Embed Size (px)
Citation preview
Real (D)DoS Attivismo digitale, zombie, botnet e DoS distribuito: un
sistema per la rilevazione dei DDoS
Roberto Battistoni ([email protected])
Information Security Lessons 2012/2013 (prof. Luigi V. Mancini) – 19/12/2012
Agenda
! Introduzione ai DoS e Distributed DoS ! DoS (“negazione del servizio”)
! Distributed DoS ! Gli attori e gli strumenti per il Distributed DoS
! Real DoS: identificare un DDoS ! Dataset reale
! Metriche per il rilevamento ! Sperimentazioni
! Real life: identificare e gestire i DDoS ! punto di vista dell’attaccante
! punto di vista della vittima
Introduzione
Denial of Service
Denial of Service
! Anche detto “negazione del servizio”, attacchi di tipo DoS rendono inservibili determinati “sistemi” (non solo informatici) per un certo periodo
! Il danno è dovuto proprio all’assenza del servizio erogato
! Es: DoS su sistemi biomedicali, o peggio, dispositivi salva-vita impiantabili nel corpo umano (pacemaker)
! Il meno pericoloso? siti web per danno di immagine
Denial of Service
! Per i DoS veicolati attraverso pacchetti di rete, il filtering dei pacchetti inviati rende questi attacchi poco efficaci
! SYN flood, UDP flood, etc. sono ben conosciuti e gestibili (o almeno dovrebbero esserlo)…se DoS
! Ma nel DoS l’attaccante è identificabile, o la banda che può occupare è minima (a meno che non lavori in un AS)
Distributed DoS
Video…
Distributed DoS
! DoS in cui gli attaccanti sono molteplici, coordinati e con sufficiente banda a disposizione
! Identificare gli attaccanti è più difficile e dispendioso e, alle volte inutile (spoofing dei pacchetti)
! Il problema è negli attacchi che saturano la banda della vittima: la vittima non naviga e possibili effetti domino
! SYN flood, UDP flood, DNS flood, assumono una nuova potenza
! Di solito si usano botnet e indirizzi spoofati (amplificando lo spazio degli attaccanti) o attivismo digitale (twitter C&C)
Diventare uno zombie di una botnet
Attacco DDoS attraverso botnet
Zeus botnet: C&C location
DDoS: tipologie di danno
! Danno di immagine: sito web oscurato (whitehouse.gov)
! Danno reale: sistema per transazioni real time (es: Wall Street)
! Danno derivato: effetto domino su sistemi interni
! Danno fisico: sistemi biomedicali e impiantabili
Gli attori del DDoS
! Attivisti digitali (hacktivists): persone che protestano per una causa attaccando sistemi informatici
! Hacker: nessuno lo fa più per mettersi in mostra…ma qualcuno pensa ancora che War Games sia l’attualità (illusi!)
! Cracker: organizzazioni criminali che hanno come scopo quello di danneggiare e ricavare profitto da queste attività (diversivi per attacchi più selettivi)
! Cyberwar: attacchi a infrastrutture critiche per scopi militari sono una realtà (stuxnet)
! Terroristi: attacchi a infrastrutture critiche che danneggiano la collettività
Gli strumenti del DDoS
! Botnet acquistate su Internet e geolocalizzate world-wide: ! difficoltà di intraprendere azioni legali per le diverse legislazioni dei
paesi coinvolti ! Potenza di fuoco e di azione praticamente infinita
! Strumenti “open”: LOIC e sue derivazioni, ossia “come la casalinga di bordighera può diventare attivista digitale”: ! la scarsa conoscenza dello strumento rende l’attaccante
identificabile dalle forze dell’ordine ! Richiede un numero davvero molto elevato di “attivisti” ! Manuale di comportamento dell’attivista: anonimizzazione, tcp/ip
crash course, …
! Strumenti “home-made” per attacchi più raffinati come malware o altro (scoiattolo nella centrale elettrica!)
Zeus botnet: e-commerce!
Video…
Zeus botnet: admin panel
LOIC: Low Orbit Ion Cannon
Video…
DDoS detection with information theory metrics and netflows: a real case
D. Vitali, A. Villani, A. Spognardi, R. Battistoni1, L.V. Mancini
SECRYPT
Rome, Tuesday July 24, 2012
Rilevare i DDoS
! Come distinguere un evento da un attacco?
