1 / 28

DDoS und Botnetze

DDoS und Botnetze. [1]. Alexander Gruschina Mario Kotoy. DoS , DDoS ?. Denial of Service Distributed Denial of Service. DDoS flooding attacks. Attacken über Netzwerk-/Transportschicht (TCP,UDP,SCTP,IPv4,IPv6,…) Attacken über Anwendungsschicht (HTTP,FTP,SMTP,POP,…).

erik
Download Presentation

DDoS und Botnetze

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DDoSund Botnetze [1] Alexander Gruschina Mario Kotoy

  2. DoS, DDoS? • Denialof Service • Distributed Denialof Service

  3. DDoSfloodingattacks • Attacken über Netzwerk-/Transportschicht(TCP,UDP,SCTP,IPv4,IPv6,…) • Attacken über Anwendungsschicht(HTTP,FTP,SMTP,POP,…)

  4. Attacken über Netzwerk-Transportschicht: floodingattack • Angriff zielt auf Netzwerkbandbreite • Bandbreite wird durch Angriff überlastet Bsp.: UDP flood, ICMP flood (Ping flooding)

  5. Attacken über Netzwerk-Transportschicht: protocolexploitation • Angriffe nutzen spezielle features oder Bugs, um Zugriff auf Ressourcen des Opfers zu erlangen. Bsp.: TCP SYN-flood, TCP ACK-SYN-flood, Ping of Death, …

  6. Attacken über Netzwerk-Transportschicht: reflection/amplification • Reflection:gefälschte Anfragen werden an Reflector gesendet, dieser sendet Antwort an Opfer • Amplification:Dienste werden genutzt um Angriff zu verstärken(z.B. Broadcastaddresse) Bsp.: smurfattack, fraggleattack, …

  7. Attacken über Anwendungsschicht: reflection/amplification • Selbe Technik wie bei Netzwerk- und Transportschicht. Bsp.: DNS amplificationattack, VoIP-flood, …

  8. Attacken über Anwendungsschicht: HTTP floodingattacks • Session floodingattacks • Request floodingattacks • Asymmetricattacks • Slow request/responseattacks

  9. Attacken über Anwendungsschicht: HTTP: Session floodingattacks • Hohe Anzahl an sessionconnectionrequests werden gesendet. Bsp.: HTTP get/postfloodingattack (a.k.a. excessive VERB)

  10. Attacken über Anwendungsschicht: HTTP: Request floodingattacks • Angriff sendet session mit hoher Anzahl an Requests • Seit HTTP1.1 mehrerrequests in einer session Bsp.: singlesession HTTP get/postfloodingattack(a.k.a. excessive VERB singlesession)

  11. Attacken über Anwendungsschicht: HTTP: Asymmetricattacks Angriff sendet sessions mit hohem workload Bsp.: multiple HTTP get/postflood, faultyapplication, …

  12. Attacken über Anwendungsschicht: HTTP: slowrequest/response Wie bei asymmetricattacks, wird session mit hohem workload gesendet. Bsp.: slowlorisattack (a.k.a. slowheaders), HTTP fragmentationattack, slowpostattack (a.k.a. RUDY, slowrequestbodies), slowreadingattack (slowresponseattack)

  13. Botnet? • Software Bots • Vernetzt, oft auf globaler Ebene • Gemeinsam sind wir stark • Ziele vorwiegend krimineller Natur [2]

  14. Entstehung eines Botnets [3]

  15. Ziel des Botnets • Einsatzgebiet variiert stark • SPAM • PHISHING • DDOS • PROXY • CLICK FRAUD [4]

  16. Etwas genauer bitte… • Infektionswege: • Emails mit Malware • Drive-By-Malware • Plug-In Sicherheitslücken (JAVA! Flash!) • Externe Speichermedien • Viren, Würmer

  17. Etwas genauer bitte… • Kommunikation zwischen Bots und Master: • Command & Conquer Server • Covert channel • Auch möglich: IRC Kommunikation • Bot läuft versteckt im Hintergrund • Redundanter Netzverbund • Ständiger Informationsaustausch

  18. Zentralisiert [5]

  19. Dezentralisiert [5]

  20. DDOS-Botnets WORDPRESS • Default adminportalusername : admin • Dictionaryattack • 100.000 individuelle IP Adressen • 30.000.000 betroffene Websites • Weiter CMS-Ziele [6]

  21. SPAMHAUS Angriff • Niederländische Firma landete auf Blacklist • Angriff mit mehr als 75 Gbps via DNS Reflection • Cloudflarehalf bei Datenstromverteilung • Angriff auf Cloudflare • Größter DDOS Angriff in der Geschichte [8] [7]

  22. Andere Beispiele • Conficker(Win32 Conficker) • 10.500.000+ Bots • 10.000.000.000 Spam mails pro Tag • Einbettung via Windows Lücken und DictionaryAttacks

  23. Andere Beispiele • BredoLab • 30.000.000 Bots • 3.600.000.000 Spam mails pro Tag • Einbettung via Spam mails • Nov 2010 entschärft

  24. Bin ich Teil eines Botnets? • Traffic beobachten • Anti-Viren-Programme meldet sich häufiger • CPU-Auslastung beobachten • Festplattenzugriffe beobachten • Router-Statistik bei Inaktivität • (BotnetDetection Services)

  25. Wie kann ich mich schützen? • Kein naives Verhalten im Internet • E-Mails bei unbekanntem Sender am besten gleich verwerfen • Sämtliche Sicherheitsmaßnahmen im Netzwerk aktiv • Alle Schutzprogramme regelmäßig updaten • Unnötige Browser Plug-Ins aktivieren (Java!!!) • Falls Befall festgestellt wurde, System vollständig neu aufsetzen (hilft auch nicht immer)

  26. DDoS Tools • Low Orbit Ion Cannon: LOIC.exe • HttpDos: HttpDosTool

  27. Quellen • http://www.eleven-securityblog.de/2012/09/5-tipps-botnet-infektion/ • http://technorati.com/technology/it/article/wordpress-under-attack-by-malicious-botnet/ • http://www.zdnet.com/wordpress-attack-highlights-30-million-targets-7000014256/ • http://www.heise.de/newsticker/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html • http://en.wikipedia.org/wiki/Conficker • http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho • http://en.wikipedia.org/wiki/Denial-of-service_attack • http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=6489876&queryText%3Dddos

  28. Bildquellen • https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcTsO0JZ_d6m5vgLd3w9TOUEVzK20yL4xUHz-zSnyHtKWJ6XLnWShg • http://2.bp.blogspot.com/-7XJt1b9Hans/ThFBH37ie_I/AAAAAAAAAMM/l1sQoJGiP7k/s1600/Botnet-illustration.jpg • http://en.wikipedia.org/wiki/File:Botnet.svg • http://d13mbgczdr2141.cloudfront.net/wp-content/uploads/2012/06/spam-zombies-bot-nets-.png • http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-disinfection-and-defence • http://www.clickhost.com/wp-content/uploads/2011/06/icon_big.png • http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho • http://www.spamhaus.org/images/spamhaus_logo.jpg

More Related