SlideShare a Scribd company logo

Attacchi ddos e loro mitigazione 2013

Marco Gioanola
Marco Gioanola

Presentazione introduttiva del concetto di DDoS Mitigation Ordine degli Ingegneri di Roma.

Technology
1 of 30
Attacchi Informatici Strategie e tecniche per capire, prevenire e proteggersi dagli attacchi della rete Attacchi DDoS e loro mitigazione Dott. Marco Gioanola 9 Dicembre 2013
Marco Gioanola • 1997: tesi di laurea su PGP, crittografia asimmetrica e web of trust • 1998-’99: Internet banking • 2000: Firma digitale e certificate authorities • 2001-’03: Managed Security Services • 2004-oggi: DDoS Mitigation • Prima implementazione di sistemi anti-ddos in Italia • ISP in Italia, Grecia, Turchia, Medio Oriente Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 2
Indice degli argomenti: • Distributed Denial of Service: tentativo di definizione e tassonomia • DDoS Mitigation: una definizione • Cosa fare: network best practices • Cosa non fare • Utilizzo di Intelligent DDoS Mitigation Systems • L’approccio multi-livello Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 3
DDoS: una definizione? Wikipedia parla di “an attempt to make a machine or network resource unavailable to its intended users.” Una definizione vaga e incompleta. Machines o Services? Distributed denial of service. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 4
DDoS: una non-definizione? Servizi o risorse di rete possono essere resi indisponibili con metodi non classificabili come DDoS. Exploit di vulnerabilità software Social engineering Un’area grigia: crash di sistema. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 5
Tecniche di attacco DDoS Tecniche != “Attacchi” • Loic, trinoo, xmas tree, r.u.d.y, slowloris... Le tecniche utilizzate oggi variano col bersaglio dell’attacco. Volumetrici, flood-based / “stupidi”, forza bruta ... Application-based / “intelligenti” Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 6
Attacchi volumetrici Utilizzo di grandi botnet Utilizzo di server infetti Reflection / amplification DNS e non solo Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 7
Attacchi application-based Botnet avanzate Attacchi volontari Anonymous-style Attacchi “slow” Flash crowd Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 8
Le dimensioni del problema 100 100 90 80 Gb/sec 70 60 60 50 60 49 40 40 30 24 20 10 0.4 1.2 2.5 10 17 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 Largest/longest reported DDoS attack, Worldwide infrastructure security report, 2002 to 2012. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 9
Attacco a Spamhaus, Marzo 2013 Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 10
Durata degli attacchi Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 11
Le dimensioni del problema 100 100 World 2012 Size Break-Out,BPS Gb/sec 80 <1Gbps 60 40 40 20 49 60 60 24 0.4 1.2 2.5 10 17 >2<5Gbps >5<10Gbps 0 200220032004 2005 2006 >1<2Gbps >10<20Gbps 2007 2008 2009 2010 2011 2012 >20Gbps Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 12
DDoS Mitigation Mitigation: “attenuazione, riduzione, mitigazione” Recupero della disponibilità del servizio Riduzione del danno “Prevenzione” del disservizio La parzialità dell’intervento può riguardare sia le destinazioni (ad es. recupero dei soli servizi ad alta priorità) che le sorgenti (ad es. “sacrificio” = “falsi positivi”; blocco selettivo degli utenti) Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 13
DDoS mitigation for dummies “Does anyone has a good URL (or books/ebooks) documentation on DDoS mitigation architecture, technique and solutions against most common DDoS like: Volumetric network attacks Application-layer attacks, TCP state-exhaustion attacks, Blacklisting, Whitelisting, IP blocking, Automatic triggering of protection, Automatic whitelisting of human visitors, Automatic whitelisting of legitimate bots, IP reputation network, Rate limiting, Progressive challenge mechanism, Traffic optimization, CDN plus caching and Web application firewall?” NO. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 14
Network best practices Irrobustimento dei router: • Disabilitare/bloccare protocolli e applicazioni non utilizzati • Carrier: Source Address Validation (RFC2827/BCP38, RFC3701/BCP84) • Irrobustimento dei protocolli di routing • Protezione e ridondanza DNS Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 15
Apparati di sicurezza tradizionali Firewall, IPS, Next Generation Firewall, Web Application Firewalls, ecc. sono parte del problema, non della soluzione Soluzioni Stateful / DPI Rispondono ad altre necessità. Information Security Triangle Non forniscono gli strumenti necessari alla DDoS mitigation Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 16
Tecniche “old school” Accorgimenti anti-DDoS implementati su server target sono, tipicamente, futili esercizi. Ogni meccanismo proxy-based è parte del problema, non della soluzione, in quanto non fa semplicemente che spostare il collo di bottiglia E’ necessario dotarsi di infrastrutture di rete e capacità moderne, ma allo stesso tempo l’overprovisioning non è la risposta. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 17
