Ciccia Emanuele
Degano Anna
Di Iorio Andrea
Spamhaus
• Fondata: Londra, Inghilterra 1998
• Fondatore: Steve Linford
• Tipo: Nonprofit company a
responsabilità limitata
• Locazioni: Ginevra, Svizzera e
Londra, Inghilterra
• Area coperta: gestisce circa l’80% di
mail spam a livello mondiale
• Metodo: Investigazione forense
Real-time DNS blocklists
• Se il sito non è accessibile, non sono
nemmeno accessibili i database di
spamhaus da cui ricavare la spam
list
CyberBunker
CyberBunker è un provider di servizi Internet che, secondo il suo sito web, offre
“servizi a qualsiasi sito Web tranne pornografia infantile e tutto ciò che riguarda il terrorismo”
• Specializzata nel smaltire attacchi
ddos in quanto hanno la capacità di
distribuire il traffico su più server,
rendendo inefficace simili attacchi
• Fondata: San Francisco, California
2009
• Fondatori:Matthew Prince, Lee
Holloway, Michelle Zatlyn
• Tipologia: sicurezza e performance
dei siti web
• Locazioni: San Francisco,California
e Londra, Inghilterra
• Premi e riconoscimenti in qualità di
azienda innovativa e tecnologica
• 2 delle 3 principali chat ISIS sono
garantite da cloudflare
Cloudflare
DNS Amplification
Domain Name System
Diversi linguaggi utilizzati per individuare le risorse su internet
• Persone
Nomi di Dominio
www.uniud.it
• Macchine
Indirizzi IP
158.110.3.46
Il sistema DNS risolve i nomi di dominio in indirizzi IP e viceversa
Caratteristiche
Root
13 Server distribuiti
Root level
com
org
it
Protocollo UDP
- poco affidabile
- molto veloce
Top Level Domain (TLD)
example
uniud
Second Level Domain
Resource Record
www
Sottodomini
Name
server
Request & Response
www.example.it A
131.111.80.46
Client
ISP DNS Server
Root DNS Server
it DNS Server
Example DNS Server
Fattore di amplificazione
• Per determinate richieste può
arrivare intorno a 70 – 80
• Protocollo EDNS  flag
OPT record
• Aumenta capacità massima
pacchetto DNS (512 byte)
Root Servers
it
Step 5
example.it A?
Step 4
Non lo so, chiedi a it
Step 3
example.it A?
Step 6
Chiedi al loro DNS Server, ecco l’IP
DNS Server
of example.it
Step 7
example.it A?
Step 8
Ecco qui l’IP di example.it
Cache
Open Resolvers : disponibili per tutti
Step 2
Qual è l’IP di example.it?
Spoofing -> rispondi a IP Vittima
Vittima
Step 1
Attivazione Botnet
Botnet
Attaccante
L’attacco
Il primo attacco
!
• Cyberbunker realizza un attacco
di Ddos sfruttando la DNS
Amplification
• Dimensione attacco intorno ai
10Gbps  Spamhaus resa
inaccessibile
• Viene contattata CloudFlare per ammortizzare
l'impatto dell'attacco.
!
!
La reazione di Spamhaus e
l’intervento di Cloudflare
• Cyberbunker continua ad attaccare
ma invano: Cloudflare
ridistribuisce la banda nel network
Dati (20marzo):
• 16:30  75Gbps
• 21:30  oltre 100Gbps
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
Il Network di Cloudflare
attackers changed their attack strategy, and turned the attack to the Internet bandwidth
CloudFlare and Internet exchange infrastructure connected to CloudFlare.
2.1.3 Attacks on ISPs
CloudFlare mainly purchases bandwidth from Tier-2 ISPs.
ISPs and ensure the connections between them.
Tier-2 ISPs buy bandwidth
Tier-1 ISPs do not purchase bandwidth
anyone, instead they engage in payment peering to the other Tier-1 ISPs.
ISPs ensure that every network is connected to other networks.
ISPs fail, a serious problem will be caused to the Internet.
Cloudflare  Tier-2 ISP  Tier-1 ISP
I Tier-1 assicurano che i vari
network siano connessi tra loro
Fundamentally, t
If the devices or network
Il secondo attacco
• Cambio di tattica : Cyberbunker
attacca gli Internet Service
Provider e gli Internet
Exchange a cui Cloudflare si
appoggia
• Dimensione attacco intorno ai
300Gbps  Cloudflare
continua ad essere accessibile
Internet Exchange attaccati:
• Londra
• Amsterdam
• Francoforte
• Hongkong
!
Anycast
• Quando c'è un attacco, Anycast serve per diluire efficacemente il traffico ripartendolo tra
le varie proprie strutture. L'attacco da molti-a-uno, diventa molti-a-molti evitando
possibili colli di bottiglia.
• Nel normale funzionamento i server funzionano in modo da mandare le richieste al server
più vicino; durante l’attacco invece sono progettati appositamente per ridistribuire le
richieste in modo da equilibrare il traffico su ogni nodo della propria rete.
• CloudFlare ha utilizzato Anycast per risolvere l'attacco.
• L’attacco non è andato a buon fine, infatti nonostante l'enorme mole di traffico Spamhaus
risultava comunque raggiungibile e i server di Cloudflare erano ancora funzionanti.
Soluzioni
• Attacchi di amplificazione DNS funzionano perché aziende come AT & T, GoDaddy,
SoftLayer, e Pakistan Telecom permettono di lavorare con server DNS aperti.
• Per prevenire questi attacchi è necessario operare su entrambi i lati: ISP e amministratori
di rete.
• I fornitori di servizi Internet dovrebbero implementare le tecnologie che prevengono l'IP
spoofing (IP del mittente falsificato).
• Gli amministratori di rete devono proteggere i resolver DNS in esecuzione sulla rete, è
necessario disattivare la ricorsione come raccomandato da US-CERT Bullettin, ma
solitamente questa impostazione per DNS è ignorata.
• Questo attacco ha mobilitato il settore del networking, che sta cercando di applicare
questi concetti, per cercare di contenere la minaccia.