Embed Size (px)
Citation preview
Efeitos do ataque LOIC.
GTS 2012
Eduardo Bergmann
Roteiro
•LOIC: Definição, participação e ferramentas
•Cenário de testes
•Metodologia
•Resultados
•Prevenção
•Conclusão
LOIC: Low Orbit Ion Cannon
•Desenvolvida pela Praetox Technologies
•Ferramenta de teste de carga
•TCP(Transmission Control Protocol),
•UDP (User Datagram Protocol)
•HTTP (HyperText Transfer Protocol)
•Disponível em: http://sourceforge.net/projects/loic/
Funcionamento
Funcionamento via canal IRC
•Iniciar ataque:
!lazor targetip=<IRC_server> message=<texto> port=80 method=http wait=false threads=15 method=tcp random=true start
•Finalizar ataque:
!lazor stop
Implementações
Windows Linux BSD
Android Web
(JavaScript)
Participação consciente
•Downloads:
1.Estados Unidos
2.França
3.Brasil
4.Alemanha ...
http://sourceforge.net/projects/loic/ em 26 de abril de 2012
Popular e acessível
Agendamento de ataque
http://pastebin.com/WEydcBVV em 26 de abril de 2012
Receberam ataques
•FBI •MPAA – Motion Picture Association of America •Departament of Justice •RIAA – Recording Industry Association of America •Sony •Visa •MasterCard •Paypal
Cenário dos testes
Servidor atacado:
• Core 2 Duo 2.2 Ghz
• 2 Gb RAM
• Ubuntu 10.04
• Apache 2.2
• Conectado a um switch ethernet 100 Mbps
Cenário dos testes
PC
Core 2 Duo 2.2 Ghz
2 GB RAM
iPad 2
Dual-core Apple A5X
512 MB RAM
Galaxy SII
Dual-core 1.2 GHz Cortex-A9
1 GB RAM
Motorola Defy
800 MHz Cortex-A8
512 MB RAM
Cenário dos testes
PC
LOIC JSLOIC
iPad 2
JSLOIC
Galaxy SII
JSLOIC Android LOIC
Motorola Defy
JSLOIC Android LOIC
Ferramentas de ataque
Metodologia
•Ataques de trinta segundos por dispositivo.
•Dados coletados:
Pacotes por segundo
Bytes por segundo
Consumo de CPU servidor
Consumo de memória do servidor
Resultado - PC
Praetox TCP:80 Praetox HTTP Hoic JS Loic
1
500001
1000001
1500001
2000001
2500001
PC: Transferência de Pacotes
Pacotes IN
Pacotes IN/OUT
Ferramentas
Nú
me
ro d
e p
aco
tes
Resultado – PC
Praetox TCP:80 Praetox HTTP Hoic JS Loic
1
50.000.001
100.000.001
150.000.001
200.000.001
250.000.001
300.000.001
350.000.001
400.000.001
PC: Transferência de bytes
Bytes IN
Bytes IN/OUT
Ferramentas
Byt
es
tra
ns
feri
do
s
Resultado – PC
Praetox TCP:80 Praetox HTTP Hoic JS Loic
0
1
2
3
4
5
6
7
8
9
10
PC: Porcentagem de uso da CPU
% user time
% system time
load
Ferramentas
Te
mp
o d
e u
so
da
CP
U (
%)
Resultado – PC
Praetox TPC:80 Praetox HTTP Hoic JS Loic
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Uso da memória
Usada
Livre
Buffers
Us
o d
a m
em
óri
a (
MB
)
Resultado – Dispositivos móveis
iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic
1
1001
2001
3001
4001
5001
6001
7001
8001
Js Loic: Transferência de Pacotes
Pacotes IN
Pacotes IN/OUT
Dispositivo/Ferramenta
Nú
me
ro d
e p
aco
tes
Resultado – Dispositivos móveis
iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic
1
500.001
1.000.001
1.500.001
2.000.001
2.500.001
3.000.001
Js Loic: Transferência de bytes
Bytes IN
Bytes IN/OUT
Ferramentas
Byt
es
tra
ns
feri
do
s
Resultado – Dispositivos móveis
iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic
0
0,5
1
1,5
2
2,5
3
Js Loic: Porcentagem de uso da CPU
% user time
% system time
load
Dispositivo/Ferramenta
Te
mp
o d
e u
so
da
CP
U (
%)
Resultado – Dispositivos móveis
iPad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Uso da memória
Usada
Livre
Buffers
Us
o d
a m
em
óri
a (
MB
)
Resultado – Comparativo geral
PC / Praetox TCP:80 PC / JS-Loic iPad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic
1
500001
1000001
1500001
2000001
2500001
Transferência de Pacotes
Pacotes IN
Pacotes IN/OUT
Dispositivo/Ferramenta
Nú
me
ro d
e p
aco
tes
Resultado – Comparativo geral
PC / Praetox TCP:80 PC / JS-Loic iPad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic
0
2
4
6
8
10
12
Porcentagem de uso da CPU
% user time
% system time
load
Dispositivo/Ferramenta
Te
mp
o d
e u
so
da
CP
U (
%)
Resultado – Comparativo geral
PC / Praetox TCP:80 PC / JS-Loic iPad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Uso da memória
Usada
Livre
Buffers
Us
o d
a m
em
óri
a (
MB
)
Resultado – Apache
Tango Down
Resultado – Apache
PC iPad Galaxy SII Defy
0
20
40
60
80
100
120
140
160
180
22
52
78
158
Unidades
Resultado – Apache
Resultado – Apache
Resultado – Apache
Prevenção • Snort como NIDS (Network Intrusion and Detection System)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR - LOIC DoS Tool(TCP Mode) - Behavior Rule (tracking/threshold)"; flow: established,to_server; flags:A; dsize:1448<>1448; threshold: type threshold, track by_src, count 10 , seconds 10;
TCP
Prevenção
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR - LOIC DoS Tool (HTTP Mode)"; flow: established,to_server; content:"|A cat is fine too. Desudesudesu~|"; threshold: type threshold, track by_src, count 10 , seconds 10;
HTTP
Referências
Attacks by “Anonymous” WikiLeaks Proponents not Anonymous. http://eprints.eemcs.utwente.nl/19151/01/2010-12-CTIT-TR.pdf Effectiveness of Defense Methods Against DDoS Attacks by Anonymous http://referaat.cs.utwente.nl/TSConIT/download.php?id=1085 DDoS: threats and mitigation http://www.sciencedirect.com/science/article/pii/S1353485811701283
Bruno Lorensi César Loureiro Douglas Ritter Eduardo Bergmann João Ceron (CERT-BR) Leando Bertholdo Liane Tarouco Lucas Arbiza
Colaboradores
![22/04 - 21/05 LIMA - PERU CCV4 RAUL ZARATE filecastro santiago [1] 5 18 dumas loic 67(6) 7-5 (10-7) dom. 23 de abril 9:30 am. ... vasquez q. tito 14 17 vasquez q. tito dom. 30 de abril](https://img.document.onl/doc/110x75/5bf8377d09d3f294138c3248/2204-2105-lima-peru-ccv4-raul-santiago-1-5-18-dumas-loic-676-7-5-10-7.jpg)
