De harde realiteit: je netwerk kan een botnet zijn

Als netwerkbeheerder heb je waarschijnlijk veiligheidsmaatregelen genomen om DDoS-aanvallen tegen te houden en malware een stap voor te blijven. Maar heb je nagedacht over een scenario waarin je netwerk als host dient voor een DDoS-aanval of spamberichten verzendt?

Dat zou kunnen gebeuren als de computers in je netwerk besmet zijn en deel uitmaken van een botnet. Niet alleen kan dit juridische consequenties hebben en ervoor zorgen dat uw openbare IP-adressen op de zwarte lijst worden gezet; het kan ook enorme bandbreedtekosten met zich meebrengen omdat de bots in je netwerk talloze spamberichten versturen of deelnemen in grootschalige DDoS-aanvallen.

Wat is een botnet?

Een botnet is een netwerk van geïnfecteerde computers (de "bots") die via een Command and Control Center (C&C center) worden bestuurd door een botherder of botmaster. De botmaster beheert zijn bots via deze interface en de communicatie verloopt bijvoorbeeld via IRC, peer-to-peer, sociale media en tegenwoordig zelfs ook de cloud. Bots kunnen op afstand worden geconfigureerd om geautomatiseerde taken uit te voeren zoals DDoS-aanvallen, e-mailspamming, klikfraude en het verspreiden van malware. Het aantal hosts of bots in een botnet kan variëren van enkele duizenden tot zelfs miljoenen (Zeus, Conficker of Mariposa). Volgens de laatste statistieken vinden er elke dag rond de 1000 DDoS-aanvallen plaats1 en worden er tussen de 40 en 80 miljard spamberichten2 verstuurd. Bijna alle DDoS-aanvallen en ongeveer 90 procent van het totaal aan spamberichten3 is afkomstig van botnets.

Opsporen van botnets met netwerkverkeersanalyse:

  • Programma's die het netwerkverkeer analyseren helpen je om de signalen te herkennen die erop kunnen wijzen dat je netwerk door bots is geïnfecteerd:
  • Internet Relay Chat (IRC) is een van de methoden die door het C&C center worden gebruikt om te communiceren met het botnet, meerdere korte IRC-sessies zijn dus iets om in de gaten te houden
  • Een ongebruikelijk aantal DNS-zoekopdrachten of zoekopdrachten voor ongewone domeinnamen in je uitgaande netwerkverkeer kan duiden op een bot die een zoekopdracht voor het C&C-center uitvoert
  • Een groot aantal conversaties met alleen een SYN-ACK-vlag, gecombineerd met een toename van het aantal pakketten maar zonder een grote toename van het verkeersvolume, kan duiden op een poortscan door bots die op zoek zijn naar andere kwetsbare, onbeschermde hosts om te infecteren
  • Een hoog volume aan SMTP-verkeer afkomstig van uw netwerk, vooral van willekeurige eindpunten buiten het datacenter, kan erop wijzen dat je een spambot host
  • Uitgaande conversaties waarvoor alleen de SYN-vlag is ingesteld, maar waarvoor geen ACK-vlag wordt teruggestuurd. Ook ongeldige IP-adressen (IP-adressen die zijn gereserveerd voor IANA of een broadcastadres) als bron van je netwerkverkeer kunnen wijzen op een bot die een SYN-flood gebruikt om een DDoS-aanval uit te voeren.

Gelukkig kan een netwerkverkeersanalyse je helpen bij het identificeren en het uitroeien van de botnetactiveiten in je netwerk. Hiervoor bestaan een aantal goede en gebruiksvriendelijke opties, meestal packet capture-analyse of een flowanalyse-oplossing zoals NetFlow. Pakketanalyse vereist SPAN-poorten en opslag met hoog volume en kan erg duur zijn. Een flowanalyseprotocol zoals NetFlow, sFlow, CFlow, IPFIX en JFlow rapporteert onder andere over IP-adresbronnen en -bestemmingen, poorten, protocollen, toepassingen, ToS, TCP-vlaggen, pakketten en volumes zonder je resources uit te putten. En, nog beter, waarschijnlijk is het al ingebouwd in je routers en switches - het moet alleen worden ingeschakeld. Bovendien zijn de monitoringtools van NetFlow kosteneffectief en worden je resources minder zwaar belast dan bij pakketanalyse. Leg de NetFlow-gegevens van je apparaten vast en analyseer ze - zo ben je de botnets te slim af.

Referenties

Aantal DDoS-aanvallen per dag volgens het Arbor ATLAS-rapport:
http://www.arbornetworks.com/

Volgens de Britse krant The Guardian ligt het record op 200 miljard:
http://www.guardian.co.uk/technology/2011/jan/10/email-spam-record-activity

88 % van alle spamberichten wordt door botnets verstuurd:
http://royal.pingdom.com/2011/01/19/email-spam-statistics/
http://searchsecuritychannel.techtarget.com/feature/Virtual-honeypots-Tracking-botnets

Gastexpert
[block] [par] [bold]Don Thomas Jacob[/bold] is een van de Head Geeks bij [url link="http://www.solarwinds.com"]SolarWinds[/url], een provider van IT-managementsoftware in Austin, Texas. Voordat hij in 2013 bij Solarwinds in dienst trad, werkte hij bijna acht jaar als technische ondersteuningsmedewerker, productblogger, productevangelist en technische marketingmedewerker. Don heeft ervaring en interesse in oplossingen voor het bewaken van netwerkprestaties, flow-technologieën zoals NetFlow, sFlow en IPFIX en Cisco's oplossingen voor netwerkverkeeranalyse zoals Flexibele NetFlow, Cisco ASA NSEL, Cisco NBAR, Cisco QoS-rapportage, Cisco IPSLA en Cisco Medianet en MediaTrace. [/par] [/block]