DDoS Risks for a Web App Backend

Transcript

1. Оценка рисков DDoS-атак | Artyom Gavrichenkov <[email protected]> | gpg: 2deb

   97b1 0a3c 151d b67f 1ee5 00e7 94bc 4d08 9191

2. /about • Qrator Labs CTO • MGIMO MSU FINISHD •

   Network monitoring since 2008 • Traffic filtering since 2009

3. Мишени ‣ L2 ‣ L3 ‣ L4 ‣ L7

4. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

   Gbps ‣ L3 ‣ L4 ‣ L7

5. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

   Gbps ‣ L3 Нарушение функционирования сетевой инфраструктуры ‣ L4 ‣ L7

6. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

   Gbps ‣ L3 Нарушение функционирования сетевой инфраструктуры ‣ L4 Эксплуатация слабых мест TCP-драйвера ‣ L7

7. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

   Gbps ‣ L3 Нарушение функционирования сетевой инфраструктуры ‣ L4 Эксплуатация слабых мест TCP-драйвера ‣ L7 Деградация Web-приложения

8. Probability/Impact Matrix Trivial Minor Moderate Significant Severe Rare Unlikely Moderate

   Likely Very likely Impact: Severe Probability: Moderate/Unlikely 2015

9. Trivial Minor Moderate Significant Severe Rare Unlikely Moderate Likely Very

   likely Impact: Severe Probability: Moderate 2017 Probability/Impact Matrix

10. Новые гости ‣ Wordpress Pingback GET /whatever User-Agent: WordPress/3.9.2; http://example.com/;

    verifying pingback from 192.0.2.150 ‣ 150 000 – 170 000 vulnerable servers at once ‣ SSL/TLS-enabled

11. Новые гости ‣ Wordpress Pingback ‣ Mirai

12. Новые гости ‣ Wordpress Pingback ‣ Mirai ‣ LDAP Amplification

13. Новые гости ‣ Wordpress Pingback ‣ Mirai ‣ LDAP Amplification

    Старые знакомые ‣ NTP Amplification ‣ DNS Amplification ‣ SSDP Amplification ‣ SYN flood

14. Мишени ‣ L2? «Забивание» канала: ICMP Flood, * Amp… 500

    Gbps ‣ L3? Нарушение функционирования сетевой инфраструктуры ‣ L4? Эксплуатация слабых мест TCP-драйвера ‣ L7? Деградация Web-приложения

15. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

    Gbps ‣ L3? Нарушение функционирования сетевой инфраструктуры ‣ L4? Эксплуатация слабых мест TCP-драйвера ‣ L7? Деградация Web-приложения

16. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

    Gbps ‣ L3 Нарушение функционирования сетевой инфраструктуры ‣ L4? Эксплуатация слабых мест TCP-драйвера ‣ L7? Деградация Web-приложения

17. Мишени ‣ L2 «Забивание» канала: ICMP Flood, * Amp… 500

    Gbps ‣ L3 Нарушение функционирования сетевой инфраструктуры ‣ L4 Эксплуатация слабых мест TCP-драйвера ‣ L7 Деградация Web-приложения

18. ‣ 28.10.2016: patchset released ‣ First attempts to exploit: within

    24 hours ‣ After 36 hours: automated scans & pwn Source: Wallarm honeypots, https://wallarm.com/ Joomla RCE: CVE-2016-8870

19. BE LAZY! ‣ По возможности, делать меньше, чем пользователь

20. BE LAZY! ‣ По возможности, делать меньше, чем пользователь ‣

    Выносить вычисления в clientside

21. BE LAZY! ‣ По возможности, делать меньше, чем пользователь ‣

    Выносить вычисления в clientside ‣ TLS/HTTPS только там, где необходимо

22. BE LAZY! ‣ По возможности, делать меньше, чем пользователь ‣

    Выносить вычисления в clientside ‣ TLS/HTTPS только там, где необходимо ‣ Авторизация – не гарантия ‣ Особенно в Android :-)

23. BE LAZY! ‣ По возможности, делать меньше, чем пользователь ‣

    Выносить вычисления в clientside ‣ TLS/HTTPS только там, где необходимо ‣ Авторизация – не гарантия ‣ Особенно в Android :-) ‣ Регулярное нагрузочное тестирование! Запас 2x

24. BE LAZY! pt. 2 ‣ Закрывать пути для эксплуатации <methodCall>

    <methodName>pingback.ping</methodName> <params> <param> <value><string>http://victim.com/</string></value> </param> <param> <value> <string>http://reflector.blog/2016/12/01/blog_post</string> </value> </param> </params> </methodCall>

25. BE LAZY! pt. 2 ‣ Закрывать пути для эксплуатации ‣

    Общаться с Ops ‣ Не быть плохим парнем ;-)

26. Q&A | Artyom Gavrichenkov <[email protected]> | gpg: 2deb 97b1 0a3c

    151d b67f 1ee5 00e7 94bc 4d08 9191