Overview; differences in intended task distribution per development step

Las capturas realizadas en uno de los servidores de NIC M´exico arrojaron un total de 227,856 paquetes capturados.

De esta captura se seleccionaron 61,381 paquetes de forma aleatoria. Se aplic´o la preclasificaci´on utilizando las variables descritas anteriormente. Un total de 34,345 de las consultas fueron catalogadas como sospechosas, en parte debido a la cantidad de peticiones repetidas y el n´umero de peticiones recibidas desde la mismas IPs.

Al encontrar un n´umero tan alto de consultas preclasificadas como sospechosas se decidi´o buscar informaci´on sobre la cantidad de peticiones leg´ıtimas que reciben otros TLD. En un estudio[7] reciente de cient´ıficos del centro de super c´omputo de la Universidad San Diego, California se analiz´o el tr´afico de uno de los 13 root servers y se encontr´o que solamente el 2 por ciento de las consultas que llegan al root server son necesarias y el 98 restante son totalmente innecesarias. Cerca del 70 por ciento de las peticiones son id´enticas o simplemente son consultas repetidas del mismo dominio. Esta informaci´on apunta a que es normal encontrar una gran cantidad de tr´afico an´omalo e innecesario en los servidores de nivel superior.

Las 34,345 consultas fueron posteriormente analizadas de forma manual dejando catalogadas como tr´afico sospechoso aquellas consultas que deben de ser analizadas a

detalle para encontrar porqu´e se esta dando ese comportamiento o detectar si se trata de un posible un ataque o inicio del mismo.

Esta clasificaci´on manual arrojo un total de 18,586 consultas sospechosas, las cuales fueron etiquetadas con el valor num´erico 1 (paquete sospechoso).

La variable de clasificaci´on puede contener un 0 que indica que el paquete no es sospechoso, 1 que indica que el paquete es sospechoso y 2 que indica que existen altas posibilidades de tratarse de un ataque.

Las bases de datos de 18,586 consultas tipo 1 y 42,795 consultas del tipo 0 fueron conjuntadas en una sola base de datos. Posteriormente se seleccionaron 70 por ciento de las consultas aleatoriamente para generar la base de datos de entrenamiento del clasificador bayesiano y 30 por ciento para generar la base de datos de evaluaci´on de aprendizaje del clasificador bayesiano.

Debido a que no se encontraron paquetes del tipo 2, se decidi´o agregar man- ualmente paquetes de DNS con consultas tipo “CHAOS TXT version.bind´´ que son asociadas con el intento de descubrir la versi´on del software BIND que se ejecuta y utilizadas generalmente por los atacantes para reconocimiento de la infraestructura. Se agreg´o un paquete del tipo de 2 a la base de datos de entrenamiento y otro paquete similar del tipo 2 a la base de datos de evaluaci´on.

Cabe mencionar que el responsable de seguridad es el encargado de realizar un an´alisis a detalle de los resultados del sistema de clasificaci´on bayesiano y de etiquetar paquetes como tipo 2. Etiquetar un paquete como tipo 2 requiere la intervenci´on del responsable de seguridad porque esta clasificaci´on requiere el empleo de experiencia y conocimiento.

Despu´es de ejecutar el clasificador bayesiano se encontr´o que 372 consultas no fueron catalogadas como sospechosas cuando manualmente fueron catalogadas de esta forma. De las consultas no sospechosas 297 fueron catalogadas como sospechosas.

bido a que simplemente la revisi´on manual de un ser humano descartar´a estas consultas. Es un problema mayor catalogar consultas sospechosas como no sospechosas, la efec- tividad en este rubro es de aproximadamente del 90 por ciento. Conforme se entrene el clasificador bayesiano esta eficiencia aumentar´a, y es il´ogico pensar en un sistema de clasificaci´on 100 por ciento efectivo.

La consulta tipo 2 fue detectada como tipo 2 en la base de datos de evaluaci´on, conforme se presenten una mayor cantidad de consultas tipo 2 el clasificador bayesiano podr´a tener mayores patrones para su clasificaci´on.

El sistema desarrollado en esta tesis permite filtrar r´apidamente el tr´afico y permi- tir a los encargados de seguridad analizar los paquetes con caracter´ısticas que apuntan a un posible ataque. Esta soluci´on reduce significativamente la cantidad de paquetes que deben analizarse.

Cap´ıtulo 5

Cosas aprendidas y recomendaciones para trabajos

posteriores

Durante el an´alisis de paquetes sospechosos y despu´es de analizar los resultados del clasificador bayesiano se encontraron algunos paquetes que indican un compor- tamiento o configuraci´on err´onea. A continuaci´on se presentan posibles hip´otesis del porqu´e se presentan estas singulares consultas. Un an´alisis detallado de los mismos permitir´a conocer m´as al respecto.

5.0.1.

Comportamiento por Active Directory

Alrededor del uno por ciento de las consultas recibidas son consultas por registros del tipo SRV y nombres del tipo ldap. tcp.dc. msdcs.dominio.com.mx. Este tipo de dominios apareci´o catalogado como sospechoso por el clasificador bayesiano debido al intento de realizaci´on de dynamic updates por parte del cliente.

Despu´es de una investigaci´on se encontr´o que Microsoft implementa la b´usqueda de los servidores de kerberos mediante DNS utilizando el tipo de consultas SRV. De igual forma el cliente de DNS de Windows implementa mediante dynamic updates la creaci´on de registros autom´aticos en el DNS cuando se asigna una direcci´on din´amica. Al parecer si el dominio com.mx no esta bien configurado o presente en el servicio de Microsoft, el cliente termina enviando el paquete de dynamic update al siguiente nivel

que ser´ıa en este caso com.mx.

5.0.2.

Servidores de NIC M´exico como servidores recursivos

Cuenta la historia de Internet en M´exico que cuando el Internet lleg´o a nuestro pa´ıs y solo pocas universidades ten´ıan acceso a la red, el servidor autoritativo para los dominios .mx funcionaba como servidor recursivo para el Internet de M´exico.

En esos tiempos el ´unico servidor de nombres recursivo que exist´ıa en nuestro pa´ıs ten´ıa la direcci´on IP 200.23.1.1. Actualmente NIC M´exico tiene cuatro servidores au- toritativos y las consultas pueden llegar a cualquiera de los cuatro con una distribuci´on relativamente uniforme.

Al parecer algunas personas siguen colocando a los servidores autoritativos de NIC Mexico como sus servidores recursivos debido a la gran cantidad de consultas que llegan a los servidores por dominios .com con la bandera de recursividad encendidada y sin relaci´on aparente entre alguna consulta realizada con anterioridad que pudiera indicar alg´un error de procesamiento en el resolver, de igual forma estas consultas son realizadas en su mayor´ıa sobre la direcci´on IP 200.23.1.1.