ddos und botnetze
DESCRIPTION
DDoS und Botnetze. [1]. Alexander Gruschina Mario Kotoy. DoS , DDoS ?. Denial of Service Distributed Denial of Service. DDoS flooding attacks. Attacken über Netzwerk-/Transportschicht (TCP,UDP,SCTP,IPv4,IPv6,…) Attacken über Anwendungsschicht (HTTP,FTP,SMTP,POP,…). - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/1.jpg)
DDOS UND BOTNETZEAlexander GruschinaMario Kotoy
[1]
![Page 2: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/2.jpg)
2
DoS, DDoS?
Denial of Service Distributed Denial of Service
![Page 3: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/3.jpg)
3
DDoS flooding attacks
Attacken über Netzwerk-/Transportschicht(TCP,UDP,SCTP,IPv4,IPv6,…)
Attacken über Anwendungsschicht(HTTP,FTP,SMTP,POP,…)
![Page 4: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/4.jpg)
4
flooding attack
Angriff zielt auf Netzwerkbandbreite Bandbreite wird durch Angriff überlastet
Bsp.: UDP flood, ICMP flood (Ping flooding)
Attacken über Netzwerk-Transportschicht:
![Page 5: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/5.jpg)
5
Angriffe nutzen spezielle features oder Bugs, um Zugriff auf Ressourcen des Opfers zu erlangen.
Bsp.: TCP SYN-flood, TCP ACK-SYN-flood, Ping of Death, …
Attacken über Netzwerk-Transportschicht:
protocol exploitation
![Page 6: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/6.jpg)
6
Reflection:gefälschte Anfragen werden an Reflector gesendet, dieser sendet Antwort an Opfer
Amplification:Dienste werden genutzt um Angriff zu verstärken(z.B. Broadcastaddresse)
Bsp.: smurf attack, fraggle attack, …
Attacken über Netzwerk-Transportschicht:
reflection/amplification
![Page 7: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/7.jpg)
7
Selbe Technik wie bei Netzwerk- und Transportschicht.
Bsp.: DNS amplification attack, VoIP-flood, …
reflection/amplificationAttacken über Anwendungsschicht:
![Page 8: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/8.jpg)
8
Session flooding attacks Request flooding attacks Asymmetric attacks Slow request/response attacks
Attacken über Anwendungsschicht:
HTTP flooding attacks
![Page 9: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/9.jpg)
9
HTTP: Session flooding attacks
Hohe Anzahl an session connection requests werden gesendet.
Bsp.: HTTP get/post flooding attack (a.k.a. excessive VERB)
Attacken über Anwendungsschicht:
![Page 10: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/10.jpg)
10
HTTP: Request flooding attacks
Angriff sendet session mit hoher Anzahl an Requests
Seit HTTP1.1 mehrer requests in einer session
Bsp.: single session HTTP get/post flooding attack (a.k.a. excessive VERB
single session)
Attacken über Anwendungsschicht:
![Page 11: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/11.jpg)
11
HTTP: Asymmetric attacks
Angriff sendet sessions mit hohem workload
Bsp.: multiple HTTP get/post flood, faulty application, …
Attacken über Anwendungsschicht:
![Page 12: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/12.jpg)
12
HTTP: slow request/response
Wie bei asymmetric attacks, wird session mit hohem workload gesendet.
Bsp.: slowloris attack (a.k.a. slow headers), HTTP fragmentation attack,slowpost attack (a.k.a. RUDY, slow
request bodies),slowreading attack (slow response
attack)
Attacken über Anwendungsschicht:
![Page 13: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/13.jpg)
13
Botnet?
Software Bots Vernetzt, oft auf globaler Ebene Gemeinsam sind wir stark Ziele vorwiegend krimineller Natur
[2]
![Page 14: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/14.jpg)
14
[3]
Entstehung eines Botnets
![Page 15: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/15.jpg)
15
Ziel des Botnets
Einsatzgebiet variiert stark SPAM PHISHING DDOS PROXY CLICK FRAUD
[4]
![Page 16: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/16.jpg)
16
Etwas genauer bitte…
Infektionswege: Emails mit Malware Drive-By-Malware Plug-In Sicherheitslücken (JAVA! Flash!) Externe Speichermedien Viren, Würmer
![Page 17: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/17.jpg)
17
Etwas genauer bitte…
Kommunikation zwischen Bots und Master: Command & Conquer Server Covert channel Auch möglich: IRC Kommunikation Bot läuft versteckt im Hintergrund Redundanter Netzverbund Ständiger Informationsaustausch
![Page 18: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/18.jpg)
18
Zentralisiert
[5]
![Page 19: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/19.jpg)
19
Dezentralisiert
[5]
![Page 20: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/20.jpg)
20
DDOS-Botnets WORDPRESS
Default admin portal username : admin Dictionary attack 100.000 individuelle IP Adressen 30.000.000 betroffene Websites Weiter CMS-Ziele
[6]
![Page 21: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/21.jpg)
21
SPAMHAUS Angriff Niederländische Firma landete auf Blacklist Angriff mit mehr als 75 Gbps via DNS
Reflection Cloudflare half bei Datenstromverteilung Angriff auf Cloudflare Größter DDOS Angriff in der Geschichte
[7]
[8]
![Page 22: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/22.jpg)
22
Andere Beispiele
Conficker (Win32 Conficker) 10.500.000+ Bots 10.000.000.000 Spam mails pro Tag Einbettung via Windows Lücken und
Dictionary Attacks
![Page 23: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/23.jpg)
23
Andere Beispiele
BredoLab 30.000.000 Bots 3.600.000.000 Spam mails pro Tag Einbettung via Spam mails Nov 2010 entschärft
![Page 24: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/24.jpg)
24
Bin ich Teil eines Botnets?
Traffic beobachten Anti-Viren-Programme meldet sich
häufiger CPU-Auslastung beobachten Festplattenzugriffe beobachten Router-Statistik bei Inaktivität (Botnet Detection Services)
![Page 25: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/25.jpg)
25
Wie kann ich mich schützen?
Kein naives Verhalten im Internet E-Mails bei unbekanntem Sender am
besten gleich verwerfen Sämtliche Sicherheitsmaßnahmen im
Netzwerk aktiv Alle Schutzprogramme regelmäßig updaten Unnötige Browser Plug-Ins aktivieren
(Java!!!) Falls Befall festgestellt wurde, System
vollständig neu aufsetzen (hilft auch nicht immer)
![Page 26: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/26.jpg)
26
DDoS Tools
Low Orbit Ion Cannon:LOIC.exe
HttpDos:HttpDosTool
![Page 27: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/27.jpg)
27
Quellen http://www.eleven-securityblog.de/2012/09/5-tipps-botnet-infektion/ http://technorati.com/technology/it/article/wordpress-under-attack-by-malicious-botn
et/
http://www.zdnet.com/wordpress-attack-highlights-30-million-targets-7000014256/ http://
www.heise.de/newsticker/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html
http://en.wikipedia.org/wiki/Conficker http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho http://en.wikipedia.org/wiki/Denial-of-service_attack http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&
arnumber=6489876&queryText%3Dddos
![Page 28: DDoS und Botnetze](https://reader036.vdocuments.net/reader036/viewer/2022062501/56816767550346895ddc4be7/html5/thumbnails/28.jpg)
28
Bildquellen1. https://
encrypted-tbn2.gstatic.com/images?q=tbn:ANd9GcTsO0JZ_d6m5vgLd3w9TOUEVzK20yL4xUHz-zSnyHtKWJ6XLnWShg
2. http://2.bp.blogspot.com/-7XJt1b9Hans/ThFBH37ie_I/AAAAAAAAAMM/l1sQoJGiP7k/s1600/Botnet-illustration.jpg
3. http://en.wikipedia.org/wiki/File:Botnet.svg4. http://d13mbgczdr2141.cloudfront.net/wp-content/uploads/2012/06/spam-zombies-b
ot-nets-.png
5. http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-disinfection-and-defence
6. http://www.clickhost.com/wp-content/uploads/2011/06/icon_big.png7. http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho8. http://www.spamhaus.org/images/spamhaus_logo.jpg