GTS 2012 Efeitos do ataque LOIC. Eduardo Bergmann Roteiro •LOIC: Definição, participação e ferramentas •Cenário de testes •Metodologia •Resultados •Prevenção •Conclusão LOIC: Low Orbit Ion Cannon •Desenvolvida pela Praetox Technologies •Ferramenta de teste de carga •TCP(Transmission Control Protocol), •UDP (User Datagram Protocol) •HTTP (HyperText Transfer Protocol) •Disponível em: http://sourceforge.net/projects/loic/ Funcionamento Funcionamento via canal IRC •Iniciar ataque: !lazor targetip=<IRC_server> message=<texto> port=80 method=http wait=false threads=15 method=tcp random=true start •Finalizar ataque: !lazor stop Implementações Windows Web Linux Android BSD (JavaScript) Participação consciente •Downloads: 1.Estados Unidos 2.França 3.Brasil 4.Alemanha ... http://sourceforge.net/projects/loic/ em 26 de abril de 2012 Popular e acessível Agendamento de ataque http://pastebin.com/WEydcBVV em 26 de abril de 2012 Receberam ataques •FBI •MPAA – Motion Picture Association of America •Departament of Justice •RIAA – Recording Industry Association of America •Sony •Visa •MasterCard •Paypal Cenário dos testes Servidor atacado: • Core 2 Duo 2.2 Ghz • 2 Gb RAM • Ubuntu 10.04 • Apache 2.2 • Conectado a um switch ethernet 100 Mbps Cenário dos testes PC iPad 2 Galaxy SII Motorola Defy Core 2 Duo 2.2 Dual-core Dual-core 1.2 800 MHz Ghz Apple A5X GHz Cortex-A9 Cortex-A8 2 GB RAM 512 MB RAM 1 GB RAM 512 MB RAM Cenário dos testes Ferramentas de ataque PC Galaxy SII Motorola Defy iPad 2 LOIC JSLOIC JSLOIC JSLOIC JSLOIC Android LOIC Android LOIC Metodologia •Ataques de trinta segundos por dispositivo. •Dados coletados: Pacotes por segundo Bytes por segundo Consumo de CPU servidor Consumo de memória do servidor Resultado - PC PC: Transferência de Pacotes 2500001 2000001 1500001 Pacotes IN Pacotes IN/OUT 1000001 Númerodepacotes 500001 1 Praetox TCP:80 Praetox HTTP Hoic JS Loic Ferramentas Resultado – PC PC: Transferência de bytes 400.000.001 350.000.001 300.000.001 250.000.001 Bytes IN 200.000.001 Bytes IN/OUT 150.000.001 Bytes transferidos Bytes 100.000.001 50.000.001 1 Praetox TCP:80 Praetox HTTP Hoic JS Loic Ferramentas Resultado – PC PC: Porcentagem de uso da CPU 10 9 8 7 6 % user time 5 % system time load 4 3 Tempodeuso daCPU (%) 2 1 0 Praetox TCP:80 Praetox HTTP Hoic JS Loic Ferramentas Resultado – PC Uso da memória 2000 1800 1600 1400 Usada 1200 Livre 1000 Buffers 800 600 Usodamemória (MB) 400 200 0 Praetox TPC:80 Praetox HTTP Hoic JS Loic Resultado – Dispositivos móveis Js Loic: Transferência de Pacotes 8001 7001 6001 5001 Pacotes IN 4001 Pacotes IN/OUT 3001 Númerodepacotes 2001 1001 1 iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Dispositivo/Ferramenta Resultado – Dispositivos móveis Js Loic: Transferência de bytes 3.000.001 2.500.001 2.000.001 Bytes IN 1.500.001 Bytes IN/OUT 1.000.001 Bytes transferidos Bytes 500.001 1 iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Ferramentas Resultado – Dispositivos móveis Js Loic: Porcentagem de uso da CPU 3 2,5 2 % user time 1,5 % system time load 1 Tempodeuso daCPU (%) 0,5 0 iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Dispositivo/Ferramenta Resultado – Dispositivos móveis Uso da memória 2000 1800 1600 1400 Usada 1200 Livre 1000 Buffers 800 600 Usodamemória (MB) 400 200 0 iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Resultado – Comparativo geral Transferência de Pacotes 2500001 2000001 1500001 Pacotes IN Pacotes IN/OUT 1000001 Númerodepacotes 500001 1 PC / Praetox TCP:80 PC / JS-Loic iPad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic Dispositivo/Ferramenta Resultado – Comparativo geral Porcentagem de uso da CPU 12 10 8 % user time 6 % system time load 4 Tempodeuso daCPU (%) 2 0 PC / Praetox TCP:80 PC / JS-Loic iPad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic Dispositivo/Ferramenta Resultado – Comparativo geral Uso da memória 2000 1800 1600 1400 Usada 1200 Livre 1000 Buffers 800 600 Usodamemória (MB) 400 200 0 PC / Praetox TCP:80 PC / JS-Loic iPad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic Resultado – Apache Tango Down Resultado – Apache 180 158 160 140 120 100 78 Unidades 80 60 52 40 22 20 0 PC iPad Galaxy SII Defy Resultado – Apache Resultado – Apache Resultado – Apache Prevenção • Snort como NIDS (Network Intrusion and Detection System) TCP alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR - LOIC DoS Tool(TCP Mode) - Behavior Rule (tracking/threshold)"; flow: established,to_server; flags:A; dsize:1448<>1448; threshold: type threshold, track by_src, count 10 , seconds 10; Prevenção HTTP alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR - LOIC DoS Tool (HTTP Mode)"; flow: established,to_server; content:"|A cat is fine too. Desudesudesu~|"; threshold: type threshold, track by_src, count 10 , seconds 10; Referências Attacks by “Anonymous” WikiLeaks Proponents not Anonymous. http://eprints.eemcs.utwente.nl/19151/01/2010-12-CTIT-TR.pdf Effectiveness of Defense Methods Against DDoS Attacks by Anonymous http://referaat.cs.utwente.nl/TSConIT/download.php?id=1085 DDoS: threats and mitigation http://www.sciencedirect.com/science/article/pii/S1353485811701283 Colaboradores Bruno Lorensi César Loureiro Douglas Ritter Eduardo Bergmann João Ceron (CERT-BR) Leando Bertholdo Liane Tarouco Lucas Arbiza Perguntas? [email protected] .