yac2013 lyamin-ddos
DESCRIPTION
Intruductory speech to DDoS panel on YaC2013TRANSCRIPT
Qrator Q1-Q3 2013
2013 2012
• Нейтрализовано атак: 5457↑ (2628)
• Среднее атак в день: 19.84↑ (9.18)
• Макс. в день: 151↑ (73)
• Средний ботнет: 1067↑ (2070)
• Макс. размер ботнета: 136644↓(148563)
• Макс. длительность: 22d↓ (83d)
Qrator 2013 по дням
0
20
40
60
80
100
120
140
160
01
/01
08
/01
15
/01
22
/01
29
/01
05
/02
12
/02
19
/02
26
/02
05
/03
12
/03
19
/03
26
/03
02
/04
09
/04
16
/04
23
/04
30
/04
07
/05
14
/05
21
/05
28
/05
04
/06
11
/06
18
/06
25
/06
02
/07
09
/07
16
/07
23
/07
30
/07
06
/08
13
/08
20
/08
27
/08
03
/09
10
/09
17
/09
24
/09
Qrator 2012по дням
0
10
20
30
40
50
60
70
80
90
1/1/12 2/1/12 3/1/12 4/1/12 5/1/12 6/1/12 7/1/12 8/1/12 9/1/12 10/1/12 11/1/12 12/1/12
Март 2013
UDP/53
Неделя 1 30Gbps
Неделя 2 60Gbps
Неделя 3 120Gbps
Неделя 4 ???
Неделя 4
Пострадавшие
• Операторы связи
• Операторы приложений
• Хостинг компании
Неделя 4
Жертвы
?
Постойте, это уже было!
Subject: Probable botnet ddos attack on DNS
Date: Wed, 26 May 2010 15:20:29 +0200
From: Joe Shmoe <[email protected]>
Reply-To: Joe Shmoe <[email protected]>
To: <[email protected]>
Hello!
From the IP X.X.X.X in your IP range a large amount of DNS requests
to
Ns2.cooldns.se on IP Y.Y.Y.Y port 53 are being sent in large quantity
over the last hours. Several of the participating computers in the ddos
attack
have already been taken offline by their admins.
These requests are being reported to Dshield.org and if they do not stop
will be handed over to Swedish Police in a official complaint. I ask that
you please resolve the issue with the computer using that IP as soon as
possible and inform me when you have stopped these calls.
Rgds
Joe
NET admin
webserver.se
Октябрь 2010
UDP/53
100Gbps
… и что-то очень похожее даже в 2005
DNS Amp!
Плохие парни
BOMB.EXAMPLE.C
OM IN T
XT
FUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUU
[dd]
~4k
SRC_IP Жертва? TXT BOMB.EXAMPLE.COM
~60b
Жертва: WTF MATE?!
Плечо атаки - x60
Кривой DNS
Здравствуй DNS Amplification!
• IP spoof все так-же возможен
• UDP – нет верификации клиента
• DNS RA - 60x плечо атаки – это ОТЛИЧНО!
Проблеме 10 лет.
• Aug 1999 RFC-2671 EDNS0
• May 2000 BCP-38 “Network Ingress Filtering”
• Mar 2004 BCP-84 “Ingress Filtering for Multihomed Networks”
• Mar 2006 ICANN DNS DDoS advisory
Доколе?
Всем поможетYandex!
23:59:42.267767 IP 10.0.11.81.62072 > 213.180.193.1.53: 41561+ ANY? yandex.ru. (27)
0x0000: 4500 0037 96ba 0000 4011 37f5 0a00 0b51
0x0010: d5b4 c101 f278 0035 0023 06d3 a259 0100
0x0020: 0001 0000 0000 0000 0679 616e 6465 7802
0x0030: 7275 0000 ff00 01
23:59:42.293659 IP 213.180.193.1.53 > 10.0.11.81.62072: 41561*- 9/0/9 SOA, TXT "v=spf1 redirect=_spf.yandex.ru", TXT "mailru-verification: 530c425b1458283e", MX mx.yandex.ru. 10, NS ns2.yandex.ru., NS ns1.yandex.ru., A 93.158.134.11, A 213.180.193.11, A 213.180.204.11 (448)
0x0000: 4500 01dc 8e38 0000 3911 45d2 d5b4 c101
0x0010: 0a00 0b51 0035 f278 01c8 242c a259 8500
