DDoS támadások, detektálás, védekezés. Galajda József - Core Transport Network Planning Expert

Hasonló dokumentumok
Fábián Zoltán Hálózatok elmélet

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

Hálózatvédelem, biztonság

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

IT hálózat biztonság. A hálózati támadások célpontjai

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

Hálózati beállítások Készítette: Jámbor Zoltán 2016

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Témák. Betörés megelőző rendszerek. Mire használhatjuk az IDS-t? Mi az IDS? (Intruding Detection System)

Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Üdvözlöm Önöket a Konferencián!

Radware terhelés-megosztási megoldások a gyakorlatban

Hálózati architektúrák laborgyakorlat

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

IPv6 Elmélet és gyakorlat

Túlterheléses informatikai támadások hatásai. Gyányi Sándor Óbudai Egyetem Kandó Villamosmérnöki Kar

Párhuzamos és Grid rendszerek

Hálózatok építése és üzemeltetése. Hálózatbiztonság 1.

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

A T-Online Adatpark és Dataplex hálózati megoldásai

Netfilter. Csomagszűrés. Összeállította: Sallai András

A hét mesterlövész Győzzük vagy legyőzzük a problémákat?

Tarantella Secure Global Desktop Enterprise Edition

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Biztonság, védelem a számítástechnikában

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Hálózati WAN forgalom optimalizálása

Informatikai biztonság a kezdetektől napjainkig

Fábián Zoltán Hálózatok elmélet

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Bevezető. Az informatikai biztonság alapjai II.

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Felhőszámítástechnika (Cloud Computing) helye és szerepe az on-line világ folyamataiban. Dr. Élő Gábor Széchenyi István Egyetem ITOK 2013

Elektronikus levelek. Az informatikai biztonság alapjai II.

Hálózati architektúrák és Protokollok GI - 9. Kocsis Gergely

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése


Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Tűzfalak működése és összehasonlításuk

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter Zámbó Marcell

Riverbed Sávszélesség optimalizálás

VIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

A csatlakozási szerződés 1. sz. melléklete

Hálózati architektúrák laborgyakorlat

IP anycast. Jákó András BME TIO

Szállítási réteg (L4)

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

Számítógépes hálózatok GY

2019/02/12 12:45 1/13 ACL

Tájékoztató. Használható segédeszköz: -

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Fábián Zoltán Hálózatok elmélet

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

SPF és spamszűrés. Kadlecsik József KFKI RMKI

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter

Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

IBM i. Szerviz és támogatás 7.1

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása. Április 22.

Szolgáltatási szint és performancia menedzsment a PerformanceVisor alkalmazással. HOUG konferencia, 2007 április 19.

Az RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.

ELTE, IK, Információs Rendszerek Tanszék

Az IT biztonság kihívásai

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT november 5. HSNLab SINCE 1992

Internet ROUTER. Motiváció

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Ethernet/IP címzés - gyakorlat

NVR-7308P8-H2 NVR-7316P8-H2 NVR-7524P8-H4

NHDR-3104AHD-II NHDR-3108AHD-II NHDR-3116AHD-II NHDR-5004AHD-II NHDR-5008AHD-II NHDR-5016AHD-II NHDR-5204AHD NHDR-5208AHD. Telepítői Segédlet

Számítógép hálózatok

Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

Számítógépes munkakörnyezet II. Szoftver

Elektronikus információbiztonsági oktatási koncepció

A Compagnon hálózati visszaélésekkel kapcsolatos szabályzata

4. Az alkalmazások hatása a hálózat tervezésre

Általános rendszergazda Általános rendszergazda

Tájékoztató. Használható segédeszköz: -

az egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.

webalkalmazások fejlesztése elosztott alapon

ALKALMAZÁSOK ISMERTETÉSE

COMET webalkalmazás fejlesztés. Tóth Ádám Jasmin Media Group

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ

Felhő alapú architektúrák, és számítógépes hálózatok biztonsága

Számítógépes Hálózatok Felhasználói réteg DNS, , http, P2P

Felhasználói réteg. Számítógépes Hálózatok Domain Name System (DNS) DNS. Domain Name System

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Átírás:

DDoS támadások, detektálás, védekezés Galajda József - Core Transport Network Planning Expert

(D)DoS - áttekintés (D)DoS (Distributed) Denial of Service Szolgáltatás megtagadással járó támadás Célja egy adott informatikai szolgáltatás ellehetetlenítése, megbénítása. A szolgáltatás felhasználóit megakadályozza annak igénybevételében. Amennyiben nem egy helyről indul a támadás, elosztott támadásról beszélhetünk. Gyakran teljesen szabványos eszközök okos használatával érik el a céljukat a támadók

Célpontok, motiváció WEB szolgáltatások pl. bankok, online fizetési szolgáltatások, kormányzati oldalak, online áruházak, stb. Politikai motiváció, anyagi haszonszerzés (pl. zsarolás), szándékos károkozás (bevétel kiesés, presztízs veszteség) Más tevékenységek elfedése

Kezdetek Nehéz megmondani, mikor volt az első támadás trin00 az első szélesebb körben is ismert DDoS támadás, 1999 augusztusában, a Minesota Egyetem szerverei ellen irányult. Két napon keresztül, UDP flood A Solaris 2.x rendszereken futtatták a rossz indulatú kódot RPC távolról kihasználható puffer-túlírási hiba kihasználásával (exploiting) került a rendszerekre (CERT IN-99-04) A forrás címek nem voltak meghamisítva Tehát nem új keletű a probléma, viszont az utóbbi pár évben jelentős mennyiségi ugrás történt a támadások gyakoriságában és a támadás során generált forgalom mennyiségében

Támadás típusok Sok támadási fajta létezik Alapvetően két fő kategóriába lehet a támadásokat sorolni: Mennyiségi (volumetric) Applikáció ellen irányuló

Hálózati rétegek és támadások - Network SYN flood ICMP/PING flood Egyszerű PING csomagok nagy számban PoD Ping of Death. Hibás formátumú/túlméretes ICMP csomagok küldésén alapul Smurf attack aszimmetrikus támadás

Hálózati rétegek és támadások - Teardrop támadás Átlapolódó IP szeletek Network Win 3.1, Win 95, NT, Linux kernel < 2.0.32, 2.1.63 PUSH/ACK flood Szerver oldalról nagyobb erőforrásigény ezeknek a feldolgozása

Hálózati rétegek és támadások - Session DNS amplification támadás DNS lekérdezések hamis forrás címmel Nem a DNS szolgáltatás ellen irányul DNS NXDOMAIN (non-existent domain) flood Magának a DNS szolgáltatásnak az ellehetetlenítése

Hálózati rétegek és támadások - NTP amplification Hamis forrás cím Session Kis kérésre nagy mennyiségű válasz (1 csomag -> 300 válasz csomag) SSL flood, SSL renegotiaion Szerver oldalról nagyobb erőforrás igény

Hálózati rétegek és támadások Alkalmazás réteg OWASP top 10 alkalmazás biztonsági kockázat https://www.owasp.org/index.php/top_10_2017-top_10 Slow POST/READ Kiépített kapcsolatban nagyon lassan küldi a kliens az üzenet törzsét (akár 1 byte/2 perc) A szervernek be kell minden részt várni Slowloris Kis sávszélesség igény Minél több kapcsolatot minél hosszabb ideig próbál fenntartani HTTP GET/POST flood Volumetric

Honnan jön a támadás? BOT net Rosszindulatú kód futtatása sok host-on A rosszindulatú kód hogy kerül a gépemre? Nem legális szoftverek telepítése Felhasználói figyelmetlenség/nemtörődömség Szoftverhibákat/sebezhetőségeket kihasználva

DDoS rekord KrebsOnSecurity.com IT bizonsággal foglalkozó oldal 2016 szeptemberében elszenvedett egy rekord nagyságú DDoS támadást 620 Gbps Ezt megelőzően a legnagyobb volumenű támadás 336 Gbps volt, amplification jellegű támadásból (aszimetrikus, a küldött adat mennyisége többszörös választ generál) A KrebsOnSecurity.com ellen irányuló támadás nem amplification jellegű volt. A támadás web kérések és GRE csomagoknak álcázott szemét formájában jelentkezett, amihez legitim forrás kell Ezek egy eddig nem látott méretű és képességű botnet meglétére utalnak

DDoS rekord A forgalom nagy számú kompromittált IoT eszközről érkezett Routerek, IP kamerák, egyéb okos eszközök, amelyek rossz, vagy alapértelmezett biztonsági beállításokkal kapcsolódnak a publikus Internetre A támadás után egy héttel az Anna-Senpai nevet használó szerző nyilvánosságra hozta a Mirai forráskódját, ezzel szélesre tárva a kaput a hasonló támadások előtt (pl. https://github.com/jgamblin/mirai-source-code)

Mirai botnet

Mirai botnet Jó pár hónapos nyomozás után KerbsOnSecurity publikált egy cikket, amiben felfedte a Mirai botnet mögött álló személyeket https://krebsonsecurity.com/2017/01/who-is-anna-senpaithe-mirai-worm-author 3 évre visszamenőleg talált nyomokat hasonló IoT eszközöket felhasználó botnet támadásokra Minecraft szerverek ellen irányuló támadások vizsgálatából származik sok nyom. Ezeket a szervereket anyagi károkozás céljával támadják Több cég is szakosodott ezen szerverek DDoS elleni védelmére Az egyik ilyen cég tulajdonosára terelődött a gyanú

Detektálás A szokásos hálózati forgalomnál lényegesen több a beérkező adatmennyiség/kérés A szolgáltatások lassúak, vagy nem elérhetőek IDS rendszerből érkező riasztások (titkosítás nehezíti) Netflow analízis

Védekezés Sok támadási forma miatt nincs egyszerű és egységes védelem Teljesen más védelmet kell használni mennyiségi és alkalmazás-specifikus támadások esetén Hogy történjen a beavatkozás? Automatikusan? Kézzel indítva? Költséges a védekezés Kimutatások szerint annak valószívűsége, hogy ha egyszer már célponttá váltunk, és újra megtörténik a támadás, több, mint 80%.

Védekezés - volumetric támadások Blackholing/sinkholing ISP támogatás kell hozzá Routing alapú DNS alapú Cloud jellegű megoldások Nagy kapacitású privát Specifikus szoftverekkel, sok támadási vektor kezelése Szolgáltatásként vásároljuk meg a DDoS védelmet.

Védekezés Alkalmazás specifikus támadások A hagyományos L3/L4 tűzfal megoldások nem elegendőek WAF Web Application Firewall Full proxy megoldások SSL off-loading DNS off-loading Hibrid megoldások (cloud + on-premise)

Demo topológia

Volumetric attack hping3 SYN flood, spoofed source hping3 -S -p 80 -c 5000 --spoof 192.168.56.123 192.168.56.120 flood Hping3 SYN flood, spoofed random source hping3 -S -p 80 -c 5000 --rand-source 192.168.56.120 Hping3 UDP flood hping3 --udp --data 1400 192.168.56.120 --flood

Slow HTTP POST/GET slowhttptest Test mode: -H: slow headers, a.k.a SlowLoris -B: slow body, a.k.a R-U-Dead-Yet -R: Range attack, a.k.a Apache killer -X: Slow read slowhttptest H u http://192.168.56.120 i 10 c 500 slowhttptest B u http://192.168.56.120 i 10 c 500

Kvíz 1. A volumetric támadást jellemzi, hogy a) Nagy mennyiségű forgalmat generál b) Nem generál forgalmat c) Csak ICMP protokollt használ 2. A mirai botnet által generált forgalom a KerbsOnSecurity ellen a) 10 Mbps b) 14 Tbps c) 620 Gbps 3. Az SSL forgalom DDoS detektálás szempontjából a) Jó dolog, megkönnyíti a detektálást b) A titkosítás miatt megnehezíti a detektálást c) Nem releváns

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés