DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare,...
Transcript of DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare,...
Auditron GmbH
Untere Grabenstrasse 26
4800 Zofingen
Switzerland
www.auditron.chCopyright © 2009 – 2019 Auditron GmbH
DDoS – ein unterschätztes Risiko?Hacking Day 2019
Digicomp, 21. Mai 2019Christian Huber
Copyright © 2009 – 2019 Auditron GmbH
Agenda
Was ist DDoS
Funktionsweise einer DDoS Attacke
DDoS in Zahlen
DDoS Prävention
Wenn es zum Angriff kommt
Q/A
2
Copyright © 2009 – 2019 Auditron GmbH
Über mich
Christian Huber
3
Copyright © 2009 – 2019 Auditron GmbH 4
Was ist DDoS
Copyright © 2009 – 2019 Auditron GmbH
Wie sieht DDoS aus?
5
Copyright © 2009 – 2019 Auditron GmbH
Grundprinzip DDoS
6
C&C Server
Zielsystem
Grosse Antwort
Kommandos
Angriff
Angreifer
Copyright © 2009 – 2019 Auditron GmbH
Was wird angegriffen?
7
Copyright © 2009 – 2019 Auditron GmbH
Wieso werden DDoS Attacken ausgeführt?
8
Temporäres Ausschalten eines Mitbewerbers
Erpressung
Terrorismus
Politisch motivierter Hacktivismus
Verschleierung eines tiefergreifenden Angriffes auf Infrastruktur
Copyright © 2009 – 2019 Auditron GmbH
Auswirkungen für betroffene Ziele
9
Eingeschränkte Verfügbarkeit eines Onlineangebotes
Behinderung von Geschäftsabläufen
Finanzielle Einbussen (Verkauf, Werbung etc.)
Reputationsschaden
Rechtliche Konsequenzen
Copyright © 2009 – 2019 Auditron GmbH 10
Funktionsweise einer DDoS Attacke
Copyright © 2009 – 2019 Auditron GmbH
Mögliche Angriffsarten
11
Layer 3Vermittlungsschicht
Flood Attacken
• ICMPIP
ReflectionAttacken
Spoofing Attacken
Layer 4Transportschicht
SYN/ACK Flood Attacken
UDP Flood
ICMP Flood
Layer 5-7Applikationsschicht
HTTP GET / POST
HTTP GET / POST
Slow & Low Attacken
SIP Angriffe etc. etc.
DNS Attacken
Copyright © 2009 – 2019 Auditron GmbH
ICMP Flood Attacke
12
Copyright © 2009 – 2019 Auditron GmbH
Amplification
13
Angreifer
Zielsystem
CPUKleiner Request
Grosse Antwort
Copyright © 2009 – 2019 Auditron GmbH
Amplification Faktor nach Protokoll
14
Protokoll Amplifikation Faktor Kommando
NetBIOS 3.8 Name Resolution
BitTorrent 3.8 File Search
SNMPv2 6.3 GetBulk Request
KAD 16.3 Peer list Exchange
SSDP 30.8 Search Request
DNS 24-54 TA13-088A
Quake Network Protocol 63.9 Server Info Exchange
QOTD 140.3 File Search
CharGen 358 Character Generation Request
NTP 556 TA14-013A
Copyright © 2009 – 2019 Auditron GmbH
UDP Amplification – NTP Monolist
15
Copyright © 2009 – 2019 Auditron GmbH
IP-Spoofing
16
Angreifer
Zielsystem
Server
SRC: Server
DST: Zielsystem
Bitte sende mir viele Daten!
Copyright © 2009 – 2019 Auditron GmbH
Mögliche Angriffsarten
17
Layer 3Vermittlungsschicht
Flood Attacken
• ICMPIP
ReflectionAttacken
Spoofing Attacken
Layer 4Transportschicht
SYN/ACK Flood Attacken
UDP Flood
Fragmentation Attacken
Layer 5-7Applikationsschicht
HTTP GET / POST
HTTP GET / POST
Slow & Low Attacken
SIP Angriffe etc. etc.
DNS Attacken
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood (1/2)
18
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
EST
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood (2/2)
19
Angreifer
Zielsystem
SYN(Session1)
SYN/ACK (Session1)
SYN (Session2)
SYN/ACK (Session2)
SYN/ACK (Session1)
….
Copyright © 2009 – 2019 Auditron GmbH
UDP Fragmentation Atacken
20
Copyright © 2009 – 2019 Auditron GmbH
Mögliche Angriffsarten
21
Layer 3Vermittlungsschicht
Flood Attacken
• ICMPIP
ReflectionAttacken
Spoofing Attacken
Layer 4Transportschicht
SYN/ACK Flood Attacken
UDP Flood
Fragmentation Attacken
Layer 5-7Applikationsschicht
HTTP GET / POST
HTTP GET / POST
Slow & Low Attacken
SIP Angriffe
DNS Attacken
Etc. etc.
Copyright © 2009 – 2019 Auditron GmbH
Slow and Low – slowloris.pl
22
Copyright © 2009 – 2019 Auditron GmbH
HTTP GET/POST Attack Request
23
Vorteil: Browser Request Folgt Redirects und ist daher einfach zu mitigieren
Copyright © 2009 – 2019 Auditron GmbH
SSL/TLS Attacks
24
Asymmetrische Handshake Performance
RSA ist CPU intensiver als ECC
RenegotiationRequests
kali:~# thc-ssl-dos -l 100 10.1.1.1 443 --accept
The force is with those who read the source...
Handshakes 0 [0.00 h/s], 1 Conn, 0 Err
Handshakes 2 [2.90 h/s], 6 Conn, 0 Err
Handshakes 25 [22.42 h/s], 13 Conn, 0 Err
Handshakes 70 [43.97 h/s], 20 Conn, 0 Err
....
Copyright © 2009 – 2019 Auditron GmbH 26
DDoS in Zahlen
Copyright © 2009 – 2019 Auditron GmbH
Weltweit: Zahlen und Fakten 2018
27Quelle: NETSCOUT: WW Inf. Security Report 2018 & blog.akamai.com
Trend: Attacken >1Tbps;
Spitzenwert: 1.7 Tbps
Ø Totales Angriffvolumen
gegenüber 2017 um 273%
gesteigert
Copyright © 2009 – 2019 Auditron GmbH
Weltweit: Zahlen und Fakten 2018
28Quelle: blog.akamai.com
Copyright © 2009 – 2019 Auditron GmbH
Weltweit: Zahlen und Fakten 2018
29Quelle: blog.akamai.com
Copyright © 2009 – 2019 Auditron GmbH
Situation Schweiz April 2019 (1/2)
30
3890 festgestellte Attacken
IPV4 Protokollattacken
DNS Amplification
UDP Flooding
Dauer einer Attacke
49% weniger als 10 Minuten
44% weniger als 1 Stunde
7% weniger als 12 Stunden
>1% länger als 12 Stunden
Quelle: Arbor Monthly Report 04/2019
Copyright © 2009 – 2019 Auditron GmbH
Situation Schweiz April 2019 (2/2)
31
Angriffsvolumen
unter 10 Mbps 33%
bis 100 Mbps 30%
bis 1G bps 27%
bis 10 Gbps 9%
über 10 Gbps 0.69%
Top Quellländer
USA
Schweiz
Niederlande
Grossbritanien
Deutschland
Quelle: Arbor Monthly Report 04/2019
Copyright © 2009 – 2019 Auditron GmbH
Angriffe in der Schweiz
32
Copyright © 2009 – 2019 Auditron GmbH 33
Copyright © 2009 – 2019 Auditron GmbH 34
Copyright © 2009 – 2019 Auditron GmbH
Auswertung des Botnetzes
36
Tatsächliche AttackPower ca. 12%
8742 beteiligte Clients
Insgesamt beteiligte aus 146 Ländern
Aus der Schweiz: 55 BotnetzclientsDavon: Ausschliesslich statische IP Adressen
Grossteils ausschliesslich Firmen mit Exchange oder IIS
Hoher Anteil von IP Adressen aus der W-CH
Copyright © 2009 – 2019 Auditron GmbH 37
Erkennung von Angriffen
DDoS
Copyright © 2009 – 2019 Auditron GmbH
Erkennung von Angriffen
38
Anomalien
Netflow/Sflow
SNMP
SYSLOG
Monitoring:
• ICINGA, NAGIOS, ZABBIX
SIEM:
• Splunk, LogRhythm, ELK, Grafana
Monitoring
Bandbreite
Anzahl Sessions
Systembelastung
Etc.etc.
Copyright © 2009 – 2019 Auditron GmbH
Spezifische Tools
39
FastNetMon
AndrisoftWANGuard
Appliancelösungen: Arbor/Netscout, A10, ForitDDoS
Cloud Lösungen: Cloudflare, Akamai etc.
Copyright © 2009 – 2019 Auditron GmbH 41
DDoS Prävention
Copyright © 2009 – 2019 Auditron GmbH
DDoS Prävention Erfolgsfaktor: Mehrschichtiges Abwehrkonzept
42
Internet
Internet Service Provider
Perimeter
Netzwerk
Zielserver
Copyright © 2009 – 2019 Auditron GmbH 43
DDoS Prävention
Internet
Copyright © 2009 – 2019 Auditron GmbH 44
DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.)
Verteilung des Datenverkehrs mit BGP / DNS / Flowspec
On Demand oder Always On
Schutz vor Layer 3/4 und 7 Attacken
DDoS Prävention
Internet
SSL Zertifikate müssen verteilt werden
DNS Zone wird extern verwaltet
Vertrauensverhältnis zu DDoS Provider muss bestehen
«Lokaler Server» muss confidential sein.
Copyright © 2009 – 2019 Auditron GmbH 45
DDoS Prävention
Internet: Client Puzzles (Proof of Work)
Copyright © 2009 – 2019 Auditron GmbH 46
DDoS Prävention
Internet: Captchas
Copyright © 2009 – 2019 Auditron GmbH 47
DDoS Mitigation Kapazitäten je nach Provider sehr unterschiedlich
Ev. Transit ACL (Hilft bei UDP AmplificationAttacks)
Blackholing (Countrybased; nur im Notfall)
Ev. DDoS as a Services
DDoS Prävention
Internet Service Provider
SLA & Time toMitigate
Leistungsumfang (Monitoring&Alerting oder auch Mitigation?)
Vor welchen Angriffsvektoren wird geschützt / nicht geschützt?
Schützt oft nicht vor L7 Attacken…
Copyright © 2009 – 2019 Auditron GmbH 48
Einsatz einer OnPremiseDDoS Lösung
Software: FastNetMon/ AndrisoftWANGuard
Appliance: Arbor/Netscout, A10, ForitDDoS
Ermöglicht in Kombination mit einer Cloud Lösung: Cloud Signaling
Horizontales Splitting von Traffic
Limitieren von Bandbreite auf Netzwerkebene (Firewall)Max_SessionPro IP
Durchsatz pro Session
Blacklisting von bekannten, Malicious IPs (Blacklists forknownBotnets)
GeoBlocking und TOR Networks
DDoS Prävention Am Perimeter
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood: SYN-Cookies
49
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
sequenceID= cookie:{Source Addr, Source Port, DST Addr, dstPort, CoarseTime, Server Secret}
Zielsystem vergisst Session
Zielsystem errechnet Session anhand SequenceID.
https://cr.yp.to/syncookies.html
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood: TCP RST
50
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
{https://cr.yp.to/syncookies.html
DDoS Appliance
RST
SYN
SYN/ACK
ACK
Retry
X
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood: SYN-Proxy
51
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
https://cr.yp.to/syncookies.html
DDoS Appliance
SYN
SYN/ACK
ACK
Copyright © 2009 – 2019 Auditron GmbH 52
Erhöhen der Bandbreite (10GBE)
Anpassen der Leistungsfähigkeit sämtlicher Geräte entlang der Linie an diese Bandbreite
Horizontales Splitting von Traffic
Einsatz von:
IPS Sensor
Caching Server
Loadbalancer
DDoS Prävention Im Netzwerk
Copyright © 2009 – 2019 Auditron GmbH 53
.htaccessSchutz von Dateien / Ordnern
Blockieren von User Agents
Redirectionvon böswilligen Anfragen
mod_evasiveLimitieren von Requests pro Datei pro Zeit
Limitieren von Requests über die gesamte Applikation
Notifiziert Admin via Mail bei Attacke
Fail2BanÜberwacht Apache Logfile
Blockt bösartige Attacken via iptables
DDoS Prävention Auf dem Webserver (Unter Apache2)
Copyright © 2009 – 2019 Auditron GmbH 54
Minimieren des AttackerSurfaces soweit als möglich
Grosse Dateien sollten nach Möglichkeit nicht öffentlich zugänglich sein.
Limitieren von rechenintensive AbfragenZeitlich
Pro IP / Pro User
Prüfe Session Limits
Cachenvon rechenintensiven Abfragen
Stress-Testing des Source-Codes
DDoS Prävention Auf dem Webserver (in der Applikation)
Copyright © 2009 – 2019 Auditron GmbH 55
DDoS Prävention In Ihrer Organisation
DokumentationProzesse
Abläufe
Zuständigkeiten
Massnahmen
Sammeln Sie Erfahrungen mit den Tools
Etablieren von Bereitschaftsdienst 365x7x24
Im Voraus:Durchführen von Stresstests
Copyright © 2009 – 2019 Auditron GmbH 56
DDoS Prävention In Ihrer Organisation
Copyright © 2009 – 2019 Auditron GmbH 57Quelle: DDoS Handbook, security.radware.com
Bottlenecks eines DDoS Angriffs
Internet-anschluss
Firewall IPS/IDS Load-balancer
Server Datenbank
5%
28% 24%
8%4%
31%
Copyright © 2009 – 2019 Auditron GmbH 58
Wenn es zum Angriff kommt
Copyright © 2009 – 2019 Auditron GmbH
Wenn es zum Angriff kommt
59
Attacke verifizieren?
Copyright © 2009 – 2019 Auditron GmbH
Wenn es zum Angriff kommt
60
Attacke verstehen
Logs lesen / interpretieren
$ cat access.log | awk '{ print $1 }' | sort | uniq -c | sort -n
11332 130.X.X.X
16789 65.X.X.X
19448 65.X.X.X
6496 176.X.X.X
5478 188.X.X.X
2728 213.X.X.X
2407 213.X.X.X
1995 138.X.X.X
Copyright © 2009 – 2019 Auditron GmbH
Wenn es zum Angriff kommt
61
Verstehen der Attacke:
Traffic sniffen ( SSL)
Suchen von wiederkehrenden Pattern auf IPS
Loadbalancer
Web ApplicationFirewall
etc.
Copyright © 2009 – 2019 Auditron GmbH
Reaktion
62
Blocken von IPs als kurzfristige Abwehrmassnahme ( Kollateralschaden)
Partielle Abschaltung von gewissen Komponenten des Angebotes
Pattern auf IPS/LB/WAF/Server etablieren
Anpassung der Applikation (Reduktion des AttackSurfaces)
Testen des Netzwerk nach getroffenen Massnahmen
Lessons Learned!
Copyright © 2009 – 2019 Auditron GmbH
IoT Rechner
• KnowyourAssets!• Welche Geräte müssen wohin
kommunizieren?• Update und Patchmanagement!
• Limitierung der Zugänge auf die IoTGeräte(Std.-zugänge und Passwörter)
• Mikrosegmentierung
• Vorsicht bei Geräten ausfragwürdigen Quellen
• Vorsicht bei nicht signierter Software / Software aus dubiosen Quellen.
• Eine Sicherheitssoftware auf dem Rechner hilft Gefahren zu erkennen.
• Regelmässiges Updaten des Betriebssystemssowie sämtlicher Applikationen.
Was tun, um nicht Teil des Botnetzes zu werden?
63
Für Private:
Copyright © 2009 – 2019 Auditron GmbH 64
Christian Huber
Auditron GmbH
Untere Grabenstrasse 26
4800 Zofingen
+41 79 900 94 28
Twitter: @auditrongmbh
FB: fb.com/auditrongmbh
Herzlichen Dank!