Download - Attacchi ddos e loro mitigazione 2014
Attacchi Informatici
Strategie e tecniche per capire, prevenire e proteggersi dagli attacchi della rete
Attacchi DDoS e loro mitigazione
Dott. Marco Gioanola
28 Novembre 2014
28/11/14
Marco Gioanola
• 1997: tesi di laurea su PGP, crittografia asimmetrica
e web of trust
• 1998-’99: Internet banking
• 2000: Firma digitale e certificate authorities
• 2001-’03: Managed Security Services
• 2004-oggi: DDoS Mitigation
• Prima implementazione di sistemi anti-ddos in
Italia
• Clienti ISP in Italia, Grecia, Turchia, Medio
Oriente
Marco Gioanola
pag. 2
Attacchi DDoS e loro mitigazione
28/11/14
Indice degli argomenti:
• Attacchi Distributed Denial of Service:
statistiche 2014
• Attacchi 2014: tipologie e strategie di
mitigation
Marco Gioanola
pag. 3
Attacchi DDoS e loro mitigazione
28/11/14
The Arbor ATLAS Initiative: Internet Trends
• 290+ ISPs sharing real-time data - > ATLAS Internet Trends
• Automated hourly export of statistics
• File is anonymous, only tagged with
• User Specified Region e.g. Europe
• Provider Type (self categorized)
• Data derived from Flow / BGP / SNMP correlation
• ATLAS currently monitoring a peak of around 90Tbps of IPv4
traffic (peak) across all respondents.
• A significant proportion of Internet traffic
Marco Gioanola
pag. 4
Attacchi DDoS e loro mitigazione
28/11/14
Un tentativo di visualizzazione delle proporzioni del
problema
Marco Gioanola
pag. 5
Attacchi DDoS e loro mitigazione
ADSL
Banda Larga
Dimensione media attacco DDoS
28/11/14
ATLAS 2014 – Q1
• Gennaio-Marzo:
• in soli tre mesi, il numero di attacchi di dimensione superiore
a 20Gbps è risultato una volta e mezzo maggiore dell’intero
anno 2013;
• 72 attacchi di dimensione maggiore di 100Gbps;
• nuovo record di dimensione: 325Gbps;
• Canale d’attacco principale: NTP reflection-amplification
Marco Gioanola
pag. 6
Attacchi DDoS e loro mitigazione
28/11/14
NTP reflection-amplification
• Network Time Protocol, UDP/123
• Query “monlist” verso alcune migliaia di server non sicuri,
risposte verso la vittima
• Fattore di amplificazione: 1000x
• Mitigation:
• access control lists infrastrutturali
• ddos mitigation systems
• messa in sicurezza server aperti
Marco Gioanola
pag. 7
Attacchi DDoS e loro mitigazione
28/11/14
ATLAS 2014 – Q2
• Aprile-Giugno:
• relativa “diminuzione” degli attacchi, rispetto al trimestre
precedente;
• Attacco maggiore: 154Gbps
• Principali vettori d’attacco:
• pacchetti frammentati
• NTP amplification
• DNS reflection/amplification
Marco Gioanola
pag. 8
Attacchi DDoS e loro mitigazione
28/11/14
DNS reflection
• Domain Name System, UDP/53 (TCP/53)
• “Classico” vettore di amplification; richieste verso server “open”,
grandi risposte verso la vittima;
• Fattore di amplificazione: circa 20x
• Variante: utilizzo di CPE (customer premise equipment: modem adsl,
ecc.) compromessi per generare ondate di richieste verso i server
vittima
• danni collaterali alle infrastrutture degli ISP coinvolti
• Mitigation:
• access control lists infrastrutturali per negare l’accesso al
servizio dove non necessario
• messa in sicurezza degli apparati compromessi
• apparati di ddos mitigation
Marco Gioanola
pag. 9
Attacchi DDoS e loro mitigazione
28/11/14
ATLAS 2014 – Q3
• Luglio-Settembre:
• utilizzo di SSDP per attacchi ad amplificazione
• attacco maggiore: 264Gbps
• Crescita degli attacchi verso la porta TCP/443 (HTTPS)
Marco Gioanola
pag. 10
Attacchi DDoS e loro mitigazione
050
100150200250300350400
Number of Events>50Gbps
>100Gbps
0
1000
2000
3000
4000
5000
6000
Number of Events>10Gbps
Number of Events>20Gbps
28/11/14
UDP amplification / reflection
• User Datagram Protocol: protocollo di livello di trasporto,
connectionless (non prevede autenticazione di mittente/destinatario)
• Strumento ideale per attacchi a riflessione
• Utilizzato per applicazioni Internet critiche:
• risoluzione nomi: DNS
• sincronizzazione tempo: NTP
• monitoraggio/gestione: SNMP (Simple Network Management
Protocol)
• ...e meno critiche:
• online gaming (Quake, ecc.)
• SSDP (Simple Service Discovery Protocol), base per Universal
Plug and Play (UPnP)
• ...e altri che attendono di essere sfruttati
Marco Gioanola
pag. 11
Attacchi DDoS e loro mitigazione
2014: top porte destinazione attacchi ITALIA
Q1
80 (HTTP): 21.7%
frammenti: 8.8%
443 (HTTPS): 4%
53 (DNS): 3.4%
21 (FTP): 1.7%
16000
(Gameranger):
1.6%
123 (NTP): 1.3%
15000
(Gameranger,
various): 1.1%
22 (SSH): 1%
Q2
80: 30.6%
frammenti: 13.8%
53: 4.9%
443: 1.4%
21: 1.4%
8080 (HTTP):
0.9%
123: 0.8%
Q3
frammenti: 29.4%
80: 28%
443: 2.9%
53: 1.3%
3074 (XBOX): 1%
4500 (IPsec NAT
traversal): 0.8%
28/11/14
Marco Gioanola
pag. 12
Attacchi DDoS e loro mitigazione
2014 Summary : 3670 eventi monitorati in Q1; 3683 eventi monitorati in Q2; 3356
eventi monitorati in Q3
2014: distribuzione dimensione attacchi in bps
Period Average Attack size (bps)
% Change Peak Attack Size(bps)
% Change
Q1 1.49Gbps - 49.91Gbps -
Q2 948.83Mbps -36.4% 19.87Gbps -60.2%
Q3 1Gbps +5.4% 28.02Gbps +41%
Q1 Q2 Q3
28/11/14
Marco Gioanola
pag. 13
Attacchi DDoS e loro mitigazione
2014: dimensione attacchi in pps
Period Average Attack size (pps)
Change(Q / Q)
Peak Attack Size(pps)
Change (Q / Q)
Q1 377.73Kpps - 12.46Mpps -
Q2 239.65Kpps -36.6% 14.61Mpps +17.3%
Q3 264.55Kpps +10.4% 6.63Mpps -54.6%
Q1 Q2 Q3
28/11/14
Marco Gioanola
pag. 14
Attacchi DDoS e loro mitigazione
2014: distribuzione durata attacchi
Q1 Q2 Q3
28/11/14
Marco Gioanola
pag. 15
Attacchi DDoS e loro mitigazione
28/11/14
Marco Gioanola
Approccio multi-livello
La soluzione migliore al problema DDoS, riconosciuta dal
mercato e dagli analisti consiste nel “fermare gli attacchi
al posto giusto”
• Apparato on-premise, inline, always-on, per mitigation
application-layer
• Servizio erogato dall’ISP, on demand, per mitigation
volumetriche
• Servizio “cloud” provider-agnostic, per excess
capacity, clienti multi-homed, connettività internazionale
pag. 16
Attacchi DDoS e loro mitigazione