Attacchi ddos e loro mitigazione 2014

Attacchi Informatici

Strategie e tecniche per capire, prevenire e proteggersi dagli attacchi della rete

Attacchi DDoS e loro mitigazione

Dott. Marco Gioanola

28 Novembre 2014

28/11/14

Marco Gioanola

• 1997: tesi di laurea su PGP, crittografia asimmetrica

e web of trust

• 1998-’99: Internet banking

• 2000: Firma digitale e certificate authorities

• 2001-’03: Managed Security Services

• 2004-oggi: DDoS Mitigation

• Prima implementazione di sistemi anti-ddos in

Italia

• Clienti ISP in Italia, Grecia, Turchia, Medio

Oriente

Marco Gioanola

pag. 2


28/11/14

Indice degli argomenti:

• Attacchi Distributed Denial of Service:

statistiche 2014

• Attacchi 2014: tipologie e strategie di

mitigation

Marco Gioanola

pag. 3


28/11/14

The Arbor ATLAS Initiative: Internet Trends

• 290+ ISPs sharing real-time data - > ATLAS Internet Trends

• Automated hourly export of statistics

• File is anonymous, only tagged with

• User Specified Region e.g. Europe

• Provider Type (self categorized)

• Data derived from Flow / BGP / SNMP correlation

• ATLAS currently monitoring a peak of around 90Tbps of IPv4

traffic (peak) across all respondents.

• A significant proportion of Internet traffic

Marco Gioanola

pag. 4


28/11/14

Un tentativo di visualizzazione delle proporzioni del

problema

Marco Gioanola

pag. 5


ADSL

Banda Larga

Dimensione media attacco DDoS

28/11/14

ATLAS 2014 – Q1

• Gennaio-Marzo:

• in soli tre mesi, il numero di attacchi di dimensione superiore

a 20Gbps è risultato una volta e mezzo maggiore dell’intero

anno 2013;

• 72 attacchi di dimensione maggiore di 100Gbps;

• nuovo record di dimensione: 325Gbps;

• Canale d’attacco principale: NTP reflection-amplification

Marco Gioanola

pag. 6


28/11/14

NTP reflection-amplification

• Network Time Protocol, UDP/123

• Query “monlist” verso alcune migliaia di server non sicuri,

risposte verso la vittima

• Fattore di amplificazione: 1000x

• Mitigation:

• access control lists infrastrutturali

• ddos mitigation systems

• messa in sicurezza server aperti

Marco Gioanola

pag. 7


28/11/14

ATLAS 2014 – Q2

• Aprile-Giugno:

• relativa “diminuzione” degli attacchi, rispetto al trimestre

precedente;

• Attacco maggiore: 154Gbps

• Principali vettori d’attacco:

• pacchetti frammentati

• NTP amplification

• DNS reflection/amplification

Marco Gioanola

pag. 8


28/11/14

DNS reflection

• Domain Name System, UDP/53 (TCP/53)

• “Classico” vettore di amplification; richieste verso server “open”,

grandi risposte verso la vittima;

• Fattore di amplificazione: circa 20x

• Variante: utilizzo di CPE (customer premise equipment: modem adsl,

ecc.) compromessi per generare ondate di richieste verso i server

vittima

• danni collaterali alle infrastrutture degli ISP coinvolti

• Mitigation:

• access control lists infrastrutturali per negare l’accesso al

servizio dove non necessario

• messa in sicurezza degli apparati compromessi

• apparati di ddos mitigation

Marco Gioanola

pag. 9


28/11/14

ATLAS 2014 – Q3

• Luglio-Settembre:

• utilizzo di SSDP per attacchi ad amplificazione

• attacco maggiore: 264Gbps

• Crescita degli attacchi verso la porta TCP/443 (HTTPS)

Marco Gioanola

pag. 10


050

100150200250300350400

Number of Events>50Gbps

>100Gbps

0

1000

2000

3000

4000

5000

6000



28/11/14

UDP amplification / reflection

• User Datagram Protocol: protocollo di livello di trasporto,

connectionless (non prevede autenticazione di mittente/destinatario)

• Strumento ideale per attacchi a riflessione

• Utilizzato per applicazioni Internet critiche:

• risoluzione nomi: DNS

• sincronizzazione tempo: NTP

• monitoraggio/gestione: SNMP (Simple Network Management

Protocol)

• ...e meno critiche:

• online gaming (Quake, ecc.)

• SSDP (Simple Service Discovery Protocol), base per Universal

Plug and Play (UPnP)

• ...e altri che attendono di essere sfruttati

Marco Gioanola

pag. 11


2014: top porte destinazione attacchi ITALIA

Q1

80 (HTTP): 21.7%

frammenti: 8.8%

443 (HTTPS): 4%

53 (DNS): 3.4%

21 (FTP): 1.7%

16000

(Gameranger):

1.6%

123 (NTP): 1.3%

15000

(Gameranger,

various): 1.1%

22 (SSH): 1%

Q2

80: 30.6%

frammenti: 13.8%

53: 4.9%

443: 1.4%

21: 1.4%

8080 (HTTP):

0.9%

123: 0.8%

Q3

frammenti: 29.4%

80: 28%

443: 2.9%

53: 1.3%

3074 (XBOX): 1%

4500 (IPsec NAT

traversal): 0.8%

28/11/14

Marco Gioanola

pag. 12


2014 Summary : 3670 eventi monitorati in Q1; 3683 eventi monitorati in Q2; 3356

eventi monitorati in Q3

2014: distribuzione dimensione attacchi in bps

Period Average Attack size (bps)

% Change Peak Attack Size(bps)

% Change

Q1 1.49Gbps - 49.91Gbps -

Q2 948.83Mbps -36.4% 19.87Gbps -60.2%

Q3 1Gbps +5.4% 28.02Gbps +41%

Q1 Q2 Q3

28/11/14

Marco Gioanola

pag. 13


2014: dimensione attacchi in pps

Period Average Attack size (pps)

Change(Q / Q)

Peak Attack Size(pps)

Change (Q / Q)

Q1 377.73Kpps - 12.46Mpps -

Q2 239.65Kpps -36.6% 14.61Mpps +17.3%

Q3 264.55Kpps +10.4% 6.63Mpps -54.6%

Q1 Q2 Q3

28/11/14

Marco Gioanola

pag. 14


2014: distribuzione durata attacchi

Q1 Q2 Q3

28/11/14

Marco Gioanola

pag. 15


28/11/14

Marco Gioanola

Approccio multi-livello

La soluzione migliore al problema DDoS, riconosciuta dal

mercato e dagli analisti consiste nel “fermare gli attacchi

al posto giusto”

• Apparato on-premise, inline, always-on, per mitigation

application-layer

• Servizio erogato dall’ISP, on demand, per mitigation

volumetriche

• Servizio “cloud” provider-agnostic, per excess

capacity, clienti multi-homed, connettività internazionale

pag. 16


9/12/13

Marco Gioanola

GRAZIE

[email protected]

pag. 17


Attacchi ddos e loro mitigazione 2014

Internet

Transcript of Attacchi ddos e loro mitigazione 2014