"Qui si fa il ponte!" La storia di un’innovativa opera in cemento armato: il ...
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
1. UNIVERSITÀ DEGLI STUDI DI TRIESTE
Dipartimento di Ingegneria e Architettura
Corso di studi: Ingegneria Elettronica e Informatica
Summary of "DDoS Hide & Seek: On the
Effectiveness of a Booter Services Takedown"
Tesi di Laurea Triennale
AA. 2019-2020
Laureando: Relatore:
Leandro DI LAURO prof. Alberto BARTOLI
3. 3
INTRODUZIONE
Negli ultimi anni gli attacchi DDoS (Distributed Denial-of-Service) sono diventati una
grave minaccia per qualsiasi operazione effettuata in Internet. Il loro obbiettivo è infatti
quello di interrompere dei servizi andando a consumare più risorse di quelle
effettivamente disponibili. Il motivo di questi attacchi, che con il passare degli anni
stanno aumentando di raffinatezza e dimensione, spazia su più ambiti.
I servizi che forniscono attacchi DDoS vengono chiamati "booters" o anche "stressers" i
quali, tramite una interfaccia molto semplice, permettono a chiunque di lanciare
attacchi anche a basso costo.
L'articolo preso in esame (1) si pone quindi l'obiettivo di andare ad analizzare a fondo le
caratteristiche degli attacchi "booter", fornendo una panoramica delle minacce in
Internet attraverso l'utilizzo di un IXP, un ISP di livello 1 e un ISP di livello 2. Alla fine
di quest'ultimo, verrà poi analizzata anche l'efficacia di un importante abbattimento
mirato a 15 servizi "booter" da parte dell'FBI risalente a dicembre 2018.
ANALISI
Al fine di analizzare in maniera dettagliata l'impatto degli attacchi DDoS sono stati
selezionati quattro fra i più grandi "booter" in circolazione, acquistando sia servizi a
pagamento VIP, ma anche servizi meno costosi non VIP. Tutte le misurazioni sono poi
state effettuate lanciando attacchi contro l'infrastruttura di misurazione.
Approccio dell'auto-attacco
Per l'analisi in questione viene usufruito
un importante IXP, infrastruttura che
permette a vari Internet provider (ISP) di
scambiare traffico Internet fra loro, dal
quale è stato possibile ottenere un
campionamento di tutto il flusso passante
attraverso l'IXP e diretto verso il server di
misurazione. È stata eseguita quindi una
analisi sugli attacchi misurati
passivamente, ricavando il volume del
traffico di attacco.
4. 4
Servizi non-VIP
Dagli auto-attacchi effettuati è stato possibile determinare i maggiori livelli di traffico
per un servizio non-VIP raggiungendo grazie al Booter A, un picco di 7078 Mbps. È stato
analizzato anche il numero di riflettori utilizzati che si è scoperto non essere costante,
ma variabile a seconda del protocollo utilizzato per l'amplificazione che va ad influire di
conseguenza anche sul numero di AS (Autonomous System) coinvolti.
Viene studiato, tramite altri auto-attacchi, anche il traffico di peering, ovvero quello
passante per l'IXP che permette agli ISP di scambiarsi traffico Internet. Quest'ultimo
infatti risulterà molto inferiore passando da un massimo di 7Gbps a meno di 3Gbps.
Si è scoperto che gli attacchi più potenti usufruiscono di amplificazione NTP, i quali per
l'80% ricevono traffico tramite il collegamento di transito e per il restante 20% traffico
tramite peering.
Servizi VIP
I servizi VIP vengono pubblicizzati molto più dei precedenti portando a un
miglioramento delle prestazioni, ma a fronte di un prezzo molto più alto. Vengono
infatti promessi tassi di attacco 10 volte più grandi rispetto ai servizi non-VIP, i quali
però non vengono rispettati raggiungendo solo il 25% del traffico d'attacco
pubblicizzato.
Durante le misurazioni è stato scoperto che anche in questo caso il rapporto di traffico
NTP tra transito e peering rimane lo stesso dei servizi non-VIP.
TRAFFICO DI AMPLIFICAZIONE DDoS
La maggior parte degli attacchi DDoS sono stati effettuati dai vari "booter" tramite
amplificazione NTP. È stata infatti osservata la distribuzione dei pacchetti passanti per
l'IXP prendendo come classificazione ottimista una soglia di 200 byte per pacchetto.
Questa classificazione ha permesso di constatare 311 mila destinazioni che hanno
ricevuto traffico con riflessione NTP durante il periodo di misurazione.
