Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007.

Slides:



Advertisements
Presentazioni simili
PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA
Advertisements

Informatica e Telecomunicazioni
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
La riduzione dei privilegi in Windows
00 AN 1 Firewall Protezione tramite firewall.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
INTERNET FIREWALL Bastion host Laura Ricci.
Internet Security Stato dellarte e prospettive Francesco Palmieri GARR CERT.
1C2GRUPPO : HELPING1. 1C2GRUPPO : HELPING2 Una rete può essere definita un insieme di nodi dislocati in posti differenti, capace di consentire la comunicazione.
La trasmissione delle informazioni può avvenire da un solo utente a molti utenti (tipo Multicast o Broadcast) o da un utente a un altro (tipo peer to.
Organizzazione di una rete Windows 2003
La rete in dettaglio: rete esterna (edge): applicazioni e host
NESSUS.
Moving Moving Young Young Turin Turin Hydrogen Hydrogen Olympic Olympic Safe RETE MANET informazioni in movimento.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Tommaso Palumbo Servizio Polizia Postale e delle Comunicazioni
RETI E INTERNET.
Reti di Calcolatori IL LIVELLO RETE.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
SU BANDA LARGA WIRELESS
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
ECDL Patente europea del computer
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Agenti Mobili Intelligenti e Sicurezza Informatica
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Reti Insieme di computer e di altri dispositivi che comunicano tra loro per condividere i dati, le applicazioni e lhardware Modulo 1.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
1 Milano 13 novembre 2003 Domain Day 2003 Stefano Trumpy.
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
Internet.
IPSec Fabrizio Grossi.
Internet: una panoramica
Salotto MIX 2014 "La sicurezza di Internet in Italia: rischi, resilienza e fragilità" Milano, 25 Novembre 2014.
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
FESR Consorzio COMETA Giuseppe Andronico Industry Day Catania, 30 Giugno 2011 IaaS, PaaS e SaaS: cosa significano per le aziende.
A cura dell’Ing. Claudio TRAINI
Creato da Riccardo Nuzzone
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
1 L’ offerta Telecom Italia riservata a Confindustria Convenzione 2007.
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
1: Introduction1 Stratificazione protocollare (Protocol “Layering”) Le reti sono complesse! r Molti elementi: m host m router m link fisici dalle caratteristiche.
1 Luigi Vetrano Esercitazione di Reti di Calcolatori A.A
Livello 3 Network (Rete)
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Servizi Internet Claudia Raibulet
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Roma – 9 maggio 2005La Sicurezza informatica nella P.A.: strumenti e progetti Continuità Operativa per le PA Gaetano Santucci CNIPA Responsabile Area Indirizzo,
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Cloud SIA V anno.
Silvia Pasqualotto e Giulia Nanino
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Analisi di sicurezza della postazione PIC operativa
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
GRUPPO TELECOM ITALIA STUDI ECONOMICI ED INTERNET POLICY Andamento del settore delle Telecomunicazioni in Italia Bologna, 21 Novembre 2013 Osservatorio.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
INTERNET PROTOCOL SUITE FACOLTA’ DI INGEGNERIA Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Docente: Prof. Pasquale Daponte Tutor:
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
1 luglio Application Security Database Protection.
Transcript della presentazione:

Infosecurity Roma, 5 Giugno 2007 DDoS Mitigation Il valore della connettività Manuel Leone Pierluigi Urizio InfoSecurity, 5 Giugno 2007

Infosecurity Roma, 5 Giugno Agenda –La protezione dell’infrastruttura –Notizie dal mondo –L’efficacia delle contromisure –Il gruppo ITALTEL –Scenario e contesto di riferimento –Modelli di attacco –Tipologie di attacco –Dimensione del fenomeno –La soluzione network-centric –Conclusioni Pierluigi Urizio Manuel Leone

Infosecurity Roma, 5 Giugno La protezione dell’infrastruttura di rete Host Applicazione Rete UN ATTACCO A LIVELLO INFRASTRUTTURALE HA EFFETTO SU TUTTA LA CATENA E’ condizione INDISPENSABILE la protezione dell’infrastruttura La sicurezza su tutti i livelli della pila OSI

