ESTUDIOS DE INGENIERÍA DE TELECOMUNICACIÓN PROYECTO DE FIN DE CARRERA DISEÑO E IMPLEMENTACIÓN DE UNA PLATAFORMA PARA LA DETECCIÓN DE REDES FAST-FLUX

Transcripción

1 ESTUDIOS DE INGENIERÍA DE TELECOMUNICACIÓN PROYECTO DE FIN DE CARRERA DISEÑO E IMPLEMENTACIÓN DE UNA PLATAFORMA PARA LA DETECCIÓN DE REDES FAST-FLUX CURSO: 2009/2010 JOSÉ LUIS GALINDO ZAVALA

2 ESTUDIOS DE INGENIERÍA DE TELECOMUNICACIÓN DISEÑO E IMPLEMENTACIÓN DE UNA PLATAFORMA PARA LA DETECCIÓN DE REDES FAST-FLUX REALIZADO POR: José Luis Galindo Zavala DIRIGIDO POR: Gabriel Maciá Fernández DEPARTAMENTO: Teoría de la Señal, Telemática y Comunicaciones Granada, Junio de 2010

3 DISEÑO E IMPLEMENTACIÓN DE UNA PLATAFORMA PARA LA DETECCIÓN DE REDES FAST-FLUX José Luis Galindo Zavala Palabras clave: seguridad de redes, software, redes de servicio de flujo rápido, dominios de Internet, cibercrimen, sistema de nombres de dominio Resumen: En los últimos años, la creciente popularidad y accesibilidad a Internet ha provocado un cambio dramático en la forma de comunicación de nuestra sociedad. La gran variedad de servicios que ofrece Internet, tales como páginas web, correo electrónico, telefonía IP, chat o comercio electrónico han supuesto una revolución en el paradigma de las comunicaciones y actualmente Internet continúa su desarrollo a una velocidad vertiginosa. Sin embargo, para preservar este ritmo de crecimiento, existe un aspecto básico que no se debe ignorar: la seguridad. Esto es debido a que en Internet han surgido comunidades de usuarios malintencionados que utilizan Internet como plataforma para desarrollar actividades criminales, consiguiendo un alcance global. Estos usuarios son comúnmente conocidos como hackers. Los expertos en seguridad persiguen constantemente los delitos perpetrados en Internet. Es por ello que los delincuentes se han visto obligados a idear nuevas técnicas, cada día más sofisticadas, que garanticen la continuidad del ejercicio de estas actividades y su anonimato. Una de estas técnicas más recientes es el uso de las llamadas redes de servicios de flujo rápido (Fast Flux Service Networks, FFSNs). Las FFSNs contribuyen a dificultar considerablemente la detención del delincuente que hace uso de ellas. En este proyecto se ha diseñado e implementado una plataforma software destinada a comprobar si un dominio de Internet se corresponde o no con una FFSN. Se trata de una plataforma abierta cuyo propósito es proveer al usuario de un soporte que le permita integrar sus propias herramientas de detección de una forma sencilla. De esta forma, el esquema utilizado puede ser adaptado a los posibles giros inesperados que puedan producirse en la evolución de las FFSNs.

4 La plataforma ofrece al usuario la capacidad de experimentar con nuevos algoritmos de detección, teniendo que preocuparse exclusivamente del diseño e implementación del algoritmo deseado. Además, ofrece la posibilidad de recopilar automáticamente los nombres de dominio contenidos en diversos formatos, como páginas web, correos electrónicos, etc., que son fuentes principales de direcciones de Internet con contenido malicioso. Teniendo en cuenta que la recogida de datos necesarios para llevar a cabo la detección puede durar horas e incluso días, la plataforma diseñada permite la operación sobre varios dominios simultáneamente, aumentando considerablemente su eficiencia en términos de número de dominios analizados por unidad de tiempo.

5 DESIGN AND IMPLEMENTATION OF A PLATFORM FOR DETECTING FAST-FLUX SERVICE NETWORKS José Luis Galindo Zavala Keywords: network security, software, Fast Flux Service Networks, Internet domains, cybercrime, Domain Name System Abstract: Over the last few years, the increasing popularity and accessibility to the Internet has resulted in a dramatic change in our society s way of communication. The wide range of services offered by the Internet, such as web pages, e mail, VoIP, chat or e commerce, have unleashed a revolution in the communications paradigm and the Internet continues evolving at a very high speed. Nevertheless, in order to maintain this speed of growth, there is an essential issue which should not ever be ignored: security; mainly due to the emergence of malicious user communities whose members use the Internet as a platform for developing criminal activities with a global impact. These users are commonly known as hackers. Security experts are constantly pursuing computer crime activities perpetrated in the Internet. This is why hackers have developed new sophisticated techniques to guarantee the survival of these criminal activities and their anonymity. One of the most modern techniques is the used in this context are the Fast Flux Service Networks (FFSNs). FFSNs make more difficult to arrest criminals who use them. In this project, a software platform able to check if an Internet domain belongs to a FFSN has been designed and implemented. It is an open platform whose purpose is to provide users with a support which lets them integrate their own detection strategies into it in a very simple way, so the system can be adapted to unexpected changes which can come into reality along the FFSN evolution. The platform offers the users the ability to test new detection algorithms without worrying about anything but the design and the implementation of the desired algorithm. In addition, it makes it possible to automatically obtain the domain names to be analyzed from s or web pages, which are the main sources of Internet addresses with malicious contents.

6 Considering that the collection of the amount of data needed to detect a domain name can take some hours or even days, the designed platform is able to operate on several domain names simultaneously, considerably raising its efficiency in terms of the number of domains analyzed per time unit.

7 D. Gabriel Maciá Fernández, Profesor del Departamento de Teoría de la Señal, Telemática y Comunicaciones de la Escuela Técnica Superior de Ingenierías de Informática y de Telecomunicación de la Universidad de Granada, como director del Proyecto Fin de Carrera de D. José Luis Galindo Zavala Informa: que el presente trabajo, titulado: Diseño e implementación de una plataforma para la detección de redes fast flux ha sido realizado y rectado por el mencionado alumno bajo mi dirección, y con esta fecha autorizo a su presentación. Granada, a 28 de Junio de 2010 Fdo. Gabriel Maciá Fernández

8 Los abajo firmantes autorizan a que la presente copia de Proyecto Fin de Carrera se ubique en la Biblioteca del Centro y/o departamento para ser libremente consultada por las personas que lo deseen. Granada, a 28 de Junio de 2010 Fdo. José Luis Galindo Zavala E Fdo. Gabriel Maciá Fernández

9 A mis padres y mis hermanos, por su cariño y apoyo incondicionales. A Cristina, mi novia, por sus palabras de ánimo en los momentos duros y por hacer suyas mis alegrías y mis preocupaciones. A Antonio, mi hermano, por haber estado siempre a mi lado en los momentos importantes. A Gabriel, mi tutor, por su constante atención y su gran capacidad para motivar a sus alumnos. A mis amigos, por su apoyo y por todas las risas y momentos buenos que hemos compartido.

10 ÍNDICE DE CONTENIDOS CAPÍTULO 1. INTRODUCCIÓN FUNDAMENTOS TEÓRICOS El sistema DNS Redes fast flux Comentarios finales OBJETIVOS DEL PROYECTO 29 CAPÍTULO 2. ESTADO DEL ARTE DE LA DETECCIÓN DE REDES FAST FLUX INTRODUCCIÓN TÉCNICAS DE DETECCIÓN Fórmula de Mannheim Método de Nazario y Holz Método de Melbourne 35 CAPÍTULO 3. ESPECIFICACIÓN Y ANÁLISIS DE REQUISITOS DEFINICIÓN DE REQUISITOS Requisitos funcionales Requisitos no funcionales ANÁLISIS Casos de uso Diagramas de secuencia del sistema 53

11 CAPÍTULO 4. PLANIFICACIÓN Y COSTES PLANIFICACIÓN ESTIMACIÓN DE COSTES 61 CAPÍTULO 5. DISEÑO BOCETOS INTERFAZ GRÁFICA CASOS DE USO REALES Introducir parámetros Obtener características Detectar Generar informe Otros casos de uso ARQUITECTURA PROPUESTA Componentes del sistema Diseño de los bloques monitores Estructura de la base de datos Diagrama de clases de diseño Interacciones 94 CAPÍTULO 6. IMPLEMENTACIÓN ESTRUCTURA DEL CÓDIGO Paquete Detectores Paquete Monitores Paquete DNS Otros Módulos ARCHIVO DE CONFIGURACIÓN INTERFAZ GRÁFICA HERRAMIENTAS EXTERNAS USADAS EN LA IMPLEMENTACIÓN Eclipse Paquete PyDNS Paquete wxpython Módulo KThread.py Librería SQLite Servidores Team Cymru 115 CAPÍTULO 7. EVALUACIÓN PRUEBAS DE FUNCIONALIDAD Pruebas de extracción de nombres de dominio Pruebas de comportamiento durante el análisis Pruebas de base de datos Pruebas de opciones de configuración Pruebas de integración de módulos PRUEBAS DE DETECCIÓN 128

12 CAPÍTULO 8. CONCLUSIONES RESULTADOS TRABAJO FUTURO 132 ANEXO I. DIRECTRICES PARA LA IMPLEMENTACIÓN DE NUEVOS MÓDULOS. 135 DISEÑO E IMPLEMENTACIÓN DE MÓDULOS MONITORES 135 DISEÑO E IMPLEMENTACIÓN DE MÓDULOS DETECTORES 136 BIBLIOGRAFÍA 138 GLOSARIO 140

13 CAPÍTULO 1. Introducción En este capítulo se presentan los conceptos teóricos necesarios para la comprensión de este proyecto en su totalidad. La intención es que el lector adquiera un conocimiento en profundidad sobre la naturaleza de estas redes, sin el cual no es posible desarrollar metodologías para su detección y erradicación. También se presentan los objetivos del proyecto, en los que se expone qué se pretende construir y por qué. 1.1 Fundamentos teóricos Las redes fast flux utilizan técnicas y arquitecturas basadas en la utilización caprichosa del sistema DNS. Es por esto que es preciso comprender los conceptos básicos de funcionamiento de dicho sistema para profundizar en la arquitectura de las FFSNs. A continuación, se realizará una explicación de los conceptos del sistema DNS que se utilizan en la implementación de las redes FFSN, pasando a continuación a explicar las mismas de forma detallada El sistema DNS Como ya se ha comentado, el sistema DNS es clave para el éxito de las FFSNs. Las FFSNs aprovechan ciertas funcionalidades ofrecidas por este servicio para adquirir robustez, en el sentido de que se hacen muy difíciles de mitigar y de que aseguran que su servicio esté continuamente disponible Qué es el sistema DNS? El direccionamiento en Internet se basa en el uso de direcciones IP. Sin embargo, para un usuario, manejar este tipo de direcciones puede ser muy complejo. El sistema de 13

14 Diseño e implementación de una plataforma para la detección de redes fast flux nombres de dominio o sistema DNS es un servicio de Internet cuyo objetivo básico es la traducción de nombres textuales más amigables para los usuarios de Internet a direcciones IP. Estos nombres textuales se denominan nombres de dominio. El sistema DNS tiene otros propósitos adicionales, como dar soporte a diferentes servicios en la red (por ejemplo, el correo electrónico), crear subdelegaciones de nombres o llevar a cabo resoluciones inversas, es decir, traducir una dirección IP al nombre textual asociado Estructura de los nombres de dominio El sistema DNS está constituido por una base de datos distribuida con una estructura jerárquica en forma de árbol. Una zona es una porción del espacio de nombres DNS sobre la cual ha sido delegada la responsabilidad administrativa de los dominios que contiene. Cada zona está administrada por una autoridad, que consta de uno o varios servidores de nombres que contienen los datos administrativos de los equipos bajo su responsabilidad. Cada zona puede, además, delegar la responsabilidad en otras subzonas de la misma manera, dando lugar a una estructura jerárquica perfectamente definida. Como se puede apreciar en la Figura 1.1, los dominios de alto nivel (Top Level Domains, TLDs) son dominios en el nivel más alto de la jerarquía DNS. Los nombres de los TLD están instalados en la zona raíz del espacio de nombres. Teniendo en cuenta la enorme cantidad de nombres de dominio que existen, la gestión por parte de un TLD de todos los dominios que dependen de él puede llegar a ser muy complicada. Por ello, se definen las zonas. Figura Introducción

