d do s

Faculdade EstácioUnidade João Pessoa

Identificação e Tratamento de Ataques de Negação de Serviço Distribuído (DDoS)

Leandro Almeidalcavalcanti.almeida@gmail.com

DDoS

Definições...

“...são ataques caracterizados pela tentativa explícita de negar um serviço a um usuário legítimo...” [Beitollahi and Deconinck, 2012]

“...são ataques coordenados sobre a disponibilidade de um ou vários sistemas alvo através de muitas vítimas secundárias...”

[ Kumar and Selvakumar, 2013]

Em 2013, o termo DDoS obteve número 100 no Google Trends

O país com maior interesse é a Rússia

O termo “how to DDoS” tambémobteve número 100.

O país com maior interesse é a Suécia

O termo “DDoS HTTP” vem numa crescente deste 2008

DDoSvariantes

FloodingAfetam a infraestrutura de hardware do alvo

ICMP floodingUDP floodingTCP flooding

TCP SYN Flooding

SYN

SYN-ACK

O pacote ACK para completar o 3-way handshakenunca chegará

TCP SYN Flooding

SYN

SYN-ACK

...

SYN

SYN-ACK

SYN

SYN-ACK

SYN-ACK

SYN

TCP SYN Flooding

SYN

SYN-ACK

...

SYN

SYN-ACK

SYN

SYN-ACK

SYN-ACK

SYN

Os ataques de 1996 e 2000 utilizavam técnicas de ICMP, UDP e TCP SYN Flooding e tinham ferramentas como:- TFN (Tribe Flood Network)- TRIN00- STACHELDRAHT- TFN2K

DRDoS – Distributed Reflected Denial of Service

ICMP Echo Request

...

ICMP Echo Request

ICMP Echo Request

ICMP Echo Request

Atacante falsifica seu IP, usando o IP do Alvo

ICMP Echo Reply

ICMP Echo Reply

ICMP Echo Reply

ICMP Echo Reply

Smurf Ataque

Anonymous

2009 - Iran

2010 - Paypal, Amazon, Mastercard e Visa

2011 - Sony

2012 - FBI

LulzSec

2011 – Sites do Gov. Brasileiro, FBI e Senado Americano

Em ambos os grupos, um dos ataques mais utilizados

foi o DDoS HTTP

DDoS HTTP

DDoS HTTP GET SYN

SYN-ACK

ACK

GET /index.php

ACK

Pragma: 1010

...Erro 408 – Request Timeout

DDoS HTTP GETEstatísticas - CPU

DDoS HTTP GETEstatísticas - CPU

DDoS HTTP GETEstatísticas - Memória

DDoS HTTP GETEstatísticas - Conexões

DDoS HTTP POST SYN

SYN-ACK

ACK

POST / inserir.html

ACK

Continuação do POST

...Erro 400 – Bad Request

Nestes ataques as ferramentas utilizadas são:- HTTP DoS Tool- Slowloris- LOIC

Não existe uma única soluçãopara todos tipos de ataque DDoS

Possíveis Soluções

Em sistems baseados em Linux:- Módulo limit do iptables- Módulo SYN Cookies do kernel- Módulo rp_filter do kernel

Para detectar os ataques, trabalhos científicos utilizam informações como:- Tamanho do pacote- Intervalo de tempo entre pacotes- Comportamento do navegador Web- Payload do pacote- Flags TCP- Erros SYN- Números de sequência TCP- Endereços IP- ...

- Lógica Fuzzy- Algoritmos Genéticos- Modelo de Markov- Machine Learning- Redes Neurais

Modelo PropostoIdentificar e Tratar Ataques

DDoS GET HTTP

Estudamos o ataque repetindo-o diversas vezes até ser possível identificá-lo com o mínimo de características possíveis

- Tamanho do pacote- Tempo entre chegadas- Campo Pragma do HTTP- Endereço IP de origem- Porta de destino

Experimento

Experimento - Resultados

Dúvidas?

Leandro Almeidalcavalcanti.almeida@gmail.com