• Non ci sono risultati.

Ciccia Emanuele Degano Anna Di Iorio Andrea

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Ciccia Emanuele Degano Anna Di Iorio Andrea"

Copied!
17
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 17 pagine )

Testo completo

(1)

Ciccia Emanuele Degano Anna Di Iorio Andrea

(2)

Spamhaus

• Fondata: Londra, Inghilterra 1998

• Fondatore: Steve Linford

• Tipo: Nonprofit company a responsabilità limitata

• Locazioni: Ginevra, Svizzera e Londra, Inghilterra

• Area coperta: gestisce circa l’80% di mail spam a livello mondiale

• Metodo: Investigazione forense Real-time DNS blocklists

• Se il sito non è accessibile, non sono nemmeno accessibili i database di spamhaus da cui ricavare la spam list

(3)

CyberBunker

CyberBunker è un provider di servizi Internet che, secondo il suo sito web, offre

“servizi a qualsiasi sito Web tranne pornografia infantile e tutto ciò che riguarda il terrorismo”

(4)

Cloudflare

• Fondata: San Francisco, California 2009

• Fondatori:Matthew Prince, Lee Holloway, Michelle Zatlyn

• Tipologia: sicurezza e performance dei siti web

• Locazioni: San Francisco,California e Londra, Inghilterra

• Premi e riconoscimenti in qualità di azienda innovativa e tecnologica

• 2 delle 3 principali chat ISIS sono garantite da cloudflare

• Specializzata nel smaltire attacchi ddos in quanto hanno la capacità di distribuire il traffico su più server, rendendo inefficace simili attacchi

(5)

DNS Amplification

(6)

Domain Name System

Diversi linguaggi utilizzati per individuare le risorse su internet

• Persone

Nomi di Dominio www.uniud.it

• Macchine

Indirizzi IP 158.110.3.46

Il sistema DNS risolve i nomi di dominio in indirizzi IP e viceversa

(7)

13 Server distribuiti

Resource Record Root

org it com

example uniud

www Name

server Root level

Top Level Domain (TLD)

Second Level Domain

Sottodomini

Protocollo UDP - poco affidabile - molto veloce

Caratteristiche

(8)

Client ISP DNS Server Root DNS Server it DNS Server Example DNS Server www.example.it A?

www.example.it A 131.111.80.46

www.example.it A?

www.example.it A?

www.example.it A?

it A 131.40.50.2

example.it A 131.111.80.2

www.example.it A 131.111.80.46

Request & Response

(9)

Fattore di amplificazione

• Per determinate richieste può arrivare intorno a 70 – 80

• Protocollo EDNS  flag OPT record

• Aumenta capacità massima pacchetto DNS (512 byte)

(10)

Attaccante Botnet

Open Resolvers : disponibili per tut

DNS Server of example.it

Root Servers it

Vitma Step 1

Atvazione Botnet Step 2

Qual è l’IP di example.it?

Spoofing -> rispondi a IP Vitma Step 3

example.it A?

Step 4

Non lo so, chiedi a it

Step 5

example.it A?

Step 6

Chiedi al loro DNS Server, ecco l’IP Step 7

example.it A?

Step 8

Ecco qui l’IP di example.it

Step 9 example

.it A 131.111.80.46 Cache

(11)

L’attacco

(12)

Il primo attacco

!

!

!

!

!

!

! !

• Cyberbunker realizza un attacco di Ddos sfruttando la DNS

Amplification

• Dimensione attacco intorno ai 10Gbps  Spamhaus resa

inaccessibile

• Viene contattata CloudFlare per ammortizzare l'impatto dell'attacco.

(13)

La reazione di Spamhaus e l’intervento di Cloudflare

! !

!

!

!

!

!

!

!

!

!

!

!

!

!

!

! !

! !

• Cyberbunker continua ad attaccare ma invano: Cloudflare

ridistribuisce la banda nel network

Dati (20marzo):

• 16:30  75Gbps

• 21:30  oltre 100Gbps

(14)

Il Network di Cloudflare

[Technical Report]

NSFOCUS

TEL: +86 10 68438880 EMAIL: info@nsfocus.com

NSFOCUS US

TEL: +1 408 907 6638

EMAIL: info-us@nsfocus.com

NSFOCUS Japan

TEL: +81 3 6206 8156

EMAIL: info-jp@nsfocus.com

attackers changed their attack strategy, and turned the attack to the Internet bandwidth provider of CloudFlare and Internet exchange infrastructure connected to CloudFlare.

2.1.3 Attacks on ISPs

CloudFlare mainly purchases bandwidth from Tier-2 ISPs. Tier-2 ISPs buy bandwidth from Tier-1 ISPs and ensure the connections between them. Tier-1 ISPs do not purchase bandwidth from one anyone, instead they engage in payment peering to the other Tier-1 ISPs. Fundamentally, these Tier-1 ISPs ensure that every network is connected to other networks. If the devices or networks of Tier-1 ISPs fail, a serious problem will be caused to the Internet.

Source: wikipedia.org

CloudFlare used Anycast technology to divide and spread out the attack traffic. Anycast technology means that if the attacker attacked the last hop in the traceroute, then their attack would be spread across CloudFlare’s worldwide networks and data centers. So instead they attacked the second to last hop in the traceroute, which concentrated the attack data on one single point. This wouldn’t cause a network-wide outage, but it could potentially cause regional problems.

The Tier-2 providers can filter out the attack traffic quickly and effectively on their network edges.

The attack traffic couldn’t enter into the networks of Tier-2 ISPs, so the pressure of the attack traffic was

Cloudflare  Tier-2 ISP  Tier-1 ISP

I Tier-1 assicurano che i vari network siano connessi tra loro

(15)

Il secondo attacco

!

• Cambio di tattica : Cyberbunker attacca gli Internet Service

Provider e gli Internet

Exchange a cui Cloudflare si appoggia

• Dimensione attacco intorno ai 300Gbps  Cloudflare

continua ad essere accessibile

Internet Exchange attaccati:

• Londra

• Amsterdam

• Francoforte

• Hongkong

(16)

Anycast

• Quando c'è un attacco, Anycast serve per diluire efficacemente il traffico ripartendolo tra le varie proprie strutture. L'attacco da molti-a-uno, diventa molti-a-molti evitando

possibili colli di bottiglia.

• Nel normale funzionamento i server funzionano in modo da mandare le richieste al

server più vicino; durante l’attacco invece sono progettati appositamente per ridistribuire le richieste in modo da equilibrare il traffico su ogni nodo della propria rete.

• CloudFlare ha utilizzato Anycast per risolvere l'attacco.

• L’attacco non è andato a buon fine, infatti nonostante l'enorme mole di traffico Spamhaus risultava comunque raggiungibile e i server di Cloudflare erano ancora funzionanti.

(17)

• Attacchi di amplificazione DNS funzionano perché aziende come AT & T, GoDaddy, SoftLayer, e Pakistan Telecom permettono di lavorare con server DNS aperti.

• Per prevenire questi attacchi è necessario operare su entrambi i lati: ISP e amministratori di rete.

• I fornitori di servizi Internet dovrebbero implementare le tecnologie che prevengono l'IP spoofing (IP del mittente falsificato).

• Gli amministratori di rete devono proteggere i resolver DNS in esecuzione sulla rete, è necessario disattivare la ricorsione come raccomandato da US-CERT Bullettin, ma

solitamente questa impostazione per DNS è ignorata.

• Questo attacco ha mobilitato il settore del networking, che sta cercando di applicare questi concetti, per cercare di contenere la minaccia.

Soluzioni

Riferimenti

Scarica adesso ( PPTX - 17 pagine - 2.80 MB )

Documenti correlati

Su Coddu- Canelles (Selargius, Cagliari): tra didattica e ricerca scientifica

printendenza Archeologica (scavi Ugas e Ma- nunza), in tempi più recenti con la collabora- zione delle due università sarde; tali indagini hanno consentito

Technology innovation and the aging workforce in the time of Covid

Benefits: Improved health, productivity, safety and greater availability of data, information and knowledge useful for people and organizations.. Threats: for the privacy and

Tra i palazzi di via Balbi. Storia della facoltà di Lettere e Filosofia dell'Università degli Studi di Genova. Premessa del curatore

Qualcuno si è limitato ad eseguire un compito stringato, altri si sono impegnati in una ricostruzione più articolata, altri ancora hanno colto l’occasione di questa storia della

The effects of innovative silicon applications on growth and powdery mildew control in soilless-grown cucumber (Cucumis sativus L.) and zucchini (Cucurbita pepo L.)

The aim of this study was to compare the effects of innovative Silicon nanosponge complex, and new commercial fertilizer with traditional applications, supplied

O The History and Technology of Oscilloscopes

Digital phosphor oscilloscopes enable the representation of an electrical signal in three dimensions, time, amplitude, and amplitude over time, using an almost real-time screen

An Introduction to the Digital Still Camera Technology

Each sensitive element of the sensor (known as pixel) is sensitive to one color component only. This is obtained through the deposition of color filters on top of a monochrome

SPATIALIZATION AND ACOUSTICAL SIMULATION IN THE BINAURAL TECHNOLOGY

In case the TF is measured, the outcome of auralization is a signal representing the average acoustical field perceived by an “average” listener placed in the environment.. If the

Is diet partly responsible for differences in COVID-19 death rates between and within countries?

ACE: Angiotensin converting enzyme; COVID‑19: Coronavirus 19 disease; MERS: Middle East Respiratory Syndrome; SARS: Severe acute respiratory syn‑ drome; SARS‑Cov‑2: Severe