-
In
Schritt 210 werden ein oder mehrere Honeypots eingerichtet.
Das Einrichten der Honeypots umfasst das Einrichten in einem AS
einer oder mehrerer dunkler Vorsilben (z.B. Adressraum, der auf
interessierenden Traffic, z.B. unerwünschten Traffic, hin überwacht
werden kann), welche einem oder mehreren Zielen zugeordnet sind.
Die eine oder die mehreren dunklen Vorsilben werden in mindestens einem
AS bekannt gemacht. Es werden Daten gesammelt, die dem Traffic (z.B.
Paketen) zugeordnet sind, welcher von dem einen oder mehreren Zielen empfangen
wird und sich auf die dunklen Vorsilben richtet.
-
In
Schritt 215 wird dem einen oder den mehreren Honeypots
Mobilität
bereitgestellt. Die Mobilität der
Honeypots bezieht sich auf die Bewegung von Informationen, die den
dunklen Vorsilben zugeordnet sind, sowie auf Änderungen in der Gruppe bekannt gemachter
dunkler Vorsilben.
-
In
einer Ausführungsform
werden mobile Honeypots dadurch bereitgestellt, dass die Gruppe
bekannt gemachter dunkler Vorsilben geändert wird. In einer Ausführungsform
werden Änderungen
in der Gruppe bekannt gemachter dunkler Adressen bereitgestellt,
indem es einem AS ermöglicht
wird, an dem mobilen Honeypot-Schema teilzunehmen, um die Wirkung
dreier Parameter genau abzustimmen: die Vorsilbenlänge, die
Dauer der Bekanntmachung und der Schwellwert der Paketzählung.
-
Jedes
AS wählt
zufällig
eine veränderliche Untergruppe
von Vorsilben unterschiedlicher Länge (z.B. in der Regel eine/24)
aus und gibt diese bekannt. Die Bekanntmachung wird abhängig von
einer Mindest- und Höchstzeitgrenze
nach einer gewissen zufälligen
Dauer zurückgezogen.
Zusammen mit der Vorsilbe und mit der Länge variierend wird eine Schwellwertzählung von
Paketen identifiziert. Wenn die Anzahl von an diesem Ziel empfangenen
Paketen den Schwellwert während
der Dauer der Bekanntmachung übersteigt,
wird der Urheber als verdächtig
angesehen. Dieser Schwellwert wird derart eingestellt, dass etwas
gutartige Sondierung, die mit der Entdeckung neuer Vorsilben verbunden
ist (durch Internetabbildungsgruppen und -forscher), zugelassen
wird. Der Algorithmus zur Auswahl von Vorsilben, ihrer Live-Dauer
und der Zählungsschwellwert
werden alle unabhängig
von den teilnehmenden AS auf der Basis ihrer Trafficmuster und der
erwarteten Paketanzahl während
eines Zeitintervalls bestimmt. Zusammen mit der Bekanntmachung wird
ein optionales Feld verwendet, um es dem stromaufwärtigen AS
zu ermöglichen,
den Traffic fallen zu lassen, die Informationen über den Urheber aber durchzuleiten.
Eigentliche BGP-Mechanismen für
dieses optionale Feld werden im Folgenden ausführlicher erläutert.
-
Annehmbare
dunkle Adressen werden unter Verwendung bestimmter Kriterien ausgewählt. Um die
Identifizierung der Anzahl von Adressen, die als Honeypotquellen
verwendet werden können,
zu unterstützen,
können
synthetische Modelle eingesetzt werden. Die Ziele der Auswahl von
Adressen sind vielfältig:
- 1. Sollten die Angreifer in der Lage sein,
eine der ausgewählten
Adressen innerhalb der Live-Dauer der Vorsilbe zu erreichen (d.h.
der Honeypot muss einige Bienen anziehen). Die Adressgruppe sollte groß genug
sein, aber vorzugsweise nicht zu groß, um falsche Positive zu verringern;
- 2. Die nicht zusammenwirkenden AS (oder auch die zusammenwirkenden
AS) sollten nicht in der Lage sein, aus den bekannt gegebenen dunklen Vorsilben
irgendetwas von Bedeutung abzuleiten. Aus wirtschaftlichen und Wettbewerbserwägungen ist
dies eine Besorgnis der AS. Da ein AS die Bekanntmachung einer dunklen
Vorsilbe nach Belieben zurückziehen
kann und sie zu jedem zukünftigen Zeitpunkt
einem Kunden zuweisen kann, werden die AS, die die Bekanntmachung gesehen
haben, nicht in der Lage sein, aus ihnen irgendetwas von Wert abzuleiten.
