dns and bgp cs642 computer security
play

DNS and BGP CS642: Computer Security Professor - PowerPoint PPT Presentation

Jul 22, 2023 •363 likes •808 views

DNS and BGP CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

  2. DNS ¡and ¡BGP ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. Network ¡DMZ ¡ Web ¡server ¡ Internet ¡ Inner ¡ Outer ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ DMZ ¡(demilitarized ¡zone) ¡helps ¡isolate ¡public ¡network ¡ ¡ components ¡from ¡private ¡network ¡components ¡ Firewall ¡rules ¡to ¡disallow ¡traffic ¡from ¡Internet ¡to ¡internal ¡services ¡

  4. CIDF ¡ ¡ (Common ¡intrusion ¡detecSon ¡framework) ¡ Event ¡generators ¡ Analysis ¡engine ¡ ¡ (E-­‑box) ¡ (A-­‑box) ¡ From ¡h9p://insecure.org/sY/secnet_ids/secnet_ids.html ¡

  5. Two ¡broad ¡classes ¡ • Anomaly ¡detecSon ¡ – What ¡does ¡“normal” ¡traffic ¡look ¡like? ¡ – Flag ¡abnormal ¡traffic ¡ • Signature ¡based ¡ – Define ¡some ¡explicit ¡traffic ¡pa9erns ¡as ¡bad ¡ – Flag ¡them ¡ – E.g., ¡regular ¡expressions ¡

  6. Basic ¡NIDS ¡setup ¡ From ¡h9p://insecure.org/sY/secnet_ids/secnet_ids.html ¡

  7. Some ¡examples ¡ • Snort ¡(MarSn ¡Roesch) ¡ • Bro ¡(Vern ¡Paxson) ¡ – 1999: ¡27,000 ¡lines ¡of ¡C++ ¡code ¡

  8. A9acking ¡or ¡bypassing ¡NIDS ¡ • How ¡can ¡one ¡circumvent ¡a ¡NIDS? ¡ Web ¡server ¡ Internet ¡ Inner ¡ Outer ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Overload ¡a9acks, ¡crash ¡a9acks, ¡subterfuge ¡a9acks ¡

  9. Subterfuge ¡a9ack ¡example ¡ (10 hops) seq= 6 ... 9 (18 hops) ttl=20 USER 10 .. 13 Attacker Victim ttl=12 nice ttl expires USER root 10 .. 13 ttl=20 root ? USER nice ? USER root Monitor Figure 2: A TTL-based evasion attack on an intrusion detec- tion system From ¡Paxson, ¡ ¡“Bro: ¡A ¡System ¡for ¡DetecSng ¡Network ¡Intruders ¡in ¡Real-­‑Time”, ¡1999 ¡

  10. Anomalous, ¡non-­‑a9ack ¡traffic ¡ • “Storms” ¡of ¡10,000s ¡of ¡FIN ¡or ¡RST ¡packets ¡due ¡ to ¡protocol ¡implementaSon ¡error ¡ ¡ • “Storms” ¡due ¡to ¡foggy ¡days ¡ – Fog ¡in ¡SF ¡bay ¡area ¡killed ¡a ¡connecSon, ¡causing ¡ rouSng ¡flaps ¡and ¡in ¡turn ¡rouSng ¡loops ¡ • SYN ¡packet ¡with ¡URG ¡flag ¡set ¡ – Flags ¡== ¡SYN ¡ ¡fails ¡

  11. Honeypots ¡ • Systems ¡that ¡should ¡have ¡no ¡legiSmate ¡traffic ¡ – Isolated ¡and ¡monitored ¡ – Any ¡traffic ¡routed ¡to ¡it ¡is ¡spurious ¡ • High ¡interacSon ¡(e.g., ¡a ¡full ¡system) ¡ • Low ¡interacSon ¡(e.g., ¡Honeyd) ¡ • Honeynets, ¡honeyfarms ¡ – lots ¡of ¡honeypots ¡ • Honeytoken ¡ – email ¡address ¡ – credit ¡card ¡number ¡

