SlideShare a Scribd company logo

Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"

L
LeandroDiLauro1

Tesi di laurea triennale in Ingegneria Elettronica e Informatica, Università degli studi di Trieste.

Engineering
1 of 8
Download to read offline
UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di studi: Ingegneria Elettronica e Informatica Summary of "DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown" Tesi di Laurea Triennale AA. 2019-2020 Laureando: Relatore: Leandro DI LAURO prof. Alberto BARTOLI
2 SOMMARIO Introduzione………………………………………………………………………………………………..3 Analisi………………………………………………………………………………………………………….3 Traffico di amplificazione DDoS……………………………………………………………………4 FBI Takedown………………………………………………………………………………………………5 Conclusione…………………………………………………………………………………………………7 Bibliografia…………………………………………………………………………………………………..8
3 INTRODUZIONE Negli ultimi anni gli attacchi DDoS (Distributed Denial-of-Service) sono diventati una grave minaccia per qualsiasi operazione effettuata in Internet. Il loro obbiettivo è infatti quello di interrompere dei servizi andando a consumare più risorse di quelle effettivamente disponibili. Il motivo di questi attacchi, che con il passare degli anni stanno aumentando di raffinatezza e dimensione, spazia su più ambiti. I servizi che forniscono attacchi DDoS vengono chiamati "booters" o anche "stressers" i quali, tramite una interfaccia molto semplice, permettono a chiunque di lanciare attacchi anche a basso costo. L'articolo preso in esame (1) si pone quindi l'obiettivo di andare ad analizzare a fondo le caratteristiche degli attacchi "booter", fornendo una panoramica delle minacce in Internet attraverso l'utilizzo di un IXP, un ISP di livello 1 e un ISP di livello 2. Alla fine di quest'ultimo, verrà poi analizzata anche l'efficacia di un importante abbattimento mirato a 15 servizi "booter" da parte dell'FBI risalente a dicembre 2018. ANALISI Al fine di analizzare in maniera dettagliata l'impatto degli attacchi DDoS sono stati selezionati quattro fra i più grandi "booter" in circolazione, acquistando sia servizi a pagamento VIP, ma anche servizi meno costosi non VIP. Tutte le misurazioni sono poi state effettuate lanciando attacchi contro l'infrastruttura di misurazione. Approccio dell'auto-attacco Per l'analisi in questione viene usufruito un importante IXP, infrastruttura che permette a vari Internet provider (ISP) di scambiare traffico Internet fra loro, dal quale è stato possibile ottenere un campionamento di tutto il flusso passante attraverso l'IXP e diretto verso il server di misurazione. È stata eseguita quindi una analisi sugli attacchi misurati passivamente, ricavando il volume del traffico di attacco.
4 Servizi non-VIP Dagli auto-attacchi effettuati è stato possibile determinare i maggiori livelli di traffico per un servizio non-VIP raggiungendo grazie al Booter A, un picco di 7078 Mbps. È stato analizzato anche il numero di riflettori utilizzati che si è scoperto non essere costante, ma variabile a seconda del protocollo utilizzato per l'amplificazione che va ad influire di conseguenza anche sul numero di AS (Autonomous System) coinvolti. Viene studiato, tramite altri auto-attacchi, anche il traffico di peering, ovvero quello passante per l'IXP che permette agli ISP di scambiarsi traffico Internet. Quest'ultimo infatti risulterà molto inferiore passando da un massimo di 7Gbps a meno di 3Gbps. Si è scoperto che gli attacchi più potenti usufruiscono di amplificazione NTP, i quali per l'80% ricevono traffico tramite il collegamento di transito e per il restante 20% traffico tramite peering. Servizi VIP I servizi VIP vengono pubblicizzati molto più dei precedenti portando a un miglioramento delle prestazioni, ma a fronte di un prezzo molto più alto. Vengono infatti promessi tassi di attacco 10 volte più grandi rispetto ai servizi non-VIP, i quali però non vengono rispettati raggiungendo solo il 25% del traffico d'attacco pubblicizzato. Durante le misurazioni è stato scoperto che anche in questo caso il rapporto di traffico NTP tra transito e peering rimane lo stesso dei servizi non-VIP. TRAFFICO DI AMPLIFICAZIONE DDoS La maggior parte degli attacchi DDoS sono stati effettuati dai vari "booter" tramite amplificazione NTP. È stata infatti osservata la distribuzione dei pacchetti passanti per l'IXP prendendo come classificazione ottimista una soglia di 200 byte per pacchetto. Questa classificazione ha permesso di constatare 311 mila destinazioni che hanno ricevuto traffico con riflessione NTP durante il periodo di misurazione.
5 È stato quindi rilevato che ci sono picchi di traffico compresi tra i 5 e i 100 Gbps raggiunti grazie a singole sorgenti di amplificazione, come è possibile constatare anche dal grafico. Per una destinazione si è verificato addirittura un picco di 602 Gbps. La maggior parte degli obiettivi riceve traffico da meno di 5 riflettori ma, man mano che si vanno ad analizzare frequenze di traffico più elevate, sale di molto anche il numero di amplificatori fino ad arrivare addirittura a 8500. L’impatto devastante di questi attacchi DDoS, generati da un gran numero di riflettori, ci lascia perplessi in merito a cosa accadrebbe sul traffico di attacco in generale in seguito alla rimozione di alcuni servizi booter. FBI TAKEDOWN Nel 2018 l'FBI ha sequestrato i domini di 15 siti web "booter" portando a termine una delle più grandi operazioni anti-DDoS degli ultimi anni. Domini Sono state utilizzate delle istantanee settimanali di tutti i domini di tipo .net/.com/.org per andare ad identificare, attraverso l'utilizzo di parole chiave, i siti web "booter". Una volta identificati vengono poi confrontati e classificati mensilmente, in modo da determinarne il rango e quindi la loro posizione in classifica. L'abbattimento è andato a colpire 15 fra i più grandi siti "booter". Alcuni di essi ripresero però ad essere di nuovo in funzione pochi giorni dopo il sequestro.
6 Traffico Per uno studio approfondito sono stati considerati i giorni che vanno dal 30 Settembre al 30 Gennaio 2019. Sono state inoltre analizzate tutte le possibili porte di protocollo sospette tra cui: NTP, Memcached e DNS. L'analisi è cominciata a partire dal traffico verso i riflettori DDoS, in quanto è qui che si sono riscontrati i cambiamenti più significativi. Protocolli di attacco Il primo protocollo affrontato nell'articolo è il protocollo Memcached. Esso è fondamentale nelle applicazioni di attacco DDoS in quanto ha una amplificazione insuperabile rispetto agli altri protocolli. Essendo Memcached una tecnologia popolare progettata per accelerare l’accesso ai siti che eseguono grandi database di applicazioni Web registrando i dati nella RAM, non è previsto che appaia nel normale traffico fra domini. È stato allora assunto che qualsiasi traffico UDP con porta di destinazione Memcached 11211 sia traffico che scorre verso un riflettore DDoS. Viene riscontrata una riduzione significativa per quanto riguarda finestre temporali di 30 e 40 giorni. Il secondo protocollo affrontato è stato il vettore di amplificazione NTP, in quanto molto utilizzato grazie al numero di riflettori NTP liberi. È stato ritenuto valido qualsiasi traffico UDP con porta target 123. Anche in questo caso, nonostante l'alto rumore dovuto alle ipotesi di cui sopra, si notano significative riduzioni del traffico. L'ultimo protocollo esaminato come riflettore DDoS è stato il DNS. Purtroppo, essendo alla base di tutte le richieste di navigazione nel World Wide Web, è stato molto difficile separare le richieste legittime da quelle illegittime. Proprio per questo motivo non si è evidenziato quasi nessuna riduzione del traffico rispetto a prima dell'abbattimento. Nonostante i dati positivi riguardanti i protocolli di attacco, è stato impressionante osservare come non ci siano stati miglioramenti riguardo la situazione delle vittime di DDoS, poichè la struttura di riflettori rimane online ed accessibile a tutti.
7 CONCLUSIONE La ricerca svolta studia per la prima volta gli effetti di un attacco DDoS atrraverso la "lente" di un principale IXP, un ISP di livello 1 e un ISP di livello 2 e mette in luce gli effetti di un abbattimento di 15 servizi "booter" web-based analizzandone le conseguenze. Le considerazioni e le osservazioni fatte sono state svolte al fine di informare gli operatori di rete e le forze dell'ordine del livello crescente di minaccia di questi servizi che, se non abbattuti, possono portare anche al congestionamento di collegamenti peering tra backbone. Considerato che l'articolo è basato solo su parametri prettamente tecnici, ciò motiva la necessità di approfondire gli effetti di questi servizi da parte delle autorità competenti.
8 BIBLIOGRAFIA 1. “DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown”, Daniel Kopp, Matthias Wichtlhuber, Ingmar Poese, Jair Santanna, Oliver Hohlfeld, and Christoph Dietzel, 2019.

