SPID och identifiering av obfuskerade protokoll

Relevanta dokument
Slutrapport: Statistisk Identifiering av Protokoll

DA 2012: F13. Nätverk 2 Ann-Sofi Åhn

DIG IN TO Nätverksteknologier

Kihl & Andersson: Kapitel 6 (+ introduktioner från kap 7, men följ slides) Stallings: 9.5, 14.1, 14.2, Introduktion i 14.3, 16.1

Föreläsning 5. Vägval. Vägval: önskvärda egenskaper. Mål:

Föreläsning 5: ARP (hur hitta MAC-adress) IPv4, IPv6 Transportprotokoll (TCP) Jens A Andersson

Brandväggar och portöppningar. Manual

5. Internet, TCP/IP tillämpningar och säkerhet

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

IPv6 Jonas Aronsson 3TEa

5 Internet, TCP/IP och Applikationer

Lösningar till tentan i ETS052 Datorkommunikation

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

IPv6 Jonas Westerlund Institutionen för Informationsbehandling Åbo Akademi, Åbo, Finland

Läs anvisningarna noga, och följ dem!

5 Internet, TCP/IP och Tillämpningar

Tentamen i Datorkommunikation den 10 mars 2014

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Datasäkerhet och integritet

Grundläggande datavetenskap, 4p

Vad är Internet? - Flera olika slags nät - Vill kunna kommunicera över dessa nät - Vad gör man?

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Föreläsning 4: Lokala nät (forts ) Ethernet o 802.x Stora nät och behovet av nätprotokoll Transportprotokoll. Emma Fitzgerald

Namn: (Ifylles av student) Personnummer: Tentamensdatum: Tid: Hjälpmedel: Inga hjälpmedel

Från användare till användare ARP. (Maria Kihl)

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Föreläsning 5: Stora datanät Från användare till användare ARP

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

5. Internet, TCP/IP och Applikationer

Denial of Services attacker. en översikt

SSL/TLS-protokollet och

att det finns inte något nätverk som heter Internet Finns Internet? Varför fungerar det då? Nätet? Jag påstår

Varför fungerar det då? Elektro- och informationsteknik Lunds Tekniska Högskola

2D1395, Datasäkerhet. GF3 Paketfiltrering

Kapitel 6, 7, o 8: IP DNS Vägval Från användare till användare Jens A Andersson (Maria Kihl) Att skicka data över flera länkar.

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Föreläsning 5: ARP (hur hitta MAC-adress) Från applikation till applikation

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Protokoll i flera skikt Fragmentering Vägval DNS. Jens A Andersson

Towards Blocking---resistant Communication on the Internet

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

Protokoll i flera skikt Fragmentering Vägval DNS. Jens A Andersson

Remote Access Services Security Architecture Notes

Grundläggande nätverksteknik. F1: Introduk6on

Stora datanät Från användare till användare. Jens A Andersson

Att mäta bandbredd TPTEST. Ett mätsystem för både proffs och gemene man. Ragnar Lönn, Gatorhole TPTEST Vad gör det?

Datakommunika,on på Internet

MPEG-4 innehåller bl.a:

Övning 4 EITF25 & EITF Protokoll. October 29, 2016

Internetprotokollen. Maria Kihl

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl)

Stora datanät. Maria Kihl

ETSF05 Repetition av KomSys

OSI-modellen. Skiktade kommunikationsprotokoll. OSI-Modellen. Vad är en bra skiktindelning? Fysiska skiktet. Länkskiktet

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

TCP/IP och Internetadressering

Internetprotokollen. Maria Kihl

ETSF05 Internetprotokoll. Jens Andersson

DIG IN TO Nätverksteknologier

Informationsteknologi sommarkurs 5p, Datakommunikation

PEER TO PEER STREAMING

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

Uppgift: Design and evaluation of a TCP proxy which provides secure tunneling to another TCP proxy.

