20
êtes-vous sûr d’avoir la bonne défense? Gregory Chanez Senior Security Engineer tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com DDOS, LA NOUVELLE ARME DES HACKERS. Raphaël Jakielaszek Security Engineer tel. +41 22 727 05 55 [email protected] www.e-xpertsolutions.com

DDoS, la nouvelle arme des hackers

Embed Size (px)

DESCRIPTION

Le déni de service existe depuis des années. Cependant, cette attaque retrouve un nouveau souffle avec son évolution, le DDoS (Distributed Denial of Service). Plus difficile à contrer, cette attaque cause également beaucoup plus de dégâts.

Citation preview

Page 1: DDoS, la nouvelle arme des hackers

êtes-vous sûrd’avoir la bonnedéfense?

Gregory ChanezSenior Security Engineer

tel. +41 22 727 05 [email protected]

DDOS, LA NOUVELLE ARME DES HACKERS.

Raphaël JakielaszekSecurity Engineer

tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com

Page 2: DDoS, la nouvelle arme des hackers

DDOS ?

• DDoS : Distributed Denial of Service

• But : couper un service, une application, …

• Attaque très répandue chez les cybercriminels

• Facile à mettre en place

(logiciels disponibles sur internet)

Page 3: DDoS, la nouvelle arme des hackers

0

10

20

30

40

50

60

janv

..12

févr

..12

mar

s.12

avr.

.12

mai

.12

juin

.12

juil.

.12

août

.12

sept

..12

oct.

.12

nov.

.12

déc.

.12

janv

..13

févr

..13

mar

s.13

avr.

.13

mai

.13

juin

.13

juil.

.13

août

.13

Evolution des attaques DDoS

DDoS Attack

Tendance des attaques en 2012

SQL Injection

APTs

Botnet

DDoS

STATISTIQUES

- 214 000 $ de perte en moyenne

Source : Paolo Passeri, Senior Security Engineer@LastLine

Page 4: DDoS, la nouvelle arme des hackers

CIBLES & RAISONS

Cibles :

- Banque (PostFinance, ING …)

- Gouvernement (USA, Israël,…)

- Site de service (Paypal, Microsoft, ...)

Raisons :

- Politique (Anonymous, SEA, …)

- Cybercriminalité

Page 5: DDoS, la nouvelle arme des hackers

Anonymous : Opération Payback

- Wikileaks

- Cibles : - PostFinance : site Web et e-finance inaccessible

pendant 24h

- Paypal : blog inaccessible pendant 8h avec 75 interruptions de service

- Visa

- Mastercard

Site web de Wikileaks attaqué aussi par une attaque DDoS

EXEMPLE

Page 6: DDoS, la nouvelle arme des hackers

Il existe des attaques DDoS à différents niveaux :

Attaque réseauxSYN floods, connection floodsUDP & ICMP floods

Attaque DNSUDP floodsNXDOMAIN query floods

Flooding HTTPRecursive-gets, SlowlorisSSL attacks, SSL renegotiation

TYPES D’ATTAQUES

Page 7: DDoS, la nouvelle arme des hackers

Network Layer AttacksTCP SYN

Flood

Répartition des attaques DDoS par types :

Source : Check Point 2012

TYPES D’ATTAQUES

Page 8: DDoS, la nouvelle arme des hackers

Attaques contre les couches 3 et 4

Attaques les plus basiques, simple à réaliser

Attack Target Vector Description

SYN flood Stateful flow tablesFake TCP connection setup overflows tables in stateful devices

Connection flood Stateful flow tablesReal, but empty, connection setup overflows tables in stateful devices

UDP flood CPU, bandwidthFloods server with UDP packets, can consume bandwidth and CPU, can also target DNS servers and VoIP servers

Ping flood CPUFloods of these control messages can overwhelm stateful devices

ICMP fragments CPU, memoryHosts allocate memory to hold fragments for reassembly and then run out of memory

TCP flood CPUSYN-ACK, ACK or ACK/PUSH without first SYN cause host CPUs to spin, checking the flow tables for connections that aren't there

ATTAQUES RÉSEAUX

Page 9: DDoS, la nouvelle arme des hackers

Pour se prémunir :

- Bloquer les ouvertures de connexion TCP & UDP trop importantes

- Rediriger les hackers vers une voie sans issue

ATTAQUES RÉSEAUX (2)

Page 10: DDoS, la nouvelle arme des hackers

Type d’attaque :Exploiter les faiblesses des protocoles et des implémentations (HTTP, Apache, TLS…)

Les systèmes deviennent indisponible suite à une saturation mémoire ou CPU

Attack Target Vector Description

Slowloris Connection Table Slowly feeds HTTP headers to keep connections open

R.U.D.Y (Slow POST) Connection table Slowly POSTs data to keep connections open

HashDos CPU Overwhelms hash tables in back-end platforms

SSL renegotiation CPU Exploits asymmetry of cryptographic operations

ATTAQUES HTTP

Page 11: DDoS, la nouvelle arme des hackers

Low and slow attack :

• Difficile à repérer car apparenté à du trafic légitime

• Une solution efficace nécessite une forte intégration avec les serveurs applicatifs

ATTAQUES HTTP (2)

Page 12: DDoS, la nouvelle arme des hackers

Requêtes HTTP/s

ATTAQUES HTTP (3) - DIFFÉRENTS MOYENS DE SE PROTÉGER

• HTTP Challenge Response :

302 Redirect Challenge

Java Script Challenge

• Rate Limit :

GET et POST limit

HTTP Bandwidth

Request-per-Source

Request-per-Connection

Request rate

• Server latency :

Temps moyen pour obtenir une réponse

Page 13: DDoS, la nouvelle arme des hackers

ATTAQUES DNS

• A cause de la simplicité du protocole DNS (basé sur UDP), les attaques DNS ont 2 caractéristiques :

Faciles à exécuter

Difficiles à bloquer

• Types d’attaques DNS :

UDP floods

Legitimate queries (NSQUERY)

Legitimate queries against non-existent hosts (NXDOMAIN)

Page 14: DDoS, la nouvelle arme des hackers

ATTAQUES DNS (2) - DIFFÉRENTS MOYENS DE SE PROTÉGER

DNS Query Challenge

Query Rate Limit

Détection des requêtes malformées

Page 15: DDoS, la nouvelle arme des hackers

Utilisation des ports ouverts (Port 80)

Utilisation de services connus (HTTP & DNS)Trafic légitime

Quelques paquets envoyés par l’attaquant– Résulte en plusieurs paquets réponses de la

cibleAttaquant : Get HTTP/1.0 (exemple)– Target: Sends megabytes of data

Bande passanteen baisse

POURQUOI UN FIREWALL EST INEFFICACE ?

Page 16: DDoS, la nouvelle arme des hackers

Flag to fragment packets Set maximum packet size to 100 bytes Send keep-alive to hold connection open

Exploit TCP/IP Protocol

Utilisation de TOR, de proxies et de BotnetLes attaquants se

cachent

POURQUOI UN FIREWALL EST INEFFICACE ? (2)

Page 17: DDoS, la nouvelle arme des hackers

SYN

SYN

SYN

SYN S

YN

PC Zombies

EVOLUTION DES ATTAQUES

Page 18: DDoS, la nouvelle arme des hackers

Déploiement sur site

Déploiement chez un ISP

CONTRE-MESURES

Page 19: DDoS, la nouvelle arme des hackers

CONCLUSION

Evolution des attaques DDoS à travers le temps

Dégâts considérables

Détourner l’attention et distraire

Page 20: DDoS, la nouvelle arme des hackers

www.e-xpertsolutions.com

www.e-xpertsolutions.com/rssglobal

blog.e-xpertsolutions.com

twitter.com/expertsolch

linkedin.com/company/110061?trk=tyah

slideshare.net/e-xpertsolutions

MERCI DE VOTRE ATTENTION

Gregory ChanezSenior Security Engineer

tel. +41 22 727 05 [email protected]

Raphael JakielaszekSecurity Engineer

tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com