La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007.

PubblicatoOrlando Costantino Ventura Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007."— Transcript della presentazione:

1 Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007

2 Infosecurity Roma, 5 Giugno 2007 1 Agenda –La protezione dell’infrastruttura –Notizie dal mondo –L’efficacia delle contromisure –Il gruppo ITALTEL –Scenario e contesto di riferimento –Modelli di attacco –Tipologie di attacco –Dimensione del fenomeno –La soluzione network-centric –Conclusioni Pierluigi Urizio Manuel Leone

3 Infosecurity Roma, 5 Giugno 2007 2 La protezione dell’infrastruttura di rete Host Applicazione Rete UN ATTACCO A LIVELLO INFRASTRUTTURALE HA EFFETTO SU TUTTA LA CATENA E’ condizione INDISPENSABILE la protezione dell’infrastruttura La sicurezza su tutti i livelli della pila OSI

4 Infosecurity Roma, 5 Giugno 2007 3 Attacchi infrastrutturali: DoS & DDoS DENIAL of SERVICE Attacco che compromette la disponibilità di apparati o di server tenendoli impegnati in operazioni inutili ed onerose bloccando parzialmente o totalmente l’erogazione di servizi Se l’attacco proviene contemporaneamente da origini geograficamente diverse si parla di Distributed DoS o DDoS

5 Infosecurity Roma, 5 Giugno 2007 4 Notizie dal mondo …. Infrastructure Security Report 2006 Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il 46% ha affermato che gli attacchi DDoS rappresentano la minaccia più significativa alla sicurezza Fonte: Arbor Networks Infrastructure Security Report 2006 Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il 46% ha affermato che gli attacchi DDoS rappresentano la minaccia più significativa alla sicurezza Fonte: Arbor Networks

6 Infosecurity Roma, 5 Giugno 2007 5 Notizie dal mondo … 35 dei 55 interpellati riportano attacchi da 1Gbps 9 segnalano attacchi da 4 a 10 Gbps 10 riportano attacchi più ampi di 10 Gbps Fonte: Arbor Networks 35 dei 55 interpellati riportano attacchi da 1Gbps 9 segnalano attacchi da 4 a 10 Gbps 10 riportano attacchi più ampi di 10 Gbps Fonte: Arbor Networks

7 Infosecurity Roma, 5 Giugno 2007 6 Notizie dal mondo … Sensibile e costante incremento della portata degli attacchi (40 mensili) – L’attacco maggiore è stato nell’ordine di 25 Gbps – E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps – E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps Fonte: Arbor Networks Sensibile e costante incremento della portata degli attacchi (40 mensili) – L’attacco maggiore è stato nell’ordine di 25 Gbps – E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps – E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps Fonte: Arbor Networks Un attacco SYN Flood da 14 Mpps può quasi saturare un circuito STM-64 (10Gbps) con pacchetti di dimensioni minime Un attacco del genere oscurerebbe l’intera periferia di rete con perdite di connettività per le aziende

8 Infosecurity Roma, 5 Giugno 2007 7 Attacchi infrastrutturali: DoS & DDoS IPS DDoS Mitigation network- centric Limiti di banda Memo di 1 Gps 1 Gbps Multi Gbps Banda Massima dell’attacco IDS Router Firewall Nessuna StaticaDinamica Mitigazione attacco DDoS Mitigazione statica le regole per contrastare l’attacco DDoS sono fisse (ad esempio ACL). Mitigazione dinamica le regole per contrastare variano al variare del profilo dell’attacco.

9 Infosecurity Roma, 5 Giugno 2007 8 Gli ambiti DATA CENTRE + Cleaning Detection BACKBONE +

10 Infosecurity Roma, 5 Giugno 2007 9 Il gruppo ITALTEL 100% 48,77% 19,37% 18,40% 8,65% 2,16% US investment funds 2,65% Key Managers and employees Personale Fatturato Circa 2500 (46% in R&D) 546,1 Million € Uffici principali Milano, Roma e Palermo

11 Infosecurity Roma, 5 Giugno 2007 10 Agenda –La protezione dell’infrastruttura –Notizie dal mondo –L’efficacia delle contromisure –Il gruppo ITALTEL –Scenario e contesto di riferimento –Modelli di attacco –Tipologie di attacco –Dimensione del fenomeno –La soluzione network-centric –Conclusioni Pierluigi Urizio Manuel Leone

