Disponibilità DoS
Transcript
Disponibilità DoS
Corso di Sicurezza A.A. 2006/2007 DoS D e n i a l O f S e rv i c e Daniele Corrado Matr.0000235285 Introduzione Scopo: Rendere un sistema informatico non più in grado di erogare il servizio. Tre metodi principali d’azione: -consumo di risorse computazionali (bandwidth, spazio disco, CPU time); -distruzione di informazioni di configurazione (routing); -distruzione fisica di componenti di rete. Introduzione 2 Complessità ed efficacia dell’attacco Netstrike: 1995- Test nucleari francesi 1999- La guerra in Yugoslavia 2000- Pena di morte 2001- il Ministero della Pubblica Istruzione Attacco Singolo Host Attacchi portati da una singola fonte, facilmente rintracciabile. -SYN Flood -Smurf SYN flood Semplice attacco che va a interrompere il 3way Handshake. SYN flood Continue richieste di connessione mai portate a termine, ma con allocazione di risorse da parte del server. SMURF Sfrutta la configurazione grossolana di una rete per moltiplicare i pacchetti Composto da tre fasi: -spoofing dell’indirizzo IP del bersaglio -invio del comando PING in broadcast -risposta simultanea da parte degli host della rete all’indirizzo spoofed Attacchi Host Multipli Multiplo Host: attacchi portati da più fonti. -DDoS -DRDoS DDoS L’attaccante crea una botnet infettando altre macchine Usando questi zombie attacca simultaneamente un bersaglio ad una data prefissata Si crea un collo di bottiglia nel router del bersaglio, che elimina buona parte delle richieste indistintamente DDoS DRDoS Vengono prodotte richieste di connessione tramite pacchetti contraffatti che hanno come indirizzo di provenienza, l’indirizzo IP del bersaglio Possibile grazie a RAW socket Estremamente difficile da contrastare DRDoS Attacchi non intenzionali Sito web inondato da richieste legittime di connessione, ma che non riesce a fare fronte alla domanda. Slashdot effect Soluzioni Difensive Difese non standard: -SYN cookies -Scartare SYN casualmente Difese standard: -backlog queue dinamica -TTL ridotto Soluzioni Difensive 2 Filtraggio dati (router e firewall) Limitazione di banda Intrusion-prevention system aspetti legali Articolo 617-quater del codice penale: “Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. La condotta punita è da ravvedere in ogni attività diretta a far cessare una comunicazione informatica o telematica già iniziata (interruzione) ovvero in quella diretta a ostacolare l’inizio della comunicazione (impedimento)” Collegamenti Utili http://en.wikipedia.org/ http://www.grc.com/dos/drdos.htm http://netstrike.ipv7.net/ http://www.honeypots.net/incidents/ddosmitigation