1. Attacchi Informatici
Strategie e tecniche per capire, prevenire e proteggersi dagli attacchi della rete
Attacchi DDoS e loro mitigazione
Dott. Marco Gioanola
9 Dicembre 2013
2. Marco Gioanola
• 1997: tesi di laurea su PGP, crittografia asimmetrica
e web of trust
• 1998-’99: Internet banking
• 2000: Firma digitale e certificate authorities
• 2001-’03: Managed Security Services
• 2004-oggi: DDoS Mitigation
• Prima implementazione di sistemi anti-ddos in
Italia
• ISP in Italia, Grecia, Turchia, Medio Oriente
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 2
3. Indice degli argomenti:
• Distributed Denial of Service: tentativo di
definizione e tassonomia
• DDoS Mitigation: una definizione
• Cosa fare: network best practices
• Cosa non fare
• Utilizzo di Intelligent DDoS Mitigation
Systems
• L’approccio multi-livello
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 3
4. DDoS: una definizione?
Wikipedia parla di “an attempt to make a machine or
network resource unavailable to its intended users.”
Una definizione vaga e incompleta.
Machines o Services?
Distributed denial of service.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 4
5. DDoS: una non-definizione?
Servizi o risorse di rete possono essere resi indisponibili
con metodi non classificabili come DDoS.
Exploit di vulnerabilità software
Social engineering
Un’area grigia: crash di sistema.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 5
6. Tecniche di attacco DDoS
Tecniche != “Attacchi”
• Loic, trinoo, xmas tree, r.u.d.y, slowloris...
Le tecniche utilizzate oggi variano col bersaglio
dell’attacco.
Volumetrici, flood-based / “stupidi”, forza bruta
...
Application-based / “intelligenti”
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 6
7. Attacchi volumetrici
Utilizzo di grandi botnet
Utilizzo di server infetti
Reflection / amplification
DNS e non solo
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 7
12. Le dimensioni del problema
100
100
World 2012 Size Break-Out,BPS
Gb/sec
80
<1Gbps
60
40
40
20
49
60
60
24
0.4 1.2 2.5 10 17
>2<5Gbps
>5<10Gbps
0
200220032004
2005 2006
>1<2Gbps
>10<20Gbps
2007 2008
2009 2010
2011 2012
>20Gbps
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 12
13. DDoS Mitigation
Mitigation: “attenuazione, riduzione, mitigazione”
Recupero della disponibilità del servizio
Riduzione del danno
“Prevenzione” del disservizio
La parzialità dell’intervento può riguardare sia le
destinazioni (ad es. recupero dei soli servizi ad alta
priorità) che le sorgenti (ad es. “sacrificio” = “falsi
positivi”; blocco selettivo degli utenti)
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 13
14. DDoS mitigation for dummies
“Does anyone has a good URL (or books/ebooks) documentation on DDoS mitigation
architecture,
technique
and solutions against most common DDoS like:
Volumetric network attacks
Application-layer attacks,
TCP state-exhaustion attacks,
Blacklisting,
Whitelisting,
IP blocking,
Automatic triggering of protection,
Automatic whitelisting of human visitors,
Automatic whitelisting of legitimate bots,
IP reputation network,
Rate limiting,
Progressive challenge mechanism,
Traffic optimization,
CDN plus caching
and Web application firewall?”
NO.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 14
15. Network best practices
Irrobustimento dei router:
• Disabilitare/bloccare protocolli e applicazioni non
utilizzati
• Carrier: Source Address Validation
(RFC2827/BCP38, RFC3701/BCP84)
• Irrobustimento dei protocolli di routing
• Protezione e ridondanza DNS
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 15
16. Apparati di sicurezza tradizionali
Firewall, IPS, Next Generation Firewall, Web
Application Firewalls, ecc. sono parte del
problema, non della soluzione
Soluzioni Stateful / DPI
Rispondono ad altre necessità.
Information Security
Triangle
Non forniscono gli strumenti necessari alla DDoS
mitigation
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 16
17. Tecniche “old school”
Accorgimenti anti-DDoS implementati su server
target sono, tipicamente, futili esercizi.