Recommended

Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"LeandroDiLauro1
 
Extended Summary of "DNS Observatory: the Big Picture of the DNS"
Extended Summary of "DNS Observatory: the Big Picture of the DNS"Extended Summary of "DNS Observatory: the Big Picture of the DNS"
Extended Summary of "DNS Observatory: the Big Picture of the DNS"BarbaraDubaz
 
Fastweb digital magazine
Fastweb digital magazineFastweb digital magazine
Fastweb digital magazineSerafino Di Filippo
 
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...LorenzoFabbio
 
Fastweb digital magazine3
Fastweb digital magazine3Fastweb digital magazine3
Fastweb digital magazine3Serafino Di Filippo
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...AndreaMajcen
 

Recommended

Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"LeandroDiLauro1
 
Extended Summary of "DNS Observatory: the Big Picture of the DNS"
Extended Summary of "DNS Observatory: the Big Picture of the DNS"Extended Summary of "DNS Observatory: the Big Picture of the DNS"
Extended Summary of "DNS Observatory: the Big Picture of the DNS"BarbaraDubaz
 
Fastweb digital magazine
Fastweb digital magazineFastweb digital magazine
Fastweb digital magazineSerafino Di Filippo
 
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...
Progetto e realizzazione di uno strumento per la raccolta di dipendenze archi...LorenzoFabbio
 
Fastweb digital magazine3
Fastweb digital magazine3Fastweb digital magazine3
Fastweb digital magazine3Serafino Di Filippo
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...Progetto e implementazione di uno script python per la gestione di richieste ...
Progetto e implementazione di uno script python per la gestione di richieste ...AndreaMajcen
 
Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Giuseppe Vizzari
 
2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)Giuseppe Vizzari
 
Analisi della robustezza architetturale a livello routing e dns in servizi we...
Analisi della robustezza architetturale a livello routing e dns in servizi we...Analisi della robustezza architetturale a livello routing e dns in servizi we...
Analisi della robustezza architetturale a livello routing e dns in servizi we...MarcoBrotto1
 
Named data networking
Named data networkingNamed data networking
Named data networkingnamedatanetworking
 
Extended Summary of "DNS Observatory: The Big Picture of the DNS"
Extended Summary of "DNS Observatory: The Big Picture of the DNS"Extended Summary of "DNS Observatory: The Big Picture of the DNS"
Extended Summary of "DNS Observatory: The Big Picture of the DNS"BarbaraDubaz
 
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...LorenzoFabbio
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPMarco d'Itri
 
Attacchi ddos e loro mitigazione 2013
Attacchi ddos e loro mitigazione 2013Attacchi ddos e loro mitigazione 2013
Attacchi ddos e loro mitigazione 2013Marco Gioanola
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudFrancesco Foresta
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDLeonardoSimonini
 
Caratterizzazione dei sistemi cloud per la Pubblica Amministrazione
Caratterizzazione dei sistemi cloud per la Pubblica AmministrazioneCaratterizzazione dei sistemi cloud per la Pubblica Amministrazione
Caratterizzazione dei sistemi cloud per la Pubblica AmministrazioneAmmLibera AL
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaSoluzioni Futura
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaValerio Versace
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserVincenzo Calabrò
 
