intervento di Elias Levy su bugtraq

	Materiali
	Intervento di Elias Levy su bugtraq

Date sent: Fri, 11 Feb 2000 00:31:01 -0800
Send reply to: aleph1@SECURITYFOCUS.COM
From: Elias Levy aleph1@SECURITYFOCUS.COM
Subject: DDOS Attack Mitigation
to: bugtraq@securityfocus.com

--- traduzione dall'inglese ---

a meno che siate rimasti a dormire tutto il giorno nell'ultima settimana avrete sentito parlare degli attacchi del tipo 'interruzione di servizio distribuita [Distributed Denial of Service # DDoS]' che sono stati perpetrati ai danni di alcuni dei maggiori siti Internet.
Nel caso specifico sono stati attacchi volti alla consunzione, all'azzeramento della larghezza di banda dei bersagli. Alcuni dei Network Provider coinvolti negli attacchi hanno dichiarato un aumento di traffico fino a 1 Gb/s.

Questi attacchi non sono una novita'.
David Dittrich ha preparato un eccellente analisi di questo tipo di attacchi e degli strumenti che li rendono possibili.

Potete trovare il lavoro di David e alcuni 'tool' a:
* Trinoo
trinoo.analysis

* Tribe Flood Network
tfn.analysis

* Stacheldraht
stacheldraht.analysis

Una serie d'incontri e' stata tenuta per discutere degli attacchi e per cercare possibili soluzioni.
Tra questi incontri vanno segnalati il 'CERT Distributed Systems Intruder Workshop' di Novembre [1999] e le due piu' recenti sessioni del BoF, Birds of Feather, organizzate dalla ICSA alle conferenze della RSA e del NANOG.

Potete trovare le note di David relative al workshop del CERT qui

Potete trovare i risultati del workshop del CERT qui

Il CERT aveva distribuito un avviso sul prolema nel mese di gennaio

Gli attacchi del tipo DoS sono possibili a causa di fondamentali scelte strutturali al livello del protocoloo IP.
Questo non implementa una forma di autenticazione suffuciente della sorgente dei pacchetti in transito e fornisce il servizio migliore in assenza di una protocllo di alocazione delle risorse.
A tutt'oggi nessuno ha trovato la soluzione definitiva al problema, il che significa pero' avere numerose scelte per restringerlo.
Ve ne presentero' alcune e vorrei sentire da voi quali impressione ne ricaverete.

# Filtraggio degli ingressi alla rete

Tutti i Network Access Providers dovrebbero implementare dei filtri d'ingresso per impedire che uno qualsiasi dei network a loro subordinati immetta pacchetti contenenti indirizzi e header contraffatti (spoofed).
Sebbene questa soluzione non diminuisca la possibilita' di un attacco permettera' una facile individuazione della sua provenienza e una sua rapida fine.

Per informazioni sui 'Network ingress filtering' leggete la RFC 2267

# Limitazioni all'ampiezza di banda per taluni network

Un certo numero di router oggi sul mercato possiedono funzioni di limitazione della quantita' di banda consumata da un certo tipo di traffico.
A volte ci si riferisce a questo tipo di operazione come 'traffic shaping'.

Nel software Cisco IOS questa funzione e' detta 'Committed Access Rate [Volume d'Accesso Vagliato/Giudicato]' o CAR.
Il CAR permette di accrescere la qualita' del controllo sulla banda sul traffico di rete che corrisponda ad una determinata lista di accessi.

Questa tecnica potra' essere usata in termini preventivi qualora si sappia che la maggior parte del nostro traffico sara' di un determinato tipo.
Per esempio: gestendo un'attivita' via web potrete configurare il sistema in modo che il traffico web abbia tutta la banda necessaria, al contempo limitando il rimanente traffico ad un volume di dimensioni inferiori e piu' maneggevole.

La stessa tecnica potra' essere usata in via repressiva se riucirete a dar vita a regole di accesso da associare ai determinati tipi di traffico usati nei DDoS attack.
Per esempio: se viene usato un pacchetto ICMP o un pacchetto TCP SYN potrete configurare il sistema per portarlo a limitare specificamente l'ampiezza di banda che tali tipi di pacchetto potranno saturare.
Questo permettera' il passaggio ad alcuni di tali pacchetti, che potrebbero provenire da fonti legittime o meno.

A causa dell'effetto valanga dei DDoS attack sara' necessario che la tecnica illustrata in precedenza venga applicata e schierata piu' in profondita' possibile (il piu' vicino alla sorgente dei pacchetti dell'attacco).
Si potra' chiedere al proprio Network Access Provider di implementare questi filtri sui propri e i loro router ma questo non sara' possibile a molte societa'e organizzazioni per una molteplicita' di ragioni.

Di piu': gli strumenti per attacchi del tipo DDoS possono generare pacchetti tanto casuali da rendere difficoltosa la comparazione degli stessi con una lista d'accesso a meno che non si stia considerando la regola dello 'spazio negativo' (si definisce il traffico normale e si considera tutto il rimanente come traffico DDoS).

Per sapere di piu' sul CAR:
Cisco: IOS software ; NewsFlash

# Sistemi di rivelazione delle intrusioni (Intrusion Detection Systems)

Sistemi di rivelazione delle intrusioni andranno utilizzati nella ricerca di attaccanti che sono in comunicazione con macchine 'master' (primarie), 'slave' (secondarie e subordinate alle master) o 'agent' (terminali)
Questi vi permetteranno di sapere se talune delle vostre macchine siano utilizzate per lanciare attacchi di tipo conosciuto ma probabilmente saranno inutili nella scoperta di nuove varianti degli attacchi e dei tool che li rendono possibili.

Molti fornitori di IDS dispongono delle sigle per l'identificazione del traffico di rete generato da Trinoo, TNF o Stacheldrath.

# Strumenti per la verifica e il controllo degli host

Sono disponibili un certo numero di mezzi per lo scanning dei file alla ricerca della presenza di client DDoS conusciuti e del programma server binario sul vostro sistema.
I fornitori di tool per la verifica degli host (host auditing tool) hanno rinnovato la loro serie di software per includere questi tipi di sigle di traffico.
Cosi' come gli antivirus, questi strumenti diventano obsoleti man mano che sul mercato si presentano nuovi DDoS tool.

Il NIPC ha reso disponibile un software chiamato 'find_ddos' che scandaglia il file system alla ricerca di client Trinoo, TNF, TNF2K e Stacheldrath.
'find_ddos' e' disponibile per i sistemi operativi Solaris (Sparc e Intel) e Linux (Intel).
Attenzione, pero', che il NIPC non fornisce il codice sorgente del programma.

# Strumenti per la verifica e il controllo dei network

Sono disponibili numerosi strumenti per sondare i network alla ricerca della presenza di agenti DDoS in esecuzione nella propria rete.
Ancora, numerosi fornitori di tali software hanno rinnovato i loro prodotti per includere questi test.

David Dittrich, Marcus Ranum, George Weaver, David Brumley e altri hanno sviluppato 'gag' che ricerca agenti Stacheldrath.
E' disponibile per piattaforme Unix.

Gli stessi sviluppatori di 'gag' hanno creato 'dds' che ricerca client Trinoo, TFN e Stacheldrathx.

# Strumenti per il tracciamento automatizzato dei network

Il tracciamento dei flussi di pacchetti con indirizzi contraffatti o imitati (spoofed) e' un compito lungo, che richiede la collaborazione di tutti i network che trasportano il traffico e che e' necessario completare mentre l'attacco si svolge.

Quando, nel 1997, i SYS flooding DoS attack divennedo una moda, MCI sviluppo' un prodotto chiamato 'DoSTRacker' il quale automatizzava gran parte del lavoro necessario a tracciare la sorgente di un attacco attraverso i network in cui si sviluppa.

Tali strumenti vanno sviluppati sia al fine di automatizzare il processo di tracciamento all'interno di un network che risieda sotto una determinata gestione, sia tracciamenti che necessitino l'atttraversamento dei confini di piu' network.

Offriro' al primo che scrivera' un tal programma un'intera cassa di Red Hook Extra Special Bitter.

# Centri d'emergenza per la protezione dei dati

Si potrebbe considerare gli attacchi DoS come un tipo particolare di disastri naturali!
Generalmente si prevede, nei piani di risoluzione delle emergenze, l'accesso ad un 'emergency data center', separato e off-line, che possa essere messo in rete per riottenere capacita' operativa parziale o completa in brevissimo tempo.
Organizzazioni con sufficienti risorse dovrebbero conderare tale sito come fattore mitigante dei rischi di un Dos attack.

# Assicurazione

Esistono numerose compagnie d'assicurazione che forniscono polizze legate ai computer e alla sicurezza dei computer stessi.
Sotto certi punti di vista queste polizze potrebbero risultare un miglior investimento (Return On Investment, ROI) di quasiasi altra soluzione proposta fin'ora.

Esempi di compagnie che forniscono questo tipo di 'computer security insurance' sono:

TricityIns.com
SecurityDealers.com
InsureTrust.com
Aig.com

Se doveste avere altri suggerimenti che possano portare a mitigare gli effetti dei DDoS attack fatecelo sapere.
---
Elias Levy
SecurityFocus.com >

Back
TOP

home | news | chi siamo | iniziative | progetti | loackers | search | links