Ogni meccanismo proxy-based è parte del
problema, non della soluzione, in quanto non fa
semplicemente che spostare il collo di bottiglia
E’ necessario dotarsi di infrastrutture di rete e
capacità moderne, ma allo stesso tempo
l’overprovisioning non è la risposta.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 17
18. Tecniche carrier grade tradizionali
BGP Blackholing, interno/upstream
Utilizzare BGP per scartare tutto il traffico destinato
alla vittima dell’attacco, al fine di salvaguardare
l’infrastruttura di rete
Richiedere il blackhole all’ISP upstream per
decongestionare i link Internet
S/RTBH: Source-based Remote Triggered Black Holing.
Blackholing applicato congiuntamente alle tecniche
uRPF per il blocco selettivo delle sorgenti
Un’evoluzione: Flowspec
Distribuzione di azioni di blocco / ridirezione / rate
limiting tramite BGP
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 18
19. Intelligent DDoS Mitigation Systems (IDMS)
Una soluzione esclusivamente dedicata al problema
DDoS, stateless.
Contromisure
• black-white lists
• rate-based
• comportamentali
• signature-based
Always on / On demand
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 19
20. Contromisure IDMS
•
Bloccare tutto ciò che non è necessario tramite
access lists stateless
•
Profilare e bloccare le sorgenti di traffico in base ai
rate di traffico: bps, pps, requests per second
(HTTP, DNS, VoIP, ecc.)
• il rate limiting (o traffic shaping), sia per sorgente
che per destinazione, non è una contromisura
anti-DDoS, se non come ultima risorsa e al fine di
salvaguardare l’infrastruttura di rete
•
Meccanismi di blacklisting temporaneo.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 20
21. Contromisure IDMS
• Tecniche di anti-spoofing non-proxy-based.
• “Autenticazione” dell’handshake TCP
• meccanismi challenge-response per
l’autenticazione delle richieste UDP
• whitelisting temporaneo delle sorgenti
• Tecniche anti-bot application-layer
• “Autenticazione” delle richieste HTTP
• whitelisting temporaneo delle sorgenti
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 21
22. Contromisure IDMS
• Tecniche di validazione application-layer
• blocco richieste malformate o anomale
• blacklisting temporaneo
• Validazione della fase di negoziazione
protocollare, ad esempio TLS/SSL
• Blocco “DPI” di pattern noti per pacchetto
• tool LOIC-like, botnets, ecc.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 22
23. Tools
Uno strumento di ddos mitigation dovrebbe fornire:
• strumenti non real-time per l’analisi semiautomatica dei pattern (ad es. HTTP, DNS) al fine
di identificare ed estrarre regular expressions
• strumenti statistici di visibilità per protocollo, porta
• strumenti “deep” wireshark-like per l’analisi
manuale dei singoli pacchetti
• Supporto IPv6!
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 23
24. The expendables?
•
Network/Port Address Translation
E’ estremamente difficile applicare contromisure rate-based o anche challenge-response a
sorgenti di traffico “nascoste” dietro apparati di NAT.
Il NAT è male.
•
Proxy
Analogamente, il traffico generato da proxy applicativi è spesso soggetto a NAT e a filtri che
ostacolano la ddos mitigation
•
Content Delivery Networks
Il traffico generato dalle CDN è spesso opaco e fonte di attacchi “riflessi”; è possibile
riconoscerlo (a un certo prezzo)
•
Crawlers
I motori di ricerca, spesso, si comportano come bot. Perché sono bot. E’ possibile riconoscerli
(a un certo prezzo), o sacrificarli durante l’attacco.
•
Mobile
Le implementazioni dello stack TCP/IP sui dispositivi mobili (smartphone, tablet) sono, a
volte, libere interpretazioni delle relative RFC.
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 24
25. Back to... DDoS mitigation for dummies
“Does anyone has a good URL (or books/ebooks) documentation on DDoS
mitigation
architecture,
technique
and solutions against most common DDoS like:
Volumetric network attacks
Application-layer attacks,
TCP state-exhaustion attacks,
Blacklisting,
Whitelisting,
IP blocking,
Automatic triggering of protection,
Automatic whitelisting of human visitors,
Automatic whitelisting of legitimate bots,
IP reputation network,
Rate limiting,
Progressive challenge mechanism,
Traffic optimization,
CDN plus caching
and Web application firewall?”
