DDOS UND BOTNETZE Alexander Gruschina Mario Kotoy [1]

DDOS UND BOTNETZEAlexander GruschinaMario Kotoy

[1]

2

DoS, DDoS?

Denial of Service Distributed Denial of Service

3

DDoS flooding attacks

Attacken über Netzwerk-/Transportschicht(TCP,UDP,SCTP,IPv4,IPv6,…)

Attacken über Anwendungsschicht(HTTP,FTP,SMTP,POP,…)

4

flooding attack

Angriff zielt auf Netzwerkbandbreite Bandbreite wird durch Angriff überlastet

Bsp.: UDP flood, ICMP flood (Ping flooding)

Attacken über Netzwerk-Transportschicht:

5

Angriffe nutzen spezielle features oder Bugs, um Zugriff auf Ressourcen des Opfers zu erlangen.

Bsp.: TCP SYN-flood, TCP ACK-SYN-flood, Ping of Death, …

Attacken über Netzwerk-Transportschicht:

protocol exploitation

6

Reflection:gefälschte Anfragen werden an Reflector gesendet, dieser sendet Antwort an Opfer

Amplification:Dienste werden genutzt um Angriff zu verstärken(z.B. Broadcastaddresse)

Bsp.: smurf attack, fraggle attack, …

Attacken über Netzwerk-Transportschicht:

reflection/amplification

7

Selbe Technik wie bei Netzwerk- und Transportschicht.

Bsp.: DNS amplification attack, VoIP-flood, …

reflection/amplificationAttacken über Anwendungsschicht:

8

Session flooding attacks Request flooding attacks Asymmetric attacks Slow request/response attacks

Attacken über Anwendungsschicht:

HTTP flooding attacks

9

HTTP: Session flooding attacks

Hohe Anzahl an session connection requests werden gesendet.

Bsp.: HTTP get/post flooding attack (a.k.a. excessive VERB)

Attacken über Anwendungsschicht:

10

HTTP: Request flooding attacks

Angriff sendet session mit hoher Anzahl an Requests

Seit HTTP1.1 mehrer requests in einer session

Bsp.: single session HTTP get/post flooding attack (a.k.a. excessive VERB

single session)

Attacken über Anwendungsschicht:

11

HTTP: Asymmetric attacks

Angriff sendet sessions mit hohem workload

Bsp.: multiple HTTP get/post flood, faulty application, …

Attacken über Anwendungsschicht:

12

HTTP: slow request/response

Wie bei asymmetric attacks, wird session mit hohem workload gesendet.

Bsp.: slowloris attack (a.k.a. slow headers), HTTP fragmentation attack,slowpost attack (a.k.a. RUDY, slow

request bodies),slowreading attack (slow response

attack)

Attacken über Anwendungsschicht:

13

Botnet?

Software Bots Vernetzt, oft auf globaler Ebene Gemeinsam sind wir stark Ziele vorwiegend krimineller Natur

[2]

14

[3]

Entstehung eines Botnets

15

Ziel des Botnets

Einsatzgebiet variiert stark SPAM PHISHING DDOS PROXY CLICK FRAUD

[4]

16

Etwas genauer bitte…

Infektionswege: Emails mit Malware Drive-By-Malware Plug-In Sicherheitslücken (JAVA! Flash!) Externe Speichermedien Viren, Würmer

17

Etwas genauer bitte…

Kommunikation zwischen Bots und Master: Command & Conquer Server Covert channel Auch möglich: IRC Kommunikation Bot läuft versteckt im Hintergrund Redundanter Netzverbund Ständiger Informationsaustausch

18

Zentralisiert

[5]

19

Dezentralisiert

[5]

20

DDOS-Botnets WORDPRESS

Default admin portal username : admin Dictionary attack 100.000 individuelle IP Adressen 30.000.000 betroffene Websites Weiter CMS-Ziele

[6]

21

SPAMHAUS Angriff

Niederländische Firma landete auf Blacklist Angriff mit mehr als 75 Gbps via DNS

Reflection Cloudflare half bei Datenstromverteilung Angriff auf Cloudflare Größter DDOS Angriff in der Geschichte

[7]

[8]

22

Andere Beispiele

Conficker (Win32 Conficker) 10.500.000+ Bots 10.000.000.000 Spam mails pro Tag Einbettung via Windows Lücken und

Dictionary Attacks

23

Andere Beispiele

BredoLab 30.000.000 Bots 3.600.000.000 Spam mails pro Tag Einbettung via Spam mails Nov 2010 entschärft

24

Bin ich Teil eines Botnets?

Traffic beobachten Anti-Viren-Programme meldet sich

häufiger CPU-Auslastung beobachten Festplattenzugriffe beobachten Router-Statistik bei Inaktivität (Botnet Detection Services)

25

Wie kann ich mich schützen?

Kein naives Verhalten im Internet E-Mails bei unbekanntem Sender am

besten gleich verwerfen Sämtliche Sicherheitsmaßnahmen im

Netzwerk aktiv Alle Schutzprogramme regelmäßig updaten Unnötige Browser Plug-Ins aktivieren

(Java!!!) Falls Befall festgestellt wurde, System

vollständig neu aufsetzen (hilft auch nicht immer)

26

DDoS Tools

Low Orbit Ion Cannon:LOIC.exe

HttpDos:HttpDosTool

27

Quellen

http://www.eleven-securityblog.de/2012/09/5-tipps-botnet-infektion/ http://technorati.com/technology/it/article/wordpress-under-attack-by-malicious-botn

et/

http://www.zdnet.com/wordpress-attack-highlights-30-million-targets-7000014256/ http://

www.heise.de/newsticker/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html

http://en.wikipedia.org/wiki/Conficker http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho http://en.wikipedia.org/wiki/Denial-of-service_attack http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&

arnumber=6489876&queryText%3Dddos

28

Bildquellen

1. https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcTsO0JZ_d6m5vgLd3w9TOUEVzK20yL4xUHz-zSnyHtKWJ6XLnWShg

2. http://2.bp.blogspot.com/-7XJt1b9Hans/ThFBH37ie_I/AAAAAAAAAMM/l1sQoJGiP7k/s1600/Botnet-illustration.jpg

3. http://en.wikipedia.org/wiki/File:Botnet.svg

4. http://d13mbgczdr2141.cloudfront.net/wp-content/uploads/2012/06/spam-zombies-bot-nets-.png

5. http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-disinfection-and-defence

6. http://www.clickhost.com/wp-content/uploads/2011/06/icon_big.png

7. http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho

8. http://www.spamhaus.org/images/spamhaus_logo.jpg