Infosecurity
Roma, 5 Giugno 2007
DDoS Mitigation
Il valore della connettività
InfoSecurity, 5 Giugno 2007
Manuel Leone
Pierluigi Urizio
Agenda
–
–
–
–
La protezione dell’infrastruttura
Notizie dal mondo
L’efficacia delle contromisure
Il gruppo ITALTEL
–
–
–
–
–
–
Scenario e contesto di riferimento
Modelli di attacco
Tipologie di attacco
Dimensione del fenomeno
La soluzione network-centric
Conclusioni
Infosecurity
Roma, 5 Giugno 2007
Pierluigi Urizio
Manuel Leone
1
Infosecurity
Roma, 5 Giugno 2007
La protezione dell’infrastruttura di rete
Applicazione
Host
Rete
UN ATTACCO
A LIVELLO
HAOSI
EFFETTO
E’La
condizione
INDISPENSABILE
protezione
sicurezza
su INFRASTRUTTURALE
tutti i livelli dellalapila
SU dell’infrastruttura
TUTTA LA CATENA
2
Attacchi infrastrutturali: DoS & DDoS
Infosecurity
Roma, 5 Giugno 2007
DENIAL of SERVICE
Attacco che compromette la disponibilità di apparati o di
server tenendoli impegnati in operazioni inutili ed onerose
bloccando parzialmente o totalmente l’erogazione di
servizi
Se l’attacco proviene contemporaneamente
da origini geograficamente diverse
si parla di Distributed DoS o DDoS
3
Notizie dal mondo ….
Infosecurity
Roma, 5 Giugno 2007
Infrastructure Security Report 2006
Dei 55 operatori di rete interpellati (NordAmerica, Europa ed Asia) il
46% ha affermato che gli attacchi DDoS rappresentano la minaccia più
significativa alla sicurezza
Fonte: Arbor Networks
4
Infosecurity
Roma, 5 Giugno 2007
Notizie dal mondo …
35 dei 55 interpellati riportano attacchi da 1Gbps
9 segnalano attacchi da 4 a 10 Gbps
10 riportano attacchi più ampi di 10 Gbps
Fonte: Arbor Networks
5
Notizie dal mondo …
Infosecurity
Roma, 5 Giugno 2007
Sensibile e costante incremento della portata degli attacchi (40 mensili)
– L’attacco maggiore è stato nell’ordine di 25 Gbps
– E’ stato osservato un attacco di saturazione UDP Flood di 37 Mpps
– E’ stato osservato un attacco di saturazione SYN Flood di 14 Mpps
Fonte: Arbor Networks
Un attacco SYN Flood da 14 Mpps può quasi
saturare un circuito STM-64 (10Gbps) con
pacchetti di dimensioni minime
Un attacco del genere oscurerebbe l’intera periferia di rete
con perdite di connettività per le aziende
6
Infosecurity
Roma, 5 Giugno 2007
1 Gbps
Multi
Gbps
DDoS
Mitigation
networkcentric
IDS
IPS
Router
Memo di
1 Gps
Banda Massima dell’attacco
Attacchi infrastrutturali: DoS & DDoS
Firewall
Nessuna
Mitigazione statica
le regole per contrastare l’attacco
DDoS sono fisse (ad esempio
ACL).
Limiti di
banda
Statica
Dinamica
Mitigazione attacco DDoS
Mitigazione dinamica
le regole per contrastare
variano al variare del profilo
dell’attacco.