- 3. Wenn ein dunkler Adressraum später gültigen Kunden zugewiesen wird,
sollte wenig Risiko bestehen, dass stromaufwärtige AS den Traffic fallen
lassen.
-
In
einer Ausführungsform
werden mobile Honeypots dadurch bereitgestellt, dass den dunklen Vorsilben
zugewiesene Informationen mitgeteilt werden. In einer Ausführungsform
gibt es zwei Betriebsmodi für
mobile Honeypots: nicht zusammenwirkend und zusammenwirkend. In
dem nicht zusammenwirkenden Betriebsmodus muss das bekanntgebende AS
stromaufwärtige
AS nicht darüber
informieren, dass eine Vorsilbe dunkel ist. Es wird eine Standard-BGP-Bekanntmachung über eine
Vorsilbe verwendet und nach einer bestimmten Dauer zurückgezogen.
Ein interner Schwellwert wird verwendet, um zu schließen, dass
wenn der Traffic für
die Vorsilbe den Schwellwert übersteigt,
der Urheber solchen Traffics am Senden gefälschter Pakete beteiligt ist.
In dem nicht zusammenwirkenden Modus wird der unerwünschte Traffic
den gesamten Weg zurück
zu dem Ankündiger
der Bekanntmachung getragen. Die Informationen über den Urheber können erst
später anderen
auf dem Weg mitgeteilt werden.
-
In
dem zusammenwirkenden Betriebsmodus fügen interessierte AS ein Tag
an den Gemeinschaftsparameter in der BGP-Bekanntmachung an, so dass
die stromaufwärtigen
AS über
die dunkle Natur der Vorsilbe Kenntnis haben. Stromaufwärtige AS filtern
an diese dunklen Vorsilben gerichteten Traffic auf eine von zwei
Arten aus: Stromaufwärtige
AS können
den Traffic identifizieren, die Informationen aufzeichen und weiterleiten;
oder alternativ könnten die
stromaufwärtigen
AS den Traffic fallen lassen, aber die Informationen eintragen und
sie unter Verwendung von Außer-Band-Mechanismen
an die zusammenwirkende AS-Gruppe senden.
-
In
dem nicht zusammenwirkenden Modus nehmen die nicht teilnehmenden
AS Aktualisierungen (Bekanntmachungen und Zurückziehungen) über bestehende
BGP-Verbindungen an und tragen jeden an diese Vorsilben gerichteten
Traffic weiter. Es ist nicht wahrscheinlich, dass das Volumen solchen Traffics
zu hoch ist und sie so beeinträchtigt,
und hinsichtlich des wirtschaftlichen Aspekts gibt es keinen möglichen
Nachteil. In dem zusammenwirkenden Modus, bei dem die AS eigentlich
im Voraus wissen, dass an die dunklen Vorsilben gerichteter Traffic
unerwünscht
ist, können
sie den Urheber aufzeichnen und solchen Traffic dann ausfiltern.
