Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
Prof. G.Mastronardi2 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Sommario Definizione di Denial of Service (DoS) Distribuited Denial of Service (DDoS) Panoramica sugli attacchi più conosciuti classificabili come DoS Smurf attack SYN Flooding Stacheldraht Conclusioni sull’argomento
Prof. G.Mastronardi3 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Panoramica sui protocolli di rete var Options VersionHLENType of serviceTotal length IdentificationFlagsFragment offset Time to liveProtocolHeader checksum Source IP address Destination IP address Padding IP (Internet Protocol) Indica l’indirizzo IP dell’host sorgente Indica l’indirizzo IP dell’host destinatario Indica il punto cui agganciare il pacchetto
Prof. G.Mastronardi4 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Panoramica sui protocolli di rete TCP (Transfert Control Protocol) Source portDestination port Sequenze number Acknowledgment HLENReservedCode bitsWindow ChecksumUrgent pointer Option + padding var 4 9 Indica la porta cui è connessa L’applicazione che emette L’IU Indica la porta cui è connessa L’applicazione cui è destinata L’IU Indica il numero d’ordine del primo byte dati dell’IU nel flusso comunicativo Indica il numero d’ordine del primo byte che si aspetta di ricevere Serie di bit utili per la comunicazione Indica il numero di byte che la sorgente è disposta ad accettare
Prof. G.Mastronardi5 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Panoramica sui protocolli di rete UDP (User Datagram Protocol) Source PortDestination Port UDP lengthChecksum ICMP (Internet Control Message Protocol) Destination Unreachable : host non raggiungibile Time Exceeded : il pacchetto è stato scartato causa lo azzeramento del contatore Echo Request Echo Reply : usati per controllare se la destinazione è raggiungibile.
Prof. G.Mastronardi6 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Concetto di Denial of Service Attaccante Vittima Rete L’attacco consiste nel negare un servizio in rete, sfruttando gli stessi elementi della rete. Si cerca di intasare un terminale “bombardandolo” di continue richieste da soddisfare il sistema, per soddisfare le richieste alloca risorse che in realtà non vengono utilizzate rimanendo occupate per tempi interminabili.
Prof. G.Mastronardi7 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Classificazione dei Denial of Service : Esaurimento della larghezza di banda (Bandwidth Consumption) Larghezza di banda dell’attaccante ≥ della banda della vittima - facilmente realizzabile in quanto il carico di richieste dell’attaccante è superiore rispetto quello della vittima Larghezza di banda dell’attaccante < della banda della vittima - si satura la rete utilizzando host amplificatori (host che rispondono ad indirizzi di broadcast) Esaurimento delle risorse di un sistema (Resource starvation) Difetti di programmazione (Bug software) Attacchi a Routing e DNS
Prof. G.Mastronardi8 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Gli attacchi più conosciuti Ping of Death Land attack Tear drop ICMP Nuke Fraggle attack Basato principalmente sull’IP sfrutta la frammentazione dei pacchetti e la scorretta ricostruzione dello stesso causando overflow di 16 bit variabili Si instaura una connessione TCP con un pacchetto SYN in modo che l’indirizzo IP e la porta spoofati siano pari a quelle del destinatario Si fonda sulla modifica degli offset utili alla ricostruzione del pacchetto originale Ha un duplice attacco, o sulle porte della comunicazione tra client e server, oppure nell’ultima versione si effettua un flood di ping Si fonda su una generazione di traffico inutile
Prof. G.Mastronardi9 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Smurfing Vittima Attaccante usa lo spoofing Router Rete amplificatrice L’attaccante utilizza un ping con l’indirizzo IP sorgente spoofato pari a quello della vittima La rete amplificatrice risponde al ping secondo l’indirizzo IP fornito dall’attaccante, il numero di risposte collassa la vittima
Prof. G.Mastronardi10 Vittima Attaccante Router Rete amplificatrice (100 PC) Politecnico di Bari – Sicurezza dei Sistemi Informatici - Esempio numerico (smurf) Modem a Kbps Riceve 3.36 Mbps
Prof. G.Mastronardi11 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Syn Flooding Spoofed SYN SYN / ACK Attaccante Vittima
Prof. G.Mastronardi12 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Stacheldrath client handler agent
Prof. G.Mastronardi13 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Stacheldrath Tool DDoS basato su una gerarchia, formato da 1.Client 2.Handler 3.Agent I client sono utili per coordinare l’attacco e gira sulle macchine dell’attaccante Gli handler sono gli intermediari tra i client e gli agent Gli agent sotto commissione sferrano l’attacco verso la vittima Le tre componenti utilizzano per la comunicazione un algoritmo di crittografia simmetrica chiamata Blowfish
Prof. G.Mastronardi14 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Futuro del DoS Stream attack Variante del Syn Flooding si spediscono pacchetti che contengono contemporaneamente ACK o SYN-ACK, il danno consiste nello smaltimento del pacchetto ricevuto. Confondere IDS (Intrusion Detection System) Consiste nell’inserire nel traffico verso la vittima pacchetti che rilevati dall’IDS genera falsi allarmi, con opportuni pacchetti si sovraccarica l’IDS che va in crash e la difesa della vittima viene meno.
Prof. G.Mastronardi15 Politecnico di Bari – Sicurezza dei Sistemi Informatici - Conclusioni Il DoS è uno strumento molto potente per portare a termine attacchi che non sono volti al reperimento di dati ma bensì ad inibire dei servizi Il DDoS è uno strumento più potente del DoS ha le stesse finalità ma molto più difficile da individuare Questi tipi di attacco possono sfruttare svariati protocolli ed apre le strade per evoluzioni dello stesso Esistono diversi tipi di tool DDoS come: Trinoo, TFN, TFN2K, Shaft, mstream, Trinity e stacheldrath, utilizzati per compiere anche altre tipologie di attacco anche DoS.