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...TiborRacman
 
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitalePerché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitaleCitrix
 
L'aspetto sociale del p2p
L'aspetto sociale del p2pL'aspetto sociale del p2p
L'aspetto sociale del p2pFrancesco Panaro
 
l'aspetto sociale del p2p
l'aspetto sociale del p2pl'aspetto sociale del p2p
l'aspetto sociale del p2pFulvietta Favore
 
Convegno 07-05-2024 | Presentazione Giuseppe Barberio
Convegno 07-05-2024 | Presentazione Giuseppe BarberioConvegno 07-05-2024 | Presentazione Giuseppe Barberio
Convegno 07-05-2024 | Presentazione Giuseppe BarberioServizi a rete
 
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipaliWebinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipaliServizi a rete
 

More Related Content

Similar to Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"

Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Giuseppe Vizzari
 
2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)Giuseppe Vizzari
 
Analisi della robustezza architetturale a livello routing e dns in servizi we...
Analisi della robustezza architetturale a livello routing e dns in servizi we...Analisi della robustezza architetturale a livello routing e dns in servizi we...
Analisi della robustezza architetturale a livello routing e dns in servizi we...MarcoBrotto1
 
Extended Summary of "DNS Observatory: The Big Picture of the DNS"
Extended Summary of "DNS Observatory: The Big Picture of the DNS"Extended Summary of "DNS Observatory: The Big Picture of the DNS"
Extended Summary of "DNS Observatory: The Big Picture of the DNS"BarbaraDubaz
 
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...LorenzoFabbio
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPMarco d'Itri
 
Attacchi ddos e loro mitigazione 2013
Attacchi ddos e loro mitigazione 2013Attacchi ddos e loro mitigazione 2013
Attacchi ddos e loro mitigazione 2013Marco Gioanola
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudFrancesco Foresta
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDLeonardoSimonini
 
Caratterizzazione dei sistemi cloud per la Pubblica Amministrazione
Caratterizzazione dei sistemi cloud per la Pubblica AmministrazioneCaratterizzazione dei sistemi cloud per la Pubblica Amministrazione
Caratterizzazione dei sistemi cloud per la Pubblica AmministrazioneAmmLibera AL
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaSoluzioni Futura
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaValerio Versace
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserVincenzo Calabrò
 
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...TiborRacman
 
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitalePerché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitaleCitrix
 

Similar to Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown" (20)

Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19
 
2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)2 - Introduzione ad Internet (1/2)
2 - Introduzione ad Internet (1/2)
 
Analisi della robustezza architetturale a livello routing e dns in servizi we...
Analisi della robustezza architetturale a livello routing e dns in servizi we...Analisi della robustezza architetturale a livello routing e dns in servizi we...
Analisi della robustezza architetturale a livello routing e dns in servizi we...
 
Named data networking
Named data networkingNamed data networking
Named data networking
 
Extended Summary of "DNS Observatory: The Big Picture of the DNS"
Extended Summary of "DNS Observatory: The Big Picture of the DNS"Extended Summary of "DNS Observatory: The Big Picture of the DNS"
Extended Summary of "DNS Observatory: The Big Picture of the DNS"
 
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
Slides - Progetto e realizzazione di uno strumento per la raccolta di dipende...
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGP
 
Attacchi ddos e loro mitigazione 2013
Attacchi ddos e loro mitigazione 2013Attacchi ddos e loro mitigazione 2013
Attacchi ddos e loro mitigazione 2013
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
 
Caratterizzazione dei sistemi cloud per la Pubblica Amministrazione
Caratterizzazione dei sistemi cloud per la Pubblica AmministrazioneCaratterizzazione dei sistemi cloud per la Pubblica Amministrazione
Caratterizzazione dei sistemi cloud per la Pubblica Amministrazione
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
 
I Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni FuturaI Love Cloud by Soluzioni Futura
I Love Cloud by Soluzioni Futura
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenser
 
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
Analisi e prototipazione di un sistema di streaming per la localizzazione in ...
 