0x0020: 0001 0009 0000 0009 0679 616e 6465 7802
0x0030: 7275 0000 ff00 01c0 0c00 0600 0100 000e
0x0040: 1000 3103 6e73 31c0 0c08 7379 7361 646d
0x0050: 696e 0b79 616e 6465 782d 7465 616d c013
0x0060: 77fd 784a 0000 0258 0000 012c 0027 8d00
0x0070: 0000 0384 c00c 0010 0001 0000 0e10 001f
0x0080: 1e76 3d73 7066 3120 7265 6469 7265 6374
0x0090: 3d5f 7370 662e 7961 6e64 6578 2e72 75c0
0x00a0: 0c00 1000 0100 000e 1000 2625 6d61 696c
0x00b0: 7275 2d76 6572 6966 6963 6174 696f 6e3a
0x00c0: 2035 3330 6334 3235 6231 3435 3832 3833
0x00d0: 65c0 0c00 0f00 0100 000e 1000 0700 0a02
0x00e0: 6d78 c00c c00c 0002 0001 0005 4600 0006
0x00f0: 036e 7332 c00c c00c 0002 0001 0005 4600
0x0100: 0002 c027 c00c 0001 0001 0000 012c 0004
0x0110: 5d9e 860b c00c 0001 0001 0000 012c 0004
0x0120: d5b4 c10b c00c 0001 0001 0000 012c 0004
0x0130: d5b4 cc0b c0c3 0001 0001 0000 0e10 0004
0x0140: 5d9e 8659 c0c3 0001 0001 0000 0e10 0004
0x0150: d5b4 c159 c0c3 0001 0001 0000 0e10 0004
0x0160: d5b4 cc59 c0c3 0001 0001 0000 0e10 0004
0x0170: 4d58 1559 c0c3 0001 0001 0000 0e10 0004
0x0180: 57fa fa59 c027 0001 0001 0005 4600 0004
0x0190: d5b4 c101 c027 001c 0001 0000 0e10 0010
0x01a0: 2a02 06b8 0000 0000 0000 0000 0000 0001
0x01b0: c0d4 0001 0001 0005 4600 0004 5d9e 8601
0x01c0: c0d4 001c 0001 0000 0e10 0010 2a02 06b8
0x01d0: 0000 0001 0000 0000 0000 0001
Yandexэто
• Много DNS серверов!
• Много высоко-производительных DNS серверов!!
• Много высоко-производительных серверов с отличной связностью!!!
• x7 это конечно не x60, но тоже неплохо.
А как-же новые технологии?
IPV6 ?
Безопасный DNSSEC ?
InternetSociety.org;; QUESTION SECTION:
;isoc.org. IN ANY
;; ANSWER SECTION:
isoc.org. 86400 IN SOA ns1.yyz1.afilias-nst.info. noc.afilias-nst.info. 2013100101 3600 1200 1209600 3600
isoc.org. 86400 IN RRSIG SOA 7 2 86400 20131015085000 20131001085000 62693 isoc.org. RexG4id4xalX5gm2r19N29D2OVFvEzOqTVFbaP1KwKmQam6h3nUMoY83 2DhZSz0pjrUO6tVmvmttcTK3uRh/+KzF7aKZQwPtyxY05KVbtoTI/9Hd P/M4LAOBbShCSWE0JkUIWfzCHF2zPHwFLiJzX01kGojdbkILrW+LCjq1 HPs=
isoc.org. 86400 IN NS ns1.sea1.afilias-nst.info.
isoc.org. 86400 IN NS ns1.hkg1.afilias-nst.info.
isoc.org. 86400 IN NS ns1.ams1.afilias-nst.info.
isoc.org. 86400 IN NS ns1.mia1.afilias-nst.info.
isoc.org. 86400 IN NS ns1.yyz1.afilias-nst.info.
isoc.org. 86400 IN NS ns-ext.nlnetlabs.nl.
isoc.org. 86400 IN RRSIG NS 7 2 86400 20131015085000 20131001085000 62693 isoc.org. cliSLLD3xmTMRcEe3+1JL9sWsES69UeZKcm7Xb2EbUUa/n6/JNNkd5lo MglhaGZe6f5vC/+YOCPMs5auxdFzpu7PGjk+USOw7/iqlMSbU03ULf7+ 4zVM6pIufY7QVCTzINRZzSOv0FxyuAs2+iqx3ouxzF1/GA7jnhYQ5+ID zxE=
isoc.org. 86400 IN A 212.110.167.157
isoc.org. 86400 IN RRSIG A 7 2 86400 20131015085000 20131001085000 62693 isoc.org. AAdxkWWpIs2ursVtkmPd6HpKqE0/bmw1puVfdqLTrIg91qf+rewlPZft /Bg8a5FZ/PwaRhlvJmF6FuqBqeeYLFcshu1uAcZz3PDc5dehiwkCjCqL kw4p3mMVq49gwbAeSMaGYM9qpp1zUTO+DvSWQ5IdzM1+bPIxvbEeu8gt JL0=
isoc.org. 86400 IN MX 20 mx2.emailsrvr.com.
isoc.org. 86400 IN MX 10 mx1.emailsrvr.com.