Zusammenwirkende AS müssten
beginnen, zusätzliche
Prüfungen auf
Traffic an eine Sammlung von Vorsilben durchzuführen, welcher während des
Livefensters einen spezifizierten Schwellwert übersteigt. Sobald die AS die Quelladressen
erfahren haben, können
sie gegebenenfalls ihre Zugriffssteuerung modifizieren, um jeden
an ihre eigenen Kunden gerichteten, von diesen Quelladressen stammenden
Traffic zu untersuchen. AS können
auch eine feiner eingeteilte Überwachung solcher
Adressen abstimmen. Wenn die zusammenwirkenden AS Pakete aktiv fallen
lassen (d.h. filtern), müssen
die AS Zähler
für die
Live-Dauer der bekannt gegebenen dunklen Vorsilben installieren
und sicherstellen, dass die AS die Informationen über die
Zugriffssteuerungsliste (ACL) modifizieren können, um auf der Basis von
Zieladressen Traffic auszufiltern. Dies würde es erforderlich machen,
dass AS Techniken ähnlich
dem entfernten Einrichten von schwarzen Löchern einsetzen. Wenn an eine
Adresse gerichteter Traffic (z.B. Pakete) still fallen gelassen
wird, wird das Ziel als ein schwarzes Loch angesehen. Normal fallen
gelassene Nachrichten können
jedoch eine Fehler- oder Rückkehrnachricht
erzeugen während
an schwarze Lacher gerichteter Traffic einfach verschwindet. Somit
wird an schwarze Löcher
gerichteter Traffic einfach verworfen, ohne dass Fehler erzeugt
werden.
-
Jedes
der mit dem Schema zusammenwirkenden AS kann die Bekanntmachungen
dunkler Vorsilben gegebenenfalls mit ihren eigenen verstärken. Da
jedes zusammenwirkende AS an der frühestmöglichen stromaufwärtigen Position
Traffic ausfiltert und Informationen über Quell-IP-Adressen weitergibt,
besteht eine potenzielle Verringerung unerwünschten Traffics, der durch
irgendeines der zusammenwirkenden AS in das Internet eintritt. Zusammenwirkende
AS können
ihre Wahl dunkler Adressen, ihrer Länge und Dauer auf der Basis
der dunklen Adressen, die sie von ihren Nachbarn sehen, abstimmen.
Obwohl sie die Auswahl anderer AS nicht steuern können, besteht
ein Potenzial für
ein loses Zusammenwirken, um die Fähigkeit, Angreifer zu identifizieren,
zu maximieren. Beispielsweise können
die Auswahl von Adressbereichen eines Angreifers und die von einzelnen
AS ausgewählten
Schwellwerte mitgeteilt werden, um die Auswahl zukünftiger
dunkler Vorsilben und Schwellwerte zu beeinflussen. Wenn eine AS-Gruppe
in dem mobilen Honeypot-Schema mitwirkt, kann die Summe der erlangten Kenntnisse
allen mitwirkenden Einheiten von großem Nutzen sein. Die positiven
Netzwerkexternalitäten
eines solchen Zusammenwirkens führen
zu allen Teilnehmem bei geringen Kosten für die einzelnen AS verfügbaren Vorteile.
Es sei darauf hingewiesen, dass ein solches Zusammenwirken bei verhältnismäßig geringen
Kosten erhalten wird, ohne irgendwelche AS-spezifischen Informationen
zu ergeben, die als empfindlich angesehen werden könnten. AS,
die an dem Schema und an dem Rand des Netzwerks zusammenwirkender
AS nicht teilnehmen, können als
eine Quelle von Sendern unerwünschten
Traffics angesehen werden. Die Kommunikation von solchen unmittelbaren
Nachbarn kann degradiert werden, wenn ein solcher unerwünschter
Traffic einen Schwellwert übersteigt.
Da aus dem Lernen über Quellen
unerwünschten
Traffics nur Vorteile entstehen, haben die AS einen logischen Grund
dafür,
zusammenzuwirken, um auf Traffic an verschiedene dunkle Vorsilben
zu achten. Als Steuermaßnahme kann
der Urheber der bekannt gemachten dunklen Adressen de Effektivität dadurch
testen, dass das Gemeinschaftstag in einigen der Bekanntmachungen eingefügt und es
in anderen ausgelassen wird.
-
Das
BGP-Protokoll wird zur Implementation mobiler Honeypots verwendet.
Für die
Implementation mobiler Honeypots sind vier Merkmale des BGP-Protokolls
von Interesse. Die ersten beiden Merkmale sind Bestandteil des BGP-4-Standards, während die
anderen beiden vorgeschlagene Erweiterungen sind. Bei dem ersten
Merkmal handelt es sich um das Attributwertfeld in einer BGP-Bekanntmachung (eine
BGP-Bekanntmachung besteht aus einer Vorsilbe und optionalen Attributwerten).
