You are on page 1of 5

BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work

Entradas

« Presentamos tiké | Home | Estrategia de Seguridad Nacional 2013. Ciberseguridad. »

BotTrack: Tracking Botnets using NetFlow and PageRank
José Miguel Holguín , 6 junio 2013 |

  English

Páginas
Un blog de S2 Grupo Acerca de Archivo de entradas por mes Aviso Legal Herramientas “self-made” Los autores Política de privacidad Políticas de uso

La semana pasada una compañera me hizo llegar una serie de papers de la Universidad de Luxemburgo. Entre ellos me llamó la atención uno cuyo título era el de esta misma entrada: BotTrack: Tracking Botnets using NetFlow and PageRank . Para el que no lo conozca, Netflow es un protocolo desarrollado por Cisco Systems que permite a routers y switches, principalmente, enviar los flujos de comunicación de red hacia otro dispositivo que se le conocerá como colector y donde se podrá hacer un análisis de la información. La investigación, realizada por Jérôme François, Shaonan Wang, Radu State, y Thomas Engel, en su documento intenta mostrarnos cómo detectar botnets P2P utilizando NetFlow y una extensión del algoritmo PageRank utilizado por Google.

Encuesta
Al entrar a trabajar a una nueva organización... ¿cuánto tiempo has tardado en tener acceso a información corporativa que podrías considerar "sensible"? Menos de una semana Menos de un mes Menos de un año Llevo más de un año y aún tengo problemas para que me den acceso...

El documento nos cuenta las arquitecturas habituales de botnets y la evolución que están sufriendo hacia arquitecturas distribuidas, para aumentar la escalabilidad principalmente. Para detectar estas nuevas arquitecturas, proponen lo siguiente:

Vote

View Results

¿Dónde está el límite de un compromiso de confidencialidad? No existe límite. Límites exclusivamente legales. Límites no sólo legales sino también éticos.

Tal y como explican, en primer lugar se dispone de un colector netflow (por ejemplo la herramienta ntop con el plugin de netflow) que recoge los flujos de routers, honeypots, etc. Con estos flujos se hace un grafo de relación entre hosts. Este grafo es analizado por un módulo que implementa una versión del algoritmo PageRank de Google que según el autor es un algoritmo apropiado para analizar los enlaces de comunicación entre los hosts en redes grandes. Como resultado de procesar el grafo con estos algoritmos se obtienen dos valores, el hub rank (Partiendo de los nodos origen tráfico hacia los nodos destino) y el authority rank (Partiendo de los nodos destino tráfico hacia los orígenes), que tienen en cuenta la dirección del tráfico para calcularlos. La puntuación de cada nodo será mayor dependiendo de la cantidad de conexiones que tenga con otros nodos y de la calidad de esas conexiones. Por ejemplo, el nodo que es un honeypot distribuirá mayor peso a los nodos con los que está relacionado, y se considerará por tanto una conexión importante (mayor peso), ya que la probabilidad de que un nodo relacionado con él forme parte de una botnet es muy alta. Partiendo del hub rank y authority rank de cada nodo el módulo de cluster agrupará con el objetivo de identificar nodos con un rol similar dentro de la red. El ejemplo que ponen en el documento es el cálculo de hub rank y authority rank para el protocolo kademlia, para hosts normales y para bots, de manera que se vea la distribución de los valores y sea posible comparar. En este caso se ve cómo ha identificado dos clusters de bots principales:

Vote

View Results

http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04]

6:30 am Deja un comentario Alias (obligatorio) e-mail (no será publicado) (obligatorio) Website Archivos junio 2013 (7) mayo 2013 (22) abril 2013 (19) marzo 2013 (16) febrero 2013 (21) enero 2013 (20) diciembre 2012 (17) noviembre 2012 (19) octubre 2012 (16) septiembre 2012 (18) agosto 2012 (3) julio 2012 (17) junio 2012 (19) mayo 2012 (20) abril 2012 (14) marzo 2012 (18) febrero 2012 (21) enero 2012 (18) diciembre 2011 (18) noviembre 2011 (21) octubre 2011 (18) septiembre 2011 (15) agosto 2011 (7) julio 2011 (18) junio 2011 (20) mayo 2011 (17) abril 2011 (11) marzo 2011 (21) febrero 2011 (21) Notify me of followup comments via e-mail Enviar http://www. Desarrollo Seg. Lógica VoIP WiFi Un comentario a “BotTrack: Tracking Botnets using NetFlow and PageRank” (Tenga en cuenta que los comentarios en español y en inglés están mezclados por lo que puede necesitar un traductor online para entender los comentarios de otros usuarios) Valiosa información desde luego.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04] . Además kademlia es un servicio gratuito. 6 votes) Categorías BAM Ciberseguridad industrial Continuidad de Negocio FastFix General Gestión Google I+D LOPD/RMS/RDLOPD Noticias RFID Seg. Alejandro [web]. Os recomiendo su lectura dado que puede aportaros ideas para la explotación del tráfico NetFlow para la detección de botnets p2p.BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work Es posible por tanto obtener unos rangos de valores que permitan identificar una botnet utilizando un protocolo p2p según lo que nos cuentan en este estudio. 11 de junio de 2013. (Puedes seguirnos en Twitter: @SecurityArtWork) Me gusta Me gusta Ya no me gusta Me gusta 5 Twittear 19 Share 5 Suscripciones por e mail! Introduce tu e-mail: tu@email. A ver si es el principio del fin del destierro de las botnets.com Suscribir! Búsqueda Buscar ( +6 rating.securityartwork. Física Seg.