isoc.org. 86400 IN RRSIG MX 7 2 86400 20131015085000 20131001085000 62693 isoc.org. UTl/+cRFke5six11rAIkoQ/tCy+7hY5aQNumzfdc3y3AK111T90F9qtU ny7EoVkPnQ/RSfPSPjXHFCziRwlh+D5WVRDiEW/tzVSi+TLXTCSVNLVl Wm2nQb0bel5+9l0UhgCPqyuix3k0l0zkGRR1nQw3/G/6K+/AOmUmAR1z Y3w=
isoc.org. 86400 IN AAAA 2001:41c8:20::19
isoc.org. 86400 IN RRSIG AAAA 7 2 86400 20131015085000 20131001085000 62693 isoc.org. R4atCUZlhGP45l43KRKymkKPywRnuCkluuFFpZIdVuFpjp5vQa1XkTZL KSFJuaCgpTHgbL244amO0r59nOAHA6UZGYDybwZq53Gn3R0pCtGtkBCs 2kygVzwex2RmtFC0ooiUpMvwzrEHB5h7SYqRFrJVAiI7VkuGyO4W+P/n zYk=
isoc.org. 14400 IN DNSKEY 256 3 7 AwEAAdQfbx2PgZ+s/4jWTpnlwd2h//lMamgVCHUioODPYgvbWpOBoVf/ HmPooOOLPLgCksqwPJdAXNfwOhhS2E/XoHca6EFjnf1IULxCvQz4RQ+A HA0z61yPLkbkqvbtbGdBfAuX025ArV3iJ7ZKjYDHaSvbBxRYSHPpc1PJ OrdOX0MJ
isoc.org. 14400 IN DNSKEY 257 3 7 AwEAAcE/XrxyyTSkw3ly60jsF4gz5kvn4QM6E0plIjnnjENmeWNPZxNf BYIKZnJxf3GaoI+qFeqbSc085jOXZiBMSRMQFkfsJNZgCsyVhas3lMoM HXEcEewNCPWv2D6TCYGHiVJaTJ0+6we19hIZZlrgJxfPxOXx9CUAzltQ CCvGD055P+yexHdMNWNvcxqt+1qtVt03heIWhf6QH5lhWaIHQWMXJlky KrgVwXHZHcvUebXqhhJfGZhGGU64x7HpNP3llCRqsut7iWsMLo8yBl3m R7eo/pUc6HF3M9E7hl53fg722xMxVA60kkDZqTp1FUzOCK5AagY+ISNz mKtOLgPcxCs=
isoc.org. 14400 IN RRSIG DNSKEY 7 2 14400 20131015085000 20131001085000 3330 isoc.org. NA5rHutRsYtTF/sGvCx4XaLRzh2yfCVMjdudVxLszBn7TUSjLbztNKxO d6qmUk6eH5qg1mog6nC75VwLkBe7W6E11q6un0ZX7xyWGMUxNfakwpY/ TRI3SZl9cJLwuaIuJeWvSVRuMa8lPYAKar4tvK6xtuTxAq660v8sWc27 Xn4iqsh38ia5pcQudPakr0OXktVANqcQacbQDBaxpI9iMaEhVQ/0/6A8 Z4U7q+bpCesOb22OAV/Vcq+F7bNZCYrs1SGRmdLOfs3dWHg/kIlxcqG3 inI6TZBD9LCQ4oJxvtjkwbytIC1ntkoM1qlpEwQDq6geuHrer9xpLqoW sG7t3g==
isoc.org. 14400 IN RRSIG DNSKEY 7 2 14400 20131015085000 20131001085000 62693 isoc.org. i8LHvNXMHahADr14av98YN996IMrXfJPPKRtCvOSrIabLMNTJ7kWc6fK +fLKzxQ1wioLpTJ47NBFk6EPdhr+SgU+phvowr9LDIx+K8kWZ4AG1bHG 56GEyPgRrp6oiGX8Oj2nXhQNXUB5MibeAvB98URo9FYVZ8WT0BlbPlSZ Pw8=
isoc.org. 0 IN NSEC3PARAM 1 0 10 2B143F
isoc.org. 0 IN RRSIG NSEC3PARAM 7 2 0 20131015085000 20131001085000 62693 isoc.org. N8TsOdBw9Tv46L9EZ8Z3sMmw7zlozFnO5nZsgKNRH5KUGUa2wt1WjgKn ioZOQI/TmtefQ+M2/P9Ad0ntKSD6q74i3VqFVbKCEZmKW5sOKmjuAR94 3hBjfX/XSkOvwtDP5Rs4+yuy83AHMBrcO/sF95S0obPcGIb86TgaOEok sW0=
InternetSociety.org
23:49:44.900873 IP 10.0.11.81.59379 > 65.22.7.1.53: 23281+ ANY? isoc.org. (26)23:49:45.082827 IP 65.22.7.1.53 > 10.0.11.81.59379: 23281*-| 8/0/0 SOA, RRSIG, NS ns1.hkg1.afilias-nst.info., NS ns1.yyz1.afilias-nst.info., NS ns1.ams1.afilias-nst.info., NS ns1.mia1.afilias-nst.info., NS ns-ext.nlnetlabs.nl., NS ns1.sea1.afilias-nst.info. (398)
23:49:45.083266 IP 10.0.11.81.62379 > 65.22.7.1.53: Flags [S], seq 575101695, win 65535, options [mss 1460,nop,wscale 4,nop,nop,TS val 1050570686 ecr 0,sackOK,eol], length 023:49:45.262144 IP 65.22.7.1.53 > 10.0.11.81.62379: Flags [S.], seq 69746551, ack 575101696, win 14480, options [mss 1460,sackOK,TS val 1775677183 ecr 1050570686,nop,wscale 7], length 023:49:45.262217 IP 10.0.11.81.62379 > 65.22.7.1.53: Flags [.], ack 1, win 8235, options [nop,nop,TS val 1050570864 ecr 1775677183], length 023:49:45.262290 IP 10.0.11.81.62379 > 65.22.7.1.53: Flags [P.], seq 1:29, ack 1, win 8235, options [nop,nop,TS val 1050570864 ecr 1775677183], length2849176+ ANY? isoc.org. (26)23:49:45.444934 IP 65.22.7.1.53 > 10.0.11.81.62379: Flags [.], ack 29, win 114, options [nop,nop,TS val 1775677229 ecr 1050570864], length 023:49:45.446432 IP 65.22.7.1.53 > 10.0.11.81.62379: Flags [.], seq 1:1441, ack 29, win 114, options [nop,nop,TS val 1775677229 ecr 1050570864], length144049176*- 22/0/9 SOA, RRSIG, NS ns1.sea1.afilias-nst.info., NS ns1.hkg1.afilias-nst.info., NS ns1.ams1.afilias-nst.info., NS ns1.mia1.afilias-nst.info., NS ns1.yyz1.afilias-nst.info., NS ns-ext.nlnetlabs.nl., RRSIG, A 212.110.167.157, RRSIG, MX mx2.emailsrvr.com. 20, MX mx1.emailsrvr.com. 10, RRSIG, AAAA 2001:41c8:20::19, RRSIG, DNSKEY, DNSKEY[|domain]23:49:45.447067 IP 65.22.7.1.53 > 10.0.11.81.62379: Flags [P.], seq 1441:2438, ack 29, win 114, options [nop,nop,TS val 1775677229 ecr1050570864], length 9974633 updateM% [b2&3=0x665a] [6095a] [57383q] [50405n] [61940au][|domain]23:49:45.447152 IP 10.0.11.81.62379 > 65.22.7.1.53: Flags [.], ack 2438, win 8192, options [nop,nop,TS val 1050571047 ecr 1775677229], length 023:49:45.448627 IP 10.0.11.81.62379 > 65.22.7.1.53: Flags [F.], seq 29, ack 2438, win 8192, options [nop,nop,TS val 1050571049 ecr 1775677229], length 023:49:45.626581 IP 65.22.7.1.53 > 10.0.11.81.62379: Flags [F.], seq 2438, ack 30, win 114, options [nop,nop,TS val 1775677274 ecr 1050571049], length 023:49:45.626706 IP 10.0.11.81.62379 > 65.22.7.1.53: Flags [.], ack 2439, win 8192, options [nop,nop,TS val 1050571226 ecr 1775677274], length 0
Новые технологии:Wirespeed в массы!
• Netmap (Luiggi Rizzo)
• PF_RING/DNA
• IntelDPDK
Отсканировать ipv4за 24 часа
«Перспективные мысли»
• В IPv4 ~30 миллионов DNS серверов
• Получить их список займет менее суток
• Генерировать пакеты wire-speed – это легко
• Плечо атаки составит от 5-65 раз
• Есть и другие UDP сервисы
• Одного 10Gbps соединения будет достаточно
«Перспективные сервисы»
• SNMP
• NTP
• Bittorrent
• …любой другой публичный UDP сервис
Что сделать позавчера?
Проверить свою сеть
Проверить сети соседей!
Написать нам bugreport ;)
• http://radar.qrator.net
Что нужно сделать.
Ratelimit на публичных UDP-сервисах.iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name BRR --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --
hitcount ${BRR} --name BRR --rsource -j DROP
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name CRR --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --
hitcount ${CRR} --name CRR --rsource -j DROP
Желательно включенный by default.
Что нужно сделать.
• BCP-38 “Network Ingress Filtering”
• BCP-84 “Ingress Filtering for Multihomed Networks”
• UDP auth cookies
А какие будут еще идеи?
?