Tecniche carrier grade tradizionali BGP Blackholing, interno/upstream Utilizzare BGP per scartare tutto il traffico destinato alla vittima dell’attacco, al fine di salvaguardare l’infrastruttura di rete Richiedere il blackhole all’ISP upstream per decongestionare i link Internet S/RTBH: Source-based Remote Triggered Black Holing. Blackholing applicato congiuntamente alle tecniche uRPF per il blocco selettivo delle sorgenti Un’evoluzione: Flowspec Distribuzione di azioni di blocco / ridirezione / rate limiting tramite BGP Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 18
Intelligent DDoS Mitigation Systems (IDMS) Una soluzione esclusivamente dedicata al problema DDoS, stateless. Contromisure • black-white lists • rate-based • comportamentali • signature-based Always on / On demand Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 19
Contromisure IDMS • Bloccare tutto ciò che non è necessario tramite access lists stateless • Profilare e bloccare le sorgenti di traffico in base ai rate di traffico: bps, pps, requests per second (HTTP, DNS, VoIP, ecc.) • il rate limiting (o traffic shaping), sia per sorgente che per destinazione, non è una contromisura anti-DDoS, se non come ultima risorsa e al fine di salvaguardare l’infrastruttura di rete • Meccanismi di blacklisting temporaneo. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 20
Contromisure IDMS • Tecniche di anti-spoofing non-proxy-based. • “Autenticazione” dell’handshake TCP • meccanismi challenge-response per l’autenticazione delle richieste UDP • whitelisting temporaneo delle sorgenti • Tecniche anti-bot application-layer • “Autenticazione” delle richieste HTTP • whitelisting temporaneo delle sorgenti Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 21
Contromisure IDMS • Tecniche di validazione application-layer • blocco richieste malformate o anomale • blacklisting temporaneo • Validazione della fase di negoziazione protocollare, ad esempio TLS/SSL • Blocco “DPI” di pattern noti per pacchetto • tool LOIC-like, botnets, ecc. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 22
Tools Uno strumento di ddos mitigation dovrebbe fornire: • strumenti non real-time per l’analisi semiautomatica dei pattern (ad es. HTTP, DNS) al fine di identificare ed estrarre regular expressions • strumenti statistici di visibilità per protocollo, porta • strumenti “deep” wireshark-like per l’analisi manuale dei singoli pacchetti • Supporto IPv6! Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 23
The expendables? • Network/Port Address Translation E’ estremamente difficile applicare contromisure rate-based o anche challenge-response a sorgenti di traffico “nascoste” dietro apparati di NAT. Il NAT è male. • Proxy Analogamente, il traffico generato da proxy applicativi è spesso soggetto a NAT e a filtri che ostacolano la ddos mitigation • Content Delivery Networks Il traffico generato dalle CDN è spesso opaco e fonte di attacchi “riflessi”; è possibile riconoscerlo (a un certo prezzo) • Crawlers I motori di ricerca, spesso, si comportano come bot. Perché sono bot. E’ possibile riconoscerli (a un certo prezzo), o sacrificarli durante l’attacco. • Mobile Le implementazioni dello stack TCP/IP sui dispositivi mobili (smartphone, tablet) sono, a volte, libere interpretazioni delle relative RFC. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 24
Back to... DDoS mitigation for dummies “Does anyone has a good URL (or books/ebooks) documentation on DDoS mitigation architecture, technique and solutions against most common DDoS like: Volumetric network attacks Application-layer attacks, TCP state-exhaustion attacks, Blacklisting, Whitelisting, IP blocking, Automatic triggering of protection, Automatic whitelisting of human visitors, Automatic whitelisting of legitimate bots, IP reputation network, Rate limiting, Progressive challenge mechanism, Traffic optimization, CDN plus caching and Web application firewall?” Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 25
Approccio multi-livello La soluzione migliore al problema DDoS, riconosciuta dal mercato e dagli analisti consiste nel “fermare gli attacchi al posto giusto” • Apparato on-premise, inline, always-on, per mitigation application-layer • Servizio erogato dall’ISP, on demand, per mitigation volumetriche • Servizio “cloud” provider-agnostic, per excess capacity, clienti multi-homed, connettività internazionale Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 26
Protezione on premise Data Center Network Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 27
Protezione ISP Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 28
Protezione “cloud” DNS redirection BGP redirection ISP ISP Pravail APS Pravail APS Enterprise Network Enterprise Network Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 29
GRAZIE mgioanola@arbor.net Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 30

