Silvia Pasqualotto e Giulia Nanino Denial of service Il caso Mafiaboy Silvia Pasqualotto e Giulia Nanino
Il caso Michael Calce, detto MafiaBoy, quindicenne canadese, nel 2000 sferra un attacco di tipo DDoS a diversi siti di e-commerce.
Attacco Denial of Service Tipi di attacco e tecniche usate Ping Flood/Syn Flood Il Distributed Denial of Service e l’attacco di Mafiaboy Come difendersi?
Obiettivo Abbattere le risorse di un server pubblico shutdown del server e impossibilità di utilizzo da parte degli utenti «legittimi» - Prestazioni di rete lenta - Indisponibilità di un sito web - Incapacità di accedere a un sito web.
Gli attacchi DOS Consumo di risorse di calcolo (larghezza di banda) Distruzione di informazioni di configurazione (informazioni di routing) Disfacimento di informazioni di stato (ripristino di sessioni TCP)
Specifiche dell'attacco Nome dell'attacco Livello OSI Tipo di attacco Specifiche dell'attacco ICMP Echo Request Flood L3 Risorse Chiamato anche Ping Flood, consiste nell'invio massivo di pacchetti (ping) che richiedono la risposta della vittima (pong) con lo stesso contenuto del pacchetto iniziale. IP Packet Fragment Attack Invio di pacchetti IP che volontariamente si riferiscono a altri pacchetti che non saranno mai inviati, saturando la memoria della vittima. SMURF Banda Passante Attacco ICMP in broadcast in cui l'indirizzo sorgente viene utilizzato per reindirizzare risposte multiple verso la vittima IGMP Flood Invio massivo di pacchetti IGMP (protocollo di gestione del multicast) Ping of Death Exploit Invio di pacchetti ICMP che sfruttano bug del sistema operativo TCP SYN Flood L4 Invio massivo di richieste di connessione TCP TCP Spoofed SYN Flood Invio massivo di richieste di connessione TCP usurpando l'indirizzo sorgente TCP SYN ACK Reflection Flood Banda passante Invio massivo di richieste di connessione TCP verso un grande numero di macchine, usurpando l'indirizzo sorgente dall'indirizzo della vittima. La banda passante della vittima viene saturata dalle risposte a queste richieste. UDP Flood Invio massivo di pacchetti UDP (che non necessitano di una connessione stabilita in precedenza) Distributed DNS Amplification Attack L7 Invio massivo di richieste DNS che usurpano l'indirizzo sorgente della vittima, verso un grande numero di server DNS legittimi. La risposta è più voluminosa della richiesta e quindi causa l'amplificazione dell'attacco
PING FLOOD PING: misura il tempo impiegato da un pacchetto ICMP a raggiungere un dispositivo di rete Verificare la presenza e la raggiungibilità di un altro computer/ misurare le latenze di trasmissione di rete. SOMMERGERE IL SISTEMA DI PACCHETTI ICMP DI TIPO ECHO REQUEST Esaurimento banda a disposizione della vittima
Syn Flood SYN, seq=x; SYN, ACK=x+1, seq=y ACK= y+1, seq = x+1 Debolezza di autenticazione del protocollo IP (spoofing) Caratteristiche d’implementazione del protocollo TCP Three-way handshake SYN, seq=x; SYN, ACK=x+1, seq=y ACK= y+1, seq = x+1
Funzionamento syn flood Attaccante invia molti pacchetti con SYN Attaccante non risponde con gli ACK (spoofing) Numero elevato di half-open connections Esaurimento risorse alloccate dal server SATURAZIONE DELLA BACKLOG QUEUE
La storia dell’attacco e il ddos Operazione «Rivolta»: 7 febbraio 2000: attacco al web server Yahoo.com Mese successivo: attacco Cnn.com, Amazon.com, eBay, eTrade e Dell. OBIETTIVO: affermare la supremazia all’interno del gruppo di hacker Tnt DANNO: 7,5 milioni di $
Il ddos Per Distributed Denial of Service si intende un attacco di tipo DoS in cui l’attaccante si serve di più computer distribuiti che controlla da remoto. STRATEGIA: Sfruttare una botnet per l’inivio di un enorme quantitativo di pacchetti all’host bersaglio Utilizzo rete universitaria per banda più elevata
CREAZIONE DELLA BOTNET Download guidati (drive-by download) 2) Messaggi di posta elettronica Il fenomeno del DDOS sta assumendo dimensioni preoccupanti a causa dell’avvento della banda larga!!
COME CONTRASTARE UN ATTACCO DDoS DUE LIVELLI DI DIFESA ISP Prevenzione dagli attacchi Utente Uso di antivirus e aggiornamenti
SOLUZIONI Dimensionamento dinamico della Backlog Queue; Diminuire il TTL per le richieste in attesa (Half Open Connection). Scartare TCP SYN casualmente; Inserire le richieste solo al completamento del 3-Way Handshake. Filtraggio dei dati in arrivo Limitazione del traffico Sistemi di riconoscimento delle intrusioni
Fine