  12. DNS ¡and ¡BGP ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  13. 128.105.5.31 ¡ We ¡don’t ¡want ¡to ¡have ¡to ¡remember ¡IP ¡addresses ¡ Early ¡days ¡of ¡ARPANET: ¡manually ¡managed ¡hosts.txt ¡served ¡from ¡ single ¡computer ¡at ¡SRI ¡

  14. Heirarchical ¡domain ¡name ¡space ¡ (unnamed) ¡root ¡ Top ¡Level ¡ org ¡ net ¡ edu ¡ com ¡ tv ¡ ca ¡ domains ¡ (TLD) ¡ Second ¡Level ¡ wisc ¡ ucsd ¡ davis ¡ domains ¡ cs ¡ ece ¡ ICANN ¡(Internet ¡CorporaSon ¡for ¡Assigned ¡ Names ¡and ¡Numbers) ¡ www ¡ root ¡nameservers ¡and ¡authoritaSve ¡nameservers ¡ max ¡63 ¡ Zone: ¡subtree ¡ characters ¡

  15. Resolving ¡names ¡ From ¡ ¡ h9p://en.wikipedia.org/wiki/File:An_example_of_theoreScal_DNS_recursion.svg ¡

  16. Example ¡DNS ¡query ¡types ¡ A ¡ address ¡(get ¡me ¡an ¡ IPv4 ¡address) ¡ AAAA ¡ IPv6 ¡address ¡ NS ¡ name ¡server ¡ TXT ¡ human ¡readable ¡text, ¡ has ¡been ¡used ¡for ¡ some ¡encrypSon ¡ mechanisms ¡ MX ¡ mail ¡exchange ¡

  17. Caching ¡ • DNS ¡servers ¡will ¡cache ¡responses ¡ – Both ¡negaSve ¡and ¡posiSve ¡responses ¡ – Speeds ¡up ¡queries ¡ ¡ – periodically ¡Smes ¡out. ¡TTL ¡set ¡by ¡data ¡owner ¡

  18. DNS ¡packet ¡on ¡wire ¡ Query ¡ID ¡is ¡16-­‑bit ¡ ¡ random ¡value ¡ We’ll ¡walk ¡through ¡ the ¡example ¡from ¡ Friedl’s ¡document ¡ From ¡Friedl ¡explanaSon ¡of ¡DNS ¡cache ¡poisoning, ¡as ¡ are ¡following ¡diagrams ¡

  19. Query ¡from ¡resolver ¡to ¡NS ¡

  20. Response contains IP addr of next NS server (called “glue”) Response ignored if unrecognized QueryID

  22. bailiwick ¡checking: ¡ ¡ ¡response ¡is ¡cached ¡if ¡ ¡ ¡it ¡is ¡within ¡the ¡same ¡ ¡ ¡ ¡domain ¡of ¡query ¡ ¡ ¡(i.e. ¡ ¡ a.com ¡ ¡cannot ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡set ¡NS ¡for ¡ b.com ) ¡ ¡

  23. Here ¡we ¡go ¡again… ¡ • What ¡security ¡checks ¡are ¡in ¡place? ¡ – Random ¡query ¡ID’s ¡to ¡link ¡responses ¡to ¡queries ¡ – Bailiwick ¡checking ¡(sanity ¡check ¡on ¡response) ¡ • No ¡authenScaSon ¡ – DNSsec ¡is ¡supposed ¡to ¡fix ¡this ¡but ¡no ¡one ¡uses ¡it ¡ yet ¡ • Many ¡things ¡trust ¡hostname ¡to ¡IP ¡mapping ¡ – Browser ¡same-­‑origin ¡policy ¡ – URL ¡address ¡bar ¡

  24. What ¡are ¡clear ¡problems? ¡ • Corrupted ¡nameservers ¡ • Intercept ¡& ¡manipulate ¡requests ¡ • Other ¡obvious ¡issues? ¡

