Botnetz DoS & DDoS. Botnetze und DDoS. Ioannis Chalkias, Thomas Emeder, Adem Pokvic

Transkript

1 Ioannis Chalkias Thomas Emeder Adem Pokvic

2 Gliederung 1 Botnetz Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele 2 D Arten von /D I I

3 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Botnetz Definition Ein Botnetz ist eine Gruppe von sogenanten Bots die miteinender verbunden sind. Dabei stellen sie Ressourcen und Daten zur Verfügung.

4 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Aufbau eines Botnetzes I Ein Botnetze besteht aus zwei wessentliche Komponenten : Die Bots Der Bot-Master

5 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Der Bot Bot Computerprogramm Führt Aufgaben selbstständig aus Braucht keine Menschliche Interation Beispiele: Webcrawler ChanServ

6 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Der Bot-Master Bot-Master Einzeln- oder Gruppe von Personen Haben absolute Kontrolle über das Netz Überwachen das Netz

7 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Funktionsweise 1 Das Programm wir unsichtbar für den Nuzter installiert Beispiel durch: Malware Phishing Mails Downloads Exploits Manuelle Installation 2 Bot informiert den Master 3 Versucht zu überleben 4 Bot wird für die Nutzung an Dritte verkauft oder zur Eigennutzung verwendet

8 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Zweck eines Botnetze I Häufigste Aufgaben sind: 1. Versand Spam Viren Spionageprogramme 2. Stehlen Kreditkartennummern Kontonummern Passwörter Andere personliche Daten

9 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Zweck eines Botnetze II Klickbetrug D Attacken Proxy

10 Der gröster Unterschied ist im Aufbau: 1. Dezentralisiert Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele 2. Zentralisiert Quelle:cebit.de Quelle:cebit.de

11 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Weiteres Unterscheidet man unter: IRC C&C DNS und C&C Webbasiertes C&C P2P-Botnetze FTP-Based C&C

12 Aufbau eines Botnetzes I Der Bot Der Bot-Master Funktionsweise Zweck eines Botnetze I Zweck eines Botnetze II Arten I Arten II Botnetz Beispiele Botnetz Beispiele Quelle:Wikipedia

13 D Arten von /D I I? Denial of Service Distributed Denial of Service

14 D Arten von /D I I Definition Denial of Service bezeichnet man die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte. Obwohl es verschiedene Gründe für die Nichtverfügbarkeit geben kann, spricht man von in der Regel als die Folge einer Überlastung von Infrastruktursystemen von Einzelrechner.

15 D Arten von /D I I D Gleicher Ansatz wie bei Unterschied liegt in der Anzahl(Botnetz)

16 D Arten von /D I I Volume Based Attacken Volume Based Attacken: Webseite mit Müll fluten Bandbreite wird verstopft Webseite unbenutzbar machen für normalen Verkehr 10 20% 2013 alles / D

17 D Arten von /D I I UDP-Floods UDP packette werden mit Junk-Text erstellt Im UDP-Haeder wird Ziel-IP-Adresse hinzugefügt UDP-Pakete werden über kleinste Zeitabstände immer wieder gesendet Zielrechner nimmt die Pakete an Bearbeitung nimmt eine entsprechende Zeit Ziel System ist überlastet

18 D Arten von /D I I Gegenmaßnahmen Gegenmaßnahmen Rate limiting Sperrlisten Analyse und Filter Massnahmen

19 D Arten von /D I I Protokoll Attacken Server resourcen Überlasten Überlastung von: Firewall Load Balancer 60 % aller Attacken 2013

20 D Arten von /D I I SYN-Flood SYN-Flood nutzt das TPC-Protokoll Paket mit SYN-Flag wird Abgeschickt und Abgegliechen Paket mit ACK-Flag wird von Server zurückgeschickt Request nach ACK-Flag Packet bleib aus Server Speichert sich den Cleint bis ACK bestätigt wird Nutzt Speicher Resourcen Botnetz kommt ins Spiel Server hat keine Resourcen mehr

21 D Arten von /D I I Smurf Ping-Pakete werden gesendet Ziel ist eine Broadcast-Adresse Router leitet die Broadcast-Adresse in das lokale Netz Angeschlossene antworten auf die Anfrage Folgen: 1 Anfrage viele Antworten Angreifer richtet seine vervielfachte Bandbreite an das Opfer Internetverbindung ist überlastet

22 D Arten von /D I I Gegenmaßnahmen Gegenmaßnahmen SYN-Cookies Anti-D-Geräte

23 D Arten von /D I I I Application Layer Attacks Ziel Application Layer (Windows, Apache, Software) Tarnung als Normale Request Ähneln oft menschliche Interaktion Ziel Webserver Crash 20 % in 2013 stark steigent

24 D Arten von /D I I GET/POST floods Client und Webserver Kommunizieren GET-POST werden fr die Kommunikation benutzt GET wird verwendet um auf statische Inhalte abzurufen POST wird verwenden um auf dynamisch generierten Ressourcen abzurufen Maximaler Ressourcen verbrauch bei jeder Anfrage Ziel mit wenigen Anfragen Webserver zu Überfluten

25 D Arten von /D I I Gegenmaßnahmen Gegenmaßnahmen Bot-Trafic erkennen Webseite höst möglichst effizient gestalten

26 D Arten von /D I I Deutschland Beteiligung an Attacken kann man mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe rechnen. Der Versuch ist auch Strafbar. Besitz der Software ist Legal aber die benutzung und verbreitung ist Ilegal.

27 D Arten von /D I I Wir werden mit einem Kali Rechner ein XP Rechner mit ICMP-Paketen Fluten zur gleichen Zeit lassen wir auch den ping-befehl offen um Prüfen zu können wann genau der Rechner in die Kniee geht. Zweiter Teil wird eine WinNuke Attacke von einem Kali Rechner auf ein Win 95 System wird schnell einen Bluescreen verursachen und die Internetverbindung ist bis zum neustart des System Lahngelegt.