Recommended

DDoS: le dimensioni del problema
DDoS: le dimensioni del problemaDDoS: le dimensioni del problema
DDoS: le dimensioni del problemaMarco Gioanola
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)netWork S.a.s
 
Attacchi ddos e loro mitigazione 2014
Attacchi ddos e loro mitigazione 2014Attacchi ddos e loro mitigazione 2014
Attacchi ddos e loro mitigazione 2014Marco Gioanola
 
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureStefano Dindo
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
Gestione centralizzata delle reti WLAN
Gestione centralizzata delle reti WLANGestione centralizzata delle reti WLAN
Gestione centralizzata delle reti WLANTanaza
 
Risk management - I Crediti
Risk management - I CreditiRisk management - I Crediti
Risk management - I CreditiManager.it
 
Aron Ralston: Colorado River Delta Restoration
Aron Ralston: Colorado River Delta RestorationAron Ralston: Colorado River Delta Restoration
Aron Ralston: Colorado River Delta RestorationAron Ralston
 

Recommended

DDoS: le dimensioni del problema
DDoS: le dimensioni del problemaDDoS: le dimensioni del problema
DDoS: le dimensioni del problemaMarco Gioanola
 
Seqrite utm(ita)
Seqrite utm(ita)Seqrite utm(ita)
Seqrite utm(ita)netWork S.a.s
 
Attacchi ddos e loro mitigazione 2014
Attacchi ddos e loro mitigazione 2014Attacchi ddos e loro mitigazione 2014
Attacchi ddos e loro mitigazione 2014Marco Gioanola
 
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureStefano Dindo
 
Network Monitoring e Nagios®
Network Monitoring e Nagios®Network Monitoring e Nagios®
Network Monitoring e Nagios®Nicholas Pocher
 
Gestione centralizzata delle reti WLAN
Gestione centralizzata delle reti WLANGestione centralizzata delle reti WLAN
Gestione centralizzata delle reti WLANTanaza
 
Risk management - I Crediti
Risk management - I CreditiRisk management - I Crediti
Risk management - I CreditiManager.it
 
Aron Ralston: Colorado River Delta Restoration
Aron Ralston: Colorado River Delta RestorationAron Ralston: Colorado River Delta Restoration
Aron Ralston: Colorado River Delta RestorationAron Ralston
 
مڇي جا عجائبات
مڇي جا عجائباتمڇي جا عجائبات
مڇي جا عجائباتIlyas Qadri Ziaee
 
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...Margherita Di Leo
 
Il Ponte di Catanzaro: la matematica di un'opera d'arte
Il Ponte di Catanzaro: la matematica di un'opera d'arteIl Ponte di Catanzaro: la matematica di un'opera d'arte
Il Ponte di Catanzaro: la matematica di un'opera d'arteNicola Chiriano
 
Biblioteche e social media
Biblioteche e social mediaBiblioteche e social media
Biblioteche e social mediaChiara Alboni
 
Bolognesi slides originali
Bolognesi slides originaliBolognesi slides originali
Bolognesi slides originaliHelga Sanna
 
Genetica 03
Genetica 03Genetica 03
Genetica 03Genetica, Ferrara University, Italy
 
6 Inoltro Instradamento
6 Inoltro Instradamento6 Inoltro Instradamento
6 Inoltro Instradamentoacapone
 
Determinazione di morte con criteri neurologici (Brain Death)
Determinazione di morte con criteri neurologici (Brain Death)Determinazione di morte con criteri neurologici (Brain Death)
Determinazione di morte con criteri neurologici (Brain Death)Network Trapianti
 
Scm & operations scorte risorse lean mrp
Scm & operations scorte risorse lean mrp Scm & operations scorte risorse lean mrp
Scm & operations scorte risorse lean mrp Gandolfo Dominici
 
