DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder

Auditron GmbH

Untere Grabenstrasse 26

4800 Zofingen

Switzerland

[email protected]

www.auditron.chCopyright © 2009 – 2019 Auditron GmbH

DDoS – ein unterschätztes Risiko?Hacking Day 2019

Digicomp, 21. Mai 2019Christian Huber

[email protected]

Copyright © 2009 – 2019 Auditron GmbH

Agenda

Was ist DDoS

Funktionsweise einer DDoS Attacke

DDoS in Zahlen

DDoS Prävention

Wenn es zum Angriff kommt

Q/A

2


Über mich

Christian Huber

3

Copyright © 2009 – 2019 Auditron GmbH 4

Was ist DDoS


Wie sieht DDoS aus?

5


Grundprinzip DDoS

6

C&C Server

Zielsystem

Grosse Antwort

Kommandos

Angriff

Angreifer


Was wird angegriffen?

7


Wieso werden DDoS Attacken ausgeführt?

8

Temporäres Ausschalten eines Mitbewerbers

Erpressung

Terrorismus

Politisch motivierter Hacktivismus

Verschleierung eines tiefergreifenden Angriffes auf Infrastruktur


Auswirkungen für betroffene Ziele

9

Eingeschränkte Verfügbarkeit eines Onlineangebotes

Behinderung von Geschäftsabläufen

Finanzielle Einbussen (Verkauf, Werbung etc.)

Reputationsschaden

Rechtliche Konsequenzen


Funktionsweise einer DDoS Attacke


Mögliche Angriffsarten

11

Layer 3Vermittlungsschicht

Flood Attacken

• ICMPIP

ReflectionAttacken

Spoofing Attacken

Layer 4Transportschicht

SYN/ACK Flood Attacken

UDP Flood

ICMP Flood

Layer 5-7Applikationsschicht

HTTP GET / POST

HTTP GET / POST

Slow & Low Attacken

SIP Angriffe etc. etc.

DNS Attacken


ICMP Flood Attacke

12


Amplification

13

Angreifer

Zielsystem

CPUKleiner Request

Grosse Antwort


Amplification Faktor nach Protokoll

14

Protokoll Amplifikation Faktor Kommando

NetBIOS 3.8 Name Resolution

BitTorrent 3.8 File Search

SNMPv2 6.3 GetBulk Request

KAD 16.3 Peer list Exchange

SSDP 30.8 Search Request

DNS 24-54 TA13-088A

Quake Network Protocol 63.9 Server Info Exchange

QOTD 140.3 File Search

CharGen 358 Character Generation Request

NTP 556 TA14-013A


UDP Amplification – NTP Monolist

15


IP-Spoofing

16

Angreifer

Zielsystem

Server

SRC: Server

DST: Zielsystem

Bitte sende mir viele Daten!



17


Flood Attacken

• ICMPIP

ReflectionAttacken

Spoofing Attacken



UDP Flood

Fragmentation Attacken


HTTP GET / POST

HTTP GET / POST

Slow & Low Attacken

SIP Angriffe etc. etc.

DNS Attacken


TCP SYN Flood (1/2)

18

Angreifer

Zielsystem

SYN

SYN/ACK

ACK

EST


TCP SYN Flood (2/2)

19

Angreifer

Zielsystem

SYN(Session1)

SYN/ACK (Session1)

SYN (Session2)

SYN/ACK (Session2)

SYN/ACK (Session1)

….


UDP Fragmentation Atacken

20



21


Flood Attacken

• ICMPIP

ReflectionAttacken

Spoofing Attacken



UDP Flood

Fragmentation Attacken


HTTP GET / POST

HTTP GET / POST

Slow & Low Attacken

SIP Angriffe

DNS Attacken

Etc. etc.


Slow and Low – slowloris.pl

22


HTTP GET/POST Attack Request

23

Vorteil: Browser Request Folgt Redirects und ist daher einfach zu mitigieren


SSL/TLS Attacks

24

Asymmetrische Handshake Performance

RSA ist CPU intensiver als ECC

RenegotiationRequests

kali:~# thc-ssl-dos -l 100 10.1.1.1 443 --accept

The force is with those who read the source...

Handshakes 0 [0.00 h/s], 1 Conn, 0 Err




....


DDoS in Zahlen


Weltweit: Zahlen und Fakten 2018

27Quelle: NETSCOUT: WW Inf. Security Report 2018 & blog.akamai.com

Trend: Attacken >1Tbps;

Spitzenwert: 1.7 Tbps

Ø Totales Angriffvolumen

gegenüber 2017 um 273%

gesteigert



28Quelle: blog.akamai.com



29Quelle: blog.akamai.com


Situation Schweiz April 2019 (1/2)

30

3890 festgestellte Attacken

IPV4 Protokollattacken

DNS Amplification

UDP Flooding

Dauer einer Attacke

49% weniger als 10 Minuten

44% weniger als 1 Stunde

7% weniger als 12 Stunden

>1% länger als 12 Stunden

Quelle: Arbor Monthly Report 04/2019


Situation Schweiz April 2019 (2/2)

31

Angriffsvolumen

unter 10 Mbps 33%

bis 100 Mbps 30%

bis 1G bps 27%

bis 10 Gbps 9%

über 10 Gbps 0.69%

Top Quellländer

USA

Schweiz

Niederlande

Grossbritanien

Deutschland

Quelle: Arbor Monthly Report 04/2019


Angriffe in der Schweiz

32




Auswertung des Botnetzes

36

Tatsächliche AttackPower ca. 12%

8742 beteiligte Clients

Insgesamt beteiligte aus 146 Ländern

Aus der Schweiz: 55 BotnetzclientsDavon: Ausschliesslich statische IP Adressen

Grossteils ausschliesslich Firmen mit Exchange oder IIS

Hoher Anteil von IP Adressen aus der W-CH


Erkennung von Angriffen

DDoS


Erkennung von Angriffen

38

Anomalien

Netflow/Sflow

SNMP

SYSLOG

Monitoring:

• ICINGA, NAGIOS, ZABBIX

SIEM:

• Splunk, LogRhythm, ELK, Grafana

Monitoring

Bandbreite

Anzahl Sessions

Systembelastung

Etc.etc.


Spezifische Tools

39

FastNetMon

AndrisoftWANGuard

Appliancelösungen: Arbor/Netscout, A10, ForitDDoS

Cloud Lösungen: Cloudflare, Akamai etc.


DDoS Prävention


DDoS Prävention Erfolgsfaktor: Mehrschichtiges Abwehrkonzept

42

Internet

Internet Service Provider

Perimeter

Netzwerk

Zielserver


DDoS Prävention

Internet


DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.)

Verteilung des Datenverkehrs mit BGP / DNS / Flowspec

On Demand oder Always On

Schutz vor Layer 3/4 und 7 Attacken

DDoS Prävention

Internet

SSL Zertifikate müssen verteilt werden

DNS Zone wird extern verwaltet

Vertrauensverhältnis zu DDoS Provider muss bestehen

«Lokaler Server» muss confidential sein.


DDoS Prävention

Internet: Client Puzzles (Proof of Work)


DDoS Prävention

Internet: Captchas


DDoS Mitigation Kapazitäten je nach Provider sehr unterschiedlich

Ev. Transit ACL (Hilft bei UDP AmplificationAttacks)

Blackholing (Countrybased; nur im Notfall)

Ev. DDoS as a Services

DDoS Prävention

Internet Service Provider

SLA & Time toMitigate

Leistungsumfang (Monitoring&Alerting oder auch Mitigation?)

Vor welchen Angriffsvektoren wird geschützt / nicht geschützt?

Schützt oft nicht vor L7 Attacken…


Einsatz einer OnPremiseDDoS Lösung

Software: FastNetMon/ AndrisoftWANGuard

Appliance: Arbor/Netscout, A10, ForitDDoS

Ermöglicht in Kombination mit einer Cloud Lösung: Cloud Signaling

Horizontales Splitting von Traffic

Limitieren von Bandbreite auf Netzwerkebene (Firewall)Max_SessionPro IP

Durchsatz pro Session

Blacklisting von bekannten, Malicious IPs (Blacklists forknownBotnets)

GeoBlocking und TOR Networks

DDoS Prävention Am Perimeter


TCP SYN Flood: SYN-Cookies

49

Angreifer

Zielsystem

SYN

SYN/ACK

ACK

sequenceID= cookie:{Source Addr, Source Port, DST Addr, dstPort, CoarseTime, Server Secret}

Zielsystem vergisst Session

Zielsystem errechnet Session anhand SequenceID.

https://cr.yp.to/syncookies.html


TCP SYN Flood: TCP RST

50

Angreifer

Zielsystem

SYN

SYN/ACK

ACK

{https://cr.yp.to/syncookies.html

DDoS Appliance

RST

SYN

SYN/ACK

ACK

Retry

X


TCP SYN Flood: SYN-Proxy

51

Angreifer

Zielsystem

SYN

SYN/ACK

ACK

https://cr.yp.to/syncookies.html

DDoS Appliance

SYN

SYN/ACK

ACK


Erhöhen der Bandbreite (10GBE)

Anpassen der Leistungsfähigkeit sämtlicher Geräte entlang der Linie an diese Bandbreite

Horizontales Splitting von Traffic

Einsatz von:

IPS Sensor

Caching Server

Loadbalancer

DDoS Prävention Im Netzwerk


.htaccessSchutz von Dateien / Ordnern

Blockieren von User Agents

Redirectionvon böswilligen Anfragen

mod_evasiveLimitieren von Requests pro Datei pro Zeit

Limitieren von Requests über die gesamte Applikation

Notifiziert Admin via Mail bei Attacke

Fail2BanÜberwacht Apache Logfile

Blockt bösartige Attacken via iptables

DDoS Prävention Auf dem Webserver (Unter Apache2)


Minimieren des AttackerSurfaces soweit als möglich

Grosse Dateien sollten nach Möglichkeit nicht öffentlich zugänglich sein.

Limitieren von rechenintensive AbfragenZeitlich

Pro IP / Pro User

Prüfe Session Limits

Cachenvon rechenintensiven Abfragen

Stress-Testing des Source-Codes

DDoS Prävention Auf dem Webserver (in der Applikation)


DDoS Prävention In Ihrer Organisation

DokumentationProzesse

Abläufe

Zuständigkeiten

Massnahmen

Sammeln Sie Erfahrungen mit den Tools

Etablieren von Bereitschaftsdienst 365x7x24

Im Voraus:Durchführen von Stresstests


DDoS Prävention In Ihrer Organisation

Copyright © 2009 – 2019 Auditron GmbH 57Quelle: DDoS Handbook, security.radware.com

Bottlenecks eines DDoS Angriffs

Internet-anschluss

Firewall IPS/IDS Load-balancer

Server Datenbank

5%

28% 24%

8%4%

31%





59

Attacke verifizieren?



60

Attacke verstehen

Logs lesen / interpretieren

$ cat access.log | awk '{ print $1 }' | sort | uniq -c | sort -n

11332 130.X.X.X

16789 65.X.X.X

19448 65.X.X.X

6496 176.X.X.X

5478 188.X.X.X

2728 213.X.X.X

2407 213.X.X.X

1995 138.X.X.X



61

Verstehen der Attacke:

Traffic sniffen ( SSL)

Suchen von wiederkehrenden Pattern auf IPS

Loadbalancer

Web ApplicationFirewall

etc.


Reaktion

62

Blocken von IPs als kurzfristige Abwehrmassnahme ( Kollateralschaden)

Partielle Abschaltung von gewissen Komponenten des Angebotes

Pattern auf IPS/LB/WAF/Server etablieren

Anpassung der Applikation (Reduktion des AttackSurfaces)

Testen des Netzwerk nach getroffenen Massnahmen

Lessons Learned!


IoT Rechner

• KnowyourAssets!• Welche Geräte müssen wohin

kommunizieren?• Update und Patchmanagement!

• Limitierung der Zugänge auf die IoTGeräte(Std.-zugänge und Passwörter)

• Mikrosegmentierung

• Vorsicht bei Geräten ausfragwürdigen Quellen

• Vorsicht bei nicht signierter Software / Software aus dubiosen Quellen.

• Eine Sicherheitssoftware auf dem Rechner hilft Gefahren zu erkennen.

• Regelmässiges Updaten des Betriebssystemssowie sämtlicher Applikationen.

Was tun, um nicht Teil des Botnetzes zu werden?

63

Für Private:


Christian Huber

Auditron GmbH

Untere Grabenstrasse 26

4800 Zofingen

[email protected]

+41 79 900 94 28

Twitter: @auditrongmbh

FB: fb.com/auditrongmbh

Herzlichen Dank!

Documents

DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder