d do s
TRANSCRIPT
Faculdade EstácioUnidade João Pessoa
Identificação e Tratamento de Ataques de Negação de Serviço Distribuído (DDoS)
Leandro [email protected]
DDoS
Definições...
“...são ataques caracterizados pela tentativa explícita de negar um serviço a um usuário legítimo...” [Beitollahi and Deconinck, 2012]
“...são ataques coordenados sobre a disponibilidade de um ou vários sistemas alvo através de muitas vítimas secundárias...”
[ Kumar and Selvakumar, 2013]
Em 2013, o termo DDoS obteve número 100 no Google Trends
O país com maior interesse é a Rússia
O termo “how to DDoS” tambémobteve número 100.
O país com maior interesse é a Suécia
O termo “DDoS HTTP” vem numa crescente deste 2008
DDoSvariantes
FloodingAfetam a infraestrutura de hardware do alvo
ICMP floodingUDP floodingTCP flooding
TCP SYN Flooding
SYN
SYN-ACK
O pacote ACK para completar o 3-way handshakenunca chegará
TCP SYN Flooding
SYN
SYN-ACK
...
SYN
SYN-ACK
SYN
SYN-ACK
SYN-ACK
SYN
TCP SYN Flooding
SYN
SYN-ACK
...
SYN
SYN-ACK
SYN
SYN-ACK
SYN-ACK
SYN
Os ataques de 1996 e 2000 utilizavam técnicas de ICMP, UDP e TCP SYN Flooding e tinham ferramentas como:- TFN (Tribe Flood Network)- TRIN00- STACHELDRAHT- TFN2K
DRDoS – Distributed Reflected Denial of Service
ICMP Echo Request
...
ICMP Echo Request
ICMP Echo Request
ICMP Echo Request
Atacante falsifica seu IP, usando o IP do Alvo
ICMP Echo Reply
ICMP Echo Reply
ICMP Echo Reply
ICMP Echo Reply
Smurf Ataque
Anonymous
2009 - Iran
2010 - Paypal, Amazon, Mastercard e Visa
2011 - Sony
2012 - FBI
LulzSec
2011 – Sites do Gov. Brasileiro, FBI e Senado Americano
Em ambos os grupos, um dos ataques mais utilizados
foi o DDoS HTTP
DDoS HTTP
DDoS HTTP GET SYN
SYN-ACK
ACK
GET /index.php
ACK
Pragma: 1010
...Erro 408 – Request Timeout
DDoS HTTP GETEstatísticas - CPU
DDoS HTTP GETEstatísticas - CPU
DDoS HTTP GETEstatísticas - Memória
DDoS HTTP GETEstatísticas - Conexões
DDoS HTTP POST SYN
SYN-ACK
ACK
POST / inserir.html
ACK
Continuação do POST
...Erro 400 – Bad Request
Nestes ataques as ferramentas utilizadas são:- HTTP DoS Tool- Slowloris- LOIC
Não existe uma única soluçãopara todos tipos de ataque DDoS
Possíveis Soluções
Em sistems baseados em Linux:- Módulo limit do iptables- Módulo SYN Cookies do kernel- Módulo rp_filter do kernel
Para detectar os ataques, trabalhos científicos utilizam informações como:- Tamanho do pacote- Intervalo de tempo entre pacotes- Comportamento do navegador Web- Payload do pacote- Flags TCP- Erros SYN- Números de sequência TCP- Endereços IP- ...
- Lógica Fuzzy- Algoritmos Genéticos- Modelo de Markov- Machine Learning- Redes Neurais
Modelo PropostoIdentificar e Tratar Ataques
DDoS GET HTTP
Estudamos o ataque repetindo-o diversas vezes até ser possível identificá-lo com o mínimo de características possíveis
- Tamanho do pacote- Tempo entre chegadas- Campo Pragma do HTTP- Endereço IP de origem- Porta de destino
Experimento
Experimento - Resultados
Dúvidas?
Leandro [email protected]