DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare,...
Transcript of DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare,...
![Page 1: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/1.jpg)
Auditron GmbH
Untere Grabenstrasse 26
4800 Zofingen
Switzerland
www.auditron.chCopyright © 2009 – 2019 Auditron GmbH
DDoS – ein unterschätztes Risiko?Hacking Day 2019
Digicomp, 21. Mai 2019Christian Huber
![Page 2: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/2.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Agenda
Was ist DDoS
Funktionsweise einer DDoS Attacke
DDoS in Zahlen
DDoS Prävention
Wenn es zum Angriff kommt
Q/A
2
![Page 3: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/3.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Über mich
Christian Huber
3
![Page 4: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/4.jpg)
Copyright © 2009 – 2019 Auditron GmbH 4
Was ist DDoS
![Page 5: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/5.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Wie sieht DDoS aus?
5
![Page 6: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/6.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Grundprinzip DDoS
6
C&C Server
Zielsystem
Grosse Antwort
Kommandos
Angriff
Angreifer
![Page 7: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/7.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Was wird angegriffen?
7
![Page 8: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/8.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Wieso werden DDoS Attacken ausgeführt?
8
Temporäres Ausschalten eines Mitbewerbers
Erpressung
Terrorismus
Politisch motivierter Hacktivismus
Verschleierung eines tiefergreifenden Angriffes auf Infrastruktur
![Page 9: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/9.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Auswirkungen für betroffene Ziele
9
Eingeschränkte Verfügbarkeit eines Onlineangebotes
Behinderung von Geschäftsabläufen
Finanzielle Einbussen (Verkauf, Werbung etc.)
Reputationsschaden
Rechtliche Konsequenzen
![Page 10: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/10.jpg)
Copyright © 2009 – 2019 Auditron GmbH 10
Funktionsweise einer DDoS Attacke
![Page 11: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/11.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Mögliche Angriffsarten
11
Layer 3Vermittlungsschicht
Flood Attacken
• ICMPIP
ReflectionAttacken
Spoofing Attacken
Layer 4Transportschicht
SYN/ACK Flood Attacken
UDP Flood
ICMP Flood
Layer 5-7Applikationsschicht
HTTP GET / POST
HTTP GET / POST
Slow & Low Attacken
SIP Angriffe etc. etc.
DNS Attacken
![Page 12: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/12.jpg)
Copyright © 2009 – 2019 Auditron GmbH
ICMP Flood Attacke
12
![Page 13: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/13.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Amplification
13
Angreifer
Zielsystem
CPUKleiner Request
Grosse Antwort
![Page 14: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/14.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Amplification Faktor nach Protokoll
14
Protokoll Amplifikation Faktor Kommando
NetBIOS 3.8 Name Resolution
BitTorrent 3.8 File Search
SNMPv2 6.3 GetBulk Request
KAD 16.3 Peer list Exchange
SSDP 30.8 Search Request
DNS 24-54 TA13-088A
Quake Network Protocol 63.9 Server Info Exchange
QOTD 140.3 File Search
CharGen 358 Character Generation Request
NTP 556 TA14-013A
![Page 15: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/15.jpg)
Copyright © 2009 – 2019 Auditron GmbH
UDP Amplification – NTP Monolist
15
![Page 16: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/16.jpg)
Copyright © 2009 – 2019 Auditron GmbH
IP-Spoofing
16
Angreifer
Zielsystem
Server
SRC: Server
DST: Zielsystem
Bitte sende mir viele Daten!
![Page 17: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/17.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Mögliche Angriffsarten
17
Layer 3Vermittlungsschicht
Flood Attacken
• ICMPIP
ReflectionAttacken
Spoofing Attacken
Layer 4Transportschicht
SYN/ACK Flood Attacken
UDP Flood
Fragmentation Attacken
Layer 5-7Applikationsschicht
HTTP GET / POST
HTTP GET / POST
Slow & Low Attacken
SIP Angriffe etc. etc.
DNS Attacken
![Page 18: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/18.jpg)
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood (1/2)
18
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
EST
![Page 19: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/19.jpg)
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood (2/2)
19
Angreifer
Zielsystem
SYN(Session1)
SYN/ACK (Session1)
SYN (Session2)
SYN/ACK (Session2)
SYN/ACK (Session1)
….