Longest Common Subsequence (LCS) Algorithm
Longest Common Subsequence (LCS) AlgorithmLongest Common Subsequence (LCS) Algorithm
Longest Common Subsequence (LCS) AlgorithmDarshit Metaliya
 
Screening colorettale in provincia di como
Screening colorettale in provincia di comoScreening colorettale in provincia di como
Screening colorettale in provincia di comoAndrea Favara
 
Progetto Eurovelo 8
Progetto Eurovelo 8Progetto Eurovelo 8
Progetto Eurovelo 8Alessandro Pastacci
 
Study: The Future of VR, AR and Self-Driving Cars
Study: The Future of VR, AR and Self-Driving CarsStudy: The Future of VR, AR and Self-Driving Cars
Study: The Future of VR, AR and Self-Driving CarsLinkedIn
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerLuminary Labs
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
 
TEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkTEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkVolker Hirsch
 
Build Features, Not Apps
Build Features, Not AppsBuild Features, Not Apps
Build Features, Not AppsNatasha Murashev
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"LeandroDiLauro1
 
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...AreaNetworking.it
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"LeandroDiLauro1
 
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Marco Guardigli
 

More Related Content

Viewers also liked

Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...Margherita Di Leo
 
Il Ponte di Catanzaro: la matematica di un'opera d'arte
Il Ponte di Catanzaro: la matematica di un'opera d'arteIl Ponte di Catanzaro: la matematica di un'opera d'arte
Il Ponte di Catanzaro: la matematica di un'opera d'arteNicola Chiriano
 
Biblioteche e social media
Biblioteche e social mediaBiblioteche e social media
Biblioteche e social mediaChiara Alboni
 
Bolognesi slides originali
Bolognesi slides originaliBolognesi slides originali
Bolognesi slides originaliHelga Sanna
 
6 Inoltro Instradamento
6 Inoltro Instradamento6 Inoltro Instradamento
6 Inoltro Instradamentoacapone
 
Determinazione di morte con criteri neurologici (Brain Death)
Determinazione di morte con criteri neurologici (Brain Death)Determinazione di morte con criteri neurologici (Brain Death)
Determinazione di morte con criteri neurologici (Brain Death)Network Trapianti
 
Scm & operations scorte risorse lean mrp
Scm & operations scorte risorse lean mrp Scm & operations scorte risorse lean mrp
Scm & operations scorte risorse lean mrp Gandolfo Dominici
 
Longest Common Subsequence (LCS) Algorithm
Longest Common Subsequence (LCS) AlgorithmLongest Common Subsequence (LCS) Algorithm
Longest Common Subsequence (LCS) AlgorithmDarshit Metaliya
 
Screening colorettale in provincia di como
Screening colorettale in provincia di comoScreening colorettale in provincia di como
Screening colorettale in provincia di comoAndrea Favara
 
Study: The Future of VR, AR and Self-Driving Cars
Study: The Future of VR, AR and Self-Driving CarsStudy: The Future of VR, AR and Self-Driving Cars
Study: The Future of VR, AR and Self-Driving CarsLinkedIn
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerLuminary Labs
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017Drift
 
TEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkTEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkVolker Hirsch
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 

Viewers also liked (18)

مڇي جا عجائبات
مڇي جا عجائباتمڇي جا عجائبات
مڇي جا عجائبات
 
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
Convegno “Sicurezza informatica e strumenti GIS Free e Open Source per l’Inge...
 
Il Ponte di Catanzaro: la matematica di un'opera d'arte
Il Ponte di Catanzaro: la matematica di un'opera d'arteIl Ponte di Catanzaro: la matematica di un'opera d'arte
Il Ponte di Catanzaro: la matematica di un'opera d'arte
 
Biblioteche e social media
Biblioteche e social mediaBiblioteche e social media
Biblioteche e social media
 
Bolognesi slides originali
Bolognesi slides originaliBolognesi slides originali
Bolognesi slides originali
 
Genetica 03
Genetica 03Genetica 03
Genetica 03
 
6 Inoltro Instradamento
6 Inoltro Instradamento6 Inoltro Instradamento
6 Inoltro Instradamento
 
Determinazione di morte con criteri neurologici (Brain Death)
Determinazione di morte con criteri neurologici (Brain Death)Determinazione di morte con criteri neurologici (Brain Death)
Determinazione di morte con criteri neurologici (Brain Death)
 
Scm & operations scorte risorse lean mrp
Scm & operations scorte risorse lean mrp Scm & operations scorte risorse lean mrp
Scm & operations scorte risorse lean mrp
 
Longest Common Subsequence (LCS) Algorithm
Longest Common Subsequence (LCS) AlgorithmLongest Common Subsequence (LCS) Algorithm
Longest Common Subsequence (LCS) Algorithm
 
Screening colorettale in provincia di como
Screening colorettale in provincia di comoScreening colorettale in provincia di como
Screening colorettale in provincia di como
 
Progetto Eurovelo 8
Progetto Eurovelo 8Progetto Eurovelo 8
Progetto Eurovelo 8
 
Study: The Future of VR, AR and Self-Driving Cars
Study: The Future of VR, AR and Self-Driving CarsStudy: The Future of VR, AR and Self-Driving Cars
Study: The Future of VR, AR and Self-Driving Cars
 
Hype vs. Reality: The AI Explainer
Hype vs. Reality: The AI ExplainerHype vs. Reality: The AI Explainer
Hype vs. Reality: The AI Explainer
 
3 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 20173 Things Every Sales Team Needs to Be Thinking About in 2017
3 Things Every Sales Team Needs to Be Thinking About in 2017
 
TEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of WorkTEDx Manchester: AI & The Future of Work
TEDx Manchester: AI & The Future of Work
 
Build Features, Not Apps
Build Features, Not AppsBuild Features, Not Apps
Build Features, Not Apps
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your Niche
 

Similar to Attacchi ddos e loro mitigazione 2013

Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"LeandroDiLauro1
 
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...AreaNetworking.it
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"LeandroDiLauro1
 
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Marco Guardigli
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersiDIALOGHI
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Ruggero Tonelli
 
Mobile+network intervento polimi
Mobile+network intervento polimiMobile+network intervento polimi
Mobile+network intervento polimiGiovanni Rota
 
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione S.info Srl
 
Smau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paternoSmau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paternoSMAU
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Cloud computing & ICT for development
Cloud computing & ICT for developmentCloud computing & ICT for development
Cloud computing & ICT for developmentRoberto Polillo
 
Il Dirigente Scolastico e le TIC
Il Dirigente Scolastico e le TICIl Dirigente Scolastico e le TIC
Il Dirigente Scolastico e le TICRoberto Mastri
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...qlsrl
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013ConsulPartner iSrl
 
Smau Milano 2016 - Newen
Smau Milano 2016 - NewenSmau Milano 2016 - Newen
Smau Milano 2016 - NewenSMAU
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Giuseppe Vizzari
 

Similar to Attacchi ddos e loro mitigazione 2013 (20)

Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
 
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra tele...
 
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
Summary of "DDoS Hide & Seek: On the Effectivness of a Booter Services Takedown"
 
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
Sogei - Guardigli Disaster Recovery E Business Continuity Nella It Nov 2006v2
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09
 
Mobile+network intervento polimi
Mobile+network intervento polimiMobile+network intervento polimi
Mobile+network intervento polimi
 
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione
 
Smau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paternoSmau milano 2012 giuseppe paterno
Smau milano 2012 giuseppe paterno
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
 
Cloud computing & ICT for development
Cloud computing & ICT for developmentCloud computing & ICT for development
Cloud computing & ICT for development
 
Cloud e big data
Cloud e big dataCloud e big data
Cloud e big data
 
Il Dirigente Scolastico e le TIC
Il Dirigente Scolastico e le TICIl Dirigente Scolastico e le TIC
Il Dirigente Scolastico e le TIC
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
 
Presentazione Tesi
Presentazione TesiPresentazione Tesi
Presentazione Tesi
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013
 
Smau Milano 2016 - Newen
Smau Milano 2016 - NewenSmau Milano 2016 - Newen
Smau Milano 2016 - Newen
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
 
Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19Introduzione a Internet (1/2) - 18/19
Introduzione a Internet (1/2) - 18/19
 