Infosecurity Roma, 5 Giugno Attacchi infrastrutturali: DoS & DDoS DENIAL of SERVICE Attacco che compromette la disponibilità di apparati o di server tenendoli impegnati in operazioni inutili ed onerose bloccando parzialmente o totalmente l’erogazione di servizi Se l’attacco proviene contemporaneamente da origini geograficamente diverse si parla di Distributed DoS o DDoS

Infosecurity Roma, 5 Giugno Notizie dal mondo …. Infrastructure Security Report 2006 Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il 46% ha affermato che gli attacchi DDoS rappresentano la minaccia più significativa alla sicurezza Fonte: Arbor Networks Infrastructure Security Report 2006 Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il 46% ha affermato che gli attacchi DDoS rappresentano la minaccia più significativa alla sicurezza Fonte: Arbor Networks

Infosecurity Roma, 5 Giugno Notizie dal mondo … 35 dei 55 interpellati riportano attacchi da 1Gbps 9 segnalano attacchi da 4 a 10 Gbps 10 riportano attacchi più ampi di 10 Gbps Fonte: Arbor Networks 35 dei 55 interpellati riportano attacchi da 1Gbps 9 segnalano attacchi da 4 a 10 Gbps 10 riportano attacchi più ampi di 10 Gbps Fonte: Arbor Networks

Infosecurity Roma, 5 Giugno Notizie dal mondo … Sensibile e costante incremento della portata degli attacchi (40 mensili) – L’attacco maggiore è stato nell’ordine di 25 Gbps – E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps – E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps Fonte: Arbor Networks Sensibile e costante incremento della portata degli attacchi (40 mensili) – L’attacco maggiore è stato nell’ordine di 25 Gbps – E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps – E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps Fonte: Arbor Networks Un attacco SYN Flood da 14 Mpps può quasi saturare un circuito STM-64 (10Gbps) con pacchetti di dimensioni minime Un attacco del genere oscurerebbe l’intera periferia di rete con perdite di connettività per le aziende

Infosecurity Roma, 5 Giugno Attacchi infrastrutturali: DoS & DDoS IPS DDoS Mitigation network- centric Limiti di banda Memo di 1 Gps 1 Gbps Multi Gbps Banda Massima dell’attacco IDS Router Firewall Nessuna StaticaDinamica Mitigazione attacco DDoS Mitigazione statica le regole per contrastare l’attacco DDoS sono fisse (ad esempio ACL). Mitigazione dinamica le regole per contrastare variano al variare del profilo dell’attacco.

Infosecurity Roma, 5 Giugno Gli ambiti DATA CENTRE + Cleaning Detection BACKBONE +

Infosecurity Roma, 5 Giugno Il gruppo ITALTEL 100% 48,77% 19,37% 18,40% 8,65% 2,16% US investment funds 2,65% Key Managers and employees Personale Fatturato Circa 2500 (46% in R&D) 546,1 Million € Uffici principali Milano, Roma e Palermo

Infosecurity Roma, 5 Giugno Agenda –La protezione dell’infrastruttura –Notizie dal mondo –L’efficacia delle contromisure –Il gruppo ITALTEL –Scenario e contesto di riferimento –Modelli di attacco –Tipologie di attacco –Dimensione del fenomeno –La soluzione network-centric –Conclusioni Pierluigi Urizio Manuel Leone

Infosecurity Roma, 5 Giugno Attacchi (D)DoS Un Denial Of Service Attack è un attacco realizzato allo scopo di bloccare l’utilizzo di un servizio da parte degli utenti legittimi. Esso può essere rivolto verso: Utenti di un servizio (ad esempio attaccando web server utilizzati per l’erogazione di applicazioni on-line). Specifici host, cioè singole risorse di rete che possono essere: Web & Application Server, DNS, Mail and IRC Server, ecc. Infrastruttura di rete, in modo bloccare il trasporto dell’informazione. Un Distributed Denial Of Service Attack è un attacco di DoS realizzato coordinando più sorgenti di attacco verso uno specifico obiettivo. Il primo attacco DDoS è stato ufficialmente rilevato nell’estate del (Fonte CIAC - Computer Incident Advisory Capability), sebbene il SYN Flood fosse noto ed in uso dal 1993 in ambito IRC. Altri attacchi celebri: Febbraio 2000 attacco a Yahoo, 22 Ottobre 2002 attacco ai 13 Root DNS nel tentativo di bloccare Internet (9 su 13), 6 Febbraio 2007 nuovo attacco ai 13 Root DNS (2 su 13). DDoS Attack - Scenario semplificato AttaccanteVittima

