Recommended
Recommended
More Related Content
Similar to Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Similar to Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown" (20)
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
- 1. Summary of "DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown" Dipartimento di Ingegneria e Architettura Laurea triennale in Ingegneria Elettronica e Informatica Candidato: Leandro Di Lauro Relatore: Prof. Alberto Bartoli Anno Accademico 2019-2020
- 2. Attacchi DDoS: una grave minaccia Accessibili a chiunque Interruzione di servizi Danni devastanti Grazie a servizi web soprannominati "booter"
- 3. Approccio dell’autoattacco OBIETTIVO: ricavare il volume del traffico di attacco REALIZZAZIONE: 1. uso di un importante IXP 2. uso di un ISP di livello 1 e un ISP di livello 2 1. analisi post mortem degli attacchi 2. acquisto di quattro servizi "booter": di cui 4 non-VIP e 1 VIP (prezzi in grassetto in figura)
- 4. Test e Risultati Booter A (NON-VIP) Booter B (VIP) traffico massimo costo 20$ 7 Gbps 10 volte > 20 Gbps ͌ CONSIDERAZIONI VIP : tassi di traffico promessi 5 volte superiori a quelli effettivi VIP e NON-VIP: NTP il protocollo di amplificazione più usato
- 5. Traffico di amplificazione DDoS: analisi Analisi degli attacchi DDoS da parte dei "booter" presi in considerazione: 311 mila destinazioni Traffico compreso tra i 5 e i 100 Gbps Traffico ricevuto perlopiù da meno di 5 riflettori Cosa accadrebbe se venissero rimossi alcuni di questi servizi chiamati "booter"? Picco di 602 Gbps Fino a 8500 riflettori Y : riflettori (sorgenti) X : traffico espresso in Gbps
- 6. FBI Takedown Sequestro di domini appartenenti a 15 servizi "booter" da parte dell’FBI: Com’è avvenuto? Instantanee settimanali di tutti i domini del tipo .net, .com, .org tramite l’utilizzo di parole chiave per identificare i siti web "booter" Analisi di tutti i protocolli di attacco più pericolosi Studio del traffico DDoS verso i riflettori NTP Memcached DNS
- 7. Protocolli di attacco e riflettori: risultati Fino a 100 volte superiore rispetto agli altri protocolli Minore di Memcached ma elevato n. di riflettori aperti Minore di NTP/Memcached ma più facile da usare traffico UDP con porta Memcached 11211 traffico UDP con porta target 123 Traffico DNS : incertezza tra richieste legittime e non Significative riduzioni del traffico Significative riduzioni del traffico Nessuna significativa riduzione del traffico Memcached NTP DNS Amplificazione Traffico preso in considerazione Risultati post abbattimento RISULTATO Notevoli diminuzioni del traffico verso i riflettori Nessuna riduzione significativa del traffico di attacco verso le vittime e nel numero di sistemi attaccati
- 8. Considerazioni finali 1. Danni ingenti 2. Necessità di approfondire gli effetti di questi servizi 3. Livello crescente di minaccia Congestionamento di collegamenti peering tra backbone Numero di servizi booter aumentato nonostante il sequestro
- 9. Grazie per l’attenzione Leandro Di Lauro