Internet - Introduktion. Maria Kihl

ETS Fördjupningsuppgiften Ämnen. Mål för fördjupningsuppgiften. Hur kommer det att gå till? Jens A Andersson

Kapitel 6, 7, 8 o 9: Data och protokoll. LUNET o SUNET

Datakommunikation vad är det?

Datakommunikation I 5p

Ansvarig lärare: Håkan Sundell, Anders Gidenstam, Jürgen Claussen Telefonnummer: (4214, 4134)

Modul 3 Föreläsningsinnehåll

Kihl & Andersson: , Stallings: , , DHCP beskrivs även bra på

Ansvarig lärare: Håkan Sundell, Anders Gidenstam, Jürgen Claussen Telefonnummer: (4214, 4134)

Instuderingsfrågor ETS052 Datorkommuniktion

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

DIG IN TO Administration av nätverk- och serverutrustning

Systemkrav och tekniska förutsättningar

Säkerhetsbrister & intrång

TeliaSoneras syn på öppenhet

Datakommunikation vad är det?

Mattias Wiggberg 1. Orientera på Internet. IP-adress. IP-adresserna räcker inte... Mer om IP-adresser

Följande signaler har kodats med Manchester. Hur ser bitströmmen ut om den inleds med en 0:a?

SSH-protokollet. Niels Möller

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Transport Layer. Transport Layer. F9 Meddelandesändning med UDP EDA095 Nätverksprogrammering. Java och UDP TCP/UDP

Laboration 4 Rekognosering och nätverksattacker

IPv6 paketnivå och nätanalys

Från användare till användare. (Maria Kihl)

Michael Q. Jones & Matt B. Pedersen University of Nevada Las Vegas

Real-time requirements for online games

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

DIG IN TO Administration av nätverk- och serverutrustning

Lokala nät Ethernet o 802.x. (Maria Kihl)

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Rapportnummer PTS-ER-2009:6. Datum Nätneutralitet

Virtuella kretskopplade nät Virtual circuit networks. Virtuella kretskopplade nät. Virtuella kretskopplade nät. Virtuella kretskopplade nät

Åtkomst till Vårdtjänst via RSVPN

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

DIG IN TO Nätverksteknologier

QuickTime Streaming Server, en introduktion

Transkript:

SPID och identifiering av obfuskerade protokoll Erik Hjelmvik < erik. hjelmvik [at] gmail. com > Swedish Network Users' Society Stockholm, 2010-09-29

Nätneutralitet #1 Definition #1 av nätverksneutralitet: Internetoperatören ska inom ramen för samma Internetaccesstjänst inte manipulera eller nedprioritera datatrafiken för en användare beroende på innehåll, ursprung eller destination, Källa: PTS-ER-2009:6 Nätneutralitet Erik Hjelmvik 2

Nätneutralitet #2 Definition #2 av nätverksneutralitet: den som tillhandahåller nättjänster inte bör få blockera (eller ens prioritera) enskilda applikationer eller innehåll. Det handlar (i de flesta länder) inte huvudsakligen om censur utan snarare om att en Internetleverantör skulle spärra, eller försvåra möjligheterna för en konsument att konsumera konkurrerande innehållstjänster, exempelvis försvåra för konsumenten att använda en IP- telefoni eller hyrvideotjänst som konkurrerar med den som internetleverantören erbjuder i egen regi. Källa: Nätverksneutralitet i Sverige - En summering av ett Teldok 2.0 seminarium Erik Hjelmvik 3

Skype blockeras T-mobile:s blockering av Skype i Tyskland avslöjades 2009 Många länder och företag köper utrustning för att blockera VoIPtrafik Saudi Telecom Giza Systems (Cairo) Sydamerika Asien Europa Erik Hjelmvik 4

BitTorrent blockeras Över 70 ISP:er uppges begränsa BitTorrenttrafik i sina nät Comcast dödade BitTorrent-trafik med TCP RST-paket under 2007 Erik Hjelmvik 5

Traffic Classification Payload-signaturer med kända bytesekvenser Erik Hjelmvik 6

Motreaktion: obfuskerade protokoll Protokoll: BitTorrents Message Stream Encryption (MSE), även känt som Protocol Header Encryption emule:s protocol encryption Skype använder ett obfuskerat protokoll Obfuskeringsmetoder: Kryptera payload Injicera BLOB:ar av slumpmässiga storlekar Fragmentera data i TCP-paket med slumpmässig storlek Erik Hjelmvik 7

SPID? Statistical Protocol IDentification Mäter 30 olika attribut i nätverkstrafiken Paketstorlekar Riktningar på paket Tid mellan paket Payload i paket Vanliga bit-sekvenser i payloaden Skapar statistiska fingerprints för varje attribut Sannolikhetsfördelningar av måtten Protokollmodel = Alla 30 fingerprints Jämför statistiska modeller från kända protokoll med observerade sessioner Erik Hjelmvik 8

Vaddå jämföra modeller? Kullback-Leibler divergence Mäter avståndet mellan två sannolikhetsfördelningar Protokollmodellen med det minsta KL-avståndet är best match P = observation Q = modell Erik Hjelmvik 9

Analyserade protokoll Protokoll Källkod Obfuskeringsmetod MSE (Vuze + μtorrent) Skype (TCP och UDP) edonkey Protocol Obfuscation (TCP och UDP) Spotify (Server och Streaming) Open Source Proprietär Open Source Proprietär Obfuskerat Krypterat Krypterat Obfuskerat? Obfuskerat Krypterat Krypterat Erik Hjelmvik 10

Klassificeringsresultat Protocol MSE Skype TCP Skype UDP Spotify P2P Spotify Server Edonkey TCP Obfuscation Edonkey UDP Obfuscation 13 other protocols MSE 0.963 0 0 0 0 0.002 0.003 0 0.032 Unknown Skype TCP 0.051 0.653 0 0 0.010 0.031 0.194 0.020 0.041 Skype UDP 0 0.001 0.767 0 0 0 0.001 0.001 0.230 Spotify P2P 0 0 0 0.913 0.039 0 0 0 0.049 Spotify Server 0 0 0 0 0.933 0 0 0 0.067 Edonkey TCP Obfuscation Edonkey UDP Obfuscation 0.047 0 0 0 0.002 0.910 0.005 0.009 0.026 0.001 0.002 0.001 0 0 0.001 0.973 0.001 0.021 Erik Hjelmvik 11

Vilka attribut kan mätas? Payload-meters funkade bra för protokoll med ingen eller dålig kryptering Exempelvis Skype UDP och Spotify Server Paketstorlekar och riktningar fungerade bäst för obfuskerade protokoll Bättre padding hade gjort detta omöjligt Skype UDP: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Frame ID number Function code Encr. payload +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Encrypted payload (contd.)... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Spotify Server (första paketet): 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Protocol version (3) Packet length +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Client OS Client ID +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Client ID... Client Revision +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Client Rev... Random number +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-//-//-+-+-+ Random number... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-//-//-+-+-+ Erik Hjelmvik 12

Reflektioner och tankar Bättre metoder för identifiering kommer att finnas även i kommersiella produkter Fler och bättre obfuskerade protokoll kommer att utvecklas Obfuskering försvårar även för andra Internetforskning Forensisk analys Nätsäkerhetsprodukter: IDS / IPS Utvecklare (komplex felsökning) Erik Hjelmvik 13

Länkar... Ladda ner och prova SPID proof-of-concept: http://sourceforge.net/projects/spid/ Läs min och Wolfgangs rapport Breaking and Improving Protocol Obfuscation : http://www.iis.se/docs/hjelmvik_breaking.pdf Erik Hjelmvik 14

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss