300 likes | 555 Views
DDoS und Botnetze. [1]. Alexander Gruschina Mario Kotoy. DoS , DDoS ?. Denial of Service Distributed Denial of Service. DDoS flooding attacks. Attacken über Netzwerk-/Transportschicht (TCP,UDP,SCTP,IPv4,IPv6,…) Attacken über Anwendungsschicht (HTTP,FTP,SMTP,POP,…).
E N D
DDoSund Botnetze [1] Alexander Gruschina Mario Kotoy
DoS, DDoS? • Denialof Service • Distributed Denialof Service
DDoSfloodingattacks • Attacken über Netzwerk-/Transportschicht(TCP,UDP,SCTP,IPv4,IPv6,…) • Attacken über Anwendungsschicht(HTTP,FTP,SMTP,POP,…)
Attacken über Netzwerk-Transportschicht: floodingattack • Angriff zielt auf Netzwerkbandbreite • Bandbreite wird durch Angriff überlastet Bsp.: UDP flood, ICMP flood (Ping flooding)
Attacken über Netzwerk-Transportschicht: protocolexploitation • Angriffe nutzen spezielle features oder Bugs, um Zugriff auf Ressourcen des Opfers zu erlangen. Bsp.: TCP SYN-flood, TCP ACK-SYN-flood, Ping of Death, …
Attacken über Netzwerk-Transportschicht: reflection/amplification • Reflection:gefälschte Anfragen werden an Reflector gesendet, dieser sendet Antwort an Opfer • Amplification:Dienste werden genutzt um Angriff zu verstärken(z.B. Broadcastaddresse) Bsp.: smurfattack, fraggleattack, …
Attacken über Anwendungsschicht: reflection/amplification • Selbe Technik wie bei Netzwerk- und Transportschicht. Bsp.: DNS amplificationattack, VoIP-flood, …
Attacken über Anwendungsschicht: HTTP floodingattacks • Session floodingattacks • Request floodingattacks • Asymmetricattacks • Slow request/responseattacks
Attacken über Anwendungsschicht: HTTP: Session floodingattacks • Hohe Anzahl an sessionconnectionrequests werden gesendet. Bsp.: HTTP get/postfloodingattack (a.k.a. excessive VERB)
Attacken über Anwendungsschicht: HTTP: Request floodingattacks • Angriff sendet session mit hoher Anzahl an Requests • Seit HTTP1.1 mehrerrequests in einer session Bsp.: singlesession HTTP get/postfloodingattack(a.k.a. excessive VERB singlesession)
Attacken über Anwendungsschicht: HTTP: Asymmetricattacks Angriff sendet sessions mit hohem workload Bsp.: multiple HTTP get/postflood, faultyapplication, …
Attacken über Anwendungsschicht: HTTP: slowrequest/response Wie bei asymmetricattacks, wird session mit hohem workload gesendet. Bsp.: slowlorisattack (a.k.a. slowheaders), HTTP fragmentationattack, slowpostattack (a.k.a. RUDY, slowrequestbodies), slowreadingattack (slowresponseattack)
Botnet? • Software Bots • Vernetzt, oft auf globaler Ebene • Gemeinsam sind wir stark • Ziele vorwiegend krimineller Natur [2]
Ziel des Botnets • Einsatzgebiet variiert stark • SPAM • PHISHING • DDOS • PROXY • CLICK FRAUD [4]
Etwas genauer bitte… • Infektionswege: • Emails mit Malware • Drive-By-Malware • Plug-In Sicherheitslücken (JAVA! Flash!) • Externe Speichermedien • Viren, Würmer
Etwas genauer bitte… • Kommunikation zwischen Bots und Master: • Command & Conquer Server • Covert channel • Auch möglich: IRC Kommunikation • Bot läuft versteckt im Hintergrund • Redundanter Netzverbund • Ständiger Informationsaustausch
Zentralisiert [5]
Dezentralisiert [5]
DDOS-Botnets WORDPRESS • Default adminportalusername : admin • Dictionaryattack • 100.000 individuelle IP Adressen • 30.000.000 betroffene Websites • Weiter CMS-Ziele [6]
SPAMHAUS Angriff • Niederländische Firma landete auf Blacklist • Angriff mit mehr als 75 Gbps via DNS Reflection • Cloudflarehalf bei Datenstromverteilung • Angriff auf Cloudflare • Größter DDOS Angriff in der Geschichte [8] [7]
Andere Beispiele • Conficker(Win32 Conficker) • 10.500.000+ Bots • 10.000.000.000 Spam mails pro Tag • Einbettung via Windows Lücken und DictionaryAttacks
Andere Beispiele • BredoLab • 30.000.000 Bots • 3.600.000.000 Spam mails pro Tag • Einbettung via Spam mails • Nov 2010 entschärft
Bin ich Teil eines Botnets? • Traffic beobachten • Anti-Viren-Programme meldet sich häufiger • CPU-Auslastung beobachten • Festplattenzugriffe beobachten • Router-Statistik bei Inaktivität • (BotnetDetection Services)
Wie kann ich mich schützen? • Kein naives Verhalten im Internet • E-Mails bei unbekanntem Sender am besten gleich verwerfen • Sämtliche Sicherheitsmaßnahmen im Netzwerk aktiv • Alle Schutzprogramme regelmäßig updaten • Unnötige Browser Plug-Ins aktivieren (Java!!!) • Falls Befall festgestellt wurde, System vollständig neu aufsetzen (hilft auch nicht immer)
DDoS Tools • Low Orbit Ion Cannon: LOIC.exe • HttpDos: HttpDosTool
Quellen • http://www.eleven-securityblog.de/2012/09/5-tipps-botnet-infektion/ • http://technorati.com/technology/it/article/wordpress-under-attack-by-malicious-botnet/ • http://www.zdnet.com/wordpress-attack-highlights-30-million-targets-7000014256/ • http://www.heise.de/newsticker/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html • http://en.wikipedia.org/wiki/Conficker • http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho • http://en.wikipedia.org/wiki/Denial-of-service_attack • http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=6489876&queryText%3Dddos
Bildquellen • https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcTsO0JZ_d6m5vgLd3w9TOUEVzK20yL4xUHz-zSnyHtKWJ6XLnWShg • http://2.bp.blogspot.com/-7XJt1b9Hans/ThFBH37ie_I/AAAAAAAAAMM/l1sQoJGiP7k/s1600/Botnet-illustration.jpg • http://en.wikipedia.org/wiki/File:Botnet.svg • http://d13mbgczdr2141.cloudfront.net/wp-content/uploads/2012/06/spam-zombies-bot-nets-.png • http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-disinfection-and-defence • http://www.clickhost.com/wp-content/uploads/2011/06/icon_big.png • http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho • http://www.spamhaus.org/images/spamhaus_logo.jpg