15 1.1 Fundamentos teóricos Un nombre de dominio (Fully Qualified Domain Name, FQDN) es el nombre textual que incluye el nombre del equipo que contiene un recurso específico y la ubicación exacta en el árbol DNS. La estructura de un nombre de dominio es de la forma parte_local.dominio_niveln dominio_nivel2.dominio_nivel1. El orden natural de las direcciones es por tanto de derecha a izquierda, estando la raíz del árbol presente de forma implícita en todas las direcciones. No existe una restricción en cuanto al número de niveles de la dirección. Ejemplo: equipo15.r.detectorfastflux.es.. (final) Raíz del sistema DNS es Dominio de alto nivel (TLD) detectorfastflux Dominio de nivel 2 r Dominio de nivel 3 equipo15 Nombre del equipo No hay que olvidar que el objetivo del sistema DNS es facilitar al usuario el direccionamiento en Internet. Por tanto, no tendría sentido que el usuario tuviese que recordar siempre un FQDN para acceder a un recurso puesto que estos nombres pueden llegar a ser muy largos. Es por eso que se asignan alias a los dominios, que son nombres más cortos asociados al FQDN. El usuario puede acceder al recurso utilizando este nombre. El servidor de nombres será el encargado de identificar este alias con su FQDN correspondiente. Es muy importante distinguir entre lo que es un nombre de dominio y lo que es un localizador uniforme de recursos (Uniform Resource Locator, URL). Una URL es una secuencia de caracteres, de acuerdo a un formato estándar, que se usa para nombrar recursos en Internet para su localización o identificación, como por ejemplo documentos textuales, imágenes, videos, presentaciones digitales, etc. El nombre de dominio al que pertenece el recurso está contenido en el recurso. Por ejemplo, directorio1/directorio2/recurso es la URL del recurso recurso que está contenido en la ruta /directorio1/directorio2 de la máquina maquina, que se encuentra en el dominio cuyo nombre es dominio.es Registros DNS Cada subzona, para la gestión de los equipos bajo su control, almacena la información correspondiente en un servidor. Esta información está estructurada en forma de registros (Resource Records, RR), que pueden ser de distintos tipos. A continuación se mencionan los más importantes: Introducción 15

16 Diseño e implementación de una plataforma para la detección de redes fast flux Tipo A: Contiene la dirección IP a la que apunta el nombre de dominio. Tipo NS: Apunta a un servidor de nombres autorizado para un dominio. Contiene el nombre de dominio de dicho servidor. Este tipo de registro es el que permite la delegación de responsabilidades en zonas. Tipo CNAME: Se refiere al nombre canónico (Fully Qualified Domain Name, FQDN) de un alias. Tipo SOA: Contiene la información de cuál o cuáles son los servidores DNS responsables de la zona. Tipo PTR: Contiene la traducción de dirección IP a nombre de dominio asociado. Tipo MX: Contiene la información referente al servidor de correo electrónico de la zona. Cada registro de los mencionados contiene un campo de tiempo de vida (Time to Live, TTL). Todo servidor DNS dispone de una memoria caché. Cuando un servidor de nombres solicita un registro sobre un dominio específico a un servidor autoridad, el primero mantendrá el registro recibido en su caché durante el tiempo especificado en el campo TTL (en segundos). Si durante ese tiempo un cliente solicita esta información, el servidor receptor de la solicitud responderá al cliente con este registro sin tener que volver a pedir la información al servidor autoridad. Esto reduce la carga en la red y la posibilidad de sobrecarga en el servidor autoridad. Los registros son enviados sobre el protocolo TCP/IP. Cada mensaje DNS consta de una cabecera y de un cuerpo, conteniendo este último los registros. De la cabecera conviene destacar que contiene una serie de indicadores (flags) que proporcionan información sobre el contenido del mensaje. Entre estos indicadores se encuentra el de código de respuesta (reply code), que indica si existe algún error en la respuesta ofrecida por el servidor. Los valores posibles para este indicador son los siguientes: No error (0): El mensaje es correcto. Format error (1): El servidor de nombres no pudo interpretar el mensaje de petición. Server failure (2): El servidor de nombres no pudo procesar la solicitud debido a un problema con el servidor de nombres. Name error (3): Tiene sentido solamente cuando la respuesta proviene de un servidor de nombres autoridad del dominio. Este código significa que el dominio referenciado en la solicitud no existe. Not Implemented (4): El servidor de nombres no da soporte a este tipo de solicitud. Refused (5): El servidor de nombres rechaza la operación por razones de seguridad Round Robin DNS La técnica Round Robin DNS (RRDNS) es empleada por el sistema DNS para propósitos de balanceo de carga y de tolerancia a fallos. Esta técnica consiste en devolver más de un registro de tipo A cuando un cliente realiza una consulta sobre un nombre de dominio. El servidor permuta el orden de estos registros en cada consulta, provocando así que las 16 Introducción

