Relatore: Stefano Giraldo, Senior Network Engineer
Durante lo speech verrano illustrate le differenze fra Denial of Service e Distributed Denial of Service e perchè gli attacchi sono ormai nella maggior parte dei casi di quest’ultimo tipo. Proseguiremo poi con una panoramica sulle tipologie di soluzioni AntiDDoS disponibili oggi sul mercato e quali sono pregi, efficacia e difetti di ognuna.
CisCon 2017 - I problemi di scalabilità delle tradizionali reti IP nei modern...
CisCon 2018 - Piattaforme AntiDDoS – Lo scudo 2.0 nell’era della guerra telematica
1. AntiDDoS
Lo scudo 2.0 nell’era della guerra telematica
CisCon 2018
Relatore: Stefano Giraldo – Sr. Network Engineer
https://www.linkedin.com/in/stefano-giraldo/
2. • Tramite un DoS, l'attaccante cerca di compromettere un
servizio o molto più comunemente un sito Internet, per andarne
a cambiare il contenuto.
• Agisce sfruttando vulnerabilità note nei server che erogano i
contenuti oppure falle di sicurezza nel codice del sito attacato.
• Sono necessarie ottime competenze tecniche.
Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
3. Scopi dell'attacante:
• Causare un disservizio;
• Dare sfoggio delle proprie capacità tecniche ridicolizzando
sviluppatori e sistemisti del sito vittima;
• Motivazioni politiche.
Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
4. Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
5. Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
6. • Tramite un DDoS, l'attaccante sfrutta una "rete di computer
zombie" o un bug di un servizio (DNS, NTP, ecc…).
• Viene generata un'amplificazione di "traffico sporco" verso un
computer vittima saturando la banda, allo scopo di
inibirne l'accesso ad Internet.
Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
7. • Le competenze tecniche richieste sono medio-basse.
• Sono disponibili su Internet delle "botnet" o delle VM da
affittare allo scopo di lanciare attacchi volumetrici.
https://wccftech.com/ddos-for-hire-services-offered-for-just-five-dollars/
• Spesso sono preannunciati da mail minatorie (Bitcoin).
Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
9. Da "Denial of Service" a "Distributed Denial of Service"
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
10. Come si proteggono gli ISP?
E come proteggono i propri clienti?
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
11. Come si proteggono gli ISP?
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
12. Cloud Based
AntiDDoS Vs
On Premises
AntiDDoS
Come si proteggono gli ISP?
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
13. BGP over
GRE Tunnel
Cloud Based
AntiDDoS
Vantaggi Svantaggi
• Poco effort per gestire la piattaforma di mitigazione;
• Scrubbing Center capaci di assorbire attacchi molto forti;
• Basso rischio di saturazione degli Upstream Internet;
• Gestibile in "Always On" oppure "On Demand";
• Protezione da Layer3 a Layer7.
• Funziona in base ai prefissi annunciati via BGP;
• Si sostituisce ai nostri Upstream Provider;
• Diventa inutile afferire ad un Internet eXchange;
• Dobbiamo averlo su tutti gli Upstream;
• Routing asimmetrico.
Cloud Based AntiDDoS
Customer
Network
(AS)
ISP
Network
(AS)
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
14. Customer Net
AS 12345
Provider X
AS 100
Big Internet
Anti DDoS ISP
AS 500
Il cliente annuncia una major Network
ad entrambi i Provider. Il traffico in
ingresso ed in uscita segue il path
naturale.
Traffico bilanciato
fra i transiti
Peering Privato o
tunnel GRE
Provider Y
AS 200
Instradamento traffico cliente AS senza passaggio da AntiDDoS
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
15. Rete Cliente
AS 12345
Il cliente annuncia la propria prefix solo all'ISP
che gli fornisce la mitigazione che a sua volta
la riannuncia al Provider di Mitigazione.
Solo il traffico in uscita segue il path naturale.
Big Internet
Anti DDoS ISP
AS 500
Peering Privato o
tunnel GRE
Provider Y
AS 200
Provider X
AS 100
Instradamento traffico cliente AS con passaggio da AntiDDoS
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/
16. Vantaggi Svantaggi
• Manteniamo i path di traffico originali;
• Piattaforma di Mitigazione in nostro controllo;
• Protegge facilmente il nostro backbone ed i clienti,
agendo su tutti i prefissi IP.
• Rischio saturazione upstream;
• Capacità di scrubbing legata alla connettività stessa;
• Richiesta molta banda e router performanti.
PE
IGW
IGW
Internet
Customer
Network (AS)
AntiDDoS
Cleaner
AntiDDoS
Analyzer
On Premises AntiDDoS
ISP Network (AS)
P
P
Stefano Giraldo - https://www.linkedin.com/in/stefano-giraldo/