7
Infosecurity
Roma, 5 Giugno 2007
Gli ambiti
Detection
Cleaning
BACKBONE
+
DATA CENTRE
+
8
Infosecurity
Roma, 5 Giugno 2007
Il gruppo ITALTEL
2,16%
US investment funds
2,65%
Key Managers and
employees
8,65%
100%
18,40%
19,37%
48,77%
Fatturato
Personale
Uffici principali
546,1 Million €
Circa 2500 (46% in R&D)
Milano, Roma e Palermo
9
Agenda
–
–
–
–
La protezione dell’infrastruttura
Notizie dal mondo
L’efficacia delle contromisure
Il gruppo ITALTEL
–
–
–
–
–
–
Scenario e contesto di riferimento
Modelli di attacco
Tipologie di attacco
Dimensione del fenomeno
La soluzione network-centric
Conclusioni
Infosecurity
Roma, 5 Giugno 2007
Pierluigi Urizio
Manuel Leone
10
Attacchi (D)DoS
Infosecurity
Roma, 5 Giugno 2007
Un Denial Of Service Attack è un attacco realizzato allo scopo di bloccare l’utilizzo di un servizio da
parte degli utenti legittimi. Esso può essere rivolto verso:
•
•
•
Utenti di un servizio (ad esempio attaccando web server utilizzati per l’erogazione di
applicazioni on-line).
Specifici host, cioè singole risorse di rete che possono essere: Web & Application Server,
DNS, Mail and IRC Server, ecc.
Infrastruttura di rete, in modo bloccare il trasporto dell’informazione.
Un Distributed Denial Of Service Attack è un attacco di DoS realizzato coordinando più sorgenti di
attacco verso uno specifico obiettivo.
Il primo attacco DDoS è stato ufficialmente rilevato nell’estate del 1999. (Fonte CIAC - Computer
Incident Advisory Capability), sebbene il SYN Flood fosse noto ed in uso dal 1993 in ambito IRC.
Altri attacchi celebri: Febbraio 2000 attacco a Yahoo, 22 Ottobre 2002 attacco ai 13 Root DNS nel
tentativo di bloccare Internet (9 su 13), 6 Febbraio 2007 nuovo attacco ai 13 Root DNS (2 su 13).
Attaccante
Vittima
DDoS Attack - Scenario semplificato
11
Infosecurity
Roma, 5 Giugno 2007
Principali tipologie di attacchi (D)DoS
Elevato numero
di pacchetti
Bandwith consumption
Flood Attack
Flood attack:
Reflection Attack
Un elevato volume di pacchetti è inviato dagli attaccanti al fine di saturare le risorse dell’attaccato. Sono
tipicamente utilizzati i pacchetti appartenenti ai protocolli UDP e ICMP.
Broadcast Amplification Attack
DNS Amplification Attack
Amplification attack:
Si basa sull’amplificazione di un attacco DoS realizzata tipicamente sfruttando elementi di rete non
correttamente configurati, ad esempio inviando messaggi di broadcast ad un’intera rete. Tipici attacchi
di questo tipo sono lo smurf ed il fraggle, ma anche il DNS Recursion Attack.
Basso numero
di pacchetti
Resource starvation
Protocol exploit attack:
Si sfruttano le vulnerabilità presenti negli stack applicativi che gestiscono i protocolli. Ad es. nel TCP
SYN Attack gli attaccanti inviano SYN Request per costringere la vittima ad allocare risorse per gestire
connessioni il cui handshake non verrà mai completato.
Malformed packets attack:
Questo tipo di attacco intende bloccare un sistema inviandogli pacchetti malformati. Ad esempio si
possono generare pacchetti con l’indirizzo IP sorgente e destinazione uguali (land attack), con
frammenti IP sovrapposti (teardrop attack).
12
Infosecurity
Roma, 5 Giugno 2007
DDoS Mitigation: Scenario di riferimento
PoP
L’attacco DDoS satura la
banda dell’ultimo miglio
PoP
Infrastruttura Cliente
Traffico elevato = Impossibilità per il cliente di gestire
l’attacco dalla sua infrastruttura.
Infrastruttura Operatore
PoP
Big Internet
Difficoltà nel distinguere il traffico legittimo da quello
malevolo: il blocco del traffico non risulta una soluzione
ottimale per evitare la saturazione di banda.
Traffico molto elevato = in assenza di contromisure, anche
l’infrastruttura di rete dell’Operatore può essere messa in
crisi.
13
Infosecurity
Roma, 5 Giugno 2007
Modelli di attacco DDoS: Agent-Handler (1/4)
Attacker
Botnet
Handler
TCP/UDP (encrypted)
Agent
TCP, UDP, ICMP
Esempi Celebri: Trin00, Tribe Flood Network
(TFN), TFN 2k, Stacheldraht, Shaft.