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitalePerché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
Perché la DISTRIBUZIONE DELLE APPLICAZIONI conta nell'economia digitale
 
L'aspetto sociale del p2p
L'aspetto sociale del p2pL'aspetto sociale del p2p
L'aspetto sociale del p2p
 
l'aspetto sociale del p2p
l'aspetto sociale del p2pl'aspetto sociale del p2p
l'aspetto sociale del p2p
 

Recently uploaded

Convegno 07-05-2024 | Presentazione Giuseppe Barberio
Convegno 07-05-2024 | Presentazione Giuseppe BarberioConvegno 07-05-2024 | Presentazione Giuseppe Barberio
Convegno 07-05-2024 | Presentazione Giuseppe BarberioServizi a rete
 
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipaliWebinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipaliServizi a rete
 
Convegno 07-05-2024 | Presentazione Romina Bonaccorsi
Convegno 07-05-2024 | Presentazione Romina BonaccorsiConvegno 07-05-2024 | Presentazione Romina Bonaccorsi
Convegno 07-05-2024 | Presentazione Romina BonaccorsiServizi a rete
 
Convegno 07-05-2024 | Presentazione Antonio De Vito
Convegno 07-05-2024 | Presentazione Antonio De VitoConvegno 07-05-2024 | Presentazione Antonio De Vito
Convegno 07-05-2024 | Presentazione Antonio De VitoServizi a rete
 
Convegno 07-05-2024 | Presentazione Francesca Medda
Convegno 07-05-2024 | Presentazione Francesca MeddaConvegno 07-05-2024 | Presentazione Francesca Medda
Convegno 07-05-2024 | Presentazione Francesca MeddaServizi a rete
 
"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...
"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ..."Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...
"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...Sergio Primo Del Bello
 

Recently uploaded (6)

Convegno 07-05-2024 | Presentazione Giuseppe Barberio
Convegno 07-05-2024 | Presentazione Giuseppe BarberioConvegno 07-05-2024 | Presentazione Giuseppe Barberio
Convegno 07-05-2024 | Presentazione Giuseppe Barberio
 
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipaliWebinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
Webinar 07/05/2024 | Nuova Direttiva Europea sulle acque reflue municipali
 
Convegno 07-05-2024 | Presentazione Romina Bonaccorsi
Convegno 07-05-2024 | Presentazione Romina BonaccorsiConvegno 07-05-2024 | Presentazione Romina Bonaccorsi
Convegno 07-05-2024 | Presentazione Romina Bonaccorsi
 
Convegno 07-05-2024 | Presentazione Antonio De Vito
Convegno 07-05-2024 | Presentazione Antonio De VitoConvegno 07-05-2024 | Presentazione Antonio De Vito
Convegno 07-05-2024 | Presentazione Antonio De Vito
 
Convegno 07-05-2024 | Presentazione Francesca Medda
Convegno 07-05-2024 | Presentazione Francesca MeddaConvegno 07-05-2024 | Presentazione Francesca Medda
Convegno 07-05-2024 | Presentazione Francesca Medda
 
"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...
"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ..."Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...
"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...
 

Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"

  • 1. UNIVERSITÀ DEGLI STUDI DI TRIESTE Dipartimento di Ingegneria e Architettura Corso di studi: Ingegneria Elettronica e Informatica Summary of "DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown" Tesi di Laurea Triennale AA. 2019-2020 Laureando: Relatore: Leandro DI LAURO prof. Alberto BARTOLI
  • 2. 2 SOMMARIO Introduzione………………………………………………………………………………………………..3 Analisi………………………………………………………………………………………………………….3 Traffico di amplificazione DDoS……………………………………………………………………4 FBI Takedown………………………………………………………………………………………………5 Conclusione…………………………………………………………………………………………………7 Bibliografia…………………………………………………………………………………………………..8
  • 3. 3 INTRODUZIONE Negli ultimi anni gli attacchi DDoS (Distributed Denial-of-Service) sono diventati una grave minaccia per qualsiasi operazione effettuata in Internet. Il loro obbiettivo è infatti quello di interrompere dei servizi andando a consumare più risorse di quelle effettivamente disponibili. Il motivo di questi attacchi, che con il passare degli anni stanno aumentando di raffinatezza e dimensione, spazia su più ambiti. I servizi che forniscono attacchi DDoS vengono chiamati "booters" o anche "stressers" i quali, tramite una interfaccia molto semplice, permettono a chiunque di lanciare attacchi anche a basso costo. L'articolo preso in esame (1) si pone quindi l'obiettivo di andare ad analizzare a fondo le caratteristiche degli attacchi "booter", fornendo una panoramica delle minacce in Internet attraverso l'utilizzo di un IXP, un ISP di livello 1 e un ISP di livello 2. Alla fine di quest'ultimo, verrà poi analizzata anche l'efficacia di un importante abbattimento mirato a 15 servizi "booter" da parte dell'FBI risalente a dicembre 2018. ANALISI Al fine di analizzare in maniera dettagliata l'impatto degli attacchi DDoS sono stati selezionati quattro fra i più grandi "booter" in circolazione, acquistando sia servizi a pagamento VIP, ma anche servizi meno costosi non VIP. Tutte le misurazioni sono poi state effettuate lanciando attacchi contro l'infrastruttura di misurazione. Approccio dell'auto-attacco Per l'analisi in questione viene usufruito un importante IXP, infrastruttura che permette a vari Internet provider (ISP) di scambiare traffico Internet fra loro, dal quale è stato possibile ottenere un campionamento di tutto il flusso passante attraverso l'IXP e diretto verso il server di misurazione. È stata eseguita quindi una analisi sugli attacchi misurati passivamente, ricavando il volume del traffico di attacco.
  • 4. 4 Servizi non-VIP Dagli auto-attacchi effettuati è stato possibile determinare i maggiori livelli di traffico per un servizio non-VIP raggiungendo grazie al Booter A, un picco di 7078 Mbps. È stato analizzato anche il numero di riflettori utilizzati che si è scoperto non essere costante, ma variabile a seconda del protocollo utilizzato per l'amplificazione che va ad influire di conseguenza anche sul numero di AS (Autonomous System) coinvolti. Viene studiato, tramite altri auto-attacchi, anche il traffico di peering, ovvero quello passante per l'IXP che permette agli ISP di scambiarsi traffico Internet. Quest'ultimo infatti risulterà molto inferiore passando da un massimo di 7Gbps a meno di 3Gbps. Si è scoperto che gli attacchi più potenti usufruiscono di amplificazione NTP, i quali per l'80% ricevono traffico tramite il collegamento di transito e per il restante 20% traffico tramite peering. Servizi VIP I servizi VIP vengono pubblicizzati molto più dei precedenti portando a un miglioramento delle prestazioni, ma a fronte di un prezzo molto più alto. Vengono infatti promessi tassi di attacco 10 volte più grandi rispetto ai servizi non-VIP, i quali però non vengono rispettati raggiungendo solo il 25% del traffico d'attacco pubblicizzato. Durante le misurazioni è stato scoperto che anche in questo caso il rapporto di traffico NTP tra transito e peering rimane lo stesso dei servizi non-VIP. TRAFFICO DI AMPLIFICAZIONE DDoS La maggior parte degli attacchi DDoS sono stati effettuati dai vari "booter" tramite amplificazione NTP. È stata infatti osservata la distribuzione dei pacchetti passanti per l'IXP prendendo come classificazione ottimista una soglia di 200 byte per pacchetto. Questa classificazione ha permesso di constatare 311 mila destinazioni che hanno ricevuto traffico con riflessione NTP durante il periodo di misurazione.