Attacchi ddos e loro mitigazione 2013

  • 1. Attacchi Informatici Strategie e tecniche per capire, prevenire e proteggersi dagli attacchi della rete Attacchi DDoS e loro mitigazione Dott. Marco Gioanola 9 Dicembre 2013
  • 2. Marco Gioanola • 1997: tesi di laurea su PGP, crittografia asimmetrica e web of trust • 1998-’99: Internet banking • 2000: Firma digitale e certificate authorities • 2001-’03: Managed Security Services • 2004-oggi: DDoS Mitigation • Prima implementazione di sistemi anti-ddos in Italia • ISP in Italia, Grecia, Turchia, Medio Oriente Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 2
  • 3. Indice degli argomenti: • Distributed Denial of Service: tentativo di definizione e tassonomia • DDoS Mitigation: una definizione • Cosa fare: network best practices • Cosa non fare • Utilizzo di Intelligent DDoS Mitigation Systems • L’approccio multi-livello Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 3
  • 4. DDoS: una definizione? Wikipedia parla di “an attempt to make a machine or network resource unavailable to its intended users.” Una definizione vaga e incompleta. Machines o Services? Distributed denial of service. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 4
  • 5. DDoS: una non-definizione? Servizi o risorse di rete possono essere resi indisponibili con metodi non classificabili come DDoS. Exploit di vulnerabilità software Social engineering Un’area grigia: crash di sistema. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 5
  • 6. Tecniche di attacco DDoS Tecniche != “Attacchi” • Loic, trinoo, xmas tree, r.u.d.y, slowloris... Le tecniche utilizzate oggi variano col bersaglio dell’attacco. Volumetrici, flood-based / “stupidi”, forza bruta ... Application-based / “intelligenti” Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 6
  • 7. Attacchi volumetrici Utilizzo di grandi botnet Utilizzo di server infetti Reflection / amplification DNS e non solo Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 7
  • 8. Attacchi application-based Botnet avanzate Attacchi volontari Anonymous-style Attacchi “slow” Flash crowd Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 8
  • 9. Le dimensioni del problema 100 100 90 80 Gb/sec 70 60 60 50 60 49 40 40 30 24 20 10 0.4 1.2 2.5 10 17 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 Largest/longest reported DDoS attack, Worldwide infrastructure security report, 2002 to 2012. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 9
  • 10. Attacco a Spamhaus, Marzo 2013 Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 10
  • 11. Durata degli attacchi Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 11
  • 12. Le dimensioni del problema 100 100 World 2012 Size Break-Out,BPS Gb/sec 80 <1Gbps 60 40 40 20 49 60 60 24 0.4 1.2 2.5 10 17 >2<5Gbps >5<10Gbps 0 200220032004 2005 2006 >1<2Gbps >10<20Gbps 2007 2008 2009 2010 2011 2012 >20Gbps Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 12
  • 13. DDoS Mitigation Mitigation: “attenuazione, riduzione, mitigazione” Recupero della disponibilità del servizio Riduzione del danno “Prevenzione” del disservizio La parzialità dell’intervento può riguardare sia le destinazioni (ad es. recupero dei soli servizi ad alta priorità) che le sorgenti (ad es. “sacrificio” = “falsi positivi”; blocco selettivo degli utenti) Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 13
  • 14. DDoS mitigation for dummies “Does anyone has a good URL (or books/ebooks) documentation on DDoS mitigation architecture, technique and solutions against most common DDoS like: Volumetric network attacks Application-layer attacks, TCP state-exhaustion attacks, Blacklisting, Whitelisting, IP blocking, Automatic triggering of protection, Automatic whitelisting of human visitors, Automatic whitelisting of legitimate bots, IP reputation network, Rate limiting, Progressive challenge mechanism, Traffic optimization, CDN plus caching and Web application firewall?” NO. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 14
  • 15. Network best practices Irrobustimento dei router: • Disabilitare/bloccare protocolli e applicazioni non utilizzati • Carrier: Source Address Validation (RFC2827/BCP38, RFC3701/BCP84) • Irrobustimento dei protocolli di routing • Protezione e ridondanza DNS Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 15
  • 16. Apparati di sicurezza tradizionali Firewall, IPS, Next Generation Firewall, Web Application Firewalls, ecc. sono parte del problema, non della soluzione Soluzioni Stateful / DPI Rispondono ad altre necessità. Information Security Triangle Non forniscono gli strumenti necessari alla DDoS mitigation Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 16
  • 17. Tecniche “old school” Accorgimenti anti-DDoS implementati su server target sono, tipicamente, futili esercizi. Ogni meccanismo proxy-based è parte del problema, non della soluzione, in quanto non fa semplicemente che spostare il collo di bottiglia E’ necessario dotarsi di infrastrutture di rete e capacità moderne, ma allo stesso tempo l’overprovisioning non è la risposta. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 17
  • 18. Tecniche carrier grade tradizionali BGP Blackholing, interno/upstream Utilizzare BGP per scartare tutto il traffico destinato alla vittima dell’attacco, al fine di salvaguardare l’infrastruttura di rete Richiedere il blackhole all’ISP upstream per decongestionare i link Internet S/RTBH: Source-based Remote Triggered Black Holing. Blackholing applicato congiuntamente alle tecniche uRPF per il blocco selettivo delle sorgenti Un’evoluzione: Flowspec Distribuzione di azioni di blocco / ridirezione / rate limiting tramite BGP Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 18
  • 19. Intelligent DDoS Mitigation Systems (IDMS) Una soluzione esclusivamente dedicata al problema DDoS, stateless. Contromisure • black-white lists • rate-based • comportamentali • signature-based Always on / On demand Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 19
  • 20. Contromisure IDMS • Bloccare tutto ciò che non è necessario tramite access lists stateless • Profilare e bloccare le sorgenti di traffico in base ai rate di traffico: bps, pps, requests per second (HTTP, DNS, VoIP, ecc.) • il rate limiting (o traffic shaping), sia per sorgente che per destinazione, non è una contromisura anti-DDoS, se non come ultima risorsa e al fine di salvaguardare l’infrastruttura di rete • Meccanismi di blacklisting temporaneo. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 20
  • 21. Contromisure IDMS • Tecniche di anti-spoofing non-proxy-based. • “Autenticazione” dell’handshake TCP • meccanismi challenge-response per l’autenticazione delle richieste UDP • whitelisting temporaneo delle sorgenti • Tecniche anti-bot application-layer • “Autenticazione” delle richieste HTTP • whitelisting temporaneo delle sorgenti Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 21
  • 22. Contromisure IDMS • Tecniche di validazione application-layer • blocco richieste malformate o anomale • blacklisting temporaneo • Validazione della fase di negoziazione protocollare, ad esempio TLS/SSL • Blocco “DPI” di pattern noti per pacchetto • tool LOIC-like, botnets, ecc. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 22
  • 23. Tools Uno strumento di ddos mitigation dovrebbe fornire: • strumenti non real-time per l’analisi semiautomatica dei pattern (ad es. HTTP, DNS) al fine di identificare ed estrarre regular expressions • strumenti statistici di visibilità per protocollo, porta • strumenti “deep” wireshark-like per l’analisi manuale dei singoli pacchetti • Supporto IPv6! Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 23
  • 24. The expendables? • Network/Port Address Translation E’ estremamente difficile applicare contromisure rate-based o anche challenge-response a sorgenti di traffico “nascoste” dietro apparati di NAT. Il NAT è male. • Proxy Analogamente, il traffico generato da proxy applicativi è spesso soggetto a NAT e a filtri che ostacolano la ddos mitigation • Content Delivery Networks Il traffico generato dalle CDN è spesso opaco e fonte di attacchi “riflessi”; è possibile riconoscerlo (a un certo prezzo) • Crawlers I motori di ricerca, spesso, si comportano come bot. Perché sono bot. E’ possibile riconoscerli (a un certo prezzo), o sacrificarli durante l’attacco. • Mobile Le implementazioni dello stack TCP/IP sui dispositivi mobili (smartphone, tablet) sono, a volte, libere interpretazioni delle relative RFC. Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 24
  • 25. Back to... DDoS mitigation for dummies “Does anyone has a good URL (or books/ebooks) documentation on DDoS mitigation architecture, technique and solutions against most common DDoS like: Volumetric network attacks Application-layer attacks, TCP state-exhaustion attacks, Blacklisting, Whitelisting, IP blocking, Automatic triggering of protection, Automatic whitelisting of human visitors, Automatic whitelisting of legitimate bots, IP reputation network, Rate limiting, Progressive challenge mechanism, Traffic optimization, CDN plus caching and Web application firewall?” Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 25
  • 26. Approccio multi-livello La soluzione migliore al problema DDoS, riconosciuta dal mercato e dagli analisti consiste nel “fermare gli attacchi al posto giusto” • Apparato on-premise, inline, always-on, per mitigation application-layer • Servizio erogato dall’ISP, on demand, per mitigation volumetriche • Servizio “cloud” provider-agnostic, per excess capacity, clienti multi-homed, connettività internazionale Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 26
  • 27. Protezione on premise Data Center Network Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 27
  • 28. Protezione ISP Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 28
  • 29. Protezione “cloud” DNS redirection BGP redirection ISP ISP Pravail APS Pravail APS Enterprise Network Enterprise Network Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 29
  • 30. GRAZIE mgioanola@arbor.net Marco Gioanola Attacchi DDoS e loro mitigazione 9/12/13 pag. 30

