ULAKNET Balküpü Ağ Saldırı Tespit Sistemi
Onur BEKTAŞ (onur at ulakbim . gov .tr)
Murat SOYSAL (msoysal at ulakbim.gov.tr)
BALKÜPÜ ?
Balküpleri bilgi ve ağ güvenliğine yönelik yapılan saldırıların farkına varmak,
saldırganların yöntemlerini izlemek,
metodlarını belirlemek, yeni geliştirilen saldırı sistemlerini önceden haberdar olmak için özel olarak tasarlanmış yazılım veya sistemlerdir.
Balküpleri kullanım alanları ve oluşturulma amaçlarına göre iki sınıf altında incelenebilir.
● Production balküpü
● Araştırma balküpü
Balküpleri komplekslik seviyesine göre iki kısımda incelenebilir
● Yüksek iletişimli balküpleri (High interaction honeypot)
● Düşük iletişimli balküpleri (Low interaction honeypot)
ULAKNET Balküpü
●
CSIRT çalışma grubu.
●
Tüm kullanılmayan IP adresleri balküpüne yönlendiriliyor.
●
İki sunucu üzerinde honeywall + honeyd ikilisi çalıştırılıyor.
●
Düşük iletişimli honeyd tabanlı.
●
IP spoofing ile tüm IP adreslerine yönlenen saldırılar kayıt altına alınıyor.
●
2007 Şubat ayından itibaren faliyette.
Niçin böyle bir program yazdık ?
●
Hangi ülkeler bize saldırıyor kişisel merak.
●
Hangi uçlarımız balküpüne takılıyor?
●
Kimler virus yayıyor?
●
Top 10 attack list :)
●
Üniversitelere ağları hakkında bilgi verecek yeni bir araç oluşturmak.
●
Saldırı yapan uçları teşhir etmek.
ULAKNET Balküpü Analiz Programı
●
Başlangıçta hangi ülkeler saldırıyor diye yaptığım 2 saatlik çalışmanın ürünü olarak doğdu.
●
Bash, sed, awk, perl karması.
●
Syslog-ng programı ile balküpünden alınan log dosyası günlük,saatik olarak işleniyor.
●
IP adresi Ülke eşleştirilmesi için GeoIP veri tabanı kullanıldı.
●
Perl grafik modülü ile grafikler çiziliyor.
●
Web arayüzü
http://csirt.ulakbim.gov.tr/gruplar/istatistik.php
●
Saldırı yapan tüm IP adresleri webde !!
●
GPL lisanslı.
Sayılarlarla incelenen honeyd log dosyası (1)
●
1 Aralık 2007- 31 Aralık 2007 arası honeyd log dosyası kaydı.
●
16.386 Mbyte işlenecek dosya.
●
212.027.893 satır log.
●
1,699,529 tekil IP kaydı. (Türkiye üzerine
kayıtlı toplam IP adresi 8.5 milyon civarında)
●
6445 tekil ULAKNET ip kaydı.
Sayılarlarla incelenen honeyd log dosyası (2)
GÜN UÇ
1 7771661 20139 0,26 2 7949790 14896 0,19 3 5565175 64428 1,16 4 4690984 115347 2,46 5 4717095 238094 5,05 6 5059767 318677 6,3 7 5678498 376894 6,64 8 5740802 275712 4,8 9 4782137 235909 4,93 10 4527689 332327 7,34 11 10670829 288750 2,71 12 4343004 222013 5,11 13 3367035 132159 3,93 14 2170539 54446 2,51 15 6060972 28114 0,46 16 5954322 16874 0,28
TOPLAM
S ATIR ORAN
(YÜZD E) GÜN UÇ
17 5319548 152636 2,87 18 7286770 291568 4 19 5181416 239289 4,62 20 8203142 16165 0,2 21 5388309 6089 0,11 22 21579395 2267 0,01 23 7840070 2797 0,04 24 4257057 74191 1,74 25 5889378 150796 2,56 26 7165745 123502 1,72 27 4373654 150812 3,45 28 11502866 87707 0,76 29 22707252 230094 1,01 30 3533939 3439 0,1 31 2749053 32599 1,19
TOPLAM
SATIR ORAN
(YÜZDE)
Sayılarlarla incelenen honeyd log dosyası (3)
GÜN
1 91839 31 0,03
2 74154 29 0,04
3 65514 113 0,17
4 63645 77 0,12
5 71574 416 0,58
6 55290 292 0,53
7 72264 115 0,16
8 67887 1539 2,27
9 66069 2997 4,54
10 58504 609 1,04
11 54197 699 1,29
12 57930 346 0,6
13 48409 101 0,21
14 57618 80 0,14
15 64060 18 0,03
16 68705 20 0,03
TEKIL IP
S AYIS I UÇ IP
S AYIS I OR AN
(YÜZD E) GÜN
17 56304 64 0,11
18 58390 74 0,13
19 57927 46 0,08
20 58771 23 0,04
21 56210 29 0,05
22 82244 10 0,01
23 75981 14 0,02
24 57675 79 0,14
25 114735 256 0,22
26 97974 178 0,18
27 50954 104 0,2
28 51460 67 0,13
29 55433 27 0,05
30 30058 12 0,04
31 35824 71 0,2
TEKIL IP
S AYIS I UÇ IP
S AYIS I OR AN
(YÜZD E)
Program çıktıları (1)
●
Saatlik
– ULAKNET uçlarının istatistikleri
– En çok saldırı yapan 10 ULAKNET IP adresi ve hangi uca bağlı oldukları.