  • 5. 5 È stato quindi rilevato che ci sono picchi di traffico compresi tra i 5 e i 100 Gbps raggiunti grazie a singole sorgenti di amplificazione, come è possibile constatare anche dal grafico. Per una destinazione si è verificato addirittura un picco di 602 Gbps. La maggior parte degli obiettivi riceve traffico da meno di 5 riflettori ma, man mano che si vanno ad analizzare frequenze di traffico più elevate, sale di molto anche il numero di amplificatori fino ad arrivare addirittura a 8500. L’impatto devastante di questi attacchi DDoS, generati da un gran numero di riflettori, ci lascia perplessi in merito a cosa accadrebbe sul traffico di attacco in generale in seguito alla rimozione di alcuni servizi booter. FBI TAKEDOWN Nel 2018 l'FBI ha sequestrato i domini di 15 siti web "booter" portando a termine una delle più grandi operazioni anti-DDoS degli ultimi anni. Domini Sono state utilizzate delle istantanee settimanali di tutti i domini di tipo .net/.com/.org per andare ad identificare, attraverso l'utilizzo di parole chiave, i siti web "booter". Una volta identificati vengono poi confrontati e classificati mensilmente, in modo da determinarne il rango e quindi la loro posizione in classifica. L'abbattimento è andato a colpire 15 fra i più grandi siti "booter". Alcuni di essi ripresero però ad essere di nuovo in funzione pochi giorni dopo il sequestro.
  • 6. 6 Traffico Per uno studio approfondito sono stati considerati i giorni che vanno dal 30 Settembre al 30 Gennaio 2019. Sono state inoltre analizzate tutte le possibili porte di protocollo sospette tra cui: NTP, Memcached e DNS. L'analisi è cominciata a partire dal traffico verso i riflettori DDoS, in quanto è qui che si sono riscontrati i cambiamenti più significativi. Protocolli di attacco Il primo protocollo affrontato nell'articolo è il protocollo Memcached. Esso è fondamentale nelle applicazioni di attacco DDoS in quanto ha una amplificazione insuperabile rispetto agli altri protocolli. Essendo Memcached una tecnologia popolare progettata per accelerare l’accesso ai siti che eseguono grandi database di applicazioni Web registrando i dati nella RAM, non è previsto che appaia nel normale traffico fra domini. È stato allora assunto che qualsiasi traffico UDP con porta di destinazione Memcached 11211 sia traffico che scorre verso un riflettore DDoS. Viene riscontrata una riduzione significativa per quanto riguarda finestre temporali di 30 e 40 giorni. Il secondo protocollo affrontato è stato il vettore di amplificazione NTP, in quanto molto utilizzato grazie al numero di riflettori NTP liberi. È stato ritenuto valido qualsiasi traffico UDP con porta target 123. Anche in questo caso, nonostante l'alto rumore dovuto alle ipotesi di cui sopra, si notano significative riduzioni del traffico. L'ultimo protocollo esaminato come riflettore DDoS è stato il DNS. Purtroppo, essendo alla base di tutte le richieste di navigazione nel World Wide Web, è stato molto difficile separare le richieste legittime da quelle illegittime. Proprio per questo motivo non si è evidenziato quasi nessuna riduzione del traffico rispetto a prima dell'abbattimento. Nonostante i dati positivi riguardanti i protocolli di attacco, è stato impressionante osservare come non ci siano stati miglioramenti riguardo la situazione delle vittime di DDoS, poichè la struttura di riflettori rimane online ed accessibile a tutti.
  • 7. 7 CONCLUSIONE La ricerca svolta studia per la prima volta gli effetti di un attacco DDoS atrraverso la "lente" di un principale IXP, un ISP di livello 1 e un ISP di livello 2 e mette in luce gli effetti di un abbattimento di 15 servizi "booter" web-based analizzandone le conseguenze. Le considerazioni e le osservazioni fatte sono state svolte al fine di informare gli operatori di rete e le forze dell'ordine del livello crescente di minaccia di questi servizi che, se non abbattuti, possono portare anche al congestionamento di collegamenti peering tra backbone. Considerato che l'articolo è basato solo su parametri prettamente tecnici, ciò motiva la necessità di approfondire gli effetti di questi servizi da parte delle autorità competenti.
  • 8. 8 BIBLIOGRAFIA 1. “DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown”, Daniel Kopp, Matthias Wichtlhuber, Ingmar Poese, Jair Santanna, Oliver Hohlfeld, and Christoph Dietzel, 2019.