5. 5
È stato quindi rilevato che ci
sono picchi di traffico compresi
tra i 5 e i 100 Gbps raggiunti
grazie a singole sorgenti di
amplificazione, come è
possibile constatare anche dal
grafico. Per una destinazione si
è verificato addirittura un
picco di 602 Gbps.
La maggior parte degli obiettivi
riceve traffico da meno di 5
riflettori ma, man mano che si
vanno ad analizzare frequenze
di traffico più elevate, sale di
molto anche il numero di
amplificatori fino ad arrivare addirittura a 8500.
L’impatto devastante di questi attacchi DDoS, generati da un gran numero di riflettori,
ci lascia perplessi in merito a cosa accadrebbe sul traffico di attacco in generale in
seguito alla rimozione di alcuni servizi booter.
FBI TAKEDOWN
Nel 2018 l'FBI ha sequestrato i domini di 15 siti web "booter" portando a termine una
delle più grandi operazioni anti-DDoS degli ultimi anni.
Domini
Sono state utilizzate delle istantanee settimanali di tutti i domini di tipo .net/.com/.org
per andare ad identificare, attraverso l'utilizzo di parole chiave, i siti web "booter". Una
volta identificati vengono poi confrontati e classificati mensilmente, in modo da
determinarne il rango e quindi la loro posizione in classifica.
L'abbattimento è andato a colpire 15 fra i più grandi siti "booter". Alcuni di essi
ripresero però ad essere di nuovo in funzione pochi giorni dopo il sequestro.
6. 6
Traffico
Per uno studio approfondito sono stati considerati i giorni che vanno dal 30 Settembre
al 30 Gennaio 2019. Sono state inoltre analizzate tutte le possibili porte di protocollo
sospette tra cui: NTP, Memcached e DNS.
L'analisi è cominciata a partire dal traffico verso i riflettori DDoS, in quanto è qui che si
sono riscontrati i cambiamenti più significativi.
Protocolli di attacco
Il primo protocollo affrontato nell'articolo è il protocollo Memcached. Esso è
fondamentale nelle applicazioni di attacco DDoS in quanto ha una amplificazione
insuperabile rispetto agli altri protocolli.
Essendo Memcached una tecnologia popolare progettata per accelerare l’accesso ai siti
che eseguono grandi database di applicazioni Web registrando i dati nella RAM, non è
previsto che appaia nel normale traffico fra domini. È stato allora assunto che qualsiasi
traffico UDP con porta di destinazione Memcached 11211 sia traffico che scorre verso
un riflettore DDoS.
Viene riscontrata una riduzione significativa per quanto riguarda finestre temporali di
30 e 40 giorni.
Il secondo protocollo affrontato è stato il vettore di amplificazione NTP, in quanto
molto utilizzato grazie al numero di riflettori NTP liberi.
È stato ritenuto valido qualsiasi traffico UDP con porta target 123. Anche in questo
caso, nonostante l'alto rumore dovuto alle ipotesi di cui sopra, si notano significative
riduzioni del traffico.
L'ultimo protocollo esaminato come riflettore DDoS è stato il DNS. Purtroppo, essendo
alla base di tutte le richieste di navigazione nel World Wide Web, è stato molto difficile
separare le richieste legittime da quelle illegittime. Proprio per questo motivo non si è
evidenziato quasi nessuna riduzione del traffico rispetto a prima dell'abbattimento.
Nonostante i dati positivi riguardanti i protocolli di attacco, è stato impressionante
osservare come non ci siano stati miglioramenti riguardo la situazione delle vittime di
DDoS, poichè la struttura di riflettori rimane online ed accessibile a tutti.
7. 7
CONCLUSIONE
La ricerca svolta studia per la prima volta gli effetti di un attacco DDoS atrraverso la
"lente" di un principale IXP, un ISP di livello 1 e un ISP di livello 2 e mette in luce gli
effetti di un abbattimento di 15 servizi "booter" web-based analizzandone le
conseguenze.
Le considerazioni e le osservazioni fatte sono state svolte al fine di informare gli
operatori di rete e le forze dell'ordine del livello crescente di minaccia di questi servizi
che, se non abbattuti, possono portare anche al congestionamento di collegamenti
peering tra backbone.
Considerato che l'articolo è basato solo su parametri prettamente tecnici, ciò motiva la
necessità di approfondire gli effetti di questi servizi da parte delle autorità competenti.
8. 8
BIBLIOGRAFIA
1. “DDoS Hide & Seek: On the Effectiveness of a Booter Services Takedown”, Daniel
Kopp, Matthias Wichtlhuber, Ingmar Poese, Jair Santanna, Oliver Hohlfeld, and
Christoph Dietzel, 2019.