– En çok saldırı gerçekleştiren ilk 10 ULAKNET ucu
– Balküpü ağına yönlenen en yoğun 5 port (flow
biligisinden)
Günlük
ULA K NET istatistikleri
En çok saldırı yapan 10 ULA K NET IP adresinin hangi uca ait olduğu
–
En çok saldırı gerçekleştiren ilk 10 ULA K NET ucu
-GENEL istatistikler
En çok saldırı yapan 10 IP adresinin Ülkelere göre dağılımı.
Saldırı yapan tekil IP adresine göre ilk 10 ülke.(Yapılan saldırı sayısı gözününe alınmadan) Saldırı sayısına göre ilk 10 ülke.
Program çıktıları (2)
TEK (UNIQ) IP SAYISINA GÖRE ÜLKE SONUÇLARI
●
Yapılan saldırı sayısı göz önüne alınmadan saldırı yapan tekil ip adresi sayısına göre
●
1 numara
–
30 gün ABD
●
2 numara
–
17 China, 12 Germany , 2 Spain
●
3 numara
–
16 Germany, 8 Spain, 5 China, 1 Turkey ,1 Italy.
●
İlk üç toplamda
–
31 United ,28 Germany ,22 China ,10 Spain ,1 Turkey, 1 Italy
●
İlk 5 toplamda
–
31 United,31 Spain , 31 Germany, 30 China 31 France, 7 Italy ,6 Canada 3 Korea, 2 Turkey, 1 N/A
●
İlk 10 toplamda
–
54 United, 31 Spain , 31 Germany, 31 France .31 China , 30 Canada , 28 Korea, 28 Italy , 10 Turkey , 10 Japan, 10 Brazil , 5 N/A , 3 Poland , 3
Mexico , 3 Israel , 2 Russian
ÇOĞUL IP SAYISINA GÖRE ÜLKE SONUÇLARI
●
Yapılan saldırı sayısı göz önüne alınarak saldırıların ülkelere göre dağılımı (Uzun listelerde ilk 10'dan sonrası gösterilmemiştir)
●
1 numara
–
25 China ,3 United, 1 N/A , 1 Poland, 1 Romania
●
2 numara
–
13 United, 6 China, 4 Russian, 3 Romania, 2 Poland, 1 Ukraine, 1 Turkey, 1 Sweden
●
3 numara
–
9 United, 3 Turkey,3 N/A, 3 Italy, 2 Russian,2 Romania, 1 Ukraine, 1 Taiwan, 1 Sweden, 1 Spain, 1 Portugal, 1 Poland, 1 Mexico, 1 Latvia, 1 Israel
●
İlk üç toplamda
–
31 China, 25 United, 6 Russian, 6 Romania, 4 Turkey, 4 Poland, 4 N/A, 3 Italy, 2 Ukraine, 2 Sweden, 1 Taiwan, 1 Spain, 1 Portugal, 1 Mexico, 1 Latvia, 1 Israel
●
İlk 5 toplamda
–
32 United, 31 China, 10 Romania, 10 Poland,10 Italy, 9 Turkey, 8 Russian, 7 N/A, 7 Canada, 5 Taiwan, 4 Germany, 3 Ukraine, 3 Sweden, 3 Spain, 2 Saudi, 2 Portugal,
●
İlk 10 toplamda
–
45 United, 31 China, 29 Canada, 26 Korea, 22 Taiwan, 20 Turkey, 17 Germany, 16
Russian, 16 Italy, 15 Romania, 15 Poland, 13 N/A, 10 Portugal, 5 Japan
En Çok Saldır Yapan IP Adreslerinin Ülkeleri
●
Uzun listelerde ilk 10'dan sonrası gösterilmemiştir
●
