turning down the lights darknet deployment lessons learned
play

Turning Down the Lights: Darknet Deployment Lessons Learned - PowerPoint PPT Presentation

Nov 09, 2022 •196 likes •447 views

Turning Down the Lights: Darknet Deployment Lessons Learned Casey Deccio DUST 2012 - 1st International Workshop on Darkspace and UnSolicited Traffic Analysis May 14, 2012 SDSC, UCSD, San Diego, CA

  1. Turning ¡Down ¡the ¡Lights: ¡ Darknet ¡Deployment ¡Lessons ¡Learned ¡ Casey ¡Deccio ¡ DUST 2012 - 1st International Workshop on Darkspace and UnSolicited Traffic Analysis May 14, 2012 SDSC, UCSD, San Diego, CA Sandia National Laboratories is a multi-program laboratory managed and operated by Sandia Corporation, a wholly owned subsidiary of Lockheed Martin Corporation, for the U.S. Department of Energy’s National Nuclear Security Administration under contract DE-AC04-94AL85000.

  2. Objec=ves ¡  Mo=vate ¡the ¡ importance ¡of ¡anomaly ¡ analysis ¡  Describe ¡experiences ¡in ¡ deploying ¡an ¡IPv6 ¡ darknet ¡collector ¡  Share ¡preliminary ¡ findings ¡in ¡IPv6 ¡darknet ¡ traffic ¡analysis ¡

  3. Anomaly ¡Analysis ¡– ¡Mo=va=on ¡ Attack or attack preparation Vulnerability Attack fallout Classification Impact Deeper Performance Implementation analysis bug Anomaly Unexpected Implementation Availability behavior Normal design behavior Protocol … shortsight … critical interesting important

  4. Anomaly ¡Analysis ¡Paradigms ¡ Microanalysis Macroanalysis • Small scale • Large scale • Isolated environment • Production environment • Impact unknown • Impact witnessed 5 ¡

  5. Case ¡1: ¡Bogus ¡RRSIG ¡for ¡NSEC ¡ (DNSSEC) ¡  Feb ¡2011 ¡– ¡Sandia ¡ experienced ¡valida=on ¡ errors ¡for ¡unsigned ¡ zone ¡cs.berkeley.edu ¡  DNSViz ¡showed ¡two ¡ NSEC ¡RRs ¡returned, ¡one ¡ with ¡bogus ¡RRSIG ¡ Analysis available at: http://dnsviz.net/d/cs.berkeley.edu/TVsHcQ/dnssec / 6 ¡

  6. Bogus ¡RRSIG ¡– ¡Further ¡Analysis ¡  Some ¡servers ¡serving ¡different ¡NSEC ¡with ¡same ¡RRSIG ¡  Case ¡of ¡NSEC ¡was ¡not ¡preserved ¡during ¡transfer ¡a\er ¡upgrade ¡  Fortunately, ¡servers ¡upgraded ¡incrementally ¡  Impact: ¡Jan ¡2011 ¡– ¡.br ¡servers ¡suffered ¡same ¡bug ¡on ¡half ¡of ¡their ¡ authorita=ve ¡servers ¡ Case mismatch: “edu” vs. “EDU” 7 ¡

  7. Case ¡2: ¡“Roll ¡Over ¡and ¡Die?” ¡ (DNSSEC) ¡  Jan ¡2010 ¡– ¡Sandia ¡experienced ¡valida=on ¡errors ¡for ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ 192.in-­‑addr.arpa ¡zone ¡due ¡to ¡expired ¡RRSIG ¡  Sandia ¡observed ¡excessive ¡queries ¡from ¡its ¡valida=ng ¡resolvers ¡  Feb ¡2010 ¡– ¡Michaelson, ¡et ¡al., ¡report ¡on ¡resolver ¡behavior ¡in ¡the ¡ face ¡of ¡broken ¡chains ¡of ¡trust ¡  Graphed ¡traffic ¡for ¡subdomain ¡of ¡in-­‑addr.arpa ¡a\er ¡trust ¡anchors ¡in ¡ Fedora ¡distribu=on ¡became ¡stale ¡ Full analysis available at: http://www.potaroo.net/ispcol/2010-02/rollover.html 8 ¡

  8. 2400::/12 ¡  2400::/12 ¡– ¡largely ¡unallocated ¡IPv6 ¡prefix ¡in ¡APNIC ¡region ¡  Geoff ¡Huston ¡(APNIC) ¡has ¡presented ¡previous ¡analyses ¡from ¡ traffic ¡routed ¡to ¡the ¡darknet ¡  APNIC ¡graciously ¡allowed ¡Sandia ¡to ¡host ¡the ¡collector ¡and ¡ announce ¡the ¡route ¡  Sandia’s ¡announcement ¡of ¡2400::/12 ¡began ¡April ¡24, ¡2012 ¡ Sandia ISP Sandia ISP router network network router darknet collector 9 ¡

  9. Darknet ¡Rou=ng ¡– ¡Take ¡1 ¡  Sandia ¡is ¡a ¡stub ¡ASN ¡with ¡a ¡default ¡route ¡  When ¡we ¡added ¡the ¡sta=c ¡route ¡for ¡2400::/12, ¡we ¡observed ¡a ¡ lot ¡of ¡traffic ¡  …unfortunately ¡much ¡of ¡it ¡was ¡legi=mate ¡traffic ¡for ¡allocated ¡ address ¡space ¡ Default route Sandia ISP Sandia ISP router network network router Static route darknet collector 10 ¡

  10. Darknet ¡Rou=ng ¡– ¡Take ¡2 ¡  Router ¡pulls ¡down ¡global ¡IPv6 ¡rou=ng ¡table ¡  Traffic ¡routed ¡via ¡longest ¡prefix ¡match ¡ Global IPv6 routing table Longest prefix match routing Sandia ISP Sandia ISP router network network router Static route darknet collector 11 ¡

  11. Collector ¡addressing ¡  Collector ¡network ¡has ¡its ¡own ¡IPv4 ¡(/30) ¡and ¡IPv6 ¡(/64) ¡ address ¡space ¡(not ¡in ¡2400::/12!) ¡  Sta=c ¡route ¡points ¡to ¡collector ¡IPv6 ¡address ¡as ¡next ¡hop ¡ Default route Sandia ISP Sandia ISP router network network router IPv4 /30 Static IPv6 /64 route darknet collector 12 ¡

  12. Traffic ¡Collec=on ¡  ip6tables ¡configured ¡to ¡drop ¡any ¡incoming ¡traffic ¡for ¡2400::/12 ¡and ¡any ¡ outgoing ¡traffic ¡with ¡source ¡2400::/12 ¡ Mostly ¡an ¡extra ¡measure ¡to ¡avoid ¡unexpected ¡responses ¡from ¡otherwise ¡“dark” ¡space ¡  Rules ¡might ¡be ¡so\ened ¡in ¡the ¡future ¡to ¡interact ¡with ¡incoming ¡TCP ¡packets ¡   tcpdump ¡as ¡daemon: ¡  /usr/sbin/tcpdump ¡-­‑i ¡<interface> ¡-­‑s ¡0 ¡-­‑G ¡<flush_interval> ¡-­‑z ¡gzip ¡\ ¡ -­‑w ¡/path/to/files/2400_12-­‑%Y-­‑%m-­‑%d-­‑%H%M.pcap ¡\ ¡ net ¡2400::/1 ¡ 13 ¡

  13. 2400::/12 ¡Route ¡Announcement ¡  Route ¡announcement ¡requires ¡coordina=on ¡between ¡ origina=ng ¡AS, ¡ISP ¡(if ¡stub), ¡and ¡ISP ¡peers. ¡  Administra=ve ¡logis=cs ¡took ¡nearly ¡two ¡months! ¡ 2400::/12 peer peer Sandia ISP Sandia ISP router network network router Static peer route darknet collector 14 ¡

  14. Analysis ¡Overview ¡and ¡Terms ¡  Roughly ¡six ¡weeks ¡of ¡data ¡  Four ¡weeks ¡prior ¡to ¡announcing ¡route ¡  Two ¡weeks ¡a\er ¡ ¡announcing ¡route ¡ Term Description Possible Reason(s) Request - ICMPv6 echo request Misconfigured server address; - TCP SYN route announcement obsolete - DNS query Response - ICMPv6 echo request Corresponding requests sent - TCP SYN/ACK from address with no - DNS response advertised return route 15 ¡

  15. Daily ¡Darknet ¡Traffic ¡– ¡First ¡Weeks ¡ 1 7 14 21 16 ¡

  16. Daily ¡Darknet ¡Traffic ¡– ¡A\er ¡Route ¡ Announcement ¡ 14 21 28 35 17 ¡

  17. Traffic ¡Breakdown ¡ Total packets Total : 93M Per-second avg: 73 (since route announcement) ICMPv6 DNS (UDP) TCP UDP (other) Other 18 ¡

  18. Traffic ¡Breakdown ¡ DNS packets (33M) ICMPv6 traffic (56M) Echo request Echo reply DNS response DNS Teredo request request Other 19 ¡