![Page 20: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/20.jpg)
Copyright © 2009 – 2019 Auditron GmbH
UDP Fragmentation Atacken
20
![Page 21: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/21.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Mögliche Angriffsarten
21
Layer 3Vermittlungsschicht
Flood Attacken
• ICMPIP
ReflectionAttacken
Spoofing Attacken
Layer 4Transportschicht
SYN/ACK Flood Attacken
UDP Flood
Fragmentation Attacken
Layer 5-7Applikationsschicht
HTTP GET / POST
HTTP GET / POST
Slow & Low Attacken
SIP Angriffe
DNS Attacken
Etc. etc.
![Page 22: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/22.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Slow and Low – slowloris.pl
22
![Page 23: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/23.jpg)
Copyright © 2009 – 2019 Auditron GmbH
HTTP GET/POST Attack Request
23
Vorteil: Browser Request Folgt Redirects und ist daher einfach zu mitigieren
![Page 24: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/24.jpg)
Copyright © 2009 – 2019 Auditron GmbH
SSL/TLS Attacks
24
Asymmetrische Handshake Performance
RSA ist CPU intensiver als ECC
RenegotiationRequests
kali:~# thc-ssl-dos -l 100 10.1.1.1 443 --accept
The force is with those who read the source...
Handshakes 0 [0.00 h/s], 1 Conn, 0 Err
Handshakes 2 [2.90 h/s], 6 Conn, 0 Err
Handshakes 25 [22.42 h/s], 13 Conn, 0 Err
Handshakes 70 [43.97 h/s], 20 Conn, 0 Err
....
![Page 25: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/25.jpg)
Copyright © 2009 – 2019 Auditron GmbH 26
DDoS in Zahlen
![Page 26: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/26.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Weltweit: Zahlen und Fakten 2018
27Quelle: NETSCOUT: WW Inf. Security Report 2018 & blog.akamai.com
Trend: Attacken >1Tbps;
Spitzenwert: 1.7 Tbps
Ø Totales Angriffvolumen
gegenüber 2017 um 273%
gesteigert
![Page 27: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/27.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Weltweit: Zahlen und Fakten 2018
28Quelle: blog.akamai.com
![Page 28: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/28.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Weltweit: Zahlen und Fakten 2018
29Quelle: blog.akamai.com
![Page 29: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/29.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Situation Schweiz April 2019 (1/2)
30
3890 festgestellte Attacken
IPV4 Protokollattacken
DNS Amplification
UDP Flooding
Dauer einer Attacke
49% weniger als 10 Minuten
44% weniger als 1 Stunde
7% weniger als 12 Stunden
>1% länger als 12 Stunden
Quelle: Arbor Monthly Report 04/2019
![Page 30: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/30.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Situation Schweiz April 2019 (2/2)
31
Angriffsvolumen
unter 10 Mbps 33%
bis 100 Mbps 30%
bis 1G bps 27%
bis 10 Gbps 9%
über 10 Gbps 0.69%
Top Quellländer
USA
Schweiz
Niederlande
Grossbritanien
Deutschland
Quelle: Arbor Monthly Report 04/2019
![Page 31: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/31.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Angriffe in der Schweiz
32
![Page 32: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/32.jpg)
Copyright © 2009 – 2019 Auditron GmbH 33
![Page 33: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/33.jpg)
Copyright © 2009 – 2019 Auditron GmbH 34
![Page 34: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/34.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Auswertung des Botnetzes
36
Tatsächliche AttackPower ca. 12%
8742 beteiligte Clients
Insgesamt beteiligte aus 146 Ländern
Aus der Schweiz: 55 BotnetzclientsDavon: Ausschliesslich statische IP Adressen
Grossteils ausschliesslich Firmen mit Exchange oder IIS
Hoher Anteil von IP Adressen aus der W-CH
![Page 35: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/35.jpg)
Copyright © 2009 – 2019 Auditron GmbH 37
Erkennung von Angriffen
DDoS
![Page 36: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/36.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Erkennung von Angriffen
38
Anomalien
Netflow/Sflow
SNMP
SYSLOG
Monitoring:
• ICINGA, NAGIOS, ZABBIX
SIEM:
• Splunk, LogRhythm, ELK, Grafana
Monitoring
Bandbreite
Anzahl Sessions
Systembelastung
Etc.etc.
![Page 37: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/37.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Spezifische Tools
39
FastNetMon
AndrisoftWANGuard
Appliancelösungen: Arbor/Netscout, A10, ForitDDoS
Cloud Lösungen: Cloudflare, Akamai etc.
![Page 38: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/38.jpg)
Copyright © 2009 – 2019 Auditron GmbH 41
DDoS Prävention
![Page 39: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/39.jpg)
Copyright © 2009 – 2019 Auditron GmbH
DDoS Prävention Erfolgsfaktor: Mehrschichtiges Abwehrkonzept
42
Internet
Internet Service Provider
Perimeter
Netzwerk
Zielserver
![Page 40: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/40.jpg)
Copyright © 2009 – 2019 Auditron GmbH 43
DDoS Prävention
Internet
![Page 41: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/41.jpg)
Copyright © 2009 – 2019 Auditron GmbH 44
DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.)
Verteilung des Datenverkehrs mit BGP / DNS / Flowspec
On Demand oder Always On
Schutz vor Layer 3/4 und 7 Attacken
DDoS Prävention
Internet
SSL Zertifikate müssen verteilt werden
DNS Zone wird extern verwaltet
Vertrauensverhältnis zu DDoS Provider muss bestehen
«Lokaler Server» muss confidential sein.
![Page 42: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/42.jpg)
Copyright © 2009 – 2019 Auditron GmbH 45
DDoS Prävention
Internet: Client Puzzles (Proof of Work)
![Page 43: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/43.jpg)
Copyright © 2009 – 2019 Auditron GmbH 46
DDoS Prävention
Internet: Captchas
![Page 44: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/44.jpg)
Copyright © 2009 – 2019 Auditron GmbH 47
DDoS Mitigation Kapazitäten je nach Provider sehr unterschiedlich
Ev. Transit ACL (Hilft bei UDP AmplificationAttacks)
Blackholing (Countrybased; nur im Notfall)
Ev. DDoS as a Services
DDoS Prävention
Internet Service Provider
SLA & Time toMitigate
Leistungsumfang (Monitoring&Alerting oder auch Mitigation?)
Vor welchen Angriffsvektoren wird geschützt / nicht geschützt?
Schützt oft nicht vor L7 Attacken…
![Page 45: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/45.jpg)
Copyright © 2009 – 2019 Auditron GmbH 48
Einsatz einer OnPremiseDDoS Lösung
Software: FastNetMon/ AndrisoftWANGuard
Appliance: Arbor/Netscout, A10, ForitDDoS
Ermöglicht in Kombination mit einer Cloud Lösung: Cloud Signaling
Horizontales Splitting von Traffic
Limitieren von Bandbreite auf Netzwerkebene (Firewall)Max_SessionPro IP
Durchsatz pro Session
Blacklisting von bekannten, Malicious IPs (Blacklists forknownBotnets)
GeoBlocking und TOR Networks
DDoS Prävention Am Perimeter
![Page 46: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/46.jpg)
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood: SYN-Cookies
49
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
sequenceID= cookie:{Source Addr, Source Port, DST Addr, dstPort, CoarseTime, Server Secret}
Zielsystem vergisst Session
Zielsystem errechnet Session anhand SequenceID.
https://cr.yp.to/syncookies.html
![Page 47: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/47.jpg)
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood: TCP RST
50
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
{https://cr.yp.to/syncookies.html
DDoS Appliance
RST
SYN
SYN/ACK
ACK
Retry
X
![Page 48: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/48.jpg)
Copyright © 2009 – 2019 Auditron GmbH
TCP SYN Flood: SYN-Proxy
51
Angreifer
Zielsystem
SYN
SYN/ACK
ACK
https://cr.yp.to/syncookies.html
DDoS Appliance
SYN
SYN/ACK
ACK
![Page 49: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/49.jpg)
Copyright © 2009 – 2019 Auditron GmbH 52
Erhöhen der Bandbreite (10GBE)
Anpassen der Leistungsfähigkeit sämtlicher Geräte entlang der Linie an diese Bandbreite
Horizontales Splitting von Traffic
Einsatz von:
IPS Sensor
Caching Server
Loadbalancer
DDoS Prävention Im Netzwerk
![Page 50: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/50.jpg)
Copyright © 2009 – 2019 Auditron GmbH 53
.htaccessSchutz von Dateien / Ordnern
Blockieren von User Agents
Redirectionvon böswilligen Anfragen
mod_evasiveLimitieren von Requests pro Datei pro Zeit
Limitieren von Requests über die gesamte Applikation
Notifiziert Admin via Mail bei Attacke
Fail2BanÜberwacht Apache Logfile
Blockt bösartige Attacken via iptables
DDoS Prävention Auf dem Webserver (Unter Apache2)
![Page 51: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/51.jpg)
Copyright © 2009 – 2019 Auditron GmbH 54
Minimieren des AttackerSurfaces soweit als möglich
Grosse Dateien sollten nach Möglichkeit nicht öffentlich zugänglich sein.
Limitieren von rechenintensive AbfragenZeitlich
Pro IP / Pro User
Prüfe Session Limits
Cachenvon rechenintensiven Abfragen
Stress-Testing des Source-Codes
DDoS Prävention Auf dem Webserver (in der Applikation)
![Page 52: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/52.jpg)
Copyright © 2009 – 2019 Auditron GmbH 55
DDoS Prävention In Ihrer Organisation
DokumentationProzesse
Abläufe
Zuständigkeiten
Massnahmen
Sammeln Sie Erfahrungen mit den Tools
Etablieren von Bereitschaftsdienst 365x7x24
Im Voraus:Durchführen von Stresstests
![Page 53: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/53.jpg)
Copyright © 2009 – 2019 Auditron GmbH 56
DDoS Prävention In Ihrer Organisation
![Page 54: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/54.jpg)
Copyright © 2009 – 2019 Auditron GmbH 57Quelle: DDoS Handbook, security.radware.com
Bottlenecks eines DDoS Angriffs
Internet-anschluss
Firewall IPS/IDS Load-balancer
Server Datenbank
5%
28% 24%
8%4%
31%
![Page 55: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/55.jpg)
Copyright © 2009 – 2019 Auditron GmbH 58
Wenn es zum Angriff kommt
![Page 56: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/56.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Wenn es zum Angriff kommt
59
Attacke verifizieren?
![Page 57: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/57.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Wenn es zum Angriff kommt
60
Attacke verstehen
Logs lesen / interpretieren
$ cat access.log | awk '{ print $1 }' | sort | uniq -c | sort -n
11332 130.X.X.X
16789 65.X.X.X
19448 65.X.X.X
6496 176.X.X.X
5478 188.X.X.X
2728 213.X.X.X
2407 213.X.X.X
1995 138.X.X.X
![Page 58: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/58.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Wenn es zum Angriff kommt
61
Verstehen der Attacke:
Traffic sniffen ( SSL)
Suchen von wiederkehrenden Pattern auf IPS
Loadbalancer
Web ApplicationFirewall
etc.
![Page 59: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/59.jpg)
Copyright © 2009 – 2019 Auditron GmbH
Reaktion
62
Blocken von IPs als kurzfristige Abwehrmassnahme ( Kollateralschaden)
Partielle Abschaltung von gewissen Komponenten des Angebotes
Pattern auf IPS/LB/WAF/Server etablieren
Anpassung der Applikation (Reduktion des AttackSurfaces)
Testen des Netzwerk nach getroffenen Massnahmen
Lessons Learned!
![Page 60: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/60.jpg)
Copyright © 2009 – 2019 Auditron GmbH
IoT Rechner
• KnowyourAssets!• Welche Geräte müssen wohin
kommunizieren?• Update und Patchmanagement!
• Limitierung der Zugänge auf die IoTGeräte(Std.-zugänge und Passwörter)
• Mikrosegmentierung
• Vorsicht bei Geräten ausfragwürdigen Quellen
• Vorsicht bei nicht signierter Software / Software aus dubiosen Quellen.
• Eine Sicherheitssoftware auf dem Rechner hilft Gefahren zu erkennen.
• Regelmässiges Updaten des Betriebssystemssowie sämtlicher Applikationen.
Was tun, um nicht Teil des Botnetzes zu werden?
63
Für Private:
![Page 61: DDoS ein unterschätztes Risiko? - Digicomp … · DDoS Defense Lösung aus der Cloud (Cloudflare, Akamai etc.) Verteilung des Datenverkehrs mit BGP / DNS / Flowspec On Demand oder](https://reader035.fdocuments.net/reader035/viewer/2022062508/605e24937179e045027f3217/html5/thumbnails/61.jpg)
Copyright © 2009 – 2019 Auditron GmbH 64
Christian Huber
Auditron GmbH
Untere Grabenstrasse 26
4800 Zofingen
+41 79 900 94 28
Twitter: @auditrongmbh
FB: fb.com/auditrongmbh
Herzlichen Dank!