"all your giga links belong to us" no backbone acadmico brasileiro GTER 33 / GTS 19 Natal RN Maio/2012 Frederico R. C. Costa Coordenador de segurana da informao CAIS / RNP
Copyright 2012 RNP CSIRT (CAIS) Computer Security Incident Response Team of Brazilian Academic and Research Network .
All rights reserved.
DDoS na Rede Ip AGENDA
Rede Nacional de Ensino e Pesquisa RNP Centro de Atendimento a Incidentes de Segurana CAIS Histrico de incidentes em 2011 Preocupaes Ataques e contenes aplicadas Concluso
DDoS na Rede Ip RNP Rede Nacional de Ensino e Pesquisa Criada em 1989 pelo MCT Primeira rede de acesso internet no Brasil Conexo de internet para instituies de ensino superior e unidades de pesquisa (Rede Ip) Desenvolvimento e uso de aplicaes avanadas em rede Treinamento de profissionais em redes Atualmente, est no 6o estgio de desenvolvimento do backbone
CAIS Centro de Atendimento a Incidentes de Segurana rea criada em 1997 na RNP Gesto de Incidentes de Segurana Disseminao da Cultura de Segurana Gesto de Riscos e Segurana da Informao Infraestrutura e Servios Comunidade Acadmica Sobre a RNP e CAIS Rede Ip: sexta gerao Mais de 800 instituies conectadas 3,5 milhes de usurios estimados 27.500 grupos de pesquisa beneficiados Universidades federais, escolas agrotcnicas, centros federais de educao tecnolgica, centros de pesquisa, hospitais, museus, outros. A RNP est na ponta de lana da construo de uma sociedade do conhecimento. Depende do Plano Nacional de Banda Larga e da RNP dar suporte s instituies brasileiras de formao de capital humano.
Alozio Mercadante MCTI 13/07/2011 RNP Rede Ip Histrico de incidentes Histrico de incidentes Bots em 2011
281.965 incidentes reportados 53 % Downadup 42% Outros 3% Sality 2% Conficker 1 Zeus
11.754 endereos IP nicos
Histrico de incidentes Backbone com alta capacidade/disponibilidade de banda Instituies de ensino, pesquisa, cultura e sade conectadas Enorme quantidade de computadores conectados Pontos de troca de trfego com grandes players IDC Data Center da RNP Hospeda equipamentos de clientes na modalidade colocation, disponibilizando acesso ao backbone acadmico CAPES INEP CNPQ FNDE Entre outros Preocupaes 2011 DDoS fashion year Ataques de negao de servio se tornam armas para grupos hackers e para outros grupos auto-denominados de cyberativistas; Diversos grupos recrutam usurios pela Internet em prol de uma causa ou objetivo em comum; Instituies e corporaes das mais diversas reas foram afetadas por este movimento. * Imagens coletadas diretamente do Twitter ** http://webtrends.about.com/od/profile1/tp/Rage-Faces-Internet-Meme-Faces-And-Funny-Memes.htm Por que?! mimimi... Preocupaes Ataques contra os clientes da RNP Um cliente importante sofreu um ataque de aproximadamente 700Mbps, indisponibilizando o acesso s informaes em um momento crtico Este ataque foi mitigado e contido
Uma instituio foi citada para ser atacada, em uma conversa em um canal IRC de um grupo de cyberativistas Este ataque no chegou a ocorrer ou no foi suficientemente significativo para ser detectado
Preocupaes Utilizao de computadores conectados RNP envolvidos em ataques Dados coletados em atividades de monitoramento e informaes enviadas por parceiros mostram que indivduos supostamente ligados a grupos como Anonymous e Lulzsec pretendiam utilizar o backbone da RNP em seus ataques. Esta utilizao do backbone no ocorreu
Preocupaes Em 2011 38 ataques crticos de negao de servio envolvendo endereos IP da Rede Ip foram tratados Ataques com maior impacto: TCP Flood: Instituio em DF (Destino) 682 Mbps / 2.1 Mpps (DDoS) Instituio em ES (Origem) 386.9 Mbps / 43.4 Kpps Instituio em ES (Origem) 255.9 Mbps / 25.9 Kpps Instituio em RJ (Desitno) 40.3 Mbps / 105 Kpps (Ddos) Instituio em SC (Origem) 27.1 Mbps / 65. 28 Kpps Instituio em ES (Origem) 8.19 Mbps / 19.68 Kpps UDP Flood : Instituio em SC (Origem) 545.8 Mbps / 631.7 Kpps Instituio em SC (Origem) 541.2 Mbps / 626.4 Kpps Instituio em SC (Origem) 533.62 Mbps / 617.61 Kpps Instituio em AM (Destino) 352.9 Mbps / 1.5 Mpps (DDoS) Instituio em CE (Destino) 143.42 Mbps Ataques e contenes aplicadas Remember Remember The 5 th November. Diversos grupos anunciaram ataques contra corporaes e instituies no dia 05 de Novembro, em uma aluso a data citada no filme V de Vingana; Durante o dia foram detectados 10 ataques na Rede Ip; Ataques iniciaram por volta das 15h30 e tiveram durao de 40 minutos; Cerca de 1.9 Gbps de trfego malicioso foi detectado durante o perodo * http://www.salon.com/2011/07/27/lulzsec_topiary_arrest/ ** http://www.inquisitr.com/156983/2011-guy-fawkes-day-celebrated-by-occupy-protesters/ Ataques e contenes aplicadas Mitigao X Trmino do Ataque
A mdia de tempo entre a deteco de um ataque e sua mitigao em torno de 30 minutos; Tempo de anlise do ataque (evitar falsos positivos) + aplicao de filtro Ataques identificados no dia 05 de novembro, individualmente, no duraram o suficiente, dispensando qualquer ao de mitigao..
As aes de mitigao so tomadas em conjunto com as equipes de engenharia e operaes de rede
Deteco por monitoramento e/ou solicitaes das instituies impactadas/envolvidas nos ataqes Ataques e contenes aplicadas Mitigao X Trmino do Ataque
Alguns ataques continuam por dias, aps a aplicao dos filtros aplicados. Um determinado ataque contra uma instituio durou cerca de 09 dias seguidos; Responsvel pelo equipamento que originava os ataques estava de frias!!! Nenhum outro analista foi autorizado a desativar o equipamento. =(
UDP flood 143.42 Mbps Inicio: 09/09/11 14:04 Mitigao: 09/09/11 15:38 (filtro aplicado) Trmino: 19/09/2011 11:20 (mquina retirada da rede pelo adm) Ataques e contenes aplicadas A deteco deste tipo de trfego possvel atravs de um monitoramento constante de amostras do trfego do backbone (flows) A integrao da equipe de segurana, engenharia e operaes do backbone fundamental para a conteno dos ataques O apoio de outros grupos de segurana fundamental para a deteco de hosts infectados http://www.enisa.europa.eu/activities/cert/support/proactive-detection Campanhas para limpeza da fauna de bots so necessrias de tempos em tempos Conficker (2009) diminuio de 40% de hosts infectados
Concluso Obrigado!!!
Centro de Atendimento a Incidentes de Segurana CAIS/RNP