Infosecurity Roma, 5 Giugno Principali tipologie di attacchi (D)DoS Bandwith consumption Flood attack: Amplification attack: Protocol exploit attack: Malformed packets attack: Un elevato volume di pacchetti è inviato dagli attaccanti al fine di saturare le risorse dell’attaccato. Sono tipicamente utilizzati i pacchetti appartenenti ai protocolli UDP e ICMP. Si basa sull’amplificazione di un attacco DoS realizzata tipicamente sfruttando elementi di rete non correttamente configurati, ad esempio inviando messaggi di broadcast ad un’intera rete. Tipici attacchi di questo tipo sono lo smurf ed il fraggle, ma anche il DNS Recursion Attack. Si sfruttano le vulnerabilità presenti negli stack applicativi che gestiscono i protocolli. Ad es. nel TCP SYN Attack gli attaccanti inviano SYN Request per costringere la vittima ad allocare risorse per gestire connessioni il cui handshake non verrà mai completato. Elevato numero di pacchetti Basso numero di pacchetti Questo tipo di attacco intende bloccare un sistema inviandogli pacchetti malformati. Ad esempio si possono generare pacchetti con l’indirizzo IP sorgente e destinazione uguali (land attack), con frammenti IP sovrapposti (teardrop attack). Resource starvation Broadcast Amplification Attack Flood Attack Reflection Attack DNS Amplification Attack

Infosecurity Roma, 5 Giugno DDoS Mitigation: Scenario di riferimento Infrastruttura Cliente PoP Big Internet L’attacco DDoS satura la banda dell’ultimo miglio Traffico elevato = Impossibilità per il cliente di gestire l’attacco dalla sua infrastruttura. Infrastruttura Operatore Traffico molto elevato = in assenza di contromisure, anche l’infrastruttura di rete dell’Operatore può essere messa in crisi. Difficoltà nel distinguere il traffico legittimo da quello malevolo: il blocco del traffico non risulta una soluzione ottimale per evitare la saturazione di banda.

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: Agent-Handler (1/4) Target Agent Handler Attacker Esempi Celebri: Trin00, Tribe Flood Network (TFN), TFN 2k, Stacheldraht, Shaft. TCP, UDP, ICMP Botnet TCP/UDP (encrypted)

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: IRC-Based (2/4) Target Agent Attacker IRC Network Esempi Celebri: Trinity, Knight, Kaiten. TCP, UDP, ICMP Botnet IRC

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: Web-based (3/4) Target Agent Web Server (report, commands, control) Attacker Esempi Celebri: Dumador, Torpig, Briz, HaxDoor. TCP, UDP, ICMP Botnet HTTP (encrypted)

Infosecurity Roma, 5 Giugno Modelli di attacco DDoS: Peer-to-Peer-Based (4/4) Target Attacker P2P Network Esempi Celebri: DC++ Attack (>300k IP, >1Gbps). P2P Protocol (e.g. HTTP) No Botnet P2P Nodes P2P Protocol (e.g. HTTP)

Infosecurity Roma, 5 Giugno Botnet Attacchi DDoS: Flood (1/4) Target Flood Attack Agent UDP, TCP or ICMP spoofed packets. Agent Attacker Agent/Handler Attack Model IRC-based Web-based

Infosecurity Roma, 5 Giugno Attacchi DDoS: Reflection (2/4) Target Reflection Attack (es. Fraggle) Agent Spoofed ICMP (ECHO_REQUEST) or UDP packets (Source IP = Target IP) ICMP (ECHO_REPLY) or UDP (PORT/PROTOCOL UNREACHABLE ) packets

Infosecurity Roma, 5 Giugno Mis-configured Network Attacchi DDoS: Broadcast Amplification (3/4) Target Broadcast Amplification Attack Agent Spoofed ICMP (ECHO_REQUEST) packets to broadcast address (Source IP = Target IP) ICMP (ECHO_REPLY) packets