Von den 256 möglichen
Attributwerten werden ungefähr ein
halbes Dutzend häufig
verwendet (AS_PATH, NEXT_EOP, LOCALYREF, MULTLEXDISC, COMMUNITY,
ORIGINATORJD und CLUSTER.LIST). Mobile Honeypots verwenden das COMMUNITY-Feld
bzw. GEMEINSCHAFTS-Feld, da es keine vordefinierte Bedeutung aufweist,
d.h. es kann für
jeden experimentellen Zweck verwendet werden, ohne dass gegen eine
bestehende Interpretation verstoßen wird. Mobile Honeypots
verwenden das GEMEINSCHAFTS-Feld, um Bekanntmachungen dunkler Räume als
solche mit einem Tag zu versehen. Die Gemeinschaftsfelder wurden
zunehmend als eine Art von Signalgebung zwischen benachbarten und
nicht benachbarten AS verwendet. Der zweite Aspekt ist einer dreier
spezifischer reservierter Werte des Gemeinschaftsfelds: 0xFFFFFF02,
der ein BGP-Nachbar informiert, den Gemeinschaftswert nicht weiter an
seine Nachbarn zu leiten. Dies ermöglicht es jedem mit einem mobilen
Honeypot kompatiblen AS, Bekanntmachungen dunkler Räume nur
auf ihre unmittelbaren Nachbarn einzuschränken. Der dritte Aspekt ist
der Proxy-Community-Gemeinschaftswertvorschlag (der als ein flexibler
Gemeinschaftswert implementiert wird), welcher ermöglicht,
ein AS aufzufordern, eine Gemeinschaft an einen bestimmten Nachbarn
zu senden. Die Art, auf die die mobilen Honeypots diese Erweiterung
nutzen besteht darin, sie genau auf ein bestimmtes AS abzustimmen,
welches verdächtig
ist, der Urheber unerwünschten
Traffics zu sein (oder dem Urheber am nächsten zu sein). Wie der Proxy-Community-Vorschlag
darlegt, kann das Ursprungs-AS die Auswahl des Wegs beeinflussen
und ist eine Form von zielbasierter Trafficerstellung. Der letzte
Aspekt ist ein Richtlinienmechanismus, durch den der BGP-Tabellenbefehl
zur Klassifizierung von Vorsilben in der Routingtabelle durch BGP-Attribute
verwendet werden kann. Die Paketzähler können auf einer pro Eingabebasis
inkrementiert werden.
-
Ein
AS, das an der Teilnahme an dem Honeypot-Schema interessiert ist,
würde eine
Gruppe dunkler Vorsilben unterschiedlicher Länge bestimmen, welche es als
dunkle Vorsilben verwenden kann. Auf der Basis seiner vergangenen
Trafficmuster kann es einen von einigen Dutzend bis einigen Hundert
Paketen reichenden Schwellwert zum Kategorisieren von Traffic als
Sondierungstraffic wählen. Der
Schwellwert und der vergangene Traffic ermöglichen zusammen das Einführen des
dritten Parameters: die Bekanntgebungsdauer der dunklen Vorsilbe. Sobald
diese Werte ausgewählt
sind, wird eine Routine-BGP-Bekanntmachung
an eine oder mehrere zufällig
ausgewählte
dunkle Vorsilben aus der Sammlung gesendet. Das Gemeinschaftsattribut wird
auf darkfake gesetzt. Das reservierte Feld von NOADVERSTISE (Oxffffff02)
wird eingestellt, wenn die Bekanntmachung nur für die unmittelbar Gleichrangigen
und nicht zum Weiterleiten bestimmt ist. Der optionale Wert des
Abzielen nur auf ein entferntes AS wird bei Bedarf eingestellt.
Die Bekanntmachung wird nach der bestimmten Dauer (in der Regel
in der Größenordnung
von einigen Stunden) zurückgezogen.
