ddos, la nouvelle arme des hackers
DESCRIPTION
Le déni de service existe depuis des années. Cependant, cette attaque retrouve un nouveau souffle avec son évolution, le DDoS (Distributed Denial of Service). Plus difficile à contrer, cette attaque cause également beaucoup plus de dégâts.TRANSCRIPT
êtes-vous sûrd’avoir la bonnedéfense?
Gregory ChanezSenior Security Engineer
tel. +41 22 727 05 [email protected]
DDOS, LA NOUVELLE ARME DES HACKERS.
Raphaël JakielaszekSecurity Engineer
tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com
DDOS ?
• DDoS : Distributed Denial of Service
• But : couper un service, une application, …
• Attaque très répandue chez les cybercriminels
• Facile à mettre en place
(logiciels disponibles sur internet)
0
10
20
30
40
50
60
janv
..12
févr
..12
mar
s.12
avr.
.12
mai
.12
juin
.12
juil.
.12
août
.12
sept
..12
oct.
.12
nov.
.12
déc.
.12
janv
..13
févr
..13
mar
s.13
avr.
.13
mai
.13
juin
.13
juil.
.13
août
.13
Evolution des attaques DDoS
DDoS Attack
Tendance des attaques en 2012
SQL Injection
APTs
Botnet
DDoS
STATISTIQUES
- 214 000 $ de perte en moyenne
Source : Paolo Passeri, Senior Security Engineer@LastLine
CIBLES & RAISONS
Cibles :
- Banque (PostFinance, ING …)
- Gouvernement (USA, Israël,…)
- Site de service (Paypal, Microsoft, ...)
Raisons :
- Politique (Anonymous, SEA, …)
- Cybercriminalité
Anonymous : Opération Payback
- Wikileaks
- Cibles : - PostFinance : site Web et e-finance inaccessible
pendant 24h
- Paypal : blog inaccessible pendant 8h avec 75 interruptions de service
- Visa
- Mastercard
Site web de Wikileaks attaqué aussi par une attaque DDoS
EXEMPLE
Il existe des attaques DDoS à différents niveaux :
Attaque réseauxSYN floods, connection floodsUDP & ICMP floods
Attaque DNSUDP floodsNXDOMAIN query floods
Flooding HTTPRecursive-gets, SlowlorisSSL attacks, SSL renegotiation
TYPES D’ATTAQUES
Network Layer AttacksTCP SYN
Flood
Répartition des attaques DDoS par types :
Source : Check Point 2012
TYPES D’ATTAQUES
Attaques contre les couches 3 et 4
Attaques les plus basiques, simple à réaliser
Attack Target Vector Description
SYN flood Stateful flow tablesFake TCP connection setup overflows tables in stateful devices
Connection flood Stateful flow tablesReal, but empty, connection setup overflows tables in stateful devices
UDP flood CPU, bandwidthFloods server with UDP packets, can consume bandwidth and CPU, can also target DNS servers and VoIP servers
Ping flood CPUFloods of these control messages can overwhelm stateful devices
ICMP fragments CPU, memoryHosts allocate memory to hold fragments for reassembly and then run out of memory
TCP flood CPUSYN-ACK, ACK or ACK/PUSH without first SYN cause host CPUs to spin, checking the flow tables for connections that aren't there
ATTAQUES RÉSEAUX
Pour se prémunir :
- Bloquer les ouvertures de connexion TCP & UDP trop importantes
- Rediriger les hackers vers une voie sans issue
ATTAQUES RÉSEAUX (2)
Type d’attaque :Exploiter les faiblesses des protocoles et des implémentations (HTTP, Apache, TLS…)
Les systèmes deviennent indisponible suite à une saturation mémoire ou CPU
Attack Target Vector Description
Slowloris Connection Table Slowly feeds HTTP headers to keep connections open
R.U.D.Y (Slow POST) Connection table Slowly POSTs data to keep connections open
HashDos CPU Overwhelms hash tables in back-end platforms
SSL renegotiation CPU Exploits asymmetry of cryptographic operations
ATTAQUES HTTP
Low and slow attack :
• Difficile à repérer car apparenté à du trafic légitime
• Une solution efficace nécessite une forte intégration avec les serveurs applicatifs
ATTAQUES HTTP (2)
Requêtes HTTP/s
ATTAQUES HTTP (3) - DIFFÉRENTS MOYENS DE SE PROTÉGER
• HTTP Challenge Response :
302 Redirect Challenge
Java Script Challenge
• Rate Limit :
GET et POST limit
HTTP Bandwidth
Request-per-Source
Request-per-Connection
Request rate
• Server latency :
Temps moyen pour obtenir une réponse
ATTAQUES DNS
• A cause de la simplicité du protocole DNS (basé sur UDP), les attaques DNS ont 2 caractéristiques :
Faciles à exécuter
Difficiles à bloquer
• Types d’attaques DNS :
UDP floods
Legitimate queries (NSQUERY)
Legitimate queries against non-existent hosts (NXDOMAIN)
ATTAQUES DNS (2) - DIFFÉRENTS MOYENS DE SE PROTÉGER
DNS Query Challenge
Query Rate Limit
Détection des requêtes malformées
Utilisation des ports ouverts (Port 80)
Utilisation de services connus (HTTP & DNS)Trafic légitime
Quelques paquets envoyés par l’attaquant– Résulte en plusieurs paquets réponses de la
cibleAttaquant : Get HTTP/1.0 (exemple)– Target: Sends megabytes of data
Bande passanteen baisse
POURQUOI UN FIREWALL EST INEFFICACE ?
Flag to fragment packets Set maximum packet size to 100 bytes Send keep-alive to hold connection open
Exploit TCP/IP Protocol
Utilisation de TOR, de proxies et de BotnetLes attaquants se
cachent
POURQUOI UN FIREWALL EST INEFFICACE ? (2)
SYN
SYN
SYN
SYN S
YN
PC Zombies
EVOLUTION DES ATTAQUES
Déploiement sur site
Déploiement chez un ISP
CONTRE-MESURES
CONCLUSION
Evolution des attaques DDoS à travers le temps
Dégâts considérables
Détourner l’attention et distraire
www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com/company/110061?trk=tyah
slideshare.net/e-xpertsolutions
MERCI DE VOTRE ATTENTION
Gregory ChanezSenior Security Engineer
tel. +41 22 727 05 [email protected]
Raphael JakielaszekSecurity Engineer
tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com