cpu – based dos attacks against sip servers renan fischer e silva [email protected] universidade...
TRANSCRIPT
![Page 1: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/1.jpg)
CPU – based DoS Attacks Against SIP Servers
Renan Fischer e Silva
Universidade Federal do Paraná
![Page 2: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/2.jpg)
Roteiro
Introdução SIP Ataques Avaliação e Resultados Experimentais Trabalhos futuros Conclusão
![Page 3: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/3.jpg)
Introdução
PSTN (Public Switched Telephone Network – Rede de Telefonia Pública Comutada): Antigamente, toda analógica Hoje, quase toda digital
Vantagens: Segurança
![Page 4: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/4.jpg)
Introdução
Funcionamento básico da infra-estrutura PSTN:
![Page 5: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/5.jpg)
Introdução
VoIP: Voz sobre IP
Aos poucos, substituindo a plataforma PSTN como plataforma de telefonia pública e privada
Vantagens: Custo efetivo Funcionalidade Controle e administração Trabalha de forma a satisfazer as
necessidades do usuário
![Page 6: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/6.jpg)
Introdução
VoIP Usa sinalização SIP
Servidores VoIP Precisam prover segurança em um nível
muito alto
Por quê? Usuários da plataforma PSTN possuem
expectativas Usuários esperam e exigem tal nível de
segurança
![Page 7: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/7.jpg)
SIP Protocolo de sinalização da camada de aplicação
para ser usado em serviços VoIP Criado pelo IETF
Cria, modifica e termina uma sessão de multimídia com um ou mais participantes (conferência)
Roda sobre UDP e IP – Vulnerável a vários tipos de ataques como:
Chamadas hijacking (ataque onde uma sessão ativa é interceptada e utilizada pelo atacante)
Personificação de entidades SIP
Servidor SIP Interpreta pacotes que entram na rede e cria
sessões entre “chamadores” e “chamados” (análogo ao modelo cliente-servidor)
![Page 8: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/8.jpg)
SIP - Conceitos
User Agent: Inicia e recebe chamadas pelo usuário
Registrar: Servidor que mantém os registros do local dos usuários registrados.
Proxy: Servidor que recebe, processa e encaminha pedidos de conexões, de forma que o pedido de um User Agent chegue a uma conferência desejada.
![Page 9: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/9.jpg)
SIP - Mensagens
A sinalização suporta mensagens de clientes para Registrars ou proxies:
![Page 10: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/10.jpg)
SIP - Operações
Cada User Agent é associado com um domínio específico da forma sip:user@host:
Host especifica o domínio do usuário Com o domínio é possível achar a posição do
usuário desejado
![Page 11: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/11.jpg)
SIP - Autenticação
De forma a evitar ataques hijacking, a autenticação é essencial
Processo de 3 passos: Começa com uma requisição de registro de
um usuário O servidor cria uma mensagem de
“desafio”, indicando que o usuário não está autorizado e prove uma string de identificação (nonce) e um identificador para o domínio da autenticação (realm)
Se a resposta for válida, o usuário é registrado com sucesso
![Page 12: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/12.jpg)
SIP - Autenticação
![Page 13: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/13.jpg)
SIP - Autenticação
Exemplo de requisição enviada no terceiro passo
![Page 14: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/14.jpg)
SIP - Autenticação
![Page 15: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/15.jpg)
Ataques
No mecanismo de autenticação padrão, servidores confiam e processam todas os pacotes de mensagem SIP por padrão
Tipos Ataques: Mal-formados: Exploram falhas do SW Inundação de pacotes básica: randômico Inundação de pacotes avançada baseado
em customização e personificação Tipos de servidores:
Orientados a estado (Memória e CPU) Não-orientados a estado (CPU)
![Page 16: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/16.jpg)
Ataques
Metodologia do ataque:
Rtotal representa o total de recursos do host consumido em um ataque DoS
RPacket representa a média de recursos consumidos por cada pacote de ataque
N representa o número total de pacotes de ataque
![Page 17: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/17.jpg)
Ataques
Basic Flood Static-Nonce-Based Flood Adaptive-Nonce-Based Flood Adaptive-Nonce-Based Flood with IP
Spoofing
![Page 18: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/18.jpg)
Ataques - Basic Flood
Pacotes são enviados continuamente Força bruta
Pacotes não são especialmente projetados Dados do header são repetidos e gerados
de maneira randômica Essência: Quantidade e não Qualidade
![Page 19: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/19.jpg)
Ataques – Static-Nonce-Based Flood
Cada requisição contém um header de autorização que inclui um nonce personificado. A interceptação pode ser feita via meio
compartilhado: ethernet ou wireless. O nonce também pode ser obtido sondando
o servidor constantemente. Múltiplas requisições SIP com headers
válidos são enviados ao servidor. Os pacotes apenas podem ser filtrados no
4º estágio do processo de autenticação SIP. Alia qualidade e quantidade.
![Page 20: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/20.jpg)
Ataques – Adaptive-Nonce-Based Flood
Contornado o problema do nonce expirar. Aumenta a quantidade de recurso de tempo
de CPU que pode ser consumido por cada pacote.
Realiza todo o processo de autenticação.
![Page 21: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/21.jpg)
Ataques – Adaptive-Nonce-Based Flood
![Page 22: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/22.jpg)
Ataques – Adaptive-Nonce-Based Flood with IP Spoofing
Servidores podem armazenar o número de requisições SIP de cada endereço IP. Forma efetiva de se evitar DoS.
Atacantes personificam diferentes endereços IPs de origem afim de reduzir o número de requisições SIP para cada endereço IP (evitando o controle e superando o mecanismo de proteção).
![Page 23: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/23.jpg)
Avaliação e Resultados Experimentais
Métricas Uso de CPU. Taxa de banda consumida. Banda requerida para causar um DoS. Atraso em um User Agent. Frequência com que um nonce válido é
obtido de um servidor.
![Page 24: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/24.jpg)
Avaliação e Resultados Experimentais
![Page 25: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/25.jpg)
Avaliação e Resultados Experimentais
![Page 26: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/26.jpg)
Avaliação e Resultados Experimentais
![Page 27: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/27.jpg)
Avaliação e Resultados Experimentais
![Page 28: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/28.jpg)
Trabalhos Futuros Autenticação leve
Se o processo é pesado, existe vulnerabilidade mesmo que se possa diferenciar pacotes de ataque de pacotes legítimos.
Boa abordagem seria usar histórico. Configuração e Parâmetros
Tempo de expiração do nonce, limiar para número de requisições IP, etc...
Novas estratégias para geração do nonce Atrelar o nonce ao endereço IP. Diminui o
ataque de CPU mas prejudica usuários VoIP atrás de proxies.
![Page 29: CPU – based DoS Attacks Against SIP Servers Renan Fischer e Silva renan@inf.ufpr.br Universidade Federal do Paraná](https://reader035.vdocuments.pub/reader035/viewer/2022070311/552fc105497959413d8c07aa/html5/thumbnails/29.jpg)
Conclusões Ameaças contra infra-estrutura SIP. Implementado e testado 4 tipos de
ataques. Proposto algumas modificações na
implementação SIP para melhorar a robusteza contra ataques DoS.
Autenticação forte não ajuda defendendo contra ataques DoS.