Editor's Notes

  1. Unadefinizionesaràvaga per forza di cose.La definizioneèincompletaperché non consideral’aspetto “distributed”; la dicitura “machines” èriduttiva: services?Cosasignifica “distributed”? significa solo “volumetrico”? non solo. Molteplicità di sorgenti (con diversiordini di grandezza); volumi; spoofing di indirizzi IP.
  2. Questecasistiche ci dimostranoche la definizione di DDoS dipende non tantodall’effettocausatodall’attacco, ma dalletecnicheutilizzate per lanciarlo.
  3. Parliamo di “tecniche” in sensoampio e non di “attacchi”E’ inutile cercare di categorizzarei DDoS in termini dei tool utilizzati per lanciaregliattacchi; è come cercare di categorizzareiconfllitti a fuoco in termini dellamarca di pistolautilizzata.“Qualiattacchiriuscite a mitigare” èunadomandaricorrenteed ERRATA, derivante da una forma mentis tradizionale, IPS, signatures, non applicabile al DDoS.Antivirus e IPS hannofallito la lororincorsaallenuovetecnichesviluppatedagliattaccanti.Esistonovariegradazioni di “intelligenza” / sofisticazionedegliattacchi.
  4. I “ddosinvolontari” causati da altaaffluenza al sito.
  5. La “mitigation” puòessereintesa a diversilivelli di efficaciad’intervento: dal semplicerecupero (ancheparziale) dellefunzionalità del servizioallagaranzia di non-disservizio.
  6. Malware analysis, sandboxing, ecc. non riguardanoil DDoS.Firewalls are policy-enforcement devices – they can’t help with DDoS, and in most cases, the policies applied to the firewalls have been devised with no visibility into network traffic, so the firewall rules bear little relation to what should actually be permitted and denied. IDS/’IPS’ are by definition always behind the attackers – in order to have a signature for something, you must have seen it before. IDS/’IPS’ have proven to be totally ineffective at dealing with application-layer compromises, which is how most hosts are botted and used for DDoS, spam, corporate espionage, identity theft, theft of intellectual property, etc. Firewalls &amp; IDS/’IPS’ output reams of syslog which lacks context, and which nobody analyzes. It is almost impossible to relate this syslog output to network behaviors. End-customers subscribe to traditional managed security services based on firewalls and IDS/’IPS’, and still get compromised! Firewall &amp; IDS/’IPS’ deployments cause performance &amp; usability problems, and don’t scale, shouldn’t be deployed in front of servers!
  7. Interventi “anti-ddos” sui server (ad es. implementazione di syn-cookie o tecniche di proxy) proposti da un approccio “old-school” precedentealladisponibilità di apparatispecifici anti-ddos non fornisconoprotezioneadeguatarispettoall’effortnecessarioall’implementazione e al rischio di errori o utilizzierrati.L’overprovisioning di risorse di rete o di CPU non scalaeconomicamente e non riescecomunque a sostenerel’incremento di capacitàdegliattacchi.
  8. IlBlackholingclassico, a tuttiglieffetti, completal’attacco DDoS, rendendocompletamenteirraggiungibile la vittima.Il S/RTBH risultaspessocomplesso da implementare e operare.
  9. Esistono 254 protocolli e 65535 portechespesso non vengonofiltratiopportunamente.E’ inutile continuare a tracciare in tempo realeicomportamenti di sorgentichesono state identificati come attaccanti: blacklisting temporaneo e controlliperiodici.
  10. In sede di ddos mitigation èpossibileutilizzaretecnichestatistiche per bloccare ad esempio, non solo le richieste malformed da un punto di vista strettamenteprotocollare, ma anchequellerichiesteanomaleche ad esempio non presentano header invece non-mandatory presentinellamaggior parte dellerichiestelegittimeIl temadell’ispezione SSL meritaunadiscussione a parte.