17 1.1 Fundamentos teóricos peticiones se repartan entre los distintos equipos disponibles de una forma equitativa y evitando la sobrecarga en algunos servidores. La técnica RRDNS se basa en la asignación de TTLs cortos a los registros de tipo A, para así provocar que los servidores que no son autoridad del dominio se vean obligados a solicitar a la autoridad del mismo los nuevos datos y de esta forma tener mayor control sobre el reparto de carga entre los distintos equipos a los que apunta el nombre de dominio Redes fast flux En este apartado se describen en profundidad los conceptos más importantes relacionados con las redes de servicio de flujo rápido (FFSNs). Su lectura permitirá comprender qué son, para qué se utilizan, las características principales que poseen, los tipos conocidos de redes fast flux y las ventajas que aportan a sus usuarios. Finalmente, se aportarán algunos ejemplos clarificadores de este tipo de redes Qué es una red fast flux? Una red fast flux (FFSN) es una red de sistemas informáticos comprometidos (botnet) cuyas direcciones IP se van turnando en los registros DNS correspondientes a uno o varios dominios utilizados para cometer delitos. Lo que caracteriza a estas redes es que el conjunto de direcciones IP involucradas no son el destino final de la petición del contenido (o de cualquier otro servicio). En lugar de eso, los sistemas comprometidos son utilizados como meros redirectores que canalizan peticiones y datos hacia y desde otros servidores (redirección ciega), que son los que sirven el contenido. La redirección hace inútiles los intentos de mitigar los nodos de la FFSN. Debido a esto, para un FQDN pueden existir cientos o incluso miles de direcciones IP asignadas que son anunciadas en los servidores DNS rotando rápidamente con un esquema de cola round robin. Para que la rotación sea rápida, se asigna un TTL muy bajo a los registros asociados. De esta forma, cada vez que algún explorador se conecta a un sitio web fraudulento y protegido por una red fast flux, realmente se comunica con uno de los múltiples ordenadores de la botnet. Esta arquitectura de continuo cambio hace mucho más difícil la persecución de las actividades criminales y la desactivación de sus servicios. Además, los atacantes se aseguran de que los sistemas comprometidos tengan el mayor ancho de banda posible y la mayor disponibilidad. Normalmente usan un esquema de distribución de carga. El atacante realiza comprobaciones periódicas, sacando del flujo de direcciones aquellas que no respondan y así la disponibilidad del contenido se mantiene. Esencialmente, los nombres de dominio y URLs del contenido anunciado ya no están asociados a un servidor específico, sino que se asocian a muchos nodos que van turnándose, Introducción 17

18 Diseño e implementación de una plataforma para la detección de redes fast flux que después reenvían el contenido a otro grupo de servidores. Aunque esta técnica ha sido usada alguna vez para operaciones legítimas de servidores web, en este caso es una evidencia de la evolución tecnológica de las redes criminales. Los servidores principales de la FFSN son el elemento controlador que hay detrás de estas redes. Es el nodo principal, el cual está escondido tras los nodos infectados, el que envía de vuelta el contenido a la víctima que lo solicitó. La combinación de este hecho con la rápida modificación de las direcciones IP asociadas al dominio provoca que localizar el servidor principal sea prácticamente imposible y éstos operen con éxito durante largos períodos de tiempo. La estructura de una red FFSN se presenta en la Figura Aplicaciones Como ya se ha comentado anteriormente, el principal objetivo de las FFSNs es proporcionar al criminal una forma de ocultación para poder desarrollar su actividad criminal sin ser descubierto. Existen muchos tipos de estafas en Internet que utilizan redes de tipo fast flux para su ocultación. A continuación se describen algunas de ellas: - Phishing: El atacante pone en compromiso uno o más sistemas informáticos y establece un sitio web falso o fraudulento. El contenido es anunciado a las víctimas vía masivo o de forma más dirigida, normalmente a través de otros sistemas comprometidos y botnets. Los sistemas que alojan el contenido malicioso se identifican por su nombre DNS o por su dirección IP incluida en los s. Este tipo de timo puede dar lugar, por ejemplo, a que la víctima facilite sus datos personales pensando que la página web mostrada es de un sitio web legal. Figura Introducción