  19. /48 IPv6 Networks Making Requests for Unallocated 2400::/12 1000 100 Number of /48s 10 1 1 10 100 1000 10000 100000 1e+06 1e+07 Number of Requests 20 ¡

  20. /48 IPv6 Networks Responding to Unallocated 2400::/12 10000 1000 Number of /48s 100 10 1 1 10 100 1000 10000 100000 1e+06 1e+07 Number of Responses 21 ¡

  21. IPv6 Addresses within Unallocated 2400::/12 Receiving Requests 10000 1000 Number of IPv6 Addresses 100 10 1 1 10 100 1000 10000 100000 1e+06 1e+07 22 ¡ Number of Requests

  22. IPv6 Addresses within Unallocated 2400::/12 Receiving Responses 10000 1000 Number of IPv6 Addresses 100 10 1 1 10 100 1000 10000 100000 1e+06 1e+07 23 ¡ Number of Responses

  23. Summary ¡  Analyzing ¡network ¡anomalies ¡is ¡important, ¡as ¡they ¡poten=ally ¡ have ¡impact ¡on ¡the ¡Internet ¡and ¡its ¡users ¡  When ¡setng ¡up ¡a ¡darknet ¡collector, ¡work ¡with ¡peers ¡from ¡ the ¡start ¡to ¡coordinate ¡rou=ng ¡and ¡announcement ¡  The ¡collector ¡receiving ¡traffic ¡des=ned ¡for ¡unallocated ¡ 2400::/12 ¡receives ¡roughly ¡70 ¡packets ¡per ¡second ¡ 24 ¡

  24. Ques=ons? ¡  ctdecci@sandia.gov ¡ 25 ¡

Recommend

Turning exercise into practice Lessons learned from the Danube Delta Project Project for

Turning exercise into practice Lessons learned from the Danube Delta Project Project for

Turning exercise into practice Lessons learned from the Danube Delta Project Project for improving hazard and crisis management in and between Moldova, Ukraine and Romania Brussels, 5 9 March 2018 Svetlana Stirbu Health, Safety and

219 views • 19 slides
Lessons Learned Lessons Learned From From Lessons Learned Lessons Learned From From

Lessons Learned Lessons Learned From From Lessons Learned Lessons Learned From From

Protg 2006, July 26th, Stanford I R I S A C 1 R E C Saint-Cyr Lessons Learned Lessons Learned From From Lessons Learned Lessons Learned From From Ontology Ontology Design Design Ontology Ontology Design Design Jean Andr B

371 views • 12 slides
lessons learned from a national digital health deployment Professor Frances S Mair Head of

lessons learned from a national digital health deployment Professor Frances S Mair Head of

The UK dallas initiative reporting on lessons learned from a national digital health deployment Professor Frances S Mair Head of General Practice &amp; Primary Care Institute of Health &amp; Wellbeing Acknowledgements Our Funder:

467 views • 22 slides
Collaborative TELEMEDICINE: RESULTS AND LESSONS LEARNED FROM RECENT DEPLOYMENT WITH COMMUNITY

Collaborative TELEMEDICINE: RESULTS AND LESSONS LEARNED FROM RECENT DEPLOYMENT WITH COMMUNITY

Rural Health Learning Collaborative TELEMEDICINE: RESULTS AND LESSONS LEARNED FROM RECENT DEPLOYMENT WITH COMMUNITY PARTNERS MARCH 28 TH , 2016 Collaborative Highlights The National Organization of State Offices of Rural Health is

352 views • 9 slides
Data Acquisition Methods: Lessons Learned from Deployment of Cloud HVAC Analytics at UCSB

Data Acquisition Methods: Lessons Learned from Deployment of Cloud HVAC Analytics at UCSB

Data Acquisition Methods: Lessons Learned from Deployment of Cloud HVAC Analytics at UCSB Tuesday, June 27 th 2017 Michael Georgescu (Ecorithm) Jordan Sager (UCSB) California Higher Education &amp; Sustainability Conference (CHESC 2017)

452 views • 16 slides
Lessons Learned from a Large-Scale Telco OSP+SDN Deployment Guil Barros, Sr. Pr. Product Manager

Lessons Learned from a Large-Scale Telco OSP+SDN Deployment Guil Barros, Sr. Pr. Product Manager

Lessons Learned from a Large-Scale Telco OSP+SDN Deployment Guil Barros, Sr. Pr. Product Manager OpenStack, Red Hat Vicken Krissian, Sr. Technical Project Manager, Red Hat Cyril Lopez, Sr. OpenStack Consultant, Red Hat Agenda Who we are

631 views • 20 slides
N A N O R A C K S S E C U R E W O R L D F O U N D A T I O N CubeSat Launch and Deployment Best

N A N O R A C K S S E C U R E W O R L D F O U N D A T I O N CubeSat Launch and Deployment Best

N A N O R A C K S S E C U R E W O R L D F O U N D A T I O N CubeSat Launch and Deployment Best Practices Lessons Learned Launching and Deploying CubeSats from the ISS and Visiting Vehicles SmallSat Conference Utah State University August 7

1.28k views • 8 slides
Turning the Lights On Where does our energy come from? Tyler Josephson Graduate Student at

Turning the Lights On Where does our energy come from? Tyler Josephson Graduate Student at

Turning the Lights On Where does our energy come from? Tyler Josephson Graduate Student at University of Delaware Chemical Engineering Presentation at Newark High School February 9, 2012 What do we use energy for? Where does it come from?

655 views • 28 slides
Lessons Learned From my Travels Across the Valley of Death The Following is an Abbreviated Version

Lessons Learned From my Travels Across the Valley of Death The Following is an Abbreviated Version

Energy Technology Innovation Lessons Learned From my Travels Across the Valley of Death The Following is an Abbreviated Version of the Presentation Stephen Piccot Energy Technology Development &amp; Deployment Experience Pilot Plant

126 views • 9 slides
SERVERLESS - EARLY LESSONS LEARNED Twitter @dasniko https://www.jug-da.de @JUG_DA

SERVERLESS - EARLY LESSONS LEARNED Twitter @dasniko https://www.jug-da.de @JUG_DA

NIKO KBLER (@DASNIKO) SERVERLESS - EARLY LESSONS LEARNED Twitter @dasniko https://www.jug-da.de @JUG_DA serverlessbuch.de @serverlessbuch SERVERLESS COMPUTE MANIFESTO Functions are the unit of deployment and scaling. No

280 views • 27 slides
Institutionalizing Lessons Learned October 25, 2006 Loren Plisco Region II Background

Institutionalizing Lessons Learned October 25, 2006 Loren Plisco Region II Background

Institutionalizing Lessons Learned October 25, 2006 Loren Plisco Region II Background SEP 2002 Davis-Besse Lessons Learned Task Force AUG 2004 - Effectiveness Review Lessons Learned Task Force JAN 2005 - EDO Charters

269 views • 22 slides
OSHA Lessons Learned Adam Fries OSHA Compliance Officer February 13, 2018 OSHA Lessons Learned

OSHA Lessons Learned Adam Fries OSHA Compliance Officer February 13, 2018 OSHA Lessons Learned

OSHA Lessons Learned Adam Fries OSHA Compliance Officer February 13, 2018 OSHA Lessons Learned Jobsite Safety and Health Inspections/Audits better known as; PAPER WORK You hate it, Your safety director requires it, OSHA loves it, Does it

926 views • 35 slides
3/8/2019 Epidemiology, Risk Factors, and Outcomes of Pediatric PVD: LESSONS learned from the

3/8/2019 Epidemiology, Risk Factors, and Outcomes of Pediatric PVD: LESSONS learned from the

3/8/2019 Epidemiology, Risk Factors, and Outcomes of Pediatric PVD: LESSONS learned from the Spanish Registry: Lessons Learned from the Registries o Is It possible (and worthy) to do a national registry? Lessons learned from the o

1.16k views • 43 slides
DEBUGGING LESSONS LEARNED WHILE DEBUGGING LESSONS LEARNED WHILE FIXING NETBSD FIXING NETBSD

DEBUGGING LESSONS LEARNED WHILE DEBUGGING LESSONS LEARNED WHILE FIXING NETBSD FIXING NETBSD

DEBUGGING LESSONS LEARNED WHILE DEBUGGING LESSONS LEARNED WHILE FIXING NETBSD FIXING NETBSD ABOUT ME ABOUT ME maya@NetBSD.org coypu@sdf.org NetBSD/pkgsrc for the last 3 years THIS TALK THIS TALK Mix of a bunch of bugs Not solo work

695 views • 31 slides
Lessons Learned A Value Added Product of the Project Life Cycle R Gilman April 19, 2006 Agenda

Lessons Learned A Value Added Product of the Project Life Cycle R Gilman April 19, 2006 Agenda

Lessons Learned A Value Added Product of the Project Life Cycle R Gilman April 19, 2006 Agenda Introduction What are Lessons Learned? Value to the Project Process and Organization Keanes Approach to Lessons Learned Keys to

261 views • 24 slides
TURNING ALL OUR GSM- PHONES INTO SENSORS . 08.05.2014 Mozart learned to code at the age of four,

TURNING ALL OUR GSM- PHONES INTO SENSORS . 08.05.2014 Mozart learned to code at the age of four,

lo Sre CEO A CTIONABLE T RANSPORTATION A NALYSIS BY TURNING ALL OUR GSM- PHONES INTO SENSORS . 08.05.2014 Mozart learned to code at the age of four, we do too! Population: 1.3 Million Size: 45 227 km Capital: Tallinn Language: Estonian

154 views • 14 slides
Four Major Events in Our History and the Lessons Learned Coleen Reiswig, Isobel McDonald, Ted

Four Major Events in Our History and the Lessons Learned Coleen Reiswig, Isobel McDonald, Ted

Four Major Events in Our History and the Lessons Learned Coleen Reiswig, Isobel McDonald, Ted Pincock, Carolyn Bouchard Joanne Archer Outline: 1) Common Themes 2) The Event and lessons learned: Spanish Influenza 1918 SARS

417 views • 38 slides
Lessons Learned from Japans NPL Experience Ladies and gentlemen, today I would like to discuss

Lessons Learned from Japans NPL Experience Ladies and gentlemen, today I would like to discuss

Beijing International Finance Forum Chairman Junichi Ujiie 2004/05/19 Lessons Learned from Japans NPL Experience Ladies and gentlemen, today I would like to discuss the lessons to be learned from Japans NPL problems: first, the disposal

344 views • 3 slides
Some lessons learned from Team Science Some lessons learned from Team Science Lewis Cantley Weill

Some lessons learned from Team Science Some lessons learned from Team Science Lewis Cantley Weill

Some lessons learned from Team Science Some lessons learned from Team Science Lewis Cantley Weill Cornell Medical College, New York Presbyterian Hospital Past participation in Team Science Period Period Type of grant Type of grant Role in Grant

380 views • 20 slides
VALUE: Lessons Learned Kate McConnell &amp; Erin Horan Association of American Colleges and

VALUE: Lessons Learned Kate McConnell &amp; Erin Horan Association of American Colleges and

VALUE: Lessons Learned Kate McConnell &amp; Erin Horan Association of American Colleges and Universities Todays session Overview of the MSC Scoring and reporting Lessons learned as related to validity Unintended consequences?

661 views • 40 slides
MDG-SDG TRANSITION IN IVORY COAST: LESSONS LEARNED AND IMPLICATIONS ON CURRENT PUBLIC POLICIES

MDG-SDG TRANSITION IN IVORY COAST: LESSONS LEARNED AND IMPLICATIONS ON CURRENT PUBLIC POLICIES

MDG-SDG TRANSITION IN IVORY COAST: LESSONS LEARNED AND IMPLICATIONS ON CURRENT PUBLIC POLICIES SAKO G. . Oumar CONTENTS I. Context II. Assessment and lessons learned from implemention of MDGs III. Domestication/contextaulisation of SDGs

151 views • 12 slides
FACILITATED BY: Robin Booth, CPA 2 Training Topics Lessons Learned Best Practices

FACILITATED BY: Robin Booth, CPA 2 Training Topics Lessons Learned Best Practices

Office of Housing Counseling Best 9/20/2016 Practices/Lessons Learned - LHCAs U.S. Department of Housing and Urban Development Office of Housing Counseling Best Practices/Lessons Learned LHCAs September 20, 2016 12:00 PM Eastern Standard

569 views • 9 slides
MTN-001 Menu Lessons Learned Patrick Karugaba MU-JHU Core Lab, Kampala Uganda Objectives

MTN-001 Menu Lessons Learned Patrick Karugaba MU-JHU Core Lab, Kampala Uganda Objectives

MTN-001 Menu Lessons Learned Patrick Karugaba MU-JHU Core Lab, Kampala Uganda Objectives Introduction Identifying strength &amp; resources at our disposal. Enumeration of challenges/tasks Lessons learned Conclusion

614 views • 13 slides
Lessons learned - viewpoints on increasing analytical capabilities Elizabeth Riczko, FCAS,

Lessons learned - viewpoints on increasing analytical capabilities Elizabeth Riczko, FCAS,

Lessons Learned 3/22/2011 Lessons learned - viewpoints on increasing analytical capabilities Elizabeth Riczko, FCAS, MAAA, CPCU 1 What are we doing? 2 It starts with a goal NOT a method A business question Ask why (and repeat)

338 views • 10 slides

More recommend