Spamhaus vs CyberBunker, attacco DDoS: voce agli esperti

Spamhaus vs CyberBunker, attacco DDoS: voce agli esperti

Sul recente attacco DDoS avvenuto in seguito alla disputa fra Spamhaus e CyberBunker sono già state scritte molte parole. Hardware Upgrade ha chiesto un dettaglio tecnico a Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes. Ecco i retroscena

di pubblicato il nel canale Sicurezza
 

La tecnica di attacco

Nel momento in cui l'attacco è arrivato ai vari punti di snodo, dove passano gran parte delle trasmissioni internet delle varie nazioni che coprono, l'intero web ha cominciato a risentire dell'attacco il quale ha causato notevoli rallentamenti soprattutto a livello del nodo di Londra (LIX), per il quale passano anche molte connessioni internazionali provenienti dall'Italia.

"A quanto ci è dato sapere da CloudFlare, sembra che uno dei peer che forniscono connettività al provider sia stato inondato da un attacco con punte di 300 Gbps. Considerando che i router più costosi gestiscano fisicamente porte da 100 Gbps, si fa presto a capire come sia stato facile mettere in difficoltà le infrastrutture" ha dichiarato Giuliani.

Sebbene ad oggi l'attacco sia stato mitigato ed è sotto controllo, è interessante capire come sia stato possibile raggiungere tale ampiezza di attacco pur disponendo i pirati informatici di ampie botnet, reti di computer infetti e capaci di sferrare attacchi DDoS contemporaneamente. La risposta sta nei cosiddetti vettori di amplificazione degli attacchi, una tecnica che permette di ampliare l'ampiezza degli attacchi in modo tale da causare più traffico di quello teoricamente possibile con la propria banda.

Il problema è insito in una errata configurazione dei server DNS ed in un attacco che ricorda molto da vicino lo SMURF Attack, ben noto nei primi anni '90 e capace di ampliare notevolmente la portata di un attacco DoS, rendendolo altamente efficace.

"Normalmente quando viene effettuata una richiesta di risoluzione DNS il PC invia un pacchetto di piccole dimensioni, di circa 60 byte e ne riceve uno in risposta dai DNS che può avere delle dimensioni notevolmente più ampie, anche 50 volte maggiori. Le richieste ai DNS vengono trasmesse tramite protocollo UDP, un protocollo che di sua natura è un protocollo che non verifica la veridicità dei dati inviati, né verifica che il mittente indicato nel pacchetto UDP sia l'effettivo mittente della richiesta. Il server DNS riceve il pacchetto UDP, elabora la risposta e la invia all'indirizzo IP indicato nel pacchetto UDP. Tuttavia non c'è alcun modo di verificare che la richiesta sia stata effettivamente originata da quell'indirizzo IP sorgente. Un attaccante può così modificare a piacimento una richiesta UDP mettendo come indirizzo IP sorgente l'indirizzo IP della vittima, per poi inviare il pacchetto al server DNS. La vittima riceverà così automaticamente una risposta da un server DNS al quale non aveva effettivamente richiesto nulla. L'attaccante è riuscito, con 60 byte, ad inviare in realtà oltre 3.000 byte alla vittima. Considerato ciò, basta una botnet di medie dimensioni per poter causare un attacco dai numeri elevatissimi. Questo è il modo con cui i pirati informatici sono riusciti a generare un attacco di 300 Gbps, impossibili altrimenti da ottenere con un attacco DDoS diretto" ha spiegato Marco Giuliani.

Per poter ridurre tale tipologia di attacco sarà necessario, per chi gestisce dei server DNS, mettere mano alla configurazione dei propri server al fine di limitare i range di IP dai quali poter ricevere richieste di risoluzione dei domini. Dei consigli su come poter configurare correttamente i propri server DNS sono forniti dal team Cymru al seguente indirizzo: http://www.team-cymru.org/Services/Resolvers/instructions.html.

È inoltre attivo il progetto "Open DNS Resolver" al fine di identificare i server DNS presenti nel mondo che, a causa di una loro errata configurazione, possono essere potenzialmente utilizzati per amplificare eventuali attacchi DDoS. L'indirizzo del progetto è: http://openresolverproject.org/.

Stando alle statistiche del progetto, al 24 marzo 2013 ci sono circa 25 milioni di server DNS nel mondo che possono essere sfruttati per amplificare attacchi DDoS. Decisamente troppi in un mondo che basa gran parte della propria economia, politica, e vita sociale nel web.

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Eraser|8529 Marzo 2013, 10:39 #1
articolo chiaro e completo
Klontz29 Marzo 2013, 10:57 #2
premetto che sono totalmente ignorante in materia...
.. ma non è possibile cambiare il protocollo di comunicazione del server DNS, con uno più sicuro, ed eliminare alla radice il pacchetto di tipo UDP ??
Inoltre, con la futura introduzione di IPv6, è prevista l'implementazione.. che so... di una qualche funzione che riduca o minimizzi l'attacco di tipo DDOS ??
v10_star29 Marzo 2013, 10:58 #3
e aggiungo interessante...

lo sfruttamento di questa falla degli openDNS resolver mi ricorda un pò gli SMTP open relay: anche se per fini diversi, anche in questo caso viene sfruttata la falla più grande e pericolosa di qualsiasi sistema: quella compresa tra sedia/sgabello e tastiera/console
Eraser|8529 Marzo 2013, 11:54 #4
Originariamente inviato da: Klontz
premetto che sono totalmente ignorante in materia...
.. ma non è possibile cambiare il protocollo di comunicazione del server DNS, con uno più sicuro, ed eliminare alla radice il pacchetto di tipo UDP ??
Inoltre, con la futura introduzione di IPv6, è prevista l'implementazione.. che so... di una qualche funzione che riduca o minimizzi l'attacco di tipo DDOS ??


l'udp non è un pacchetto "vecchio" o "poco sicuro" per cui va cambiato. Il fatto che supporti "meno features" viene di pari passo con una latenza minore e velocità generale superiori al tcp. In una richiesta di risoluzione DNS i dati devono viaggiare velocemente e con bassa latenza, per cui devono venire usati pacchetti UDP. Ho dato un occhiata alla soluzione proposta e non mi sembra così impensabile da inserire, tutt'altro..
qboy29 Marzo 2013, 12:48 #5
davvero ben fatto l'articolo
supermario29 Marzo 2013, 13:12 #6
Davvero impressionante!

cmq adesso mi aspetto un "articolo" da Aranzulla: "come tenere testa a 300Gbps"
TecnologY29 Marzo 2013, 13:25 #7
In pratica una volta gli hacker operavano con un singolo computer, adesso principalmente fanno attacchi forza bruta, ovvero intasano il traffico.


Quindi immagino sia diventato più difficile violare i sistemi, mi sembrano tattiche più grezze le ultime
Chukie29 Marzo 2013, 14:03 #8
Complimenti alla redazione! Un ottimo articolo, dovreste farne di più così!
TRF8329 Marzo 2013, 14:16 #9
L'UDP è perfetto per alcune applicazioni..dal DNS allo streaming (chissene se perdo un pacchetto ogni tanto!), quindi cambiarlo non avrebbe senso. Da anni si parla di secure DNS, ma riguarda altre cose (il cache poisoning, ad esempio). Il DDoS purtroppo è solo limitabile utilizzando alcune tecniche, ma mai evitabile (come sapere a priori che quelle richieste sono illecite? Soprattutto quando gli IP attaccanti sono migliaia?).

TecnologY ha comunque ragione: è più difficile attaccare i sistemi (oggigiorno tra firewall, honeypot e quant'altro, è molto più difficile accedere fisicamente al computer/server da attaccare. Senza trojan installati, ovvio.) e quindi si passa a tecniche "non evitabili", quali il DDoS, in primis. Oppure si fa come anonymous...sfrutti delle "vittime sacrificali" a cui far fare attacchi DDoS, e quei 2-3 più seri e capaci possono operarsi per oscurare il sito più tranquillamente (una formica passa inosservata, tra un gruppo di elefanti)
fdg129 Marzo 2013, 15:37 #10
TRF83, devo smentirti: vero che il numero di attacchi DDoS sia in costante crescita, ma al contrario di quanto enfatizzato da queste news, la percentuale di attacchi DDoS in maggiore crescita è quella di tipo mirato, sempre più application layer, sfruttando le vulnerabilità note dei sistemi e delle applicazioni. Questi ultimi sono attacchi sempre più complessi da identificare come traffico illecito in quanto non producono grossi volumi verso la vittima, ma producono gli stessi, se non maggiori, danni.
I casi Spamhaus/CyberBunker servono comunque a far riflettere su come eventuali e diffuse misconfiguration partecipano passivamente alla riuscita di attacchi di questo tipo.

Vero, infine, la sempre maggiore diffusione di attacchi congiunti di tipologia differente.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^