Embed Size (px)
Citation preview
ApresentacaoConteudo
Finalizacao
Visualizacao e Acoes Tomadas Frente aoAtaque ao Servidor de Portais Web da
UFG
Marcello Henrique Dias de MouraMario Augusto da Cruz
Hugo Alexandre Dantas do Nascimento
Centro de Recursos Computacionais − Universidade Federal de Goias
9 de maio de 2012
Marcello - Mario - Hugo Infraweb - Ataques aos portais 1 / 31
ApresentacaoConteudo
Finalizacao
Sumario I
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 2 / 31
ApresentacaoConteudo
Finalizacao
Objetivos desse trabalhoPanorama, visao geral da estrutura
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 3 / 31
ApresentacaoConteudo
Finalizacao
Objetivos desse trabalhoPanorama, visao geral da estrutura
ObjetivosA finalidade desse trabalho
Demonstrar as ferramentas e acoes tomadas paraconter ataques ao servidor Web da UFG.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 4 / 31
ApresentacaoConteudo
Finalizacao
Objetivos desse trabalhoPanorama, visao geral da estrutura
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 5 / 31
ApresentacaoConteudo
Finalizacao
Objetivos desse trabalhoPanorama, visao geral da estrutura
HistoricoAlvo dos ataques
Um servidor com gerenciador de conteudo Webfeito em PHP.
Usado por quase todos (350) portais Web daUniversidade.
Outros (50) sistemas da comunidade academica.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 6 / 31
ApresentacaoConteudo
Finalizacao
Objetivos desse trabalhoPanorama, visao geral da estrutura
O que eSistema de Gerenciamento de conteudo?
Conjunto de ferramentas necessarias para gerirconteudo Web em tempo real sem a necessidade deprogramacao de codigo.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 7 / 31
ApresentacaoConteudo
Finalizacao
Objetivos desse trabalhoPanorama, visao geral da estrutura
Qual necessidade de um CMS?Sistema de Gerenciamento de conteudo
Um canal de comunicacao com a sociedade(academica e nao academica), nos dois sentidos.
Meio rapido de divulgacao de conteudo.
Acompanhar a evolucao tecnologica.
Apoio academico e administrativo.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 8 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 9 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Contencao do ataqueIdentificacao do ataque
Foi identificado 2 tipos de ataques:1 DDoS (Ataque distribuıdo de negacao de servico)2 ZeroWindow
Marcello - Mario - Hugo Infraweb - Ataques aos portais 10 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Contencao do ataqueIdentificacao do ataque
ZeroWindow:
Explora de modo abusivo um comportamentoprevisto na especificacao do TCP
Deixar um grande numero de conexoespendentes do lado do servidor
Ferramentas - Sockstress
Marcello - Mario - Hugo Infraweb - Ataques aos portais 11 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Contencao do ataqueIdentificacao do ataque
ZeroWindow:�. . .t cp 0 1711 200. xxx . xxx . xxx :80 188.143. xxx . xxx :57148 ULTIMO ACK − emtcp 0 12241 200. xxx . xxx . xxx :80 189.27. xxx . xxx :49310 ULTIMO ACK − emtcp 0 8890 200. xxx . xxx . xxx :80 189.93. xxx . xxx :49706 ESPERA FIN1 − emtcp 0 181 200. xxx . xxx . xxx :80 189.74. xxx . xxx :1333 ESPERA FIN1 − emtcp 0 36301 200. xxx . xxx . xxx :80 201.14. xxx . xxx :1230 ULTIMO ACK − emtcp 0 0 200. xxx . xxx . xxx :80 201.24. xxx . xxx :49523 TIME WAIT − t imewa i ttcp 0 441 200. xxx . xxx . xxx :80 157.55. xxx . xxx :45227 ESPERA FIN1 − emtcp 0 0 200. xxx . xxx . xxx :80 163.231. xxx . xxx :20399 TIME WAIT − t imewa i ttcp 0 0 200. xxx . xxx . xxx :80 163.231. xxx . xxx :20438 TIME WAIT − t imewa i t. . .� �
Numero de entradas: 24.000
Marcello - Mario - Hugo Infraweb - Ataques aos portais 12 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 13 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Contencao do ataqueLista de ferramentas utilizadas
Ferramentas utilizadas para identificar o ataqueforam:
Zabbix
Logstalgia
Marcello - Mario - Hugo Infraweb - Ataques aos portais 14 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
ZabbixCPU e Mem.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 15 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