  25. DDoS ¡against ¡DNS ¡ • Denial ¡of ¡Service ¡ – take ¡down ¡DNS ¡server, ¡clients ¡can’t ¡use ¡Internet ¡ – Feb ¡6, ¡2007 ¡a9ack ¡against ¡6 ¡of ¡13 ¡root ¡servers: ¡ • 2 ¡suffered ¡very ¡badly ¡ • Others ¡experienced ¡heavy ¡traffic ¡ • DoD ¡purportedly ¡has ¡interesSng ¡response: ¡ – “In ¡the ¡event ¡of ¡a ¡massive ¡cybera9ack ¡against ¡the ¡country ¡that ¡ was ¡perceived ¡as ¡originaSng ¡from ¡a ¡foreign ¡source, ¡the ¡United ¡ States ¡would ¡consider ¡launching ¡a ¡countera9ack ¡or ¡bombing ¡ the ¡source ¡of ¡the ¡cybera9ack, ¡Hall ¡said. ¡But ¡he ¡noted ¡the ¡ preferred ¡route ¡would ¡be ¡warning ¡the ¡source ¡to ¡shut ¡down ¡the ¡ a9ack ¡before ¡a ¡military ¡response.” ¡ ¡ ¡ ¡ – h9p://www.computerworld.com/s/arScle/9010921/ RSA_U.S._cyber_countera9ack_Bomb_one_way_or_the_other ¡

  26. DNS ¡cache ¡poisoning ¡ bankofsteve.com ¡ Victm ¡DNS ¡server ¡ 10.1.1.1 ¡ Clients ¡ Internet ¡ A9acker ¡site ¡ 10.9.9.99 ¡ goodguy.com ¡ IP ¡= ¡10.9.9.9 ¡ How ¡might ¡an ¡a9acker ¡do ¡this? ¡ Assume ¡DNS ¡server ¡uses ¡predictable ¡UDP ¡port ¡

  28. Another ¡idea: ¡ -­‑ ¡Poison ¡cache ¡for ¡NS ¡ ¡ ¡ ¡record ¡instead ¡ -­‑ ¡Now ¡can ¡take ¡over ¡all ¡of ¡ ¡ ¡ ¡ ¡second ¡level ¡domain ¡ How ¡many ¡tries ¡does ¡ this ¡require? ¡ -­‑ Try ¡256 ¡different ¡QIDs ¡ -­‑ Good ¡chance ¡of ¡success ¡

  29. Does ¡happen ¡in ¡the ¡wild ¡ h9p://www.zdnet.com/blog/security/hd-­‑ moore-­‑pwned-­‑with-­‑his-­‑own-­‑dns-­‑exploit-­‑ vulnerable-­‑at-­‑t-­‑dns-­‑servers-­‑to-­‑blame/1608? tag=content;siu-­‑container ¡

  30. Defenses ¡ • Query ¡ID ¡size ¡is ¡fixed ¡at ¡16 ¡bits ¡ • Repeat ¡each ¡query ¡with ¡fresh ¡Query ¡ID ¡ – Doubles ¡the ¡space ¡ • Randomize ¡UDP ¡ports ¡ – Dan ¡Bernstein’s ¡DJBDNS ¡did ¡this ¡already ¡ – Now ¡other ¡implementaSons ¡do, ¡too ¡ • DNSsec ¡ – Cryptographically ¡sign ¡DNS ¡responses, ¡verify ¡via ¡ chain ¡of ¡trust ¡from ¡roots ¡on ¡down ¡

  31. Phishing ¡is ¡common ¡problem ¡ • Typo ¡squawng: ¡ ¡ – www.ca.wisc.edu ¡ – www.goggle.com ¡ • Other ¡shenanigans: ¡ – www.badguy.com/(256 ¡characters ¡of ¡filler)/ www.google.com ¡ • Phishing ¡a9acks ¡ – These ¡just ¡trick ¡users ¡into ¡thinking ¡a ¡malicious ¡ domain ¡name ¡is ¡the ¡real ¡one ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
Background Review Read Appendix Hao Zheng Department of Computer Science and Engineering

