DDos und Botnetze

[1]
Alexander Gruschina
Mario Kotoy
DDOS UND BOTNETZE
DoS, DDoS?
2


Denial of Service
Distributed Denial of Service
DDoS flooding attacks
3


Attacken über Netzwerk-/Transportschicht
(TCP,UDP,SCTP,IPv4,IPv6,…)
Attacken über Anwendungsschicht
(HTTP,FTP,SMTP,POP,…)
Attacken über Netzwerk-Transportschicht:
flooding attack
4


Angriff zielt auf Netzwerkbandbreite
Bandbreite wird durch Angriff überlastet
Bsp.: UDP flood, ICMP flood (Ping flooding)
Attacken über Netzwerk-Transportschicht:
protocol exploitation
5

Angriffe nutzen spezielle features oder Bugs, um
Zugriff auf Ressourcen des Opfers zu erlangen.
Bsp.: TCP SYN-flood, TCP ACK-SYN-flood,
Ping of Death, …
Attacken über Netzwerk-Transportschicht:
reflection/amplification
6


Reflection:
gefälschte Anfragen werden an Reflector gesendet,
dieser sendet Antwort an Opfer
Amplification:
Dienste werden genutzt um Angriff zu
verstärken(z.B. Broadcastaddresse)
Bsp.: smurf attack, fraggle attack, …
Attacken über Anwendungsschicht:
reflection/amplification
7

Selbe Technik wie bei Netzwerk- und
Transportschicht.
Bsp.: DNS amplification attack, VoIP-flood, …
Attacken über Anwendungsschicht:
HTTP flooding attacks
8




Session flooding attacks
Request flooding attacks
Asymmetric attacks
Slow request/response attacks
Attacken über Anwendungsschicht:
HTTP: Session flooding attacks
9

Hohe Anzahl an session connection requests werden
gesendet.
Bsp.: HTTP get/post flooding attack
(a.k.a. excessive VERB)
Attacken über Anwendungsschicht:
HTTP: Request flooding attacks
10


Angriff sendet session mit hoher Anzahl an Requests
Seit HTTP1.1 mehrer requests in einer session
Bsp.: single session HTTP get/post flooding
attack (a.k.a. excessive VERB single session)
Attacken über Anwendungsschicht:
HTTP: Asymmetric attacks
11
Angriff sendet sessions mit hohem workload
Bsp.: multiple HTTP get/post flood,
faulty application, …
Attacken über Anwendungsschicht:
HTTP: slow request/response
12
Wie bei asymmetric attacks, wird session mit hohem
workload gesendet.
Bsp.: slowloris attack (a.k.a. slow headers),
HTTP fragmentation attack,
slowpost attack (a.k.a. RUDY, slow request
bodies),
slowreading attack (slow response attack)
Botnet?
13




Software Bots
Vernetzt, oft auf globaler Ebene
Gemeinsam sind wir stark
Ziele vorwiegend krimineller Natur
[2]
Entstehung eines Botnets
14
[3]
Ziel des Botnets
15

Einsatzgebiet variiert stark
 SPAM
 PHISHING
 DDOS
 PROXY
 CLICK
FRAUD
[4]
Etwas genauer bitte…
16

Infektionswege:
 Emails
mit Malware
 Drive-By-Malware
 Plug-In Sicherheitslücken (JAVA! Flash!)
 Externe Speichermedien
 Viren, Würmer
Etwas genauer bitte…
17

Kommunikation zwischen Bots und Master:
 Command
& Conquer Server
 Covert channel
 Auch möglich: IRC Kommunikation
 Bot läuft versteckt im Hintergrund
 Redundanter Netzverbund
 Ständiger Informationsaustausch
Zentralisiert
18
[5]
Dezentralisiert
19
[5]
DDOS-Botnets WORDPRESS
20





Default admin portal username : admin
Dictionary attack
100.000 individuelle IP Adressen
30.000.000 betroffene Websites
Weiter CMS-Ziele
[6]
SPAMHAUS Angriff
21





Niederländische Firma landete auf Blacklist
Angriff mit mehr als 75 Gbps via DNS Reflection
Cloudflare half bei Datenstromverteilung
Angriff auf Cloudflare
Größter DDOS Angriff in der Geschichte
[8]
[7]
Andere Beispiele
22

Conficker (Win32 Conficker)
 10.500.000+
Bots
 10.000.000.000 Spam mails pro Tag
 Einbettung via Windows Lücken und Dictionary Attacks
Andere Beispiele
23

BredoLab
 30.000.000
Bots
 3.600.000.000 Spam mails pro Tag
 Einbettung via Spam mails
 Nov 2010 entschärft
Bin ich Teil eines Botnets?
24






Traffic beobachten
Anti-Viren-Programme meldet sich häufiger
CPU-Auslastung beobachten
Festplattenzugriffe beobachten
Router-Statistik bei Inaktivität
(Botnet Detection Services)
Wie kann ich mich schützen?
25






Kein naives Verhalten im Internet
E-Mails bei unbekanntem Sender am besten gleich
verwerfen
Sämtliche Sicherheitsmaßnahmen im Netzwerk aktiv
Alle Schutzprogramme regelmäßig updaten
Unnötige Browser Plug-Ins aktivieren (Java!!!)
Falls Befall festgestellt wurde, System vollständig
neu aufsetzen (hilft auch nicht immer)
DDoS Tools
26


Low Orbit Ion Cannon:
LOIC.exe
HttpDos:
HttpDosTool
Quellen
27

http://www.eleven-securityblog.de/2012/09/5-tipps-botnet-infektion/

http://technorati.com/technology/it/article/wordpress-under-attack-by-malicious-botnet/

http://www.zdnet.com/wordpress-attack-highlights-30-million-targets-7000014256/

http://www.heise.de/newsticker/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit1841419.html

http://en.wikipedia.org/wiki/Conficker

http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho

http://en.wikipedia.org/wiki/Denial-of-service_attack

http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=6489876&queryText%3Dddos
Bildquellen
28
1.
2.
https://encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcTsO0JZ_d6m5vgLd3w9TOUEVzK20yL4xUHzzSnyHtKWJ6XLnWShg
http://2.bp.blogspot.com/-7XJt1b9Hans/ThFBH37ie_I/AAAAAAAAAMM/l1sQoJGiP7k/s1600/Botnetillustration.jpg
3.
http://en.wikipedia.org/wiki/File:Botnet.svg
4.
http://d13mbgczdr2141.cloudfront.net/wp-content/uploads/2012/06/spam-zombies-bot-nets-.png
5.
http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-disinfection-and-defence
6.
http://www.clickhost.com/wp-content/uploads/2011/06/icon_big.png
7.
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho
8.
http://www.spamhaus.org/images/spamhaus_logo.jpg