DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14
DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen Methode: indirekt
Definition Denial of Service Network Botnetze vorwiegend für Distributed Denial of Service Attacken Größen variieren zwischen einigen Dutzend bis Millionen Zombi-Rechnern
DoS versus DDoS Einzelner Client hat nicht genug Rechenkraft und Bandbreite um Server lahmzulegen. Botnetze haben den Vorteil von verfügbarer Bandbreite und Vorteile verteilter Standorte.
DoS versus DDoS
Bestandteile eines Botnetzes Attacker Botmaster Dosbot / DDos Agent / Zombie
Attacker kleine Botnetze: kontrolliert direkt Bots. Große Botnetze: kontrolliert mehrere Botmaster, die wiederum Botsegmente mit einzelnen Bots dirigieren.
Botmaster Kontrolliert Bots und Botnetz-Segmente. Verbindung mit Bots durch Proxies (anonym). Geschützter Zugriff auf Bots (authentifizierter Zugriff). Schwach abgesicherte Botnetze werden auch gerne von anderen Botmastern okkupiert.
Dosbot / DDos Agent / Zombie Infizierter Client (Trojaner, Backdoor). Schadsoftware nistet sich in System ein. Versteckt sich vor Scannern (Rootkit). Bot lädt eigenständig Schadsoftware nach. Scan und Deaktivierung anderer Trojaner. Bots schließen sich zu Segmenten zusammen um Kommunikationsvolumen gering zu halten
Dosnet Angriffe Meist TCP, UDP und ICMP Beispiel: SYN flood
SYN flood Nutzt TCP 3-way-handshake aus: 1. Client sendet SYN an Server 2. Server bestätigt mit SYN ACK 3. Client bestätigt ebenfalls mit ACK Verbindung aufgebaut
3-way-handshake
SYN-flood SYN-flood baut auf nichtversenden des letzten ACKs auf. Server reserviert Ressourcen Server lässt nur gewisse Anzahl von Verbindungen zu Server von aussen nicht mehr erreichbar Schutz mittels SYN Cookies
SYN-flood
Weitere DOSNET Attacken ICMP Floods (Smurf Attack, Ping Flood, Ping of death) P2Peer Attacken Application level floods (IRC floods)
Bekannte DDoS Ereignisse 7. Feb. 2000: DDoS Angriff auf Yahoo, Ebay, Amazon, Buy.com, CNN, 21. Okt. 2002: DDoS Angriff gegen Internet Root-Name-Server (teilweise mit bis zu 150.000 Pings/sek)
Infizierte Rechner weltweit
Botnetze weltweit
Botnetze weltweit
Smurf Attack Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen Methode: indirekt
Beschreibung Modifizierte Pingpakete (Absenderadresse) werden an die Broadcastadresse sogenannte Verstärkernetze geschickt. Hosts der Verstärkernetze schicken Pingantworten an den Zielhost Zielhost bricht unter dem Ansturm der Pakete zusammen
Beispiel Ein LAN mit 200 Hosts kann ca 80Mbps (35000 Pakete pro Sekunde) Nur 400Kbits Pinganfragen mussten an das Zielnetz geschickt werden
Gegenmaßnahmen Verstärkernetze: Access Router dürfen keine Pakete von außen auf LAN Broadcastadressen weiterleiten Hosts dürfen keine Pings auf Broadcastadressen beantworten Opfer : Pakete müssen schon am ISP gefiltert werden, sonst würde die Internetverbindung blockiert werden.
BSP Access List! traffic we want to limit access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply! interface configurations for borders interface Serial3/0/0 rate-limit input access-group 102 256000 8000 8000 conform-action transmit exceed-action drop Diese Access List beschränkt ICMP Pings auf 256kbs.
Evil Twin Gefahrenkategorie Täuschung Attackenkategorie Art: aktiv/passiv Ausgangspunkt: von außen bzw. innen
Definition Gutes Gerät nachgeahmt Evil Twin unter Kontrolle des Angreifers Notebook / Access Point
Vorgehensweise Angreifer simuliert Access Point Guter Access Point mittels Denial of Service oder stärkere Sendeleistung gestört Übertragungen aufzeichnen
Gegenmaßnahmen Passwörter nur über verschlüsselte Verbindung (SSL) Keine Unsicheren Anwendungen verwenden
Quellen http://en.wikipedia.org/wiki/smurf_attack http://www.pentics.net/denial-of-service/white-papers/smurf.cgi http://www.kleines-lexikon.de/w/s/smurfattack.shtml http://www.secureworks.com/research/threats/ http://www.symantec.com http://hinrg.cs.jhu.edu/botnets http://fr3dc3rv.blogspot.com/2007/04/evil-twin.html http://www.pcworld.com/article/id,120054-page,1/article.html http://www.itechnote.com/2006/10/26/public-wi-fi-network-threats/
Vielen Dank für die Aufmerksamkeit