securityartwork.BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work enero 2011 (11) diciembre 2010 (13) noviembre 2010 (25) octubre 2010 (28) septiembre 2010 (16) julio 2010 (19) junio 2010 (14) mayo 2010 (16) abril 2010 (20) marzo 2010 (21) febrero 2010 (19) enero 2010 (12) diciembre 2009 (12) noviembre 2009 (16) octubre 2009 (18) septiembre 2009 (15) julio 2009 (11) junio 2009 (21) mayo 2009 (20) abril 2009 (9) marzo 2009 (12) febrero 2009 (12) enero 2009 (12) diciembre 2008 (11) noviembre 2008 (5) octubre 2008 (17) septiembre 2008 (12) agosto 2008 (2) julio 2008 (9) junio 2008 (7) mayo 2008 (14) abril 2008 (7) marzo 2008 (10) febrero 2008 (16) enero 2008 (16) diciembre 2007 (6) noviembre 2007 (12) octubre 2007 (7) septiembre 2007 (7) agosto 2007 (7) julio 2007 (9) junio 2007 (9) mayo 2007 (20) abril 2007 (4) Autores Adrián Capdevila (14) Alberto Olmos (12) Alberto Quiles (1) Alberto Rivas Jr. López (6) Antonio Villalón (113) Aurora Villegas (4) Óscar Navarro (13) Borja Merino (13) Carlos García (3) Colaboradores (42) Damià Soler (27) Daniel Badenes (3) Daniel de los Reyes (1) David Cutanda (2) David Lladró (28) David Monteagudo (13) Elena Borso (5) Eusebio Fuster (1) Eva María López (1) Fernando Seco (34) Guillem Badenes (1) Guillermo Mir (9) Iván García (10) Iván Hernández (1) Javier Vela (9) Joaquín Moreno (54) Joel Sevilleja (8) José L. (4) Alberto Segovia (7) Alejandro Luján (2) Alex Rodriguez (4) Ana Isabel Martínez (3) Andrés Núñez (8) Anna Esparcia (6) Antonio Huerta (27) Antonio J.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04] . (2) Alberto Rivas Sr. Chica (16) Josemi Holguín (34) José Rosell (56) José Selvi (17) http://www.

org Marketing Positivo Seguridad y Gestión Apuntes de Seguridad de la Informacion The Invisible Things Vlan7 Chesco Romero Steve Bellovin BITácora Port 666 Hack Players Security Clan House Kriptópolis Pentester Sergio Hernando Bruce Schneier Security by default Veracode Blog » Organismos Club Francés de Seguridad de Sistemas de Información INTECO CSIRT-CV » Publicaciones RFID Magazine Security Focus Meta Acceder Contacto: admin [at] securityartwork. (9) Patricia Vanaclocha (5) Pedro Quirós (4) Raúl Rodríguez (12) Raúl Verdú (3) Rafael Alfaro (2) Rafael Páez (24) Roberto Amado (42) Salvador Zamora (8) Samuel Segarra (22) Security ArtWork (1) Sergio Sáez (7) Sergio Zamarripa (3) Toni Luque (1) Vicente Dominguez (1) Vicente García (2) Yago Gómez-Trenor (1) Enlaces » Asociaciones Hack Hispano ISMS Fórum » Blogs Paloma Llaneza Taddong Security Blog Tenable Security Zero Day Dancho Danchev Diablo Horn Ha.es http://www.securityartwork.es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04] . Villalón (35) Maite Moreno (35) Manuel Benet (186) Manuel Iranzo (5) María Ángeles Arqueros (5) Marcos Cruz (1) Marcos Sánchez (7) Miguel A.ckers.BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work José Vila (25) Jose L. Juan (27) Néstor Tarín (1) Nedim Šabić (5) Nelo Belda (25) Pablo M.

securityartwork. http://www.BotTrack: Tracking Botnets using NetFlow and PageRank | Security Art Work Security A(r)tWork Powered by WordPress Entradas (RSS) and Comentarios (RSS).es/2013/06/06/bottrack-tracking-botnets-using-netflow-and-pagerank/[11/06/2013 22:55:04] .