Security Summit 2012 – ATA Hotel Executive, Milano           DDoS mitigation      through a collaborative  trust-based req...
DDoS di livello applicativoDavide Paltrinieri   DDoS mitigation through a collaborative     Davide Paltrinieri     trust-b...
DDoS di livello applicativoDavide Paltrinieri                            22/03/2012            3   DDoS mitigation through...
DDoS di livello applicativoDavide Paltrinieri                            22/03/2012            4   DDoS mitigation through...
DDoS di livello applicativoDavide Paltrinieri                            22/03/2012            5   DDoS mitigation through...
DDoS Trends                                                                                Types of DDoS attacksArbor Netw...
CoMiFin: scenario di studioInfrastruttura di interscambio di informazioni critichesullo stato dei sistemi di Istituti Fina...
Analisi delle Soluzioni Esistenti•    Rilevazione       •     Anomalie:           - Distribuzione/volume del traffico     ...
Analisi delle Soluzioni Esistenti•    Rilevazione       •     Anomalie:           - Distribuzione/volume del traffico     ...
Analisi delle Soluzioni Esistenti•    Rilevazione      •    Anomalie:             - Distribuzione/volume del traffico     ...
Analisi delle Soluzioni Esistenti•    Rilevazione      •    Anomalie:             - Distribuzione/volume del traffico     ...
Analisi delle Soluzioni Esistenti•    Rilevazione      •    Anomalie:             - Distribuzione/volume del traffico     ...
Modello di vittima                                                           Architettura                                 ...
Modello di Attaccante•    Request Flooding Attack: invio incrementale del     numero di richieste al server.•    Asymmetri...
Generazione delle richieste•    Frantic Crawler: insieme di richieste relative ai link     presenti sulle pagine web del s...
Modello Soluzione Proposta DDoS mitigation through a collaborative     Davide Paltrinieri   trust-based request prioritiza...
Prioritizzazione Richieste  DDoS mitigation through a collaborative     Davide Paltrinieri    trust-based request prioriti...
Prototipo DDoS mitigation through a collaborative     Davide Paltrinieri   trust-based request prioritization      Securit...
DETERlabDavide Paltrinieri                            22/03/2012            19   DDoS mitigation through a collaborative  ...
SPOFF      Davide Paltrinieri   22/03/2012   20
SPON     Davide Paltrinieri   21
Risultati dei testDavide Paltrinieri                            22/03/2012            22   DDoS mitigation through a colla...
ADL - Auditing•      Strumenti per la WebAnalytics       •     Open Web Analytics (OWA)•      Tracciamento del movimento d...
ADL – Auditing• SMT2Davide Paltrinieri   22/03/2012                24
ADL - AuditingOWA  Davide Paltrinieri   22/03/2012              25
Conclusioni•    Primi passi nellintegrazione tra:     •  Fine discriminazione della priorità assegnata        alle richies...
Upcoming SlideShare
Loading in …5
×

DDoS mitigation through a collaborative trust-based request prioritization

356 views
315 views

Published on

Presented in the contest of "Innovare la sicurezza delle informazioni" clusit's 7th edition. The thesis awarded the best security thesis prize 2011. More details at https://tesi.clusit.it/vincitori.php

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
356
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DDoS mitigation through a collaborative trust-based request prioritization

  1. 1. Security Summit 2012 – ATA Hotel Executive, Milano DDoS mitigation through a collaborative trust-based request prioritization - Disegno e contromisure per attacchi DDoS effettuati da Botnet Davide Paltrinieri davide.paltrinieri@gmail.com http://it.linkedin.com/in/davidepaltrinieri Davide Paltrinieri 22/03/2012 1 22 Marzo 2012
  2. 2. DDoS di livello applicativoDavide Paltrinieri DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 2
  3. 3. DDoS di livello applicativoDavide Paltrinieri 22/03/2012 3 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 3
  4. 4. DDoS di livello applicativoDavide Paltrinieri 22/03/2012 4 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 4
  5. 5. DDoS di livello applicativoDavide Paltrinieri 22/03/2012 5 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 5
  6. 6. DDoS Trends Types of DDoS attacksArbor Networks DDoS Summary H2 2011 Davide Paltrinieri 22/03/2012 6 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 6
  7. 7. CoMiFin: scenario di studioInfrastruttura di interscambio di informazioni critichesullo stato dei sistemi di Istituti Finanziari. Obiettivi: • Continuità di servizio • Resistenza ad attacchi DDoS• La sfida: sfruttare le potenzialità di una “community” per raggiungere tali obiettivi → Difesa proattivaDavide Paltrinieri 22/03/2012 7 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 7
  8. 8. Analisi delle Soluzioni Esistenti• Rilevazione • Anomalie: - Distribuzione/volume del traffico - Signatures • Statistica• Classificazione • Problema dei Flash-Crowds • Risoluzione di Quiz (es. CAPTCHA)• Contromisura • Cancellazione • RedirezioneDavide Paltrinieri 22/03/2012 8 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 8
  9. 9. Analisi delle Soluzioni Esistenti• Rilevazione • Anomalie: - Distribuzione/volume del traffico - Signatures • Statistica• Classificazione • Problema dei Flash-Crowds • Risoluzione di Quiz (es. CAPTCHA)• Contromisura • Cancellazione • RedirezioneDavide Paltrinieri 9 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 9
  10. 10. Analisi delle Soluzioni Esistenti• Rilevazione • Anomalie: - Distribuzione/volume del traffico - Signatures • Statistica• Classificazione • Problema dei Flash-Crowds • Risoluzione di Quiz (es. CAPTCHA)• Contromisura • Cancellazione • Redirezione DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 10
  11. 11. Analisi delle Soluzioni Esistenti• Rilevazione • Anomalie: - Distribuzione/volume del traffico - Signatures • Statistica• Classificazione • Problema dei Flash-Crowds • Risoluzione di Quiz (es. CAPTCHA)• Contromisura • Cancellazione • Redirezione DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 11
  12. 12. Analisi delle Soluzioni Esistenti• Rilevazione • Anomalie: - Distribuzione/volume del traffico - Signatures • Statistica• Classificazione • Problema dei Flash-Crowds • Risoluzione di Quiz (es. CAPTCHA)• Contromisura • Cancellazione • Redirezione DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 12
  13. 13. Modello di vittima Architettura tipica di un Server Web/FarmDDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 13
  14. 14. Modello di Attaccante• Request Flooding Attack: invio incrementale del numero di richieste al server.• Asymmetric Workload Attack: invio saltuario di sessioni di richieste esose di risorse lato server.• Repeated One-Shot Attack: invio di singole richieste esose di risorse lato server.Davide Paltrinieri 14 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 14
  15. 15. Generazione delle richieste• Frantic Crawler: insieme di richieste relative ai link presenti sulle pagine web del sito.• Cloned Legitimate Recorded Session: sessione di navigazione ”legittima” pre-registrata ed eseguita da ogni bot.• Randomized Legitimate Recorded Session: sessione di navigazione ”legittima” pre-registrata ed eseguita da ogni bot, con lintroduzione di azioni casuali. DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 15
  16. 16. Modello Soluzione Proposta DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 16
  17. 17. Prioritizzazione Richieste DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 17
  18. 18. Prototipo DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 18
  19. 19. DETERlabDavide Paltrinieri 22/03/2012 19 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 19
  20. 20. SPOFF Davide Paltrinieri 22/03/2012 20
  21. 21. SPON Davide Paltrinieri 21
  22. 22. Risultati dei testDavide Paltrinieri 22/03/2012 22 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 22
  23. 23. ADL - Auditing• Strumenti per la WebAnalytics • Open Web Analytics (OWA)• Tracciamento del movimento del cursore: • Simple Mouse Tracking (SMT2)• Progetti terzi: • WOMBAT API (WAPI)Davide Paltrinieri 22/03/2012 23 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 23
  24. 24. ADL – Auditing• SMT2Davide Paltrinieri 22/03/2012 24
  25. 25. ADL - AuditingOWA Davide Paltrinieri 22/03/2012 25
  26. 26. Conclusioni• Primi passi nellintegrazione tra: • Fine discriminazione della priorità assegnata alle richieste • Trust condiviso • Strumenti per lauditing di sessioni clonate• Risultati: • Emulazione e non Simulazione - grazie a DETERlab. • Continuità di servizio contro botnet fino a 150 PC fisici: • Attacchi da Botnet conosciute. • Attacchi misti da Botnet conosciute e non. • Riduzione della latenza percepita da un client legittimo.Davide Paltrinieri 22/03/2012 26 DDoS mitigation through a collaborative Davide Paltrinieri trust-based request prioritization Security Summit 2012 Pagina 26

×