12 Infosecurity Roma, 5 Giugno 2007 11 Attacchi (D)DoS Un Denial Of Service Attack è un attacco realizzato allo scopo di bloccare l’utilizzo di un servizio da parte degli utenti legittimi. Esso può essere rivolto verso: Utenti di un servizio (ad esempio attaccando web server utilizzati per l’erogazione di applicazioni on-line). Specifici host, cioè singole risorse di rete che possono essere: Web & Application Server, DNS, Mail and IRC Server, ecc. Infrastruttura di rete, in modo bloccare il trasporto dell’informazione. Un Distributed Denial Of Service Attack è un attacco di DoS realizzato coordinando più sorgenti di attacco verso uno specifico obiettivo. Il primo attacco DDoS è stato ufficialmente rilevato nell’estate del 1999. (Fonte CIAC - Computer Incident Advisory Capability), sebbene il SYN Flood fosse noto ed in uso dal 1993 in ambito IRC. Altri attacchi celebri: Febbraio 2000 attacco a Yahoo, 22 Ottobre 2002 attacco ai 13 Root DNS nel tentativo di bloccare Internet (9 su 13), 6 Febbraio 2007 nuovo attacco ai 13 Root DNS (2 su 13). DDoS Attack - Scenario semplificato AttaccanteVittima

13 Infosecurity Roma, 5 Giugno 2007 12 Principali tipologie di attacchi (D)DoS Bandwith consumption Flood attack: Amplification attack: Protocol exploit attack: Malformed packets attack: Un elevato volume di pacchetti è inviato dagli attaccanti al fine di saturare le risorse dell’attaccato. Sono tipicamente utilizzati i pacchetti appartenenti ai protocolli UDP e ICMP. Si basa sull’amplificazione di un attacco DoS realizzata tipicamente sfruttando elementi di rete non correttamente configurati, ad esempio inviando messaggi di broadcast ad un’intera rete. Tipici attacchi di questo tipo sono lo smurf ed il fraggle, ma anche il DNS Recursion Attack. Si sfruttano le vulnerabilità presenti negli stack applicativi che gestiscono i protocolli. Ad es. nel TCP SYN Attack gli attaccanti inviano SYN Request per costringere la vittima ad allocare risorse per gestire connessioni il cui handshake non verrà mai completato. Elevato numero di pacchetti Basso numero di pacchetti Questo tipo di attacco intende bloccare un sistema inviandogli pacchetti malformati. Ad esempio si possono generare pacchetti con l’indirizzo IP sorgente e destinazione uguali (land attack), con frammenti IP sovrapposti (teardrop attack). Resource starvation Broadcast Amplification Attack Flood Attack Reflection Attack DNS Amplification Attack

14 Infosecurity Roma, 5 Giugno 2007 13 DDoS Mitigation: Scenario di riferimento Infrastruttura Cliente PoP Big Internet L’attacco DDoS satura la banda dell’ultimo miglio Traffico elevato = Impossibilità per il cliente di gestire l’attacco dalla sua infrastruttura. Infrastruttura Operatore Traffico molto elevato = in assenza di contromisure, anche l’infrastruttura di rete dell’Operatore può essere messa in crisi. Difficoltà nel distinguere il traffico legittimo da quello malevolo: il blocco del traffico non risulta una soluzione ottimale per evitare la saturazione di banda.

15 Infosecurity Roma, 5 Giugno 2007 14 Modelli di attacco DDoS: Agent-Handler (1/4) Target Agent Handler Attacker Esempi Celebri: Trin00, Tribe Flood Network (TFN), TFN 2k, Stacheldraht, Shaft. TCP, UDP, ICMP Botnet TCP/UDP (encrypted)

16 Infosecurity Roma, 5 Giugno 2007 15 Modelli di attacco DDoS: IRC-Based (2/4) Target Agent Attacker IRC Network Esempi Celebri: Trinity, Knight, Kaiten. TCP, UDP, ICMP Botnet IRC