-
Auf
der zugeordneten Honeypot-Maschine werden optional voreingestellte
Antworten zurück
an die sondierenden Pakete gesendet. Die Adressen werden aufgezeichnet
und der Paketzähler
wird überprüft und zu
sehen, ob er den mit der Vorsilbe verbundenen Schwellwert überschritten
hat. Sobald der Schwellwert überschritten
wurde, wird die Adresse an die zusammenwirkende Gruppe von AS entweder
im Huckepack-Verfahren mit der Zurückziehung oder unter Verwendung
des Außer-Band-Mechanismus
gesendet. Die gemeinsam zu benutzende Informationsmenge liegt in
der Frequenz und Art vor, sie gemeinsam mit den interessierten AS
zu verwenden.
-
Jeder
neue Vorschlag, die in der BGP-Kommunikation ausgeführte Arbeit
zu verstärken,
wird als Zusatz an das BGP-Protokoll angefügt. Obwohl die mögliche Verringerung
unerwünschten
Traffics die Kosten ausgleicht, ist es weiter nützlich, die mit den mobilen
Honeypots verbundenen Zusatzkosten zu untersuchen. Die Zusatzkosten
bestehen aus dem Folgenden: 1. Die einmaligen Kosten zur Identifikation
dunkler Vorsilben, des Schwellwerts und der Bekanntmachungsdauer;
2. Das Verarbeiten von Bekanntmachungen und Rücknahmen bezüglich mobiler
Honeypots; 3. Das Berechnen von Paketzählwerten für jede bekannt gemachte dunkle
Vorsilbe und das Bekanntmachen der Sondierungsadressen; 4. Das Identifizieren
des mit den Sondierungsadressen verbundenen Links, wenn sie zu dem
AS gehören; und
5. alle richtlinienbezogenen Zusatzkosten aus der Verwendung der
Sondierungsadressen zur Änderung
von ACLs in Routern oder der Feinabstimmung von anomaler Erfassung
auf verdächtigen Links.
-
Die
Zusatzkosten-Szenarios 1 und 2 weisen sehr geringe Kosten auf. Wenn
es zu viele auf mobile Honeypots bezogene Aktualisierungen gibt,
sollten sie kein AS überwältigen,
da AS Gemeinschaftsattribute ignorieren können. Vorausgesetzt, dass keine neuen
Verbindungen eingerichtet werden müssen (Bekanntmachungen und
Rücknahmen
erfolgen in bestehenden BGP-Sitzungen), gibt es keine signifikanten
Netzwerkzusatzkosten. Die auf Szenario 3 bezogenen Kosten werden
im Laufe der Zeit wahrscheinlich abgesenkt, da auf das für die Einführung des
Traffics verantwortliche AS als dasjenige abgezielt werden kann,
das die Berechnung ausführen muss.
Die übrigen
AS müssen
die mit dieser Vorsilbe verbundenen Kosten nicht verfolgen. Die
Kosten werden somit über
die Gruppe teilnehmender AS verteilt und die Rand-AS, an deren Link
der Sondierungstraffic eingetreten ist, werden die erforderliche
Berechnung ausführen.
Die Szenarios 4 und 5 sind Gelegenheitskosten und stellen maximalen
Nutzen bereit, so dass sie verrechnet werden.
-
Routinemäßig tritt
eine Vielzahl von Angriffen gegen Honeypots auf. Die Black-Hat-Community (d.h.
Hacker mit schädlicher
Absicht) tauschen Informationen aus, um einander beim Identifizieren
von Honeypots zu unterstützen,
um ihr Risiko, identifiziert zu werden, zu verringern. Die verbreitetste
Technik ist die Verwendung von Zombiemaschinen oder Reflektoren.
Andere Angriffswege gegen mobile Honeypots sind recht wahrscheinlich.
Einige mögliche
Angriffe mit hohem Potenzial werden im Folgenden untersucht.
-
Informationen über das
Angreifen von Honeypots sind öffentlich
verfügbar.
Ein Hauptunterschied von mobilen Honeypots ist das Einrichten von Honeypot-Maschinen
zum Rückverfolgen
von Angreifern in der Nähe
der Urheber anstelle des passiven Aufzeichnens von Informationen.
