DDoS, la nouvelle arme des hackers
-
Upload
e-xpert-solutions-sa -
Category
Technology
-
view
880 -
download
1
description
Transcript of DDoS, la nouvelle arme des hackers
![Page 1: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/1.jpg)
êtes-vous sûrd’avoir la bonnedéfense?
Gregory ChanezSenior Security Engineer
tel. +41 22 727 05 [email protected]
DDOS, LA NOUVELLE ARME DES HACKERS.
Raphaël JakielaszekSecurity Engineer
tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com
![Page 2: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/2.jpg)
DDOS ?
• DDoS : Distributed Denial of Service
• But : couper un service, une application, …
• Attaque très répandue chez les cybercriminels
• Facile à mettre en place
(logiciels disponibles sur internet)
![Page 3: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/3.jpg)
0
10
20
30
40
50
60
janv
..12
févr
..12
mar
s.12
avr.
.12
mai
.12
juin
.12
juil.
.12
août
.12
sept
..12
oct.
.12
nov.
.12
déc.
.12
janv
..13
févr
..13
mar
s.13
avr.
.13
mai
.13
juin
.13
juil.
.13
août
.13
Evolution des attaques DDoS
DDoS Attack
Tendance des attaques en 2012
SQL Injection
APTs
Botnet
DDoS
STATISTIQUES
- 214 000 $ de perte en moyenne
Source : Paolo Passeri, Senior Security Engineer@LastLine
![Page 4: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/4.jpg)
CIBLES & RAISONS
Cibles :
- Banque (PostFinance, ING …)
- Gouvernement (USA, Israël,…)
- Site de service (Paypal, Microsoft, ...)
Raisons :
- Politique (Anonymous, SEA, …)
- Cybercriminalité
![Page 5: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/5.jpg)
Anonymous : Opération Payback
- Wikileaks
- Cibles : - PostFinance : site Web et e-finance inaccessible
pendant 24h
- Paypal : blog inaccessible pendant 8h avec 75 interruptions de service
- Visa
- Mastercard
Site web de Wikileaks attaqué aussi par une attaque DDoS
EXEMPLE
![Page 6: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/6.jpg)
Il existe des attaques DDoS à différents niveaux :
Attaque réseauxSYN floods, connection floodsUDP & ICMP floods
Attaque DNSUDP floodsNXDOMAIN query floods
Flooding HTTPRecursive-gets, SlowlorisSSL attacks, SSL renegotiation
TYPES D’ATTAQUES
![Page 7: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/7.jpg)
Network Layer AttacksTCP SYN
Flood
Répartition des attaques DDoS par types :
Source : Check Point 2012
TYPES D’ATTAQUES
![Page 8: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/8.jpg)
Attaques contre les couches 3 et 4
Attaques les plus basiques, simple à réaliser
Attack Target Vector Description
SYN flood Stateful flow tablesFake TCP connection setup overflows tables in stateful devices
Connection flood Stateful flow tablesReal, but empty, connection setup overflows tables in stateful devices
UDP flood CPU, bandwidthFloods server with UDP packets, can consume bandwidth and CPU, can also target DNS servers and VoIP servers
Ping flood CPUFloods of these control messages can overwhelm stateful devices
ICMP fragments CPU, memoryHosts allocate memory to hold fragments for reassembly and then run out of memory
TCP flood CPUSYN-ACK, ACK or ACK/PUSH without first SYN cause host CPUs to spin, checking the flow tables for connections that aren't there
ATTAQUES RÉSEAUX
![Page 9: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/9.jpg)
Pour se prémunir :
- Bloquer les ouvertures de connexion TCP & UDP trop importantes
- Rediriger les hackers vers une voie sans issue
ATTAQUES RÉSEAUX (2)
![Page 10: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/10.jpg)
Type d’attaque :Exploiter les faiblesses des protocoles et des implémentations (HTTP, Apache, TLS…)
Les systèmes deviennent indisponible suite à une saturation mémoire ou CPU
Attack Target Vector Description
Slowloris Connection Table Slowly feeds HTTP headers to keep connections open
R.U.D.Y (Slow POST) Connection table Slowly POSTs data to keep connections open
HashDos CPU Overwhelms hash tables in back-end platforms
SSL renegotiation CPU Exploits asymmetry of cryptographic operations
ATTAQUES HTTP
![Page 11: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/11.jpg)
Low and slow attack :
• Difficile à repérer car apparenté à du trafic légitime
• Une solution efficace nécessite une forte intégration avec les serveurs applicatifs
ATTAQUES HTTP (2)
![Page 12: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/12.jpg)
Requêtes HTTP/s
ATTAQUES HTTP (3) - DIFFÉRENTS MOYENS DE SE PROTÉGER
• HTTP Challenge Response :
302 Redirect Challenge
Java Script Challenge
• Rate Limit :
GET et POST limit
HTTP Bandwidth
Request-per-Source
Request-per-Connection
Request rate
• Server latency :
Temps moyen pour obtenir une réponse
![Page 13: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/13.jpg)
ATTAQUES DNS
• A cause de la simplicité du protocole DNS (basé sur UDP), les attaques DNS ont 2 caractéristiques :
Faciles à exécuter
Difficiles à bloquer
• Types d’attaques DNS :
UDP floods
Legitimate queries (NSQUERY)
Legitimate queries against non-existent hosts (NXDOMAIN)
![Page 14: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/14.jpg)
ATTAQUES DNS (2) - DIFFÉRENTS MOYENS DE SE PROTÉGER
DNS Query Challenge
Query Rate Limit
Détection des requêtes malformées
![Page 15: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/15.jpg)
Utilisation des ports ouverts (Port 80)
Utilisation de services connus (HTTP & DNS)Trafic légitime
Quelques paquets envoyés par l’attaquant– Résulte en plusieurs paquets réponses de la
cibleAttaquant : Get HTTP/1.0 (exemple)– Target: Sends megabytes of data
Bande passanteen baisse
POURQUOI UN FIREWALL EST INEFFICACE ?
![Page 16: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/16.jpg)
Flag to fragment packets Set maximum packet size to 100 bytes Send keep-alive to hold connection open
Exploit TCP/IP Protocol
Utilisation de TOR, de proxies et de BotnetLes attaquants se
cachent
POURQUOI UN FIREWALL EST INEFFICACE ? (2)
![Page 17: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/17.jpg)
SYN
SYN
SYN
SYN S
YN
PC Zombies
EVOLUTION DES ATTAQUES
![Page 18: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/18.jpg)
Déploiement sur site
Déploiement chez un ISP
CONTRE-MESURES
![Page 19: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/19.jpg)
CONCLUSION
Evolution des attaques DDoS à travers le temps
Dégâts considérables
Détourner l’attention et distraire
![Page 20: DDoS, la nouvelle arme des hackers](https://reader033.fdocument.pub/reader033/viewer/2022052903/55758087d8b42adb7e8b5105/html5/thumbnails/20.jpg)
www.e-xpertsolutions.com
www.e-xpertsolutions.com/rssglobal
blog.e-xpertsolutions.com
twitter.com/expertsolch
linkedin.com/company/110061?trk=tyah
slideshare.net/e-xpertsolutions
MERCI DE VOTRE ATTENTION
Gregory ChanezSenior Security Engineer
tel. +41 22 727 05 [email protected]
Raphael JakielaszekSecurity Engineer
tel. +41 22 727 05 55raphael.jakielaszek@e-xpertsolutions.comwww.e-xpertsolutions.com