De Nationale Wasstraat (NaWas)

De Nationale Wasstraat (NaWas) Donderdag 18 juni 2015

© Copyright NBIP - 2015

1

Introductie  BIT (kleine ISP / datacenter in Ede)  NBIP (cooperatief shared service center voor ISP’s)  Contact: [email protected]

Donderdag 18 juni 2015


2

DDoS  Aanval op dienst, machine of netwerk  Opzettelijk of per ongeluk  Geen blijvende schade



3

Nieuw?  Soundmixshow (1988)  Ziggo / Ajax



4

Soorten  Flood  BGP hijack  Firewall  Applicatie



5

Soorten (2)  Hoe lager in de protocl stack hoe makkelijker uit te voeren  Ook makkelijker te detecteren  Veel verkeer  Dit zijn de meeste attacks



6

Motieven  Afpersing  Politiek / ideeel  Persoonlijk / pesterij  Afleiding voor andere cybercrime



7

Botnets  Kwetsbaarheden  Besturingssystemen  Applicaties  Devices  Op afstand bestuurd, aanvaller blijft ‘uit het zicht’



8

Amplification attacks  Gebruikt stateless protocollen (UDP)  Request met gespoofed source adres  Reply gaat naar het doelwit  Reply groter dan request

Veel gebruikte protocollen:  NTP  DNS  SNMP



9

Oorzaken  Software slecht onderhouden  CMS