! Deep packet inspection: ! impraticabile su flussi di dati 10 Gb/s
! Problemi di anonimizzazione
! Studi attuali utilizzano dataset sintetici che spesso sono: ! parecchio datati (1999 DARPA)
! contengono traffico molto diverso rispetto a quello odierno
Il nostro contributo
! Identificare delle metriche e degli strumenti che il provider può utilizzare per determinare se un sistema è attaccato e reagire
! Lavoro basato su un Dataset “reale” (ma non anonimizzato, quindi non è disponibile)
! Analizzato il traffico Netflow® CISCO di un AS secondo alcune metriche
Autonomous System
Our AS: “it manages thousands of unique IP addresses and that the amount of packets is around 30K every second, the monitored AS can be considered of medium size for an European member state”
Def (RFC1930): An AS is a connected group of one or more IP prefixes run by one or more network operators which has a SINGLE and CLEARLY DEFINED routing policy
“NetFlow is a Cisco technology used for monitoring IP traffic (Cisco Systems, 2004). Despite the classical packet collector (packet dump), NetFlow collects data in Layers 2-4 and determines applications by port numbers, aggregating the information”
Analisi dei flussi NetFlow
“Very large set (more than 1.5 years) of network flows gathered from Border Gateway Protocol router of Commercial and Istitutional ISP
2 GBytes of full netflow entries contain 110 millions of flows, 2 billions of packets corrisponding to 5 TB of exchanged data”
Dataset reale
Le metriche Date due variabili aleatorie P e Q, abbiamo le seguenti definizioni:
Implementazione delle metriche
• Metriche calcolate sugli IP sorgenti e destinazione • time slot (e.g. 1 minuto) • Kullback e Renyi considerano due time slot, mentre l’entropia binaria uno
Sperimentazioni
! Abbiamo analizzato 4 eventi ! E1: High volume DoS ! E2: Low volume DoS ! E3: High volume Distributed DoS ! E4: Mantainance jobs
! Per ogni evento abbiamo analizzato il comportamento di ogni metrica
! Gli eventi E1 e E3 sono stati rivendicati dagli attivisti di “Anonymous”
! L’evento E2 è stato rilevato durante l’analisi e confermato a posteriori come attacco
E1: High volume DoS
E2: Low volume DoS
E3: High volume DDoS
Conclusioni
! Tutte le metriche sono in grado di rilevare (D)DoS
! Alcune, come l’entropia binaria e la Renyi, sono però troppo variabili nel comportamento o gli eventi non sono così distinguibili
! La KL è invece la metrica più “stabile” e sembra quindi essere la più adatta ad isolare attacchi di questo tipo
! Il problema della soglia è un problema aperto, ma ci sono buoni presupposti (prossimi lavori)
Real Life!
DDoS: l’attaccante
! Comprare una botnet, gestirla dall’Italia ed essere irrintracciabile: motivazioni politiche, criminali…altro (infrastrutture critiche)
! Veicolare varianti infinite di DDoS per attacchi generalisti: SYN flood, UDP flood, DNS amplification, low freq attacks
! Utilizzare botnet per attacchi mirati: identificazione sistemi inefficienti; utilizzo botnet per attacchi a livello “application” ISO/OSI
! Attivismo digitale “consapevole”: attività illegali…comunque
DDoS: la vittima
! Gestire…NON ignorare: DDoS difficile da contrastare ma questo non vuol dire ignorarlo o peggio affermare “così fan tutti!”
! Danno di immagine che mette in difficoltà dipartimenti ICT di aziende e PA: continuità del servizio è la prima cosa per ICT!
! Necessario coinvolgere fornitori di banda per arginare (non eliminare) il problema
! Effetto domino: il DDoS può indurre side-effect su sistemi interni (navigazione, …); difficile da far comprendere ai decision maker
! Attenzione ai diversivi, quello che non si sente o non si vede non è detto che non esista ;)
! Utilizzare “RealDoS”…
Riferimenti ! 2004 - Mirkovic, J. and Reiher, P. (2004). A taxonomy of
DDOS, attack and DDOS defense mechanisms. SIGCOMM, Comput. Commun. Rev., 34:39–53.
! 2008 - Daniel Halperin - University of Washington “Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses”
! 2012 - D. Vitali, A. Villani, A. Spognardi, R. Battistoni, L. V. Mancini, DDoS detection with information theory metrics and netflows: a real case, International Conference on Security and Cryptography, SeCrypt 2012, Roma, Italy
Grazie!