Target
14
Infosecurity
Roma, 5 Giugno 2007
Modelli di attacco DDoS: IRC-Based (2/4)
Attacker
IRC Network
Botnet
IRC
Agent
TCP, UDP, ICMP
Esempi Celebri: Trinity, Knight, Kaiten.
Target
15
Infosecurity
Roma, 5 Giugno 2007
Modelli di attacco DDoS: Web-based (3/4)
Attacker
Botnet
Web Server
(report,
commands,
control)
HTTP (encrypted)
Agent
TCP, UDP, ICMP
Esempi Celebri: Dumador, Torpig, Briz,
HaxDoor.
Target
16
Modelli di attacco DDoS: Peer-to-Peer-Based (4/4)
Infosecurity
Roma, 5 Giugno 2007
Attacker
P2P Network
No Botnet
P2P Protocol (e.g. HTTP)
P2P Nodes
P2P Protocol (e.g. HTTP)
Esempi Celebri: DC++ Attack (>300k IP,
>1Gbps).
Target
17
Infosecurity
Roma, 5 Giugno 2007
Attacchi DDoS: Flood (1/4)
Flood Attack
Target
UDP, TCP or ICMP
spoofed packets.
Attacker
Botnet
Agent
Agent/Handler
IRC-based
Web-based
Agent
Attack Model
Agent
Agent
Agent
Agent
18
Infosecurity
Roma, 5 Giugno 2007
Attacchi DDoS: Reflection (2/4)
Reflection Attack (es. Fraggle)
Target
ICMP (ECHO_REPLY) or
UDP (PORT/PROTOCOL
UNREACHABLE ) packets
Agent
Spoofed ICMP (ECHO_REQUEST)
or UDP packets
(Source IP = Target IP)
19
Attacchi DDoS: Broadcast Amplification (3/4)
Infosecurity
Roma, 5 Giugno 2007
Broadcast Amplification Attack
Target
ICMP (ECHO_REPLY) packets
Mis-configured
Network
Agent
Spoofed ICMP (ECHO_REQUEST)
packets to broadcast address
(Source IP = Target IP)
20
Infosecurity
Roma, 5 Giugno 2007
Attacchi DDoS: DNS Amplification (4/4)
DNS Amplification Attack
Target
Fattore di Amplificazione
(Teorico) = 73.
Esempio:
Type A Response: 122 byte
TXT Response: 4,000 byte
SOA Response: 222 byte
Totale Response: 4,320 byte
Agent
Spoofed UDP packets
(Source IP = Target IP)
Esempio:
• Query EDNS (RFC2671)
• Large Buffer Advertisement
• TXT/SOA Response
• Totale Request: 60 byte
DNS Server (Open Recursive)
21
Infosecurity
Roma, 5 Giugno 2007
DDoS: Tipologie di impatto causate dai DDoS
Disaster recovery
Perdita di fatturato
Costi in termini di risorse impiegate e di
tempo necessario per gestire l’incidente
di sicurezza, se presenti anche i costi
necessari alla riparazione delle
macchine attaccate.
Dovuta alle mancate
transazioni eseguite dai
possibili clienti.
Perdita di produttività
Dovuta all’impossibilità per
i propri dipendenti di
utilizzare le postazioni di
lavoro.
Impatto Economico
e Finanziario
Danni d’immagine
Perdite dovute alla
pubblicità negativa e
riduzione della fiducia
conseguenti al verificarsi di
incidenti.
Perdita di clienti
Clienti insoddisfatti
della degradazione del
servizio che possono
decidere di sostituire
l’operatore.
Sanzioni normative
Pagamenti dovuti al non
mantenimento degli SLA
concordati con il cliente.