Infosecurity Roma, 5 Giugno Attacchi DDoS: DNS Amplification (4/4) Target Agent DNS Amplification Attack DNS Server (Open Recursive) Spoofed UDP packets (Source IP = Target IP) Esempio: Query EDNS (RFC2671) Large Buffer Advertisement TXT/SOA Response Totale Request: 60 byte Fattore di Amplificazione (Teorico) = 73. Esempio: Type A Response: 122 byte TXT Response: 4,000 byte SOA Response: 222 byte Totale Response: 4,320 byte

Infosecurity Roma, 5 Giugno DDoS: Tipologie di impatto causate dai DDoS Impatto Economico e Finanziario Impatto Economico e Finanziario Danni d’immagine Perdite dovute alla pubblicità negativa e riduzione della fiducia conseguenti al verificarsi di incidenti. Sanzioni normative Pagamenti dovuti al non mantenimento degli SLA concordati con il cliente. Perdita di produttività Dovuta all’impossibilità per i propri dipendenti di utilizzare le postazioni di lavoro. Perdita di clienti Clienti insoddisfatti della degradazione del servizio che possono decidere di sostituire l’operatore. Perdita di fatturato Dovuta alle mancate transazioni eseguite dai possibili clienti. Disaster recovery Costi in termini di risorse impiegate e di tempo necessario per gestire l’incidente di sicurezza, se presenti anche i costi necessari alla riparazione delle macchine attaccate.

Infosecurity Roma, 5 Giugno Le dimensioni del fenomeno DDoS: Economics Fonte: CSI/FBI 2005 Computer Crime and Security Survey Anche nell’indagine CSI/FBI 2005, svolta negli USA consultando circa 700 aziende, il DDoS è risultato la quarta tipologia di attacco, sia in termini di perdita economica (7,310,725$), sia in termini di numerosità (circa 1 intervistato su 3 è stato attaccato mediante DDoS). Security incidents total costs Sabotage$871,000 System penetration$901,500 Web site defacement$958,100 Misuse of public Web application$2,747,000 Telecom Fraud$3,997,500 Unauthorized access$4,278,205 Laptop theft Financial fraud Abuse of wireless network Insider Net abuse Theft of propritary info Denial of service Virus $6,734,500 $7,670,500 $10,159,250 $10,601,055 $11,460,000 $ 26,064,050 $55,053,900 mean cost * $3,238 $3,351 $3,352 $10,212 $14,860 $15,904 $25,035 $28,515 $37,767 $39,409 $42,602 $ 96,892 $204,661 * Valutato rispetto ai 269 campioni Da un’indagine di febbrario 2005 condotta negli Stati Uniti sui costi totali associati agli incidenti di sicurezza informatica riportati su un campione di 269 aziende risulta particolarmente significativo il dato associato alle perdite subite per attacchi DDOS Evento coinvolto dal disservizio Costs per hour Retail Brokerage$6,45 Million per hour Credit card sales authorization$2.6 Million per hour Infomercial/800 number sales$200,000 per hour Catalogue sales center$90,000 per hour Fonte: 2005 Quarry Technologies COSTO DDOS PER INDISPONIBILITÁ DEL SERVIZIO (M$/hour) Un’indagine svolta negli Stati Uniti mostra come l’indisponibilità del servizio possa provocare grave perdite ad utenti che svolgono il proprio business utilizzando Internet per l’erogazione dei propri servizi a causa dell’ impossibilità da parte dei clienti di compiere le normali transazioni DANNO ECONOMICO PER TIPOLOGIA DI INCIDENTE INFORMATICO ($)

Infosecurity Roma, 5 Giugno La dimensione del fenomeno DDoS: Attacchi nel mondo Il numero medio di attacchi DoS su base giornaliera è aumentato consistentemente negli ultimi due anni ( ), caratterizzato da un CAGR pari a circa il 246%. Fonte: Symantec Internet Security Threat Report (2006).

Infosecurity Roma, 5 Giugno La dimensione del fenomeno DDoS: Le bande di attacco Gli attacchi DDoS rilevati sulla rete Telecom Italia hanno raggiunto valori di banda pari a 4.2 Gbps, in grado quindi di bloccare la connettività sostanzialmente di qualsiasi cliente. nel mondo… …ed in Telecom Italia Fonte: Arbor Networks (2006). 30 Aprile 2006 Banda 4.2 Gbps

Infosecurity Roma, 5 Giugno La dimensione del fenomeno DDoS: Botnet Stime affermano che su 600M di PC circa 150M sono (stati) parte di una botnet (fonte: Vint Cerf). Ottobre 2005: identificazione botnet composta da 1.5M di host infetti (fonte: Polizia Olandese). Possibilità noleggio botnet composta da 30k host infetti a 100 euro per ora (Fonte Reuters). Fonte: Symantec Internet Security Threat Report (2007). Fonte: Shadowserver (2007).

Infosecurity Roma, 5 Giugno DDoS: Le contromisure applicabili Mitigazione attacco DDoS IPS Memo di 1 Gps Nessuna 1 Gbps Multi Gbps Statica Dinamica DDoS Mitigation network-centric Limiti di banda Banda Massima dell’attacco IDS Composto da due parti: identificazione e mitigazione dell’attacco Router Firewall Mitigazione statica le regole per contrastare l’attacco DDoS sono fisse (ad esempio ACL). Mitigazione dinamica le regole per contrastare variano al variare del profilo dell’attacco. Attacchi documentati sino a 10 Gbps Anomaly Detection non specializzata per DDoS. No Mitigation. Supporto limitato per lo spoofing. Posizionamento sfavorevole per la gestione dei DDoS. Contromisure prevalentemente statiche. No Anomaly Detection. Supporto limitato per lo spoofing (RPF). Anomaly Detection non specializzata per DDoS. Mitigation limitata. Contromisure statiche. No Anomaly Detection. Supporto limitato per lo spoofing (es. RPF).

Infosecurity Roma, 5 Giugno Reinjection La piattaforma garantisce infine il corretto re-instradamento del traffico ripulito verso il target. 4 DDoS Mitigation: Le Fasi della Mitigation network-centric 1 Detection Fase di rilevamento e individuazione dell’attacco DDoS mediante paradigma di anomaly detection (piattaforma di detection). Diversion In seguito all’individuazione dell’attacco da parte della piattaforma di detection vengono attivare le procedure per il re-instradamento del traffico verso i centri di analisi e di filtraggio al fine di ripulire il traffico anomalo. 2 3 Cleaning La piattaforma per il cleaning del traffico applica dinamicamente, alla zona interessata, una serie di filtri finalizzati a contrastare il particolare attacco DDoS rilevato dalla piattaforma di detection.

Infosecurity Roma, 5 Giugno DNS DDoS Mitigation: Le Fasi della Mitigation network-centric Broadband area DDoS Infrastructure area DDoS Server area DDoS Detection Platform PoP Peering Point Detector Cleaner AS

Infosecurity Roma, 5 Giugno DNS DDoS Mitigation: Le Fasi della Mitigation network-centric Adding Dynamic- Filters Rat e- Limi ting PoP Detection Platform Detector Cleaner Peering Point AS

Infosecurity Roma, 5 Giugno DNS DDoS Mitigation: Le Fasi della Mitigation network-centric PoP Detection Platform Detector Cleaner Peering Point AS

Infosecurity Roma, 5 Giugno Adding Dynamic-Filters Static Packet Filters Filter out packets according to pre-defined rules. Rate-limiting Rate limiting of traffic towards the zone. Dynamic Packet Filters Filter out packets Per Flow, Protocol, Source IP. Anti-Spoofing Mechanisms Filter out packets from spoofed sources. Statistical Inspection Anomaly Recognition per flow compared to a baseline. Rate-Limiting DDoS Mitigation: il Processo di Cleaning

Infosecurity Roma, 5 Giugno DDoS Mitigation: Conclusioni –Oggi gli attacchi DDoS basati su botnet sono tra gli attacchi di Denial of Service più pericolosi e difficili da gestire. –I modelli di attacco sono in continua evoluzione (ad esempio segmentazione delle botnet in “squadre speciali” caratterizzate da capacità computazionali e di banda differenti, utilizzo di nuovi protocolli come il VoIP per il controllo ed il coordinamento dell’attacco, nuove tecniche di rootkit, ecc.). –Sebbene esistano diverse soluzioni percorribili, l’approccio network-centric, abbinato all’anomaly detection, sembra il più promettente. –Questo modello implica che sia la rete ad agire proattivamente e a contenere l’attacco, garantendo la connettività agli utenti legittimi.

Infosecurity Roma, 5 Giugno Q&A Pierluigi Urizio Business Development Manager Manuel Leone Security Program Manager