DDoS, la nouvelle arme des hackers

êtes-vous sûrd’avoir la bonnedéfense?

Gregory ChanezSenior Security Engineer

tel. +41 22 727 05 55gregory.chanez@e-xpertsolutions.comwww.e-xpertsolutions.com

DDOS, LA NOUVELLE ARME DES HACKERS.

Raphaël JakielaszekSecurity Engineer

tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com

DDOS ?

• DDoS : Distributed Denial of Service

• But : couper un service, une application, …

• Attaque très répandue chez les cybercriminels

• Facile à mettre en place

(logiciels disponibles sur internet)

0

10

20

30

40

50

60

janv

..12

févr

..12

mar

s.12

avr.

.12

mai

.12

juin

.12

juil.

.12

août

.12

sept

..12

oct.

.12

nov.

.12

déc.

.12

janv

..13

févr

..13

mar

s.13

avr.

.13

mai

.13

juin

.13

juil.

.13

août

.13

Evolution des attaques DDoS

DDoS Attack

Tendance des attaques en 2012

SQL Injection

APTs

Botnet

DDoS

STATISTIQUES

- 214 000 $ de perte en moyenne

Source : Paolo Passeri, Senior Security Engineer@LastLine

CIBLES & RAISONS

Cibles :

- Banque (PostFinance, ING …)

- Gouvernement (USA, Israël,…)

- Site de service (Paypal, Microsoft, ...)

Raisons :

- Politique (Anonymous, SEA, …)

- Cybercriminalité

Anonymous : Opération Payback

- Wikileaks

- Cibles : - PostFinance : site Web et e-finance inaccessible

pendant 24h

- Paypal : blog inaccessible pendant 8h avec 75 interruptions de service

- Visa

- Mastercard

Site web de Wikileaks attaqué aussi par une attaque DDoS

EXEMPLE

Il existe des attaques DDoS à différents niveaux :

Attaque réseauxSYN floods, connection floodsUDP & ICMP floods

Attaque DNSUDP floodsNXDOMAIN query floods

Flooding HTTPRecursive-gets, SlowlorisSSL attacks, SSL renegotiation

TYPES D’ATTAQUES

Network Layer AttacksTCP SYN

Flood

Répartition des attaques DDoS par types :

Source : Check Point 2012

TYPES D’ATTAQUES

Attaques contre les couches 3 et 4

Attaques les plus basiques, simple à réaliser

Attack Target Vector Description

SYN flood Stateful flow tablesFake TCP connection setup overflows tables in stateful devices

Connection flood Stateful flow tablesReal, but empty, connection setup overflows tables in stateful devices

UDP flood CPU, bandwidthFloods server with UDP packets, can consume bandwidth and CPU, can also target DNS servers and VoIP servers

Ping flood CPUFloods of these control messages can overwhelm stateful devices

ICMP fragments CPU, memoryHosts allocate memory to hold fragments for reassembly and then run out of memory

TCP flood CPUSYN-ACK, ACK or ACK/PUSH without first SYN cause host CPUs to spin, checking the flow tables for connections that aren't there

ATTAQUES RÉSEAUX

Pour se prémunir :

- Bloquer les ouvertures de connexion TCP & UDP trop importantes

- Rediriger les hackers vers une voie sans issue

ATTAQUES RÉSEAUX (2)

Type d’attaque :Exploiter les faiblesses des protocoles et des implémentations (HTTP, Apache, TLS…)

Les systèmes deviennent indisponible suite à une saturation mémoire ou CPU

Attack Target Vector Description

Slowloris Connection Table Slowly feeds HTTP headers to keep connections open

R.U.D.Y (Slow POST) Connection table Slowly POSTs data to keep connections open

HashDos CPU Overwhelms hash tables in back-end platforms

SSL renegotiation CPU Exploits asymmetry of cryptographic operations

ATTAQUES HTTP

Low and slow attack :

• Difficile à repérer car apparenté à du trafic légitime

• Une solution efficace nécessite une forte intégration avec les serveurs applicatifs

ATTAQUES HTTP (2)

Requêtes HTTP/s

ATTAQUES HTTP (3) - DIFFÉRENTS MOYENS DE SE PROTÉGER

• HTTP Challenge Response :

302 Redirect Challenge

Java Script Challenge

• Rate Limit :

GET et POST limit

HTTP Bandwidth

Request-per-Source

Request-per-Connection

Request rate

• Server latency :

Temps moyen pour obtenir une réponse

ATTAQUES DNS

• A cause de la simplicité du protocole DNS (basé sur UDP), les attaques DNS ont 2 caractéristiques :

Faciles à exécuter

Difficiles à bloquer

• Types d’attaques DNS :

UDP floods

Legitimate queries (NSQUERY)

Legitimate queries against non-existent hosts (NXDOMAIN)

ATTAQUES DNS (2) - DIFFÉRENTS MOYENS DE SE PROTÉGER

DNS Query Challenge

Query Rate Limit

Détection des requêtes malformées

Utilisation des ports ouverts (Port 80)

Utilisation de services connus (HTTP & DNS)Trafic légitime

Quelques paquets envoyés par l’attaquant– Résulte en plusieurs paquets réponses de la

cibleAttaquant : Get HTTP/1.0 (exemple)– Target: Sends megabytes of data

Bande passanteen baisse

POURQUOI UN FIREWALL EST INEFFICACE ?

Flag to fragment packets Set maximum packet size to 100 bytes Send keep-alive to hold connection open

Exploit TCP/IP Protocol

Utilisation de TOR, de proxies et de BotnetLes attaquants se

cachent

POURQUOI UN FIREWALL EST INEFFICACE ? (2)

SYN

SYN

SYN

SYN S

YN

PC Zombies

EVOLUTION DES ATTAQUES

Déploiement sur site

Déploiement chez un ISP

CONTRE-MESURES

CONCLUSION

Evolution des attaques DDoS à travers le temps

Dégâts considérables

Détourner l’attention et distraire

www.e-xpertsolutions.com

www.e-xpertsolutions.com/rssglobal

blog.e-xpertsolutions.com

twitter.com/expertsolch

linkedin.com/company/110061?trk=tyah

slideshare.net/e-xpertsolutions

MERCI DE VOTRE ATTENTION

Gregory ChanezSenior Security Engineer

tel. +41 22 727 05 55gregory.chanez@e-xpertsolutions.comwww.e-xpertsolutions.com

Raphael JakielaszekSecurity Engineer

tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com