DDoS Attacks, 2016-2017

Transcript

1. DDoS-атаки Тектонические изменения в 2016-2017 году Артём Гавриченков <[email protected]>

2. <video />

3. None

4. The Red Queen's race • На открытом рынке выживает самый

   эффективный • Скорость разработки постоянно растёт
5. None

6. The Red Queen's race • На открытом рынке выживает самый

   эффективный • Скорость разработки постоянно растёт • Страдает качество продукта • Страдает безопасность

7. The Red Queen's race • Проблема имеет глобальный характер, на

   всех уровнях инфраструктуры Интернета • Хорошо направленная атака на инфраструктуру => косвенный урон всем связанным сервисам

8. What happens when…? • https://github.com/alex/what-happens-when

9. What happens when…? • https://github.com/alex/what-happens-when • DNS lookup • IPv4/IPv6

   selection • Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle

10. What happens when…? • https://github.com/alex/what-happens-when • DNS lookup • IPv4/IPv6

    selection • Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle • CDN

11. DNS lookup

12. DNS lookup

13. DNS lookup ximaera@nostromo:~$ sudo tcpdump -qni any tcp > /dev/null

    tcpdump: verbose output suppressed, use -v or -vv for full protoc listening on any, link-type LINUX_SLL (Linux cooked), capture siz ^C 792 packets captured 794 packets received by filter 0 packets dropped by kernel ximaera@nostromo:~$ sudo tcpdump -qni any port 53 > /dev/null tcpdump: verbose output suppressed, use -v or -vv for full protoc listening on any, link-type LINUX_SLL (Linux cooked), capture siz ^C 104 packets captured 156 packets received by filter 0 packets dropped by kernel ximaera@nostromo:~$

14. TCP

15. TCP • Handshake

16. TCP • Handshake • TLS

17. TCP • Handshake • TLS • Connection state

18. TCP • Handshake • TLS • Connection state • DATA

19. DNS

20. DNS 10:00:34.510826 IP (proto UDP (17), length 56) 192.168.1.5.63097 >

    8.8.8.8.53: 9508+ A? ritfest.ru. (28) 10:00:34.588632 IP (proto UDP (17), length 72) 8.8.8.8.53 > 192.168.1.5.63097: 9508 1/0/0 ritfest.ru. A 62.152.56.18 (44)

21. DNS Amplification

22. DNS • Легитимная нагрузка – мизерная • Паразитная нагрузка –

    колоссальная

23. DNS • Легитимная нагрузка – мизерная • Паразитная нагрузка –

    колоссальная • HTTP: Apache -> Nginx DNS: BIND -> ?

24. Dyn.com, октябрь 2016

25. Dyn.com, октябрь 2016

26. None
27. None

28. What happens when…? • https://github.com/alex/what-happens-when üDNS lookup • IPv4/IPv6 selection

    • Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle • CDN

29. IPv6 • 128-битовые адреса

30. IPv6 • 128-битовые адреса • Возможно адресовать каждый атом на

    поверхности Земли

31. IPv6 • 128-битовые адреса • Возможно адресовать каждый атом на

    поверхности Земли • Невозможно хранить таблицы блокировок до уровня адреса! • Возвращаются блокировки подсетями

32. IPv6 • 128-битовые адреса • Возможно адресовать каждый атом на

    поверхности Земли • Невозможно хранить таблицы блокировок до уровня адреса! • Возвращаются блокировки подсетями • Однако проблема сканирования не решается!

33. IPv6 vs IPv4 • Два разных протокола в одной глобальной

    сети?

34. IPv6 vs IPv4 • Два разных протокола в одной глобальной

    сети? Нет, • Две разные глобальные сети!

35. What happens when…? • https://github.com/alex/what-happens-when üDNS lookup üIPv4/IPv6 selection •

    Opening of a socket • Deep packet inspection • TLS handshake • CRL/OCSP • HTTP protocol • Load balancer • HTTP Server Request Handle • CDN

36. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения

37. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения

38. Динамика амплификации

39. Динамика амплификации

40. • NTP: 557 • DNS: 54 • SNMP: 6 •

    SSDP: 31 • ICMP: … • NetBIOS: 4 • LDAP: 55 • RIPv1: 131 • PORTMAP: 28 • CHARGEN: 359 • QOTD: 140 • Quake: 64 • Steam: 6 • … Фактор амплификации* * – по данным US-CERT: https://www.us-cert.gov/ncas/alerts/TA14-017A

41. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, IoT, • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения
42. None

43. 21:30:01.226868 IP 94.251.116.51 > 178.248.233.141: GREv0, length 544: IP 184.224.242.144.65323

    > 167.42.221.164.80: UDP, length 512 21:30:01.226873 IP 46.227.212.111 > 178.248.233.141: GREv0, length 544: IP 90.185.119.106.50021 > 179.57.238.88.80: UDP, length 512 21:30:01.226881 IP 46.39.29.150 > 178.248.233.141: GREv0, length 544: IP 31.173.79.118.42580 > 115.108.7.79.80: UDP, length 512 Mirai

44. Mirai

45. Mirai

46. Mirai • Persirai • Hajime • ...

47. None

48. Mirai • Persirai • Hajime • ... • BrickerBot

49. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, IoT, …? • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения • L5-L7 Сложные вычисления

50. © Geoff Huston, APNIC, 2017

51. Opening of a socket • На всём пути до сервера

    и на нём самом должны функционировать: • L2 Amplification, IoT, …? • L3 Аномалии маршрутизации • L4 Автомат TCP-соединения • L5-L7 Сложные вычисления

52. Аномалии маршрутизации • DPI

53. Аномалии маршрутизации • DPI • BGP

54. Аномалии маршрутизации • DPI • BGP

55. Аномалии маршрутизации • DPI • BGP

56. • DPI • BGP

57. Аномалии маршрутизации • DPI • BGP

58. What happens when…? • https://github.com/alex/what-happens-when üDNS lookup üIPv4/IPv6 selection üOpening

    of a socket üDeep packet inspection üTLS handshake • CRL/OCSP üHTTP protocol üLoad balancer üHTTP Server Request Handle • CDN

59. Разное • CRL/OCSP – пока опциональны • Поэтому бессмысленны •

    Но хотя бы ничего не ломают • Устойчивый к атакам CDN может построить не каждый • Тем более – закрыть от атак клиентов CDN

60. Самое главное.

61. Joomla RCE: CVE-2016-8870 • 28.10.2016: вышел патч • Первые попытки

    эксплуатации: в течение 24 часов • Через 36 часов: автоматическое сканирование Source: Wallarm honeypots, https://wallarm.com/

62. Joomla RCE: CVE-2016-8870

63. Старые технологии больше не работают

64. Самое главное. • Прошло время, когда можно было использовать •

    Теперь требуется эксплуатировать • Начать лучше прямо сейчас

65. Q&A Artyom Gavrichenkov mailto: [email protected] fb: ximaera tg: xima_era