Darknet e CyberIntelligence - Progettazione e realizzazione di un ambiente di...
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
1. Summary of "DDoS Hide & Seek: On the
Effectiveness of a Booter Services Takedown"
Dipartimento di Ingegneria e Architettura
Laurea triennale in Ingegneria
Elettronica e Informatica
Candidato:
Leandro Di Lauro
Relatore:
Prof. Alberto Bartoli
Anno Accademico 2019-2020
2. Attacchi DDoS: una grave minaccia
Accessibili a chiunque
Interruzione di servizi
Danni devastanti
Grazie a servizi web
soprannominati "booter"
3. Approccio dell’autoattacco
OBIETTIVO:
ricavare il volume del traffico di attacco
REALIZZAZIONE:
1. uso di un importante IXP
2. uso di un ISP di livello 1
e un ISP di livello 2
1. analisi post mortem degli attacchi
2. acquisto di quattro servizi "booter":
di cui 4 non-VIP e 1 VIP
(prezzi in grassetto in figura)
4. Test e Risultati
Booter A
(NON-VIP)
Booter B
(VIP)
traffico massimo
costo 20$
7 Gbps
10 volte >
20 Gbps
͌
CONSIDERAZIONI
VIP : tassi di traffico promessi 5
volte superiori a quelli effettivi
VIP e NON-VIP: NTP il protocollo
di amplificazione più usato
5. Traffico di amplificazione DDoS: analisi
Analisi degli attacchi DDoS da parte dei "booter" presi in considerazione:
311 mila destinazioni
Traffico compreso tra i 5
e i 100 Gbps
Traffico ricevuto perlopiù
da meno di 5 riflettori
Cosa accadrebbe se venissero rimossi alcuni di questi servizi chiamati "booter"?
Picco di 602 Gbps
Fino a 8500 riflettori
Y : riflettori (sorgenti)
X : traffico espresso in Gbps
6. FBI Takedown
Sequestro di domini appartenenti a 15 servizi "booter" da parte dell’FBI:
Com’è avvenuto?
Instantanee settimanali di tutti i domini del tipo .net, .com, .org
tramite l’utilizzo di parole chiave per identificare i siti web "booter"
Analisi di tutti i protocolli di attacco più pericolosi
Studio del traffico DDoS verso i riflettori
NTP
Memcached
DNS
7. Protocolli di attacco e riflettori: risultati
Fino a 100 volte superiore
rispetto agli altri protocolli
Minore di Memcached ma
elevato n. di riflettori aperti
Minore di NTP/Memcached
ma più facile da usare
traffico UDP con porta
Memcached 11211
traffico UDP con porta
target 123
Traffico DNS : incertezza
tra richieste legittime e non
Significative riduzioni
del traffico
Significative riduzioni
del traffico
Nessuna significativa
riduzione del traffico
Memcached NTP DNS
Amplificazione
Traffico preso in
considerazione
Risultati post
abbattimento
RISULTATO
Notevoli diminuzioni del
traffico verso i riflettori
Nessuna riduzione significativa del
traffico di attacco verso le vittime
e nel numero di sistemi attaccati
8. Considerazioni finali
1. Danni ingenti
2. Necessità di approfondire gli effetti di questi servizi
3. Livello crescente di minaccia
Congestionamento di
collegamenti peering
tra backbone
Numero di servizi booter
aumentato nonostante il sequestro