ZabbixCPU e Mem.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 15 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 17 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Estrategia de defesaAcoes tomadas para conter o ataque
Seguimos em duas vertentes
Marcello - Mario - Hugo Infraweb - Ataques aos portais 18 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Lista de acoes tomadaspara conter ou anular o ataque
Nıvel de Redes:1 Ajustes de parametros do Kernel2 Ajustes de firewall
Marcello - Mario - Hugo Infraweb - Ataques aos portais 19 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Acoes em Nıvel de Redes
�net.ipv4.tcp_fin_timeout = 20net.ipv4.tcp_max_orphans = 5000net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_tw_reuse = 1� �Registro 1: Parametros do kernel que foram alterados.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 20 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Acoes em Nıvel de Redes
�iptables -N ZERO_WINDOW_RECENTiptables -A -m u32 --u32 "6&0xFF=0x6 && 4&0x1FFF=0 &&
0>>22&0x3C@12&0xFFFF=0x0000" -j ZERO_WINDOW_RECENTiptables -A ZERO_WINDOW_RECENT -m recent --set --name
ZERO_WINDOWiptables -A ZERO_WINDOW_RECENT -m recent --update --seconds
60 --hitcount 2 --name ZERO_WINDOW -j LOG --log-levelinfo --log-prefix "Zero size Window DoS blocked: "
iptables -A ZERO_WINDOW_RECENT -m recent --update --seconds60 --hitcount 2 --name ZERO_WINDOW -j DROP� �
Registro 2: Regras de iptables para pacotes ZeroWindow.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 21 / 31
ApresentacaoConteudo
Finalizacao
Identificacao do ataqueFerramentas utilizadasAcoes tomadas
Lista de acoes tomadaspara conter ou anular o ataque
Nıvel de Sistemas:1 Troca do software servidor de paginas Web
(ningx)2 Criacao de uma fila de processo para atender as
requisicoes PHP (fastcgi, php-fpm)3 Migracao para o novo Gerenciador de Conteudo
Web (weby)4 Adocao de um novo servidor paginas Web para
Ruby (mongrel, eventmachine, thin)
Marcello - Mario - Hugo Infraweb - Ataques aos portais 22 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 23 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Conclusao
Um boa estrutura deve ter alta disponibilidade, serescalavel e distribuida porem nem sempre temosisso disponıvel. Para anular ataques sofisticados eprincipalmente DDoS devemos ter infraestruturadistribuıda.
Marcello - Mario - Hugo Infraweb - Ataques aos portais 24 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 25 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Referencias I
Obter esse trabalhoObter codigo fonte da palestra, do artigo e binarios (pdf’s)https://svn.cercomp.ufg.br/pub/infraweb-wticifes/
ThinUm veloz e simples servidor de pagina Rubyhttp://code.macournoyer.com/thin/
PHP-FPMGerenciador de processo FastCGIhttp://php-fpm.org
Marcello - Mario - Hugo Infraweb - Ataques aos portais 26 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Referencias II
LogstalgiaFerramenta de visualizacao de trafego Webhttp://code.google.com/p/logstalgia
NginxServidor de paginas de alto desempenhohttp://www.nginx.org
UFGUniversidade Federal de Goiashttp://www.ufg.br
Cercomp-UFGCentro de Recursos Computacionais da UFGhttp://www.cercomp.ufg.br
Marcello - Mario - Hugo Infraweb - Ataques aos portais 27 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Referencias III
ANDIFES-SOFTIFESSoftware das IFEShttp://softifes.andifes.org.br
Marcello - Mario - Hugo Infraweb - Ataques aos portais 28 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Sumario
1 ApresentacaoObjetivos desse trabalhoPanorama, visao geral da estrutura
2 ConteudoIdentificacao do ataqueFerramentas utilizadasAcoes tomadas
3 FinalizacaoConclusaoEnderecos uteisAgradecimentos
Marcello - Mario - Hugo Infraweb - Ataques aos portais 29 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Finalizacao
Obrigado!Perguntas?Sugestoes?
Marcello - Mario - Hugo Infraweb - Ataques aos portais 30 / 31
ApresentacaoConteudo
Finalizacao
ConclusaoEnderecos uteisAgradecimentos
Visualizacao e Acoes Tomadas Frente aoAtaque ao Servidor de Portais Web da
UFG
Marcello Henrique Dias de MouraMario Augusto da Cruz
Hugo Alexandre Dantas do Nascimento
Centro de Recursos Computacionais − Universidade Federal de Goias
9 de maio de 2012
Marcello - Mario - Hugo Infraweb - Ataques aos portais 31 / 31