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 25
26. Approccio multi-livello
La soluzione migliore al problema
DDoS, riconosciuta dal mercato e dagli analisti
consiste nel “fermare gli attacchi al posto giusto”
• Apparato on-premise, inline, always-on, per
mitigation application-layer
• Servizio erogato dall’ISP, on demand, per
mitigation volumetriche
• Servizio “cloud” provider-agnostic, per excess
capacity, clienti multi-homed, connettività
internazionale
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 26
27. Protezione on premise
Data Center Network
Marco Gioanola
Attacchi DDoS e loro mitigazione
9/12/13
pag. 27
Unadefinizionesaràvaga per forza di cose.La definizioneèincompletaperché non consideral’aspetto “distributed”; la dicitura “machines” èriduttiva: services?Cosasignifica “distributed”? significa solo “volumetrico”? non solo. Molteplicità di sorgenti (con diversiordini di grandezza); volumi; spoofing di indirizzi IP.
Questecasistiche ci dimostranoche la definizione di DDoS dipende non tantodall’effettocausatodall’attacco, ma dalletecnicheutilizzate per lanciarlo.
Parliamo di “tecniche” in sensoampio e non di “attacchi”E’ inutile cercare di categorizzarei DDoS in termini dei tool utilizzati per lanciaregliattacchi; è come cercare di categorizzareiconfllitti a fuoco in termini dellamarca di pistolautilizzata.“Qualiattacchiriuscite a mitigare” èunadomandaricorrenteed ERRATA, derivante da una forma mentis tradizionale, IPS, signatures, non applicabile al DDoS.Antivirus e IPS hannofallito la lororincorsaallenuovetecnichesviluppatedagliattaccanti.Esistonovariegradazioni di “intelligenza” / sofisticazionedegliattacchi.
I “ddosinvolontari” causati da altaaffluenza al sito.
La “mitigation” puòessereintesa a diversilivelli di efficaciad’intervento: dal semplicerecupero (ancheparziale) dellefunzionalità del servizioallagaranzia di non-disservizio.
Malware analysis, sandboxing, ecc. non riguardanoil DDoS.Firewalls are policy-enforcement devices – they can’t help with DDoS, and in most cases, the policies applied to the firewalls have been devised with no visibility into network traffic, so the firewall rules bear little relation to what should actually be permitted and denied. IDS/’IPS’ are by definition always behind the attackers – in order to have a signature for something, you must have seen it before. IDS/’IPS’ have proven to be totally ineffective at dealing with application-layer compromises, which is how most hosts are botted and used for DDoS, spam, corporate espionage, identity theft, theft of intellectual property, etc. Firewalls & IDS/’IPS’ output reams of syslog which lacks context, and which nobody analyzes. It is almost impossible to relate this syslog output to network behaviors. End-customers subscribe to traditional managed security services based on firewalls and IDS/’IPS’, and still get compromised! Firewall & IDS/’IPS’ deployments cause performance & usability problems, and don’t scale, shouldn’t be deployed in front of servers!
Interventi “anti-ddos” sui server (ad es. implementazione di syn-cookie o tecniche di proxy) proposti da un approccio “old-school” precedentealladisponibilità di apparatispecifici anti-ddos non fornisconoprotezioneadeguatarispettoall’effortnecessarioall’implementazione e al rischio di errori o utilizzierrati.L’overprovisioning di risorse di rete o di CPU non scalaeconomicamente e non riescecomunque a sostenerel’incremento di capacitàdegliattacchi.
IlBlackholingclassico, a tuttiglieffetti, completal’attacco DDoS, rendendocompletamenteirraggiungibile la vittima.Il S/RTBH risultaspessocomplesso da implementare e operare.
Esistono 254 protocolli e 65535 portechespesso non vengonofiltratiopportunamente.E’ inutile continuare a tracciare in tempo realeicomportamenti di sorgentichesono state identificati come attaccanti: blacklisting temporaneo e controlliperiodici.
In sede di ddos mitigation èpossibileutilizzaretecnichestatistiche per bloccare ad esempio, non solo le richieste malformed da un punto di vista strettamenteprotocollare, ma anchequellerichiesteanomaleche ad esempio non presentano header invece non-mandatory presentinellamaggior parte dellerichiestelegittimeIl temadell’ispezione SSL meritaunadiscussione a parte.