1 numara
–
6 China, 4 Turkey, 4 Poland, 3 United, 3 Mexico, 2 Ukraine, 2 Taiwan, 2 Saudi, 1 Russian, 1 Romania, 1 Latvia, 1 Germany, 1 Austria
●
2 numara
–
6 Turkey, 5 Taiwan, 5 China, 3 Poland, 2 Sweden, 2 Germany, 1 Ukraine, 1 N/A, 1 Korea, 1 India, 1 Hong, 1 Greece, 1 Austria, 1 Algeria,
●
3 numara
–
8 China, 7 Turkey,3 United, 2 Taiwan, 2 Korea, 1 Uruguay, 1 Spain, 1 Russian, 1 Poland, 1 Malaysia, 1 India, 1 Hong, 1 Germany, 1 Austria,
●
İlk üç toplamda
–
17 China,13 Turkey,13 Taiwan,11 Poland,4 United,3 Ukraine,3 Mexico,3 Japan,3 Germany, 2 Sweden,2 Saudi,2 Russian,2 Latvia,2 Korea,2 Austria
●
İlk 5 toplamda
–
31 China, 26 Turkey, 16 Taiwan, 12 Poland, 10 United, 7 Korea, 5 Germany, 4
Mexico, 4 Japan, 4 Austria, 3 Ukraine, 3 Sweden, 3 Russian, 2 Slovenia, 2 Saudi, 2 Romania
●
İlk 10 toplamda
–
70 China, 39 Turkey, 31 Taiwan, 29 United, 14 Korea, 12 Poland, 9 Greece, 8
Germany, 7 Russian, 7 Romania, 7 Mexico, 7 Japan, 6 Austria, 5 Ukraine, 4
Sweden,4 Slovenia
ULAKNET UÇLARININ IP
ADRESİNE GÖRE SONUÇLARI
● Uzun listelerde ilk 10'dan sonrası gösterilmemiştir
● 1 numara
– 11 KOC-NET , 7 BAHCESEHIR-NET, 5 YYU-NET, 2 TRAKYA-NET, 2 SPOOF, 2 PAMUKKALE-NET, 1 ULAK-NET, 1 CU-NET,
● 2 numara
– 7 YYU-NET, 6 KOC-NET, 5 SPOOF,4 CU-NET, 3 BAHCESEHIR-NET,2 TRAKYA- NET,1 PAMUKKALE-NET,1 GATA-NET,1 FIRAT-NET
● 3 numara
– 10 KOC-NET, 5 YYU-NET, 5 SPOOF,3 CU-NET,2 GATA-NET,1 TUG-NET,1 SELCUK-NET,1 PAMUKKALE-NET,1 MAYIS19-NET,1 FIRAT-NET,1 DAU-NET
● İlk üç toplamda
– 27 KOC-NET,17 YYU-NET,13 SPOOF,9 BAHCESEHIR-NET,8 CU-NET,4 TRAKYA- NET,4 PAMUKKALE-NET,3 GATA-NET,2 FIRAT-NET,1 ULAK-NET, 1 TUG-NET, 1 SELCUK-NET,1 MAYIS19-NET,1 DAU-NET
● İlk 5 toplamda
– 33 KOC-NET,32 YYU-NET,22 SPOOF,13 CU-NET,12 GATA-NET,10 BAHCESEHIR- NET,6 PAMUKKALE-NET,5 TRAKYA-NET,5 MAYIS19-NET,3 TUG-NET,2 SELCUK- NET,2 KATU-NET,2 FIRAT-NET,
● İlk 10 toplamda
– 49 YYU-NET,49 KOC-NET,48 SPOOF,21 ULAK-NET,17 MAYIS19-NET,16 GATA- NET,16 CU-NET,11 BAHCESEHIR-NET,10 TUG-NET,10 PAMUKKALE-NET,9 EGE- NET,8 TRAKYA-NET, 5 BOUNET,4 TR-BILNET
ULAKNET UÇLARININ IP
ADRESİNE GÖRE SONUÇLAR
● Uzun listelerde ilk 10'dan sonrası gösterilmemiştir
● 1 numara
– 13 KOC-NET, 6 BAHCESEHIR-NET, 5 YYU-NET, 2 SPOOF, 2 PAMUKKALE-NET, 1 ULAK-NET, 1 TRAKYA-NET, 1 CU-NET
● 2 numara
– 9 YYU-NET, 6 SPOOF, 5 CU-NET, 3 BAHCESEHIR-NET, 2 KOC-NET, 2 GATA-NET, 2 FIRAT-NET, 1 TRAKYA-NET, 1 PAMUKKALE-NET
● 3 numara
– 6 MAYIS19-NET, 4 SPOOF,4 CU-NET, 3 TRAKYA-NET, 2 GATA-NET, 1 YYU-NET,1 USAK-NET, 1 ULAK-NET, 1 TUG-NET, 1 SELCUK-NET, 1 ORDU-NET, 1 OGU-NET, 1 KATU-NET, 1 ITU-NET, 1 FIRAT-NE 1 BOUNET
● İlk üç toplamda
– 5 SPOOF, 5 KOC-NET, 5 GATA-NET, 3 YYU-NET, 3 CU-NET, 2 TRAKYA-NET, 2 PAMUKKALE-NET, 1 TUG-NET, 1 SELCUK-NET, 1 MAYIS19-NET, 1 KASTAMONU- NET, 1 DAU-NET, 1 BOUNET,
● İlk 5 toplamda
– 4 CU-NET, 3 ULAK-NET,3 TUG-NET,3 GATA-NET, 2 SPOOF, 2 METU-NET, 2
MAYIS19-NET, 2 ISTANBUL-NET, 2 BOUNET, 2 BASKENT-NET, 1 TSK-Rehabilitasyon- NET, 1 TRAKYA-NET, 1 PAMUKKALE-NET,1 ORDU-NET, 1 KOC-NET,
● İlk 10 toplamda
– 8 EGE-NET,4 TUG-NET, 3 CU-NET, 2 SPOOF,2 GATA-NET,2 BOUNET,1 TR-BILNET,1 ORDU-NET,1 METU-NET,1 MAYIS19-NET,1 KOC-NET,1 GANTEP-NET,1 FATIHMED- NET,1 ERCIYES-NET, 1 BAHCESEHIR-NET ,1 AFYONKOC-NET,
Aylık Sonuçlar
●
/24 bazında en çok IP logu bulunanlar
– 53 193.255.107 SPOOF (HITIT)
– 50 193.255.139 SPOOF
– 50 193.255.111 SPOOF
– 49 193.255.74 SPOOF
– 49 193.255.219 AKSARAY
– 49 193.255.136 MERSIN
– 47 193.255.220 AKSARAY
– 46 193.140.70 SPOOF
– 45 193.255.91 DUZCE
– 44 193.255.157 SPOOF
– 44 193.255.110 SPOOF
– 43 193.255.159 SPOOF
– 43 193.140.0 INTERFACE IP
– 42 193.255.60 SPOOF
– 42 193.255.57 SPOOF
– 42 193.255.218 AKSARAY
– 42 193.255.104 (SPOOF) AMASYA
– 42 193.140.31 SPOOF
– 42 193.140.127 SPOOF
– 41 193.255.75 SPOOF
●
/24 bazında en çok IP logu bulunanlar.
Problemler
●
Spoof edilen IP adresinden gelen saldırılar.
●
ULAKNET yönlendiricilerinden ICMP destination unreachable mesajlarının loglanması.
●
Nmap benzeri port tarama programlarının
çok sayıda kayıt bırakması.
Sonuçlar
●
ULAKNET IP adresleri spoof edilerek saldırılar düzenleniyor.
●
Çalışma sonucunda toplanan IP adresleri yamanmamış olan windows bilgisayarlar ayıklanarak global bir saldırı başlatmaya yeterli sayıda.
●
Yakalan toplam IP adresleri arasında
ULAKNET uçlarını oranı az.
Sonrası..
●
Balküpü loglarında otomatik olay kaydı.
●
Spoof edilen IP adreslerinin hangi uçlardan yapıldığını anlamaya yönelik netflow ile
beraber ikili tarama programı yazma.
●
Programı diğer uçlardan gelecek olan honeyd loglarınıda inceleyecek şekilde
yeniden dizayn etme (Ege Üniversitesi, Enis Karaarslan)
●