Background Review Read Appendix Hao Zheng Department of Computer Science and Engineering

Background Review Read Appendix Hao Zheng Department of Computer Science and Engineering University of South Florida Tampa, FL 33620 Email: zheng@cse.usf.edu Phone: (813)974-4757 Fax: (813)974-5456 Hao Zheng ( Department of Computer Science

849 views • 36 slides
Optimizing Cost and Performance in Online Service Provider Networks Ming Zhang Microsoft

Optimizing Cost and Performance in Online Service Provider Networks Ming Zhang Microsoft

Optimizing Cost and Performance in Online Service Provider Networks Ming Zhang Microsoft Research Joint work with Zheng Zhang (Purdue), Albert Greenberg (MSR), Y. Charlie Hu (Purdue), Ratul Mahajan (MSR), and Blaine Christian (Microsoft) 1

455 views • 17 slides
Is DANE the Future of Secure Mail? Evaluation of DNS-based Authentication of Named Entities in

Is DANE the Future of Secure Mail? Evaluation of DNS-based Authentication of Named Entities in

Chair for Network Architectures and Services Technische Universit at M unchen Is DANE the Future of Secure Mail? Evaluation of DNS-based Authentication of Named Entities in the Context of Electronic Mail Security Stefan Fochler April 7,

987 views • 57 slides
CSE202: Design and Analysis of Algorithms Ragesh Jaiswal, CSE, UCSD Ragesh Jaiswal, CSE, UCSD

CSE202: Design and Analysis of Algorithms Ragesh Jaiswal, CSE, UCSD Ragesh Jaiswal, CSE, UCSD

CSE202: Design and Analysis of Algorithms Ragesh Jaiswal, CSE, UCSD Ragesh Jaiswal, CSE, UCSD CSE202: Design and Analysis of Algorithms Greedy Algorithms: One more example Ragesh Jaiswal, CSE, UCSD CSE202: Design and Analysis of Algorithms

811 views • 42 slides
IXP Route Server Prefix Validation at LINX Progress & Challenges Mo Shivji, LINX

IXP Route Server Prefix Validation at LINX Progress & Challenges Mo Shivji, LINX

IXP Route Server Prefix Validation at LINX Progress & Challenges Mo Shivji, LINX Contents LINX Route-Server History Prefix Validation & Criteria Challenges Collecting the data Prefix Validation Test Results

734 views • 21 slides
(Best Current Operational Practice for operators) Jan or, Internet Society What is this

(Best Current Operational Practice for operators) Jan or, Internet Society What is this

IPv6 prefjx assignment for end-customers - persistent vs non- persistent, and what size to choose. known as RIPE-690 (Best Current Operational Practice for operators) Jan or, Internet Society What is this document all about?

612 views • 15 slides
A Measurement Study of BGP Misconfiguration Ratul Mahajan, David Wetherall, and Tom

A Measurement Study of BGP Misconfiguration Ratul Mahajan, David Wetherall, and Tom

A Measurement Study of BGP Misconfiguration Ratul Mahajan, David Wetherall, and Tom Anderson University of Washington Motivation Routing protocols are robust against failures Meaning fail-stop link and node

409 views • 27 slides
Linked Open Data and Its Potential for CREDO Martin Homola Faculty of Mathematics, Physics and

Linked Open Data and Its Potential for CREDO Martin Homola Faculty of Mathematics, Physics and

Linked Open Data and Its Potential for CREDO Martin Homola Faculty of Mathematics, Physics and Informatics Comenius University in Bratislava CREDO Week 2018 Martin Homola Linked Open Data and Its Potential for CREDO Knowledge Representation

662 views • 45 slides

More recommend