17 Infosecurity Roma, 5 Giugno 2007 16 Modelli di attacco DDoS: Web-based (3/4) Target Agent Web Server (report, commands, control) Attacker Esempi Celebri: Dumador, Torpig, Briz, HaxDoor. TCP, UDP, ICMP Botnet HTTP (encrypted)

18 Infosecurity Roma, 5 Giugno 2007 17 Modelli di attacco DDoS: Peer-to-Peer-Based (4/4) Target Attacker P2P Network Esempi Celebri: DC++ Attack (>300k IP, >1Gbps). P2P Protocol (e.g. HTTP) No Botnet P2P Nodes P2P Protocol (e.g. HTTP)

19 Infosecurity Roma, 5 Giugno 2007 18 Botnet Attacchi DDoS: Flood (1/4) Target Flood Attack Agent UDP, TCP or ICMP spoofed packets. Agent Attacker Agent/Handler Attack Model IRC-based Web-based

20 Infosecurity Roma, 5 Giugno 2007 19 Attacchi DDoS: Reflection (2/4) Target Reflection Attack (es. Fraggle) Agent Spoofed ICMP (ECHO_REQUEST) or UDP packets (Source IP = Target IP) ICMP (ECHO_REPLY) or UDP (PORT/PROTOCOL UNREACHABLE ) packets

21 Infosecurity Roma, 5 Giugno 2007 20 Mis-configured Network Attacchi DDoS: Broadcast Amplification (3/4) Target Broadcast Amplification Attack Agent Spoofed ICMP (ECHO_REQUEST) packets to broadcast address (Source IP = Target IP) ICMP (ECHO_REPLY) packets

22 Infosecurity Roma, 5 Giugno 2007 21 Attacchi DDoS: DNS Amplification (4/4) Target Agent DNS Amplification Attack DNS Server (Open Recursive) Spoofed UDP packets (Source IP = Target IP) Esempio: Query EDNS (RFC2671) Large Buffer Advertisement TXT/SOA Response Totale Request: 60 byte Fattore di Amplificazione (Teorico) = 73. Esempio: Type A Response: 122 byte TXT Response: 4,000 byte SOA Response: 222 byte Totale Response: 4,320 byte

23 Infosecurity Roma, 5 Giugno 2007 22 DDoS: Tipologie di impatto causate dai DDoS Impatto Economico e Finanziario Impatto Economico e Finanziario Danni d’immagine Perdite dovute alla pubblicità negativa e riduzione della fiducia conseguenti al verificarsi di incidenti. Sanzioni normative Pagamenti dovuti al non mantenimento degli SLA concordati con il cliente. Perdita di produttività Dovuta all’impossibilità per i propri dipendenti di utilizzare le postazioni di lavoro. Perdita di clienti Clienti insoddisfatti della degradazione del servizio che possono decidere di sostituire l’operatore. Perdita di fatturato Dovuta alle mancate transazioni eseguite dai possibili clienti. Disaster recovery Costi in termini di risorse impiegate e di tempo necessario per gestire l’incidente di sicurezza, se presenti anche i costi necessari alla riparazione delle macchine attaccate.

24 Infosecurity Roma, 5 Giugno 2007 23 Le dimensioni del fenomeno DDoS: Economics Fonte: CSI/FBI 2005 Computer Crime and Security Survey Anche nell’indagine CSI/FBI 2005, svolta negli USA consultando circa 700 aziende, il DDoS è risultato la quarta tipologia di attacco, sia in termini di perdita economica (7,310,725$), sia in termini di numerosità (circa 1 intervistato su 3 è stato attaccato mediante DDoS). Security incidents total costs Sabotage$871,000 System penetration$901,500 Web site defacement$958,100 Misuse of public Web application$2,747,000 Telecom Fraud$3,997,500 Unauthorized access$4,278,205 Laptop theft Financial fraud Abuse of wireless network Insider Net abuse Theft of propritary info Denial of service Virus $6,734,500 $7,670,500 $10,159,250 $10,601,055 $11,460,000 $ 26,064,050 $55,053,900 mean cost * $3,238 $3,351 $3,352 $10,212 $14,860 $15,904 $25,035 $28,515 $37,767 $39,409 $42,602 $ 96,892 $204,661 * Valutato rispetto ai 269 campioni Da un’indagine di febbrario 2005 condotta negli Stati Uniti sui costi totali associati agli incidenti di sicurezza informatica riportati su un campione di 269 aziende risulta particolarmente significativo il dato associato alle perdite subite per attacchi DDOS Evento coinvolto dal disservizio Costs per hour Retail Brokerage$6,45 Million per hour Credit card sales authorization$2.6 Million per hour Infomercial/800 number sales$200,000 per hour Catalogue sales center$90,000 per hour Fonte: 2005 Quarry Technologies COSTO DDOS PER INDISPONIBILITÁ DEL SERVIZIO (M$/hour) Un’indagine svolta negli Stati Uniti mostra come l’indisponibilità del servizio possa provocare grave perdite ad utenti che svolgono il proprio business utilizzando Internet per l’erogazione dei propri servizi a causa dell’ impossibilità da parte dei clienti di compiere le normali transazioni DANNO ECONOMICO PER TIPOLOGIA DI INCIDENTE INFORMATICO ($)