19 1.1 Fundamentos teóricos - Distribución de malware: La palabra malware es la abreviatura del término inglés malicious software. Estos programas son muy peligrosos para los sistemas informáticos, puesto que pueden insertar gusanos, spyware o virus en un equipo, intentando alcanzar algún objetivo, como por ejemplo, recoger información sobre el usuario de Internet u obtener información del propio PC del usuario. - Envío de correo no solicitado (Spam): Se llama spam o correo basura a los mensajes de correo electrónico no solicitados, no deseados o de remitente desconocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. El spam supone actualmente la mayor parte de los mensajes electrónicos intercambiados en Internet, siendo utilizado para anunciar productos y servicios de dudosa calidad. Usualmente, los mensajes indican como remitente del correo una dirección falsa. - Ataques de denegación de servicio distribuidos (DDoS): Se produce un ataque de denegación de servicio cuando un recurso o servicio de la red es monopolizado intencionadamente para evitar que otros usuarios puedan acceder a él. Esta definición incluye también los intentos de colapsar el servicio o recurso para denegar el acceso a cualquier usuario. Un ataque de denegación de servicio distribuido (DDoS) puede definirse como un ataque de denegación de servicio con diversos orígenes distribuidos a través de Internet y enfocados al mismo objetivo. El número de fuentes puede ser ilimitado y la distribución de éstas puede ser global. Cualquier equipo conectado a Internet puede ser víctima de un ataque Tipología de las redes fast flux Existen fundamentalmente dos tipos conocidos de redes fast flux: redes de flujo simple y redes de flujo doble. Redes de flujo simple En los gráficos de la Figura 1.3 se ilustra el proceso de solicitud por parte de un cliente de una página web. En la primera situación, en la que se representa el proceso en el caso de una red no fast flux, el cliente envía la petición a una de las direcciones IP anunciadas en los registros del servidor de nombres de la página web El servidor en cuestión responde al cliente enviándole el contenido de la página web. En la segunda situación se representa el mismo proceso en el caso de una red fast flux. Al igual que en el esquema anterior, el cliente envía la petición para obtener la página web de flujo.ejemplo.com a una de las IPs anunciadas, pero el host receptor de la petición no responde con la información, sino que reenvía la petición al nodo principal. Es el nodo principal el que responde con el contenido al host y éste la reenvía al cliente. A este host se le denomina agente flux. Introducción 19

20 Diseño e implementación de una plataforma para la detección de redes fast flux Figura 1.3 Los agentes flux son frecuentemente equipos domésticos que han sido infectados con algún tipo de malware, de forma que cada petición HTTP que reciben es reenviada al nodo especificado en el código malicioso. Las FFSNs de flujo simple cambian los registros DNS de la dirección IP de su nodo agente cada pocos minutos, con lo que cualquier intento de derrotar al nodo intermedio con el objetivo de evitar que se sirva el contenido es inútil, puesto que otro host lo sustituirá inmediatamente y el contenido seguirá siendo servido. Redes de flujo doble La FFSN de flujo doble es una técnica más compleja que proporciona una capa adicional de redundancia. Concretamente, tanto los conjuntos de registros DNS tipo A como los de tipo NS de un dominio malicioso experimentan un cambio continuo tipo round robin y son anunciados en la FFSN. La Figura 1.4 muestra la diferencia entre una FFSN de flujo simple y una de flujo doble. El cliente desea resolver el dominio En el caso de la red de flujo simple, el cliente (o más frecuentemente, el servidor de nombres preferido por él) envía una solicitud al servidor de nombres raíz para descubrir qué servidor de nombres es responsable del TLD.com y recibe una respuesta (omitida en el gráfico). El servidor de nombres indicado no conoce la dirección a la que debe conectar, pero sí cuál es el servidor de nombres encargado de los hosts en el dominio ejemplo.com. Es por ello que el cliente envía un segundo mensaje al servidor indicado, solicitando esta información. El cliente recibe una respuesta. En un tercer paso, el cliente envía una petición al servidor al que hace referencia la última de las respuestas para conocer las posibles direcciones IP a las que 20 Introducción

21 1.1 Fundamentos teóricos conectar para obtener el contenido. Este servidor sí tiene los registros de tipo A correspondientes al dominio flujo.ejemplo.com y las da a conocer al cliente, permitiéndole así establecer una conexión directa con una de estas IP. Para una consulta DNS normal, las direcciones IP de respuesta suelen mantenerse constantes a lo largo de un cierto período de tiempo, mientras que para nodos de flujo simple, la respuesta cambia frecuentemente. En el caso de la red de flujo doble, el proceso comienza de la misma manera: el cliente o su servidor de nombres preferido envía al servidor raíz una solicitud para conocer qué servidor de nombres se encarga del TLD.com y recibe una respuesta (omitida en el gráfico). El cliente solicita al servidor indicado en la respuesta la identidad del servidor de nombres responsable del dominio ejemplo.com y recibe dicha información. En el siguiente paso se hace notable la diferencia con el caso de la red de flujo simple: el servidor de nombres indicado es parte de la propia red fast flux, lo cual quiere decir que su dirección IP también cambia de forma constante. Cuando el host que hace de servidor autoridad recibe la petición, la reenvía al nodo principal y éste responde con la IP de uno de los agentes flux que está bajo su control. El cliente entonces iniciará comunicación directa con el sistema objetivo, que será un agente que cambia dinámicamente. Esto provoca que la red fast flux sea mucho más dinámica y más difícil de vencer, puesto que tampoco se puede adquirir control sobre el servidor autoridad para impedir las operaciones realizadas en el dominio. Figura 1.4 Introducción 21

22 Diseño e implementación de una plataforma para la detección de redes fast flux Características Las FFSNs poseen unas características especiales que las diferencian del resto de redes. A continuación se describen las características principales de las FFSNs: Según las propiedades del nombre de dominio Edad del dominio Los dominios pertenecientes a redes fast flux tienen una edad bastante corta. Esto se debe a que ante la evidencia de que un dominio pertenece a una red con esquema fast flux, la autoridad del dominio invalida el FQDN inmediatamente, ante lo que los delincuentes reaccionan registrando un nuevo dominio para continuar con su actividad. Este hecho provoca que la edad media de los dominios fast flux sea mucho menor que la de los dominios benignos. Registrador del dominio Suele ocurrir que los nombres de dominio que pertenecen a redes fast flux son registrados dentro de un conjunto limitado de registradores, que con frecuencia están situados en países con pocas restricciones en cuanto a este tema. De esta manera, los delincuentes pueden registrar dominios utilizando tarjetas de crédito falsas sin sufrir las consecuencias de una comprobación de la legitimidad del dominio. Esto imposibilita cualquier intento de encontrar a los responsables reales de este tipo de actividades. Por otra parte, los dominios benignos presentan un conjunto mucho más heterogéneo de registradores, que además no suelen coincidir con aquellos utilizados por las redes fast flux. Según el grado de disponibilidad de la red Número de registros tipo A Como se ha mencionado anteriormente, las redes fast flux tienen bajo su control una gran cantidad de agentes flux. Ante una petición, el servidor de nombres autoridad del dominio malicioso devuelve el conjunto de agentes activos, en concreto, los registros de tipo A, cada uno conteniendo la IP de un agente específico. Estos registros son periódicamente actualizados por el nodo principal de la red, para introducir en la red nuevos agentes comprometidos y eliminar los defectuosos. Por tanto, tras cierto período de tiempo, el número de registros DNS de tipo A que se han asociado con un FQDN malicioso es alto. A mayor número de registros de tipo A asociados al mismo FQDN, mayor es el número de agentes potenciales y mayor la probabilidad de que el FQDN pertenezca a una red fast flux. 22 Introducción