Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoS Attacks, 2016-2017

Artyom "Töma" Gavrichenkov
June 05, 2017
Technology
0
35

DDoS Attacks, 2016-2017

Artyom "Töma" Gavrichenkov

June 05, 2017
Tweet

More Decks by Artyom "Töma" Gavrichenkov

See All by Artyom "Töma" Gavrichenkov
[EE DNS Forum 2018] DDoS on DNS: past, present and inevitable
ximaera
0
53
Wrong, wrong, WRONG! methods of DDoS mitigation
ximaera
0
340
DDoS Beasts and How to Fight Them (Nginx Conf 2018)
ximaera
0
190
DDoS tutorial (China ISC 360)
ximaera
0
210
[RU] “I, Not Robot". A design of the contemporary CAPTCHA challenges and the future of the Turing test
ximaera
0
110
DDoS 101 (2018, PaymentSecurity RU 2018)
ximaera
0
32
Memcached Amplification: Lessons Learned (NANOG 73)
ximaera
0
170
DDoS Beasts and How to Fight Them
ximaera
0
48
Memcached Amplification DDoS: Lessons Learned (ENOG 15)
ximaera
0
45

Other Decks in Technology

See All in Technology
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
520
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
150
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
260
アプリエンジニアのためのGraphQL入門.pdf
spycwolf
0
100
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
110
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
140
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
200
Lambdaと地方とコミュニティ
miu_crescent
2
370

Featured

See All Featured
Statistics for Hackers
jakevdp
796
220k
KATA
mclloyd
29
14k
Writing Fast Ruby
sferik
627
61k
What's new in Ruby 2.0
geeforr
343
31k
Side Projects
sachag
452
42k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Speed Design
sergeychernyshev
25
620
Documentation Writing (for coders)
carmenintech
65
4.4k
Code Reviewing Like a Champion
maltzj
520
39k
The Invisible Side of Design
smashingmag
298
50k
A better future with KSS
kneath
238
17k

Transcript

  1. DDoS-атаки Тектонические изменения в 2016-2017 году Артём Гавриченков <[email protected]>

  2. <video />

  3. None

  4. The Red Queen's race • На открытом рынке выживает самый

    эффективный • Скорость разработки постоянно растёт
  5. None

  6. The Red Queen's race • На открытом рынке выживает самый

    эффективный • Скорость разработки постоянно растёт • Страдает качество продукта • Страдает безопасность

  7. The Red Queen's race • Проблема имеет глобальный характер, на

    всех уровнях инфраструктуры Интернета • Хорошо направленная атака на инфраструктуру => косвенный урон всем связанным сервисам

  8. What happens when…? • https://github.com/alex/what-happens-when

  9. What happens when…? • https://github.com/alex/what-happens-when • DNS lookup • IPv4/IPv6

    selection • Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle

  10. What happens when…? • https://github.com/alex/what-happens-when • DNS lookup • IPv4/IPv6

    selection • Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle • CDN

  11. DNS lookup

  12. DNS lookup

  13. DNS lookup ximaera@nostromo:~$ sudo tcpdump -qni any tcp > /dev/null

    tcpdump: verbose output suppressed, use -v or -vv for full protoc listening on any, link-type LINUX_SLL (Linux cooked), capture siz ^C 792 packets captured 794 packets received by filter 0 packets dropped by kernel ximaera@nostromo:~$ sudo tcpdump -qni any port 53 > /dev/null tcpdump: verbose output suppressed, use -v or -vv for full protoc listening on any, link-type LINUX_SLL (Linux cooked), capture siz ^C 104 packets captured 156 packets received by filter 0 packets dropped by kernel ximaera@nostromo:~$

  14. TCP

  15. TCP • Handshake

  16. TCP • Handshake • TLS

  17. TCP • Handshake • TLS • Connection state

  18. TCP • Handshake • TLS • Connection state • DATA

  19. DNS

  20. DNS 10:00:34.510826 IP (proto UDP (17), length 56) 192.168.1.5.63097 >

    8.8.8.8.53: 9508+ A? ritfest.ru. (28) 10:00:34.588632 IP (proto UDP (17), length 72) 8.8.8.8.53 > 192.168.1.5.63097: 9508 1/0/0 ritfest.ru. A 62.152.56.18 (44)

  21. DNS Amplification

  22. DNS • Легитимная нагрузка – мизерная • Паразитная нагрузка –

    колоссальная

  23. DNS • Легитимная нагрузка – мизерная • Паразитная нагрузка –

    колоссальная • HTTP: Apache -> Nginx DNS: BIND -> ?

  24. Dyn.com, октябрь 2016

  25. Dyn.com, октябрь 2016

  26. None
  27. None

  28. What happens when…? • https://github.com/alex/what-happens-when üDNS lookup • IPv4/IPv6 selection

    • Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle • CDN

  29. IPv6 • 128-битовые адреса

  30. IPv6 • 128-битовые адреса • Возможно адресовать каждый атом на

    поверхности Земли

  31. IPv6 • 128-битовые адреса • Возможно адресовать каждый атом на

    поверхности Земли • Невозможно хранить таблицы блокировок до уровня адреса! • Возвращаются блокировки подсетями

  32. IPv6 • 128-битовые адреса • Возможно адресовать каждый атом на

    поверхности Земли • Невозможно хранить таблицы блокировок до уровня адреса! • Возвращаются блокировки подсетями • Однако проблема сканирования не решается!

  33. IPv6 vs IPv4 • Два разных протокола в одной глобальной

    сети?

  34. IPv6 vs IPv4 • Два разных протокола в одной глобальной

    сети? Нет, • Две разные глобальные сети!

  35. What happens when…? • https://github.com/alex/what-happens-when üDNS lookup üIPv4/IPv6 selection •

    Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle • CDN

  36. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения

  37. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения

  38. Динамика амплификации

  39. Динамика амплификации

  40. • NTP: 557 • DNS: 54 • SNMP: 6 •

    SSDP: 31 • ICMP: … • NetBIOS: 4 • LDAP: 55 • RIPv1: 131 • PORTMAP: 28 • CHARGEN: 359 • QOTD: 140 • Quake: 64 • Steam: 6 • … Фактор амплификации* * – по данным US-CERT: https://www.us-cert.gov/ncas/alerts/TA14-017A

  41. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, IoT, • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения
  42. None

  43. 21:30:01.226868 IP 94.251.116.51 > 178.248.233.141: GREv0, length 544: IP 184.224.242.144.65323

    > 167.42.221.164.80: UDP, length 512 21:30:01.226873 IP 46.227.212.111 > 178.248.233.141: GREv0, length 544: IP 90.185.119.106.50021 > 179.57.238.88.80: UDP, length 512 21:30:01.226881 IP 46.39.29.150 > 178.248.233.141: GREv0, length 544: IP 31.173.79.118.42580 > 115.108.7.79.80: UDP, length 512 Mirai

  44. Mirai

  45. Mirai

  46. Mirai • Persirai • Hajime • ...

  47. None

  48. Mirai • Persirai • Hajime • ... • BrickerBot

  49. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, IoT, …? • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения • L5-L7 Сложные вычисления

  50. © Geoff Huston, APNIC, 2017

  51. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, IoT, …? • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения • L5-L7 Сложные вычисления

  52. Аномалии маршрутизации • DPI

  53. Аномалии маршрутизации • DPI • BGP

  54. Аномалии маршрутизации • DPI • BGP

  55. Аномалии маршрутизации • DPI • BGP

  56. • DPI • BGP

  57. Аномалии маршрутизации • DPI • BGP

  58. What happens when…? • https://github.com/alex/what-happens-when üDNS lookup üIPv4/IPv6 selection üOpening

    of a socket üDeep packet inspection üTLS handshake • CRL/OCSP üHTTP protocol üLoad balancer üHTTP Server Request Handle • CDN

  59. Разное • CRL/OCSP – пока опциональны • Поэтому бессмысленны •

    Но хотя бы ничего не ломают • Устойчивый к атакам CDN может построить не каждый • Тем более – закрыть от атак клиентов CDN

  60. Самое главное.

  61. Joomla RCE: CVE-2016-8870 • 28.10.2016: вышел патч • Первые попытки

    эксплуатации: в течение 24 часов • Через 36 часов: автоматическое сканирование Source: Wallarm honeypots, https://wallarm.com/

  62. Joomla RCE: CVE-2016-8870

  63. Старые технологии больше не работают

  64. Самое главное. • Прошло время, когда можно было использовать •

    Теперь требуется эксплуатировать • Начать лучше прямо сейчас

  65. Q&A Artyom Gavrichenkov mailto: [email protected] fb: ximaera tg: xima_era