Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

DDoS

No description
by

Peer Gülicher

on 19 May 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of DDoS

DDoS
Distributed Denial of Service Attacks
Syn-Flooding
SMURF = smurf.c (Source Code)
DDoS
Story

Ende......
Es ist nur ein Ausschnitt, vieles ist möglich, vieles lässt sich verhindern...

OSI Model
Wirkt auf der Netzwerk- & Transportschicht.
Funktionsweise
Ziel ist Auslastung der Ressourcen.
NTP
Network Time Protocol
Ping Anfragen (ICMP)
selten, da Ping unterbunden
SMURF
TCP immer valide
Flutung der Server
Klein aber fein.....

Wenn ein Client eine TCP-Verbindung zu einem Server aufbauen möchte, führen der Client und der Server einen so genannten Dreiwege-Handshake durch, um die Verbindung einzurichten. Der normale Ablauf, wie in der Abbildung zu sehen, ist dabei folgender:

Client an Server: Paket mit Flag SYN, Abgleichen (synchronize).
Server an Client: Paket mit Flags SYN, ACK, Abgleichen bestätigt (synchronize acknowledge).
Client an Server: Paket mit Flag ACK, Bestätigt (acknowledge); Die Verbindung ist nun hergestellt.

Ein böswilliger Client kann die letzte ACK-Nachricht unterschlagen. Der Server wartet einige Zeit auf ein entsprechendes Paket, da es ja auch aufgrund von Verzögerungen verspätet eintreffen könnte.
Quelle Wiki: http://de.wikipedia.org/wiki/SYN-Flooding
UDP
User Datagram Protocol
verbindslos unsicher
Anwendungen, Dienste
TCP
Transmission Control Protocol
zuverlässig, verbindungsorientiert, E2E
Anwendungen, Dienste
http/https, DNS (über IP)
Streaming, ICMP, NTP, Ping
Auf Basis UDP Port 123
Clients fragen NTP-Server an
DNS
Immer valide für Hosting!
Doman Name Service
Namensauflösung im Internet
www.namenaufloesen.de -> 19x.xxx.xxx.xxx
Dienst ist UDP Port 53
Überlange Antworten werden über TCP transportiert
Max. Länge UDP/DNS Paket 512 Byte
ICMP
Internet Control Message Protocol
Austausch von Informations- & Fehlermeldungen
Dienst: IP
Antwort auf NTP/DNS Anfragen
Spoofing
Manipulation, Vortäuschung
IP-
, ARP-, DHCP-, DNS, MAC-, Mail-, URL-Spoofing und vieles mehr
oft genutzt, um Daten abzugreifen
IP-Spoofing
Versenden von IP Paketen mit gefälschter Absender-IP-Adresse
Flooding
Überschwemmen eines Netzwerkes mit Paketen
SYN
SYN, ACK
ACK
SYN
SYN, ACK
Busy
Syn-Flooding
Kombinierte Attacken
Syn-Flooding mit gespooften IP-Adressen (IP)
NTP-Check mit gespooften IP-Adressen (UDP)
Masterbefehl
Attacker
Botnet-Server
Botnet
Sag mir die NTP*
* und sende die Antwort nicht an mich....sondern an www.dubistmeinziel.de
NTP-Server
NTP-Server
NTP-Server
NTP-Server
NTP-Server
0-500 Byte
www.dubistmeinziel.de
Antworten bis Faktor 500 größer als Anfrage
UDP Traffic
keine NTP Server
0-500 Byte
Antwort per ICMP, IP
NTP-Attacke
SMURF
IPS/IDS
Intrusion Protection System
Intrusion Detection System
Methode: Mustererkennung, Filter
Aufgabe: Nicht nur DDoS, auch Hacking
Ich habe jetzt erfolgreich penetriert
Attacker
Und wie wehre ich ab?
Provider
100GBit/s
Ich habe jetzt erfolgreich penetriert
Attacker
Firewall/
Loadbalancer
Nachteile: kein Bandbreiten Schutz, TCP durchlässig, guter/schlechter Traffic nicht trennbar, Stateful
Aufgabe: Nicht nur DDoS, auch Hacking
Methode: Sperrlisten
Nachteile: kein Bandbreiten Schutz
DDoS HW
Aufgabe: DDoS in allen Ausprägungen
Methode: Dynamische Abwehr, intelligente Abwehr, Stateless
Ich möchte Verfügbarkeit...
Provider
und erreiche es durch:
Guten von schlechten Traffic trennen
Schlechten Traffic blocken
Abwehr von Attacken bis 300GB
• Spoofed/Non-spoofed DoS Attacks
• TCP (SYN, etc.), ICMP, UDP Floods
• Botnets
• Blackenergy, Darkness,
YoYoDDoS, etc.
• Common DoS/DDoS Tools
• Slowloris/Pyloris, Pucodex, Sockstress,
ApacheKiller
• Voluntary Botnets (Anonymous, etc.)
• HOIC, LOIC, etc.
• Application Attacks
• HTTP URL GET/POST Floods
• Malformed HTTP Header Attacks
• Slow-HTTP Request Attacks
• SYN Floods Against SSL Protocols
• Malformed SSL Attacks
• SSL Renegotiation Attacks
• SSL Exhaustion (Single Source/
Distributed Source)
• DNS Cache Poisoning Attacks
• DNS Request Floods
• SIP Request Floods
Hersteller: Arbor, Cisco und viele mehr
Botnet
DDoS
ISP
UDP
TCP
>10GB
Waschmaschine
e.g. Peakflow
TCP, UDP
<10GB
UDP
PRAVAIL, Router, IPS
PRAVAIL, Router, IPS
<10GB
TCP
gewaschener Traffic
valider Traffic
Extranet
Webhoster
Webserver Farm
Appl.-Layer, Intranet
Firewall
Zahlen
pps = pakets per Second
Übliche Werte für ecommerce:
40000-50.000 pps
GB = 1.000.000.000 Byte
Übliche Werte für ecommerce:
1GB in Tagesspitze
Block UDP
Methode
Router, PRAVAIL blocken UDP gesamt, TCP geht durch
Anwendung
Bei allen Plattformen, die nur TCP Traffic benötigen
Einfach!
Syn-Flooding blocken
Komplex!
Webserver
Valider Traffic
(Syn, Syn-ACK, ACK)
Gegenmassnahmen:
Caching: Schädlicher Traffic wird gehalten
Drop: Sende-IP Adresse sperren (geht nicht bei Spoofing!)
Muster finden.....
Problem: TCP ist immer valide für ecommerce
Full transcript