|
-
Date sent: Fri, 11
Feb 2000 00:31:01 -0800
Send reply to: aleph1@SECURITYFOCUS.COM
From: Elias Levy aleph1@SECURITYFOCUS.COM
Subject: DDOS Attack Mitigation
to: bugtraq@securityfocus.com
--- traduzione dall'inglese ---
a meno che siate rimasti a dormire tutto il giorno nell'ultima settimana avrete
sentito parlare degli attacchi del tipo 'interruzione di servizio distribuita
[Distributed Denial of Service # DDoS]' che sono stati perpetrati ai danni di
alcuni dei maggiori siti Internet.
Nel caso specifico sono stati attacchi volti alla consunzione, all'azzeramento
della larghezza di banda dei bersagli. Alcuni dei Network Provider coinvolti
negli attacchi hanno dichiarato un aumento di traffico fino a 1 Gb/s.
Questi attacchi non sono una novita'.
David Dittrich ha preparato un eccellente analisi di questo tipo di attacchi
e degli strumenti che li rendono possibili.
Potete trovare il lavoro di David e alcuni 'tool' a:
* Trinoo
trinoo.analysis
* Tribe Flood Network
tfn.analysis
* Stacheldraht
stacheldraht.analysis
Una serie d'incontri e' stata tenuta per discutere degli attacchi e per cercare
possibili soluzioni.
Tra questi incontri vanno segnalati il 'CERT Distributed Systems Intruder Workshop'
di Novembre [1999] e le due piu' recenti sessioni del BoF, Birds of Feather,
organizzate dalla ICSA alle conferenze della RSA e del NANOG.
Potete trovare le note di David relative al workshop del CERT qui
Potete trovare i risultati del workshop del CERT qui
Il CERT aveva distribuito un avviso
sul prolema nel mese di gennaio
Gli attacchi del tipo DoS sono possibili a causa di fondamentali scelte strutturali
al livello del protocoloo IP.
Questo non implementa una forma di autenticazione suffuciente della sorgente
dei pacchetti in transito e fornisce il servizio migliore in assenza di una
protocllo di alocazione delle risorse.
A tutt'oggi nessuno ha trovato la soluzione definitiva al problema, il che significa
pero' avere numerose scelte per restringerlo.
Ve ne presentero' alcune e vorrei sentire da voi quali impressione ne ricaverete.
# Filtraggio degli ingressi alla rete
Tutti i Network Access Providers dovrebbero implementare dei filtri d'ingresso
per impedire che uno qualsiasi dei network a loro subordinati immetta pacchetti
contenenti indirizzi e header contraffatti (spoofed).
Sebbene questa soluzione non diminuisca la possibilita' di un attacco permettera'
una facile individuazione della sua provenienza e una sua rapida fine.
Per informazioni sui 'Network ingress filtering' leggete la RFC
2267
# Limitazioni all'ampiezza di banda per taluni network
Un certo numero di router oggi sul mercato possiedono funzioni di limitazione
della quantita' di banda consumata da un certo tipo di traffico.
A volte ci si riferisce a questo tipo di operazione come 'traffic shaping'.
Nel software Cisco IOS questa funzione e' detta 'Committed Access Rate [Volume
d'Accesso Vagliato/Giudicato]' o CAR.
Il CAR permette di accrescere la qualita' del controllo sulla banda sul traffico
di rete che corrisponda ad una determinata lista di accessi.
Questa tecnica potra' essere usata in termini preventivi qualora si sappia che
la maggior parte del nostro traffico sara' di un determinato tipo.
Per esempio: gestendo un'attivita' via web potrete configurare il sistema in
modo che il traffico web abbia tutta la banda necessaria, al contempo limitando
il rimanente traffico ad un volume di dimensioni inferiori e piu' maneggevole.
La stessa tecnica potra' essere usata in via repressiva se riucirete a dar vita
a regole di accesso da associare ai determinati tipi di traffico usati nei DDoS
attack.
Per esempio: se viene usato un pacchetto ICMP o un pacchetto TCP SYN potrete
configurare il sistema per portarlo a limitare specificamente l'ampiezza di
banda che tali tipi di pacchetto potranno saturare.
Questo permettera' il passaggio ad alcuni di tali pacchetti, che potrebbero
provenire da fonti legittime o meno.
A causa dell'effetto valanga dei DDoS attack sara' necessario che la tecnica
illustrata in precedenza venga applicata e schierata piu' in profondita' possibile
(il piu' vicino alla sorgente dei pacchetti dell'attacco).
Si potra' chiedere al proprio Network Access Provider di implementare questi
filtri sui propri e i loro router ma questo non sara' possibile a molte societa'e
organizzazioni per una molteplicita' di ragioni.
Di piu': gli strumenti per attacchi del tipo DDoS possono generare pacchetti
tanto casuali da rendere difficoltosa la comparazione degli stessi con una lista
d'accesso a meno che non si stia considerando la regola dello 'spazio negativo'
(si definisce il traffico normale e si considera tutto il rimanente come traffico
DDoS).
Per sapere di piu' sul CAR:
Cisco: IOS
software ; NewsFlash
# Sistemi di rivelazione delle intrusioni (Intrusion Detection Systems)
Sistemi di rivelazione delle intrusioni andranno utilizzati nella ricerca di
attaccanti che sono in comunicazione con macchine 'master' (primarie), 'slave'
(secondarie e subordinate alle master) o 'agent' (terminali)
Questi vi permetteranno di sapere se talune delle vostre macchine siano utilizzate
per lanciare attacchi di tipo conosciuto ma probabilmente saranno inutili nella
scoperta di nuove varianti degli attacchi e dei tool che li rendono possibili.
Molti fornitori di IDS dispongono delle sigle per l'identificazione del traffico
di rete generato da Trinoo, TNF o Stacheldrath.
# Strumenti per la verifica e il controllo degli host
Sono disponibili un certo numero di mezzi per lo scanning dei file alla ricerca
della presenza di client DDoS conusciuti e del programma server binario sul
vostro sistema.
I fornitori di tool per la verifica degli host (host auditing tool) hanno rinnovato
la loro serie di software per includere questi tipi di sigle di traffico.
Cosi' come gli antivirus, questi strumenti diventano obsoleti man mano che sul
mercato si presentano nuovi DDoS tool.
Il NIPC ha reso disponibile un software chiamato 'find_ddos'
che scandaglia il file system alla ricerca di client Trinoo, TNF, TNF2K e Stacheldrath.
'find_ddos' e' disponibile per i sistemi operativi Solaris (Sparc e Intel) e
Linux (Intel).
Attenzione, pero', che il NIPC non fornisce il codice sorgente del programma.
# Strumenti per la verifica e il controllo dei network
Sono disponibili numerosi strumenti per sondare i network alla ricerca della
presenza di agenti DDoS in esecuzione nella propria rete.
Ancora, numerosi fornitori di tali software hanno rinnovato i loro prodotti
per includere questi test.
David Dittrich, Marcus Ranum, George Weaver, David Brumley e altri hanno sviluppato
'gag'
che ricerca agenti Stacheldrath.
E' disponibile per piattaforme Unix.
Gli stessi sviluppatori di 'gag' hanno creato 'dds'
che ricerca client Trinoo, TFN e Stacheldrathx.
# Strumenti per il tracciamento automatizzato dei network
Il tracciamento dei flussi di pacchetti con indirizzi contraffatti o imitati
(spoofed) e' un compito lungo, che richiede la collaborazione di tutti i network
che trasportano il traffico e che e' necessario completare mentre l'attacco
si svolge.
Quando, nel 1997, i SYS flooding DoS attack divennedo una moda, MCI sviluppo'
un prodotto chiamato 'DoSTRacker' il quale automatizzava gran parte del lavoro
necessario a tracciare la sorgente di un attacco attraverso i network in cui
si sviluppa.
Tali strumenti vanno sviluppati sia al fine di automatizzare il processo di
tracciamento all'interno di un network che risieda sotto una determinata gestione,
sia tracciamenti che necessitino l'atttraversamento dei confini di piu' network.
Offriro' al primo che scrivera' un tal programma un'intera cassa di Red Hook
Extra Special Bitter.
# Centri d'emergenza per la protezione dei dati
Si potrebbe considerare gli attacchi DoS come un tipo particolare di disastri
naturali!
Generalmente si prevede, nei piani di risoluzione delle emergenze, l'accesso
ad un 'emergency data center', separato e off-line, che possa essere messo in
rete per riottenere capacita' operativa parziale o completa in brevissimo tempo.
Organizzazioni con sufficienti risorse dovrebbero conderare tale sito come fattore
mitigante dei rischi di un Dos attack.
# Assicurazione
Esistono numerose compagnie d'assicurazione che forniscono polizze legate ai
computer e alla sicurezza dei computer stessi.
Sotto certi punti di vista queste polizze potrebbero risultare un miglior investimento
(Return On Investment, ROI) di quasiasi altra soluzione proposta fin'ora.
Esempi di compagnie che forniscono questo tipo di 'computer security insurance'
sono:
TricityIns.com
SecurityDealers.com
InsureTrust.com
Aig.com
Se doveste avere altri suggerimenti che possano portare a mitigare gli effetti
dei DDoS attack fatecelo sapere.
---
Elias Levy
SecurityFocus.com >
|