25 Infosecurity Roma, 5 Giugno 2007 24 La dimensione del fenomeno DDoS: Attacchi nel mondo Il numero medio di attacchi DoS su base giornaliera è aumentato consistentemente negli ultimi due anni (2004-2005), caratterizzato da un CAGR pari a circa il 246%. Fonte: Symantec Internet Security Threat Report (2006).

26 Infosecurity Roma, 5 Giugno 2007 25 La dimensione del fenomeno DDoS: Le bande di attacco Gli attacchi DDoS rilevati sulla rete Telecom Italia hanno raggiunto valori di banda pari a 4.2 Gbps, in grado quindi di bloccare la connettività sostanzialmente di qualsiasi cliente. nel mondo… …ed in Telecom Italia Fonte: Arbor Networks (2006). 30 Aprile 2006 Banda 4.2 Gbps

27 Infosecurity Roma, 5 Giugno 2007 26 La dimensione del fenomeno DDoS: Botnet Stime affermano che su 600M di PC circa 150M sono (stati) parte di una botnet (fonte: Vint Cerf). Ottobre 2005: identificazione botnet composta da 1.5M di host infetti (fonte: Polizia Olandese). Possibilità noleggio botnet composta da 30k host infetti a 100 euro per ora (Fonte Reuters). Fonte: Symantec Internet Security Threat Report (2007). Fonte: Shadowserver (2007).

28 Infosecurity Roma, 5 Giugno 2007 27 DDoS: Le contromisure applicabili Mitigazione attacco DDoS IPS Memo di 1 Gps Nessuna 1 Gbps Multi Gbps Statica Dinamica DDoS Mitigation network-centric Limiti di banda Banda Massima dell’attacco IDS Composto da due parti: identificazione e mitigazione dell’attacco Router Firewall Mitigazione statica le regole per contrastare l’attacco DDoS sono fisse (ad esempio ACL). Mitigazione dinamica le regole per contrastare variano al variare del profilo dell’attacco. Attacchi documentati sino a 10 Gbps Anomaly Detection non specializzata per DDoS. No Mitigation. Supporto limitato per lo spoofing. Posizionamento sfavorevole per la gestione dei DDoS. Contromisure prevalentemente statiche. No Anomaly Detection. Supporto limitato per lo spoofing (RPF). Anomaly Detection non specializzata per DDoS. Mitigation limitata. Contromisure statiche. No Anomaly Detection. Supporto limitato per lo spoofing (es. RPF).

29 Infosecurity Roma, 5 Giugno 2007 28 Reinjection La piattaforma garantisce infine il corretto re-instradamento del traffico ripulito verso il target. 4 DDoS Mitigation: Le Fasi della Mitigation network-centric 1 Detection Fase di rilevamento e individuazione dell’attacco DDoS mediante paradigma di anomaly detection (piattaforma di detection). Diversion In seguito all’individuazione dell’attacco da parte della piattaforma di detection vengono attivare le procedure per il re-instradamento del traffico verso i centri di analisi e di filtraggio al fine di ripulire il traffico anomalo. 2 3 Cleaning La piattaforma per il cleaning del traffico applica dinamicamente, alla zona interessata, una serie di filtri finalizzati a contrastare il particolare attacco DDoS rilevato dalla piattaforma di detection.

30 Infosecurity Roma, 5 Giugno 2007 29 EmailDNS DDoS Mitigation: Le Fasi della Mitigation network-centric Broadband area DDoS Infrastructure area DDoS Server area DDoS Detection Platform PoP Peering Point Detector Cleaner AS

31 Infosecurity Roma, 5 Giugno 2007 30 EmailDNS DDoS Mitigation: Le Fasi della Mitigation network-centric Adding Dynamic- Filters Rat e- Limi ting PoP Detection Platform Detector Cleaner Peering Point AS

32 Infosecurity Roma, 5 Giugno 2007 31 EmailDNS DDoS Mitigation: Le Fasi della Mitigation network-centric PoP Detection Platform Detector Cleaner Peering Point AS

33 Infosecurity Roma, 5 Giugno 2007 32 Adding Dynamic-Filters Static Packet Filters Filter out packets according to pre-defined rules. Rate-limiting Rate limiting of traffic towards the zone. Dynamic Packet Filters Filter out packets Per Flow, Protocol, Source IP. Anti-Spoofing Mechanisms Filter out packets from spoofed sources. Statistical Inspection Anomaly Recognition per flow compared to a baseline. Rate-Limiting DDoS Mitigation: il Processo di Cleaning

34 Infosecurity Roma, 5 Giugno 2007 33 DDoS Mitigation: Conclusioni –Oggi gli attacchi DDoS basati su botnet sono tra gli attacchi di Denial of Service più pericolosi e difficili da gestire. –I modelli di attacco sono in continua evoluzione (ad esempio segmentazione delle botnet in “squadre speciali” caratterizzate da capacità computazionali e di banda differenti, utilizzo di nuovi protocolli come il VoIP per il controllo ed il coordinamento dell’attacco, nuove tecniche di rootkit, ecc.). –Sebbene esistano diverse soluzioni percorribili, l’approccio network-centric, abbinato all’anomaly detection, sembra il più promettente. –Questo modello implica che sia la rete ad agire proattivamente e a contenere l’attacco, garantendo la connettività agli utenti legittimi.

35 Infosecurity Roma, 5 Giugno 2007 34 Q&A www.one-ans.it www.italtel.it Pierluigi Urizio Business Development Manager pierluigi.urizio@italtel.it www.telecomitalia.it Manuel Leone Security Program Manager manuel.leone@telecomitalia.it

Scaricare ppt "Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007."

Presentazioni simili

PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA

PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA
Informatica e Telecomunicazioni

Informatica e Telecomunicazioni
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
00 AN 1 Firewall Protezione tramite firewall.

00 AN 1 Firewall Protezione tramite firewall.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
INTERNET FIREWALL Bastion host Laura Ricci.

INTERNET FIREWALL Bastion host Laura Ricci.
Internet Security Stato dellarte e prospettive Francesco Palmieri GARR CERT.

Internet Security Stato dellarte e prospettive Francesco Palmieri GARR CERT.
1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.

1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.
La trasmissione delle informazioni può avvenire da un solo utente a molti utenti (tipo Multicast o Broadcast) o da un utente a un altro (tipo peer to.

La trasmissione delle informazioni può avvenire da un solo utente a molti utenti (tipo Multicast o Broadcast) o da un utente a un altro (tipo peer to.
Organizzazione di una rete Windows 2003

Organizzazione di una rete Windows 2003
La rete in dettaglio: rete esterna (edge): applicazioni e host

La rete in dettaglio: rete esterna (edge): applicazioni e host
NESSUS.

NESSUS.
Moving Moving Young Young Turin Turin Hydrogen Hydrogen Olympic Olympic Safe RETE MANET informazioni in movimento.

Moving Moving Young Young Turin Turin Hydrogen Hydrogen Olympic Olympic Safe RETE MANET informazioni in movimento.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.

IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.

IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Tommaso Palumbo Servizio Polizia Postale e delle Comunicazioni

Tommaso Palumbo Servizio Polizia Postale e delle Comunicazioni
RETI E INTERNET.

RETI E INTERNET.

Presentazioni simili

Annunci Google