Die Angreifer arbeiten über
den Austausch von Informationen zusammen, welche nicht nur aus ihren
Angriffen auf Opfer, sondern auch Fallen, Honeypots und anderen Anomalie-Erfassungssystemen
gewonnen werden. Es wurden kommerzielle Werkzeuge geschaffen, um Honeypots
zu identifizieren, welche eine Vielzahl von Host- und Portkombinationen
testen, um sie als Honeypot zu klassifizieren oder nicht. Schwarze
Umkehrlisten wurden erstellt, so dass andere Angreifer den Besuch
von Seiten vermeiden können,
auf denen Honeypots laufen. Bei mobilen Honeypots müssen die
Angreifer die Vorsilben während
der Live-Dauer der Bekanntmachung lokalisieren, somit müssen sie
die Bekanntmachungen fortwährend überwachen.
Auch wenn sie in der Lage sind, die bekannt gemachten dunklen Vorsilben
in Erfahrung zu bringen und sie bei zukünftigen Scans zu vermeiden, können diese
Vorsilben später
legitim an gültige
Kunden zugewiesen werden. Anders als Domains, die eigens zum Erfassen
von Spam-Emails und somit Sondierern vorgesehen sind, sind die Bekanntmachungen
trasient, zufällig
und variieren, was es den Angreifern viel schwerer macht, die Informationen
zu verwenden. Außerdem
erhöht
dies die Kosten für
die Angreifer dadurch, dass sie gezwungen sind, zusätzliche
Arbeit von begrenztem Wert auszuführen. Sondierungstechniken,
die die Sammlung dunkler Vorsilben über eine Zeitdauer berücksichtigen,
ständen
immer noch dem Risiko gegenüber,
durch irgendein der an den mobilen Honeypot-Schema teilnehmenden AS
entdeckt zu werden. Jede sondierende IP-Adresse, welche entdeckt
wird, wird an alle teilnehmenden AS mitgeteilt.
-
Eine
verbreitete Besorgnis besteht darin, dass auch wenn der Urheber
von Scan-Traffic oder anderen unerwünschten Traffics identifiziert
wurde, die Quelladresse verfälscht
sein könnte.
Es ist bekannt, dass es zu Reflektorangriffen kommen kann: Mittels
einer verfälschten
Quelladresse SS1, SYN oder ging werden Pakete an ein Opfer V1 gesendet, welches
dann an SS1 (eine RST/SYN-ACK oder eine Ping- Antwort) antwortet. Die Wahrscheinlichkeit
der Verwendung einer dunklen Adresse als SS1 ist verhältnismäßig gering
und somit ist die Wahrscheinlichkeit des falschen Identifizieren
von V1 als Urheber solcher Angriffe nicht sehr hoch. Da die Live-Dauer der
bekannt gemachten dunklen Vorsilbe ein Parameter ist, der unter
der Kontrolle des Bekanntgebers steht und oftmals eine kurze Zeitdauer
ist, ist das Potenzial der Identifizierung einer signifikanten Anzahl von
Opfern außerdem
geringer. Auch wenn ein mobiler Honeypot nur zur Identifizierung
von verfälschten Quelladressen
in der Lage ist, sind die Informationen dennoch wertvoll. Wenn eine
signifikante Anzahl von verfälschten
Adressen Traffik über
einen bestimmten Link in einem AS senden, kann das AS den Link genauer überwachen.
Wenn eine signifikante Anzahl von verfälschtem Traffic seinen Ursprung
in einem AS hat, können
diese Informationen als ein Weg verwendet werden, um die Verbindungen
zu diesem AS durch seine Peers zu degradieren. Ein Grund für das Fehlen
eines breiten Einsatzes von Rückverfolgungsmechanismen
sind ihre Kosten. Wenn es möglich
ist, verfälschte
Adressen erheblich näher
an ihrem Ursprung zu identifzieren, könnte dies das in Frage stehende
AS dazu veranlassen, Maßnahmen zu
treffen. Eine alternative Weise der Rückverfolgung verfälschter
Ardessen kann mittels Cisco-Express-Weiterleitung erfolgen.