22
Infosecurity
Roma, 5 Giugno 2007
Le dimensioni del fenomeno DDoS: Economics
COSTO DDOS PER INDISPONIBILITÁ DEL SERVIZIO (M$/hour)
Fonte: CSI/FBI 2005 Computer Crime and
Security
Survey
Evento coinvolto
dal
disservizio
DANNO ECONOMICO PER TIPOLOGIA DI INCIDENTE INFORMATICO ($)
Security incidents
total costs
mean cost *
Sabotage
$871,000
$3,238
System penetration
$901,500
$3,351
Web site defacement
$958,100
$3,352
Misuse of public Web application
$2,747,000
$10,212
Telecom Fraud
$3,997,500
$14,860
Unauthorized access
$4,278,205
$15,904
Laptop theft
$6,734,500
$25,035
Financial fraud
$7,670,500
$28,515
Abuse of wireless network
$10,159,250
$37,767
Insider Net abuse
$10,601,055
$39,409
$11,460,000
$42,602
Theft of propritary info
Anche nell’indagine CSI/FBI 2005, svolta negli USA consultando
$ 26,064,050
$ 96,892
Denial of service
circa 700 aziende, il DDoS è risultato la quarta tipologia di attacco,
siaVirus
in termini di perdita economica (7,310,725$),
sia in termini
di
$55,053,900
$204,661
numerosità (circa 1 intervistato su 3 è stato attaccato mediante
* Valutato rispetto ai 269 campioni
DDoS).
Costs per hour
Retail Brokerage
$6,45 Million per hour
Credit card sales authorization
$2.6 Million per hour
Infomercial/800 number sales
$200,000 per hour
Catalogue sales center
$90,000 per hour
Fonte: 2005 Quarry Technologies
Un’indagine svolta negli Stati Uniti mostra come
l’indisponibilità del servizio possa provocare
grave perdite ad utenti che svolgono il proprio
business utilizzando Internet per l’erogazione dei
propri servizi a causa dell’ impossibilità da
parte dei clienti di compiere le normali
transazioni
Da un’indagine di febbrario 2005 condotta negli
Stati Uniti sui costi totali associati agli incidenti
di sicurezza informatica riportati su un campione
di 269 aziende risulta particolarmente
significativo il dato associato alle perdite
subite per attacchi DDOS
23
La dimensione del fenomeno DDoS: Attacchi nel mondo
Infosecurity
Roma, 5 Giugno 2007
Il numero medio di attacchi DoS su base giornaliera è aumentato consistentemente
negli ultimi due anni (2004-2005), caratterizzato da un CAGR pari a circa il 246%.
Fonte: Symantec Internet Security Threat Report (2006).
24
La dimensione del fenomeno DDoS: Le bande di attacco
Infosecurity
Roma, 5 Giugno 2007
nel mondo…
Fonte: Arbor Networks (2006).
…ed in Telecom Italia
30 Aprile 2006
Banda 4.2 Gbps
Gli attacchi DDoS rilevati sulla rete Telecom Italia hanno raggiunto valori di banda
pari a 4.2 Gbps, in grado quindi di bloccare la connettività sostanzialmente di qualsiasi cliente.
25
La dimensione del fenomeno DDoS: Botnet
Infosecurity
Roma, 5 Giugno 2007
• Stime affermano che su 600M di
PC circa 150M sono (stati) parte
di una botnet (fonte: Vint Cerf).
• Ottobre 2005: identificazione
botnet composta da 1.5M di host
infetti (fonte: Polizia Olandese).
Fonte: Shadowserver (2007).
Fonte: Symantec Internet Security Threat Report (2007).
• Possibilità noleggio botnet composta da 30k
host infetti a 100 euro per ora (Fonte Reuters).
26
Infosecurity
Roma, 5 Giugno 2007
DDoS: Le contromisure applicabili
Composto da due parti: identificazione e
mitigazione dell’attacco
• Anomaly Detection non
specializzata per DDoS.
• No Mitigation.
• Supporto limitato per lo
spoofing.
Multi
Gbps
1 Gbps
• Posizionamento sfavorevole
per la gestione dei DDoS.
• Contromisure
prevalentemente statiche.
• No Anomaly Detection.
• Supporto limitato per lo
spoofing (RPF).
DDoS Mitigation
network-centric
IDS
IPS
Router
Memo di
1 Gps
• Contromisure statiche.
• No Anomaly Detection.
• Supporto limitato per lo
spoofing (es. RPF).
Banda Massima dell’attacco
Attacchi documentati
sino a 10 Gbps
Mitigazione statica
le regole per contrastare l’attacco
DDoS sono fisse (ad esempio
ACL).
Limiti di
banda
• Anomaly Detection non
specializzata per DDoS.
• Mitigation limitata.
Firewall
Nessuna
Statica
Dinamica
Mitigazione attacco DDoS
Mitigazione dinamica
le regole per contrastare
variano al variare del profilo
dell’attacco.
27
DDoS Mitigation: Le Fasi della Mitigation network-centric
1
Infosecurity
Roma, 5 Giugno 2007
Detection
Fase di rilevamento e individuazione dell’attacco DDoS
mediante paradigma di anomaly detection (piattaforma
di detection).
2
Diversion
In seguito all’individuazione dell’attacco da parte della piattaforma di
detection vengono attivare le procedure per il re-instradamento del traffico
verso i centri di analisi e di filtraggio al fine di ripulire il traffico anomalo.
3
Cleaning
La piattaforma per il cleaning del traffico applica dinamicamente, alla zona
interessata, una serie di filtri finalizzati a contrastare il particolare attacco
DDoS rilevato dalla piattaforma di detection.
4
Reinjection
La piattaforma garantisce infine il corretto re-instradamento del traffico
ripulito verso il target.
28
DDoS Mitigation: Le Fasi della Mitigation network-centric
Infosecurity
Roma, 5 Giugno 2007
Detection
Platform
Cleaner
Peering Point
Cleaner
AS
Detector
Server area
DDoS
Infrastructure area
DDoS
Cleaner
Broadband area
DDoS
Detector
Detector
PoP
DNS
Email
29
DDoS Mitigation: Le Fasi della Mitigation network-centric
Adding DynamicFilters
Infosecurity
Roma, 5 Giugno 2007
Detection
Platform
Rat
eLimi
ting
Cleaner
Peering Point
Cleaner
AS
Detector
Cleaner
Detector
Detector
PoP
DNS
Email
30
DDoS Mitigation: Le Fasi della Mitigation network-centric
Infosecurity
Roma, 5 Giugno 2007
Detection
Platform
Cleaner
Peering Point
Cleaner
AS
Detector
Cleaner
Detector
Detector
PoP
DNS
Email
31
Infosecurity
Roma, 5 Giugno 2007
DDoS Mitigation: il Processo di Cleaning
Static Packet Filters
Filter out packets
according to pre-defined
rules.
Dynamic Packet
Filters
Anti-Spoofing
Mechanisms
Filter out packets Per
Flow, Protocol, Source
IP.
Filter out packets from
spoofed sources.
Adding Dynamic-Filters
Statistical Inspection
Rate-limiting
Anomaly Recognition
per flow compared to a
baseline.
Rate limiting of traffic
towards the zone.
Rate-Limiting
32
DDoS Mitigation: Conclusioni
Infosecurity
Roma, 5 Giugno 2007
– Oggi gli attacchi DDoS basati su botnet sono tra gli
attacchi di Denial of Service più pericolosi e difficili da
gestire.
– I modelli di attacco sono in continua evoluzione (ad
esempio segmentazione delle botnet in “squadre speciali”
caratterizzate da capacità computazionali e di banda
differenti, utilizzo di nuovi protocolli come il VoIP per il
controllo ed il coordinamento dell’attacco, nuove tecniche
di rootkit, ecc.).
– Sebbene esistano diverse soluzioni percorribili,
l’approccio network-centric, abbinato all’anomaly
detection, sembra il più promettente.
– Questo modello implica che sia la rete ad agire
proattivamente e a contenere l’attacco, garantendo la
connettività agli utenti legittimi.
33
Infosecurity
Roma, 5 Giugno 2007
Q&A
www.telecomitalia.it
www.one-ans.it
www.italtel.it
Pierluigi Urizio
Manuel Leone
Business Development Manager
Security Program Manager
[email protected]
[email protected]
34