Disponibilità DoS

Corso di Sicurezza A.A. 2006/2007
DoS
D e n i a l
O f
S e rv i c e
Daniele Corrado
Matr.0000235285
Introduzione
Scopo: Rendere un sistema informatico non
più in grado di erogare il servizio.
Tre metodi principali d’azione:
-consumo di risorse computazionali
(bandwidth, spazio disco, CPU time);
-distruzione di informazioni di
configurazione (routing);
-distruzione fisica di componenti di rete.
Introduzione 2
Complessità ed efficacia dell’attacco
Netstrike:
1995- Test nucleari francesi
1999- La guerra in Yugoslavia
2000- Pena di morte
2001- il Ministero della Pubblica Istruzione
Attacco Singolo
Host
Attacchi portati da una singola fonte,
facilmente rintracciabile.
-SYN Flood
-Smurf
SYN flood
Semplice attacco che va a interrompere il 3way Handshake.
SYN flood
Continue richieste di connessione mai
portate a termine, ma con allocazione di
risorse da parte del server.
SMURF
Sfrutta la configurazione grossolana di una
rete per moltiplicare i pacchetti
Composto da tre fasi:
-spoofing dell’indirizzo IP del bersaglio
-invio del comando PING in broadcast
-risposta simultanea da parte degli host della
rete all’indirizzo spoofed
Attacchi Host
Multipli
Multiplo Host: attacchi portati da più fonti.
-DDoS
-DRDoS
DDoS
L’attaccante crea una botnet infettando altre
macchine
Usando questi zombie attacca
simultaneamente un bersaglio ad una data
prefissata
Si crea un collo di bottiglia nel router del
bersaglio, che elimina buona parte delle
richieste indistintamente
DDoS
DRDoS
Vengono prodotte richieste di connessione
tramite pacchetti contraffatti che hanno
come indirizzo di provenienza, l’indirizzo IP
del bersaglio
Possibile grazie a RAW socket
Estremamente difficile da contrastare
DRDoS
Attacchi non
intenzionali
Sito web inondato da richieste legittime di
connessione, ma che non riesce a fare fronte
alla domanda.
Slashdot effect
Soluzioni Difensive
Difese non standard:
-SYN cookies
-Scartare SYN casualmente
Difese standard:
-backlog queue dinamica
-TTL ridotto
Soluzioni Difensive 2
Filtraggio dati (router e firewall)
Limitazione di banda
Intrusion-prevention system
aspetti legali
Articolo 617-quater del codice penale:
“Chiunque fraudolentemente intercetta comunicazioni
relative a un sistema informatico o telematico o intercorrenti
tra più sistemi, ovvero le impedisce o le interrompe, è punito
con la reclusione da sei mesi a quattro anni. La condotta
punita è da ravvedere in ogni attività diretta a far cessare
una comunicazione informatica o telematica già iniziata
(interruzione) ovvero in quella diretta a ostacolare l’inizio
della comunicazione (impedimento)”
Collegamenti Utili
http://en.wikipedia.org/
http://www.grc.com/dos/drdos.htm
http://netstrike.ipv7.net/
http://www.honeypots.net/incidents/ddosmitigation