-
Ein
oder mehrere der AS, die nicht zusammenwirken, kann ein Black-Hat-AS
sein. Die Existenz von Black-Hat-AS ist bekannt und Informationen von
ihnen können
als verdächtig
angesehen werden. Black-Hat-AS sind möglicherweise nicht gewillt,
zusammenzuwirken und in diesem Fall können seine Peers die Verbindungen
zu ihm degradieren. Wenn Black-Hat-AS aktiv zusammenwirken und in
Kenntnis der dunklen Zielvorsilben falsche Quelladressen zuführen, würden diese
AS immer noch als problematisch angesehen. Das Zuführen falscher
Quelladressen einschließlich
derer, die zu einer der zusammenwirkenden Gruppe von AS gehören, würde ihre
Demaskierung unterstützen.
Der Nachteil ist somit für Black-Hat-AS
größer. Alternativ
können Black-Hat-AS
Informationen über
aktuelle Listen dunkler Vorsilben an sondierende Einheiten senden. Dies
erfordert, dass sie fortwährend
mit all ihren ,Freunden' in
Kontakt sind und eine unterschiedliche Gruppe von sich ändernden
Vorsilben kontinuierlich aktualisieren.
-
Es
besteht außerdem
ein Problem darin, dass Black-Hat-AS einige andere AS-Vorsilben
bekannt machen (oder zurücknehmen).
Viele ISPs filtern erfolgreich alle von ihnen Kunden kommenden Informationen
und die Schicht-1-ISPs leiten Filterbekanntmachungen in ihren Peer-Sitzungen
weiter. Mobile Honeypots verschlimmern das Problem nicht. Wenn jedoch
eine Bekanntmachung mittels Markierung bestimmter Vorsilben als
dunkel gesendet wird, werden sorgfältige ISPs in der Lage sind,
das Black-Hat-As zu erfassen.
-
3 zeigt
ein Blockdiagramm eines Allzweckcomputers, der sich zur Ausführung der
hier beschriebenen Funktionen eignet. Wie in 3 gezeigt,
umfasst das System 300 ein Prozessorelement 302 (z.B.
eine CPU), einen Speicher 304, z.B. einen Direktzugriffsspeicher
(RAM) und/oder einen Nur-Lese-Speicher
(ROM), ein mobiles Honeypot-Modul 305 und verschiedene
Eingabe/Ausgabe-Vorrichtungen 306 (z.B. Speichervorrichtungen,
einschließlich, jedoch
nicht beschränkt
auf ein Bandlaufwerk, ein Diskettenlaufwerk, eine Festplatte oder
eine Compact-Disk-Laufwerk, einen Empfänger, einen Sender, einen Lautsprecher,
eine Anzeige, einen Sprachsynthesizser, einen Ausgangsport und eine
Nutzereingabevorrichtung (wie eine Tastatur, ein Tastenfeld, eine Maus
und dergleichen)).
-
Es
sei darauf hingewiesen, dass die vorliegende Erfindung in Software
und/oder in einer Kombination aus Software und Hardware implementiert werden
kann, z.B. unter Verwendung von anwendungsspezifischen integrierten
Schaltungen (ASIC), eines Allzweckcomputers oder jedem anderen Hardwareäquivalent.
In einer Ausführungsform
kann das mobile Honeypot-Modul 305 in Speicher 304 geladen und
von dem Prozessor 302 ausgeführt werden, um die oben erläuterten
Funktionen auszuführen.
Somit kann das mobile Honeypot-Modul 305 (einschließlich zugeordneter
Datenstrukturen) der vorliegenden Erfindung auf einem computerlesbaren
Medium, z.B. einem RAM-Speicher, einem magnetischem oder optischen
Laufwerk oder Diskette und dergleichen gespeichert werden.
-
Während das
Vorstehende sich auf die Ausführungsformen
der vorliegenden Erfindung richtet, können andere und weitere Ausführungsformen
ersonnen werden, ohne von ihrem grundlegenden Schutzumfang abzuweichen,
und der Schutzumfang wird in den folgenden Ansprüchen festgelegt.