Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-2647
Main Title: Securing the Internet by Analysing and Controlling DNS Traffic: Email Worm Detection and Mitigation
Translated Title: Sicherung des Internet durch die Analyse und Steuerung des DNS-Verkehrs: EMail-Wurm-Erkennung und Abschwächung
Author(s): Chatzis, Nikolaos
Advisor(s): Popescu-Zeletin, Radu
Granting Institution: Technische Universität Berlin, Fakultät IV - Elektrotechnik und Informatik
Type: Doctoral Thesis
Language: English
Language Code: en
Abstract: Das Domain Name System (DNS) ist eine für das Internet unentbehrliche Infrastruktur, weil fast alle Anwendungen, die auf mit dem Internet verbundenen Maschinen laufen, von der Namensauflösung, die es zur Verfügung stellt, abhängen. Das DNS besteht aus drei Komponenten: dem Domain-Namensraum, den Nameservern und den Klienten, formal Resolver genannt. Wegen seiner kritischen Natur waren der Domain-Namensraum und die Nameserver jahrelang sehr attraktive Ziele für Angreifer, die versuchen, weit verbreiteten Schaden zuzufügen. Um diesen Stand der Dinge zu überwinden, wurde große Aufmerksamkeit auf die Verbesserung der Sicherheit sowie den Schutz des DNS gerichtet, und bedeutende Investitionen getätigt, um seinen durchgehenden, zuverlässigen und effizienten Betrieb sicherzustellen. In Verbindung mit einer bemerkenswerten Verschiebung in der Motivation und im Proil der Angreifer hat dies in den letzten Jahren zu einer beträchtlichen Änderung in der Internet-Angriffslandschaft geführt. Die Angriffe wurden schrittweise verfeinert und fokussiert, und finanzieller Gewinn hat sich zur ihrer treibenden Hauptkraft entwickelt. In dieser neuen Ära haben die Angreifer festgestellt, dass der Missbrauch der Nameserver oder die Ausnutzung des Namensauflösungdienstes größeren wirtschaftlichen Schaden verspricht, als direkte Angriffe auf die DNS-Komponenten oder das Stören des Namensauflösungdienstes. Als direkte Konsequenz hat heutzutage die überwiegende Mehrheit von Internet-Angriffen einen sichtbaren Effekt auf den DNS-Verkehr, der das Internet durchquert, auf den Betrieb der Nameserver, oder in einigen Fällen auf beides. In dieser Studie wird demonstriert, dass diese Beobachtung eine neue und sehr viel versprechende Perspektive bietet, um viele Internet-Angriffe effektiv zu erkennen und abzuschwächen. Um den Wert dieser Perspektive zu demonstrieren, behandelt die vorliegende Studie die Erkennung und Abschwächung von Internet-Würmern, die zusammen mit Bot-Software die zwei Hauptbedrohungen für die Netzwerk-Betreiber und Endbenutzer im Internet sind. Der Fokus liegt besonders auf Email-Würmern, die ein sehr populäres Mittel sind, damit Angreifer ihre Zwecke erreichen, und deshalb die überwiegende Ausprägung der Internet-Würmer und Schadprogramme im Allgemeinen gewesen sind und bleiben. Diese Zwecke umfassen die Installation von Bot-Software, entworfen um unaufgefordert Emails zu verteilen und gezielte verteilte Leistungsverweigerungsangriff zu starten, den Diebstahl von privaten Informationen und das Zerstören von sensitiven Daten. In dieser Arbeit wird eine Methode für die Erkennung von Benutzermaschinen, die mit Email-Würmern angesteckt sind, auf dem lokalen Nameserver vorgestellt. Die Methode benutzt Clustering und Ähnlichkeitssuche über Zeitreihen, abgeleitet aus DNS-AnfragestrÖmen, die Benutzermaschinen erzeugen. Es wird gezeigt, dass sie die Beschränkungen der vorhandenen Methoden überwindet, bemerkenswerte Genauigkeit und eine unwesentliche Rate von Falsch-Positiv-Meldungen erreicht und langfristig wirkungsvoll sein kann. Zusätzlich wird eine Methode für die Eingrenzung von Email-Würmern eingeführt. Die Methode benutzt einen Verkehrssteuerungsmechanismus, um die DNS-Antwortströme zu regulieren, die lokale Nameserver zu den Benutzermaschinen zurückschicken und dadurch die Rate, mit der infizierte Benutzermaschinen Email-Würmer weiter verbreiten. Es wird gezeigt, dass sie das Potenzial hat, Email-Wurmepidemien zu verlangsamen und zur Verringerung von illegitimem Email-und DNS-Verkehr, den angesteckte Benutzermaschinen ins Internet senden, zu beitragen, mit keinem bis minimalem Einfluss auf den legitimen Benutzerverkehr
The Domain Name System (DNS) is a critical infrastructure of the Internet because almost all applications that run on Internet-connected machines depend on the name resolution service it provides to work. The DNS consists of three components: the domain name space, the name servers, and the clients, formally referred to as resolvers. Due to its critical nature, the domain name space and the name servers have been for many years very attractive targets for attackers seeking to inflict widespread damage. To deal with this state of affairs, substantial attention and investment have been directed at enhancing the security of and protecting the DNS to ensure its continuous, reliable and efficient operation. This, in conjunction with a notable shift in the motivation and profile of attackers have led in recent years to a considerable change in the Internet attack landscape. Attacks have gradually become more sophisticated and focused, and financial gain has evolved into the major driving force behind them. In this new era, attackers have realised that misusing the name servers or exploiting the name resolution service comes with greater damage or economic profit than directly attacking the components of the DNS or disrupting the name resolution service. As an immediate consequence, the vast majority of Internet attacks nowadays produce an observable effect on the DNS traffic that traverses the Internet, the operation of the name servers, or in some cases on both. In the present study, it is shown that this observation opens a new and very promising perspective for effectively detecting and mitigating a wide variety of Internet attacks. To demonstrate the value of this perspective, the present study is devoted to detecting and mitigating Internet worms that along with bot software are the two major Internet threats network operators and end users face. The focus is particularly on email worms, which have been, and remain, a very popular medium for attackers to achieve their ends and, therefore, the most prevalent type of Internet worms and malicious software in general. The attackers' ends include installing bot software designed to distribute unsolicited emails or launch targeted distributed denial of service attacks, stealing private information and destroying key data. In this thesis, a method for detecting user machines that are compromised by email worms on the local name servers is introduced. The method uses clustering and similarity search over time series derived from the DNS query streams of user machines. It is demonstrated that the method overcomes the limitations of the existing methods, exhibits remarkable accuracy and negligible false alarm rate, and can be effective in the long run. In addition, a method for containing email worms is introduced. The method uses a traffic control mechanism to regulate the DNS response streams that the local name servers return to user machines and, thereby, limit the rate at which compromised user machines spread email worms further. It is shown that the method has the potential to slow down the epidemics of email worms and contribute to reducing the illegitimate email and DNS traffic compromised user machines send to the Internet with minimally, if at all, affecting their legitimate traffic
URI: urn:nbn:de:kobv:83-opus-28517
http://depositonce.tu-berlin.de/handle/11303/2944
http://dx.doi.org/10.14279/depositonce-2647
Exam Date: 17-Nov-2010
Issue Date: 26-Nov-2010
Date Available: 26-Nov-2010
DDC Class: 004 Datenverarbeitung; Informatik
Subject(s): Abschwächung
DNS
EMail-Wurm
Erkennung
Internet Sicherheit
Detection
DNS
Email worm
Internet security
Mitigation
Usage rights: Terms of German Copyright Law
Appears in Collections:Technische Universität Berlin » Fakultäten & Zentralinstitute » Fakultät 4 Elektrotechnik und Informatik » Institut für Telekommunikationssysteme » Publications

Files in This Item:
File Description SizeFormat 
Dokument_9.pdf14.33 MBAdobe PDFThumbnail
View/Open


Items in DepositOnce are protected by copyright, with all rights reserved, unless otherwise indicated.