DOSNET SMURF ATTACK EVIL TWIN

Transkript

1 DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg /

2 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen Methode: indirekt

3 Definition Denial of Service Network Botnetze vorwiegend für Distributed Denial of Service Attacken Größen variieren zwischen einigen Dutzend bis Millionen Zombi-Rechnern

4 DoS versus DDoS Einzelner Client hat nicht genug Rechenkraft und Bandbreite um Server lahmzulegen. Botnetze haben den Vorteil von verfügbarer Bandbreite und Vorteile verteilter Standorte.

5 DoS versus DDoS

6 Bestandteile eines Botnetzes Attacker Botmaster Dosbot / DDos Agent / Zombie

7 Attacker kleine Botnetze: kontrolliert direkt Bots. Große Botnetze: kontrolliert mehrere Botmaster, die wiederum Botsegmente mit einzelnen Bots dirigieren.

8 Botmaster Kontrolliert Bots und Botnetz-Segmente. Verbindung mit Bots durch Proxies (anonym). Geschützter Zugriff auf Bots (authentifizierter Zugriff). Schwach abgesicherte Botnetze werden auch gerne von anderen Botmastern okkupiert.

9 Dosbot / DDos Agent / Zombie Infizierter Client (Trojaner, Backdoor). Schadsoftware nistet sich in System ein. Versteckt sich vor Scannern (Rootkit). Bot lädt eigenständig Schadsoftware nach. Scan und Deaktivierung anderer Trojaner. Bots schließen sich zu Segmenten zusammen um Kommunikationsvolumen gering zu halten

10 Dosnet Angriffe Meist TCP, UDP und ICMP Beispiel: SYN flood

11 SYN flood Nutzt TCP 3-way-handshake aus: 1. Client sendet SYN an Server 2. Server bestätigt mit SYN ACK 3. Client bestätigt ebenfalls mit ACK Verbindung aufgebaut

12 3-way-handshake

13 SYN-flood SYN-flood baut auf nichtversenden des letzten ACKs auf. Server reserviert Ressourcen Server lässt nur gewisse Anzahl von Verbindungen zu Server von aussen nicht mehr erreichbar Schutz mittels SYN Cookies

14 SYN-flood

15 Weitere DOSNET Attacken ICMP Floods (Smurf Attack, Ping Flood, Ping of death) P2Peer Attacken Application level floods (IRC floods)

16 Bekannte DDoS Ereignisse 7. Feb. 2000: DDoS Angriff auf Yahoo, Ebay, Amazon, Buy.com, CNN, 21. Okt. 2002: DDoS Angriff gegen Internet Root-Name-Server (teilweise mit bis zu Pings/sek)

17 Infizierte Rechner weltweit

18 Botnetze weltweit

19 Botnetze weltweit

20 Smurf Attack Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen Methode: indirekt

21 Beschreibung Modifizierte Pingpakete (Absenderadresse) werden an die Broadcastadresse sogenannte Verstärkernetze geschickt. Hosts der Verstärkernetze schicken Pingantworten an den Zielhost Zielhost bricht unter dem Ansturm der Pakete zusammen

22 Beispiel Ein LAN mit 200 Hosts kann ca 80Mbps (35000 Pakete pro Sekunde) Nur 400Kbits Pinganfragen mussten an das Zielnetz geschickt werden

23 Gegenmaßnahmen Verstärkernetze: Access Router dürfen keine Pakete von außen auf LAN Broadcastadressen weiterleiten Hosts dürfen keine Pings auf Broadcastadressen beantworten Opfer : Pakete müssen schon am ISP gefiltert werden, sonst würde die Internetverbindung blockiert werden.

24 BSP Access List! traffic we want to limit access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply! interface configurations for borders interface Serial3/0/0 rate-limit input access-group conform-action transmit exceed-action drop Diese Access List beschränkt ICMP Pings auf 256kbs.

25 Evil Twin Gefahrenkategorie Täuschung Attackenkategorie Art: aktiv/passiv Ausgangspunkt: von außen bzw. innen

26 Definition Gutes Gerät nachgeahmt Evil Twin unter Kontrolle des Angreifers Notebook / Access Point

27 Vorgehensweise Angreifer simuliert Access Point Guter Access Point mittels Denial of Service oder stärkere Sendeleistung gestört Übertragungen aufzeichnen

28

29 Gegenmaßnahmen Passwörter nur über verschlüsselte Verbindung (SSL) Keine Unsicheren Anwendungen verwenden

30 Quellen

31 Vielen Dank für die Aufmerksamkeit