Ciccia Emanuele Degano Anna Di Iorio Andrea
Spamhaus
• Fondata: Londra, Inghilterra 1998
• Fondatore: Steve Linford
• Tipo: Nonprofit company a responsabilità limitata
• Locazioni: Ginevra, Svizzera e Londra, Inghilterra
• Area coperta: gestisce circa l’80% di mail spam a livello mondiale
• Metodo: Investigazione forense Real-time DNS blocklists
• Se il sito non è accessibile, non sono nemmeno accessibili i database di spamhaus da cui ricavare la spam list
CyberBunker
CyberBunker è un provider di servizi Internet che, secondo il suo sito web, offre
“servizi a qualsiasi sito Web tranne pornografia infantile e tutto ciò che riguarda il terrorismo”
Cloudflare
• Fondata: San Francisco, California 2009
• Fondatori:Matthew Prince, Lee Holloway, Michelle Zatlyn
• Tipologia: sicurezza e performance dei siti web
• Locazioni: San Francisco,California e Londra, Inghilterra
• Premi e riconoscimenti in qualità di azienda innovativa e tecnologica
• 2 delle 3 principali chat ISIS sono garantite da cloudflare
• Specializzata nel smaltire attacchi ddos in quanto hanno la capacità di distribuire il traffico su più server, rendendo inefficace simili attacchi
DNS Amplification
Domain Name System
Diversi linguaggi utilizzati per individuare le risorse su internet
• Persone
Nomi di Dominio www.uniud.it
• Macchine
Indirizzi IP 158.110.3.46
Il sistema DNS risolve i nomi di dominio in indirizzi IP e viceversa
13 Server distribuiti
Resource Record Root
org it com
example uniud
www Name
server Root level
Top Level Domain (TLD)
Second Level Domain
Sottodomini
Protocollo UDP - poco affidabile - molto veloce
Caratteristiche
Client ISP DNS Server Root DNS Server it DNS Server Example DNS Server www.example.it A?
www.example.it A 131.111.80.46
www.example.it A?
www.example.it A?
www.example.it A?
it A 131.40.50.2
example.it A 131.111.80.2
www.example.it A 131.111.80.46
Request & Response
Fattore di amplificazione
• Per determinate richieste può arrivare intorno a 70 – 80
• Protocollo EDNS flag OPT record
• Aumenta capacità massima pacchetto DNS (512 byte)
Attaccante Botnet
Open Resolvers : disponibili per tut
DNS Server of example.it
Root Servers it
Vitma Step 1
Atvazione Botnet Step 2
Qual è l’IP di example.it?
Spoofing -> rispondi a IP Vitma Step 3
example.it A?
Step 4
Non lo so, chiedi a it
Step 5
example.it A?
Step 6
Chiedi al loro DNS Server, ecco l’IP Step 7
example.it A?
Step 8
Ecco qui l’IP di example.it
Step 9 example
.it A 131.111.80.46 Cache
L’attacco
Il primo attacco
!
!
!
!
!
!
! !
• Cyberbunker realizza un attacco di Ddos sfruttando la DNS
Amplification
• Dimensione attacco intorno ai 10Gbps Spamhaus resa
inaccessibile
• Viene contattata CloudFlare per ammortizzare l'impatto dell'attacco.
La reazione di Spamhaus e l’intervento di Cloudflare
! !
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! !
! !
• Cyberbunker continua ad attaccare ma invano: Cloudflare
ridistribuisce la banda nel network
Dati (20marzo):
• 16:30 75Gbps
• 21:30 oltre 100Gbps
Il Network di Cloudflare
[Technical Report]
NSFOCUS
TEL: +86 10 68438880 EMAIL: info@nsfocus.com
NSFOCUS US
TEL: +1 408 907 6638
EMAIL: info-us@nsfocus.com
NSFOCUS Japan
TEL: +81 3 6206 8156
EMAIL: info-jp@nsfocus.com
attackers changed their attack strategy, and turned the attack to the Internet bandwidth provider of CloudFlare and Internet exchange infrastructure connected to CloudFlare.
2.1.3 Attacks on ISPs
CloudFlare mainly purchases bandwidth from Tier-2 ISPs. Tier-2 ISPs buy bandwidth from Tier-1 ISPs and ensure the connections between them. Tier-1 ISPs do not purchase bandwidth from one anyone, instead they engage in payment peering to the other Tier-1 ISPs. Fundamentally, these Tier-1 ISPs ensure that every network is connected to other networks. If the devices or networks of Tier-1 ISPs fail, a serious problem will be caused to the Internet.
Source: wikipedia.org
CloudFlare used Anycast technology to divide and spread out the attack traffic. Anycast technology means that if the attacker attacked the last hop in the traceroute, then their attack would be spread across CloudFlare’s worldwide networks and data centers. So instead they attacked the second to last hop in the traceroute, which concentrated the attack data on one single point. This wouldn’t cause a network-wide outage, but it could potentially cause regional problems.
The Tier-2 providers can filter out the attack traffic quickly and effectively on their network edges.
The attack traffic couldn’t enter into the networks of Tier-2 ISPs, so the pressure of the attack traffic was
Cloudflare Tier-2 ISP Tier-1 ISP
I Tier-1 assicurano che i vari network siano connessi tra loro
Il secondo attacco
!
• Cambio di tattica : Cyberbunker attacca gli Internet Service
Provider e gli Internet
Exchange a cui Cloudflare si appoggia
• Dimensione attacco intorno ai 300Gbps Cloudflare
continua ad essere accessibile
Internet Exchange attaccati:
• Londra
• Amsterdam
• Francoforte
• Hongkong
Anycast
• Quando c'è un attacco, Anycast serve per diluire efficacemente il traffico ripartendolo tra le varie proprie strutture. L'attacco da molti-a-uno, diventa molti-a-molti evitando
possibili colli di bottiglia.
• Nel normale funzionamento i server funzionano in modo da mandare le richieste al
server più vicino; durante l’attacco invece sono progettati appositamente per ridistribuire le richieste in modo da equilibrare il traffico su ogni nodo della propria rete.
• CloudFlare ha utilizzato Anycast per risolvere l'attacco.
• L’attacco non è andato a buon fine, infatti nonostante l'enorme mole di traffico Spamhaus risultava comunque raggiungibile e i server di Cloudflare erano ancora funzionanti.
• Attacchi di amplificazione DNS funzionano perché aziende come AT & T, GoDaddy, SoftLayer, e Pakistan Telecom permettono di lavorare con server DNS aperti.
• Per prevenire questi attacchi è necessario operare su entrambi i lati: ISP e amministratori di rete.
• I fornitori di servizi Internet dovrebbero implementare le tecnologie che prevengono l'IP spoofing (IP del mittente falsificato).
• Gli amministratori di rete devono proteggere i resolver DNS in esecuzione sulla rete, è necessario disattivare la ricorsione come raccomandato da US-CERT Bullettin, ma
solitamente questa impostazione per DNS è ignorata.
• Questo attacco ha mobilitato il settore del networking, che sta cercando di applicare questi concetti, per cercare di contenere la minaccia.
Soluzioni