D do s

611 visualizações

Publicada em

  • Seja o primeiro a comentar

D do s

  1. 1. Faculdade EstácioUnidade João PessoaIdentificação e Tratamento de Ataques deNegação de Serviço Distribuído (DDoS)Leandro Almeidalcavalcanti.almeida@gmail.com
  2. 2. DDoS
  3. 3. Definições...“...são ataques caracterizados pela tentativa explícita de negar umserviço a um usuário legítimo...” [Beitollahi and Deconinck, 2012]“...são ataques coordenados sobre a disponibilidade de um ouvários sistemas alvo através de muitas vítimas secundárias...”[ Kumar and Selvakumar, 2013]
  4. 4. Em 2013, o termo DDoS obtevenúmero 100 no Google TrendsO país com maior interesse é a Rússia
  5. 5. O termo “how to DDoS” tambémobteve número 100.O país com maior interesse é a Suécia
  6. 6. O termo “DDoS HTTP” vem numa crescente deste 2008
  7. 7. DDoSvariantes
  8. 8. FloodingAfetam ainfraestrutura dehardware do alvoICMP floodingUDP floodingTCP flooding
  9. 9. TCP SYN FloodingSYNSYN-ACKO pacote ACK para completar o 3-way handshakenunca chegará
  10. 10. TCP SYN FloodingSYNSYN-ACK...SYNSYN-ACKSYNSYN-ACKSYN-ACKSYN
  11. 11. TCP SYN FloodingSYNSYN-ACK...SYNSYN-ACKSYNSYN-ACKSYN-ACKSYN
  12. 12. Os ataques de 1996 e 2000 utilizavamtécnicas de ICMP, UDP e TCP SYN Floodinge tinham ferramentas como:-TFN (Tribe Flood Network)-TRIN00- STACHELDRAHT-TFN2K
  13. 13. DRDoS – Distributed Reflected Denial of ServiceICMP EchoRequest...ICMP EchoRequestICMP EchoRequestICMP EchoRequestAtacante falsifica seu IP, usando o IP do AlvoICMP EchoReplyICMP EchoReplyICMP EchoReplyICMP EchoReply
  14. 14. SmurfAtaque
  15. 15. Anonymous
  16. 16. 2009 - Iran
  17. 17. 2010 - Paypal,Amazon, Mastercarde Visa
  18. 18. 2011 - Sony
  19. 19. 2012 - FBI
  20. 20. LulzSec
  21. 21. 2011 – Sites do Gov. Brasileiro,FBI e Senado Americano
  22. 22. Em ambos os grupos, um dosataques mais utilizadosfoi o DDoS HTTP
  23. 23. DDoS HTTP
  24. 24. DDoS HTTP GETSYNSYN-ACKACKGET /index.phpACKPragma: 1010...Erro 408 – RequestTimeout
  25. 25. DDoS HTTP GETEstatísticas - CPU
  26. 26. DDoS HTTP GETEstatísticas - CPU
  27. 27. DDoS HTTP GETEstatísticas - Memória
  28. 28. DDoS HTTP GETEstatísticas - Conexões
  29. 29. DDoS HTTP POSTSYNSYN-ACKACKPOST / inserir.htmlACKContinuação do POST...Erro 400 – BadRequest
  30. 30. Nestes ataques as ferramentasutilizadas são:- HTTP DoS Tool- Slowloris- LOIC
  31. 31. Não existe uma única soluçãopara todos tipos de ataque DDoS
  32. 32. PossíveisSoluções
  33. 33. Em sistems baseados em Linux:- Módulo limit do iptables- Módulo SYN Cookies do kernel- Módulo rp_filter do kernel
  34. 34. Para detectar os ataques, trabalhoscientíficos utilizam informações como:-Tamanho do pacote- Intervalo de tempo entre pacotes- Comportamento do navegador Web- Payload do pacote- Flags TCP- Erros SYN- Números de sequência TCP- Endereços IP-...- Lógica Fuzzy-Algoritmos Genéticos- Modelo de Markov- Machine Learning- Redes Neurais
  35. 35. Modelo PropostoIdentificar e Tratar AtaquesDDoS GET HTTP
  36. 36. Estudamos o ataque repetindo-o diversas vezesaté ser possível identificá-lo com o mínimo decaracterísticas possíveis-Tamanho do pacote-Tempo entre chegadas- Campo Pragma do HTTP- Endereço IP de origem- Porta de destino
  37. 37. Experimento
  38. 38. Experimento - Resultados
  39. 39. Dúvidas?Leandro Almeidalcavalcanti.almeida@gmail.com

×