Efeitos do ataque LOIC.

GTS 2012 Efeitos do ataque LOIC. Eduardo Bergmann

Roteiro LOIC: Definição, participação e ferramentas Cenário de testes Metodologia Resultados Prevenção Conclusão

LOIC: Low Orbit Ion Cannon Desenvolvida pela Praetox Technologies Ferramenta de teste de carga TCP(Transmission Control Protocol), UDP (User Datagram Protocol) HTTP (HyperText Transfer Protocol) Disponível em: http://sourceforge.net/projects/loic/

Funcionamento

Funcionamento via canal IRC Iniciar ataque:!lazor targetip=<irc_server> message=<texto> port=80 method=http wait=false threads=15 method=tcp random=true start Finalizar ataque:!lazor stop

Implementações Windows Linux BSD Android Web (JavaScript)

Participação consciente Downloads: 1.Estados Unidos 2.França 3.Brasil 4.Alemanha... http://sourceforge.net/projects/loic/ em 26 de abril de 2012

Popular e acessível

Agendamento de ataque http://pastebin.com/weydcbvv em 26 de abril de 2012

Receberam ataques FBI MPAA Motion Picture Association of America Departament of Justice RIAA Recording Industry Association of America Sony Visa MasterCard Paypal

Cenário dos testes Servidor atacado: Core 2 Duo 2.2 Ghz 2 Gb RAM Ubuntu 10.04 Apache 2.2 Conectado a um switch ethernet 100 Mbps

Cenário dos testes PC ipad 2 Galaxy SII Motorola Defy Core 2 Duo 2.2 Ghz Dual-core Apple A5X Dual-core 1.2 GHz Cortex-A9 800 MHz Cortex-A8 2 GB RAM 512 MB RAM 1 GB RAM 512 MB RAM

Cenário dos testes Ferramentas de ataque PC ipad 2 Galaxy SII Motorola Defy LOIC JSLOIC JSLOIC JSLOIC Android LOIC JSLOIC Android LOIC

Metodologia Ataques de trinta segundos por dispositivo. Dados coletados: Pacotes por segundo Bytes por segundo Consumo de CPU servidor Consumo de memória do servidor

Número de pacotes Resultado - PC PC: Transferência de Pacotes 2500001 2000001 1500001 1000001 Pacotes IN Pacotes IN/OUT 500001 1 Praetox TCP:80 Praetox HTTP Hoic JS Loic Ferramentas

Bytes transferidos Resultado PC PC: Transferência de bytes 400.000.001 350.000.001 300.000.001 250.000.001 200.000.001 Bytes IN Bytes IN/OUT 150.000.001 100.000.001 50.000.001 1 Praetox TCP:80 Praetox HTTP Hoic JS Loic Ferramentas

Tempo de uso da CPU (%) Resultado PC PC: Porcentagem de uso da CPU 10 9 8 7 6 5 4 % user time % system time load 3 2 1 0 Praetox TCP:80 Praetox HTTP Hoic JS Loic Ferramentas

Uso da memória (MB) Resultado PC Uso da memória 2000 1800 1600 1400 1200 1000 800 600 400 200 0 Praetox TPC:80 Praetox HTTP Hoic JS Loic Usada Livre Buffers

Número de pacotes Resultado Dispositivos móveis Js Loic: Transferência de Pacotes 8001 7001 6001 5001 4001 Pacotes IN Pacotes IN/OUT 3001 2001 1001 1 ipad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Dispositivo/Ferramenta

Bytes transferidos Resultado Dispositivos móveis Js Loic: Transferência de bytes 3.000.001 2.500.001 2.000.001 1.500.001 Bytes IN Bytes IN/OUT 1.000.001 500.001 1 ipad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Ferramentas

Tempo de uso da CPU (%) Resultado Dispositivos móveis Js Loic: Porcentagem de uso da CPU 3 2,5 2 1,5 % user time % system time load 1 0,5 0 ipad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Dispositivo/Ferramenta

Uso da memória (MB) Resultado Dispositivos móveis Uso da memória 2000 1800 1600 1400 1200 1000 800 600 400 200 0 ipad / JS-Loic Galaxy SII / JS-Loic Galaxy SII / App Loic Defy / JS-Loic Defy / App Loic Usada Livre Buffers

Número de pacotes Resultado Comparativo geral Transferência de Pacotes 2500001 2000001 1500001 1000001 Pacotes IN Pacotes IN/OUT 500001 1 PC / Praetox TCP:80 PC / JS-Loic ipad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic Dispositivo/Ferramenta

Tempo de uso da CPU (%) Resultado Comparativo geral Porcentagem de uso da CPU 12 10 8 6 % user time % system time load 4 2 0 PC / Praetox TCP:80 PC / JS-Loic ipad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic Dispositivo/Ferramenta

Uso da memória (MB) Resultado Comparativo geral Uso da memória 2000 1800 1600 1400 1200 1000 800 600 400 200 0 PC / Praetox TCP:80 PC / JS-Loic ipad / JS-Loic Galaxy SII / JS-Loic Defy / JS-Loic Usada Livre Buffers

Resultado Apache Tango Down

Resultado Apache 180 160 158 140 120 100 80 78 Unidades 60 52 40 20 0 22 PC ipad Galaxy SII Defy

Resultado Apache

Resultado Apache

Resultado Apache

Prevenção Snort como NIDS (Network Intrusion and Detection System) TCP alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"slr - LOIC DoS Tool(TCP Mode) - Behavior Rule (tracking/threshold)"; flow: established,to_server; flags:a; dsize:1448<>1448; threshold: type threshold, track by_src, count 10, seconds 10;

Prevenção HTTP alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"slr - LOIC DoS Tool (HTTP Mode)"; flow: established,to_server; content:" A cat is fine too. Desudesudesu~ "; threshold: type threshold, track by_src, count 10, seconds 10;

Referências Attacks by Anonymous WikiLeaks Proponents not Anonymous. http://eprints.eemcs.utwente.nl/19151/01/2010-12-ctit-tr.pdf Effectiveness of Defense Methods Against DDoS Attacks by Anonymous http://referaat.cs.utwente.nl/tsconit/download.php?id=1085 DDoS: threats and mitigation http://www.sciencedirect.com/science/article/pii/s1353485811701283

Bruno Lorensi César Loureiro Douglas Ritter Eduardo Bergmann João Ceron (CERT-BR) Leando Bertholdo Liane Tarouco Lucas Arbiza Colaboradores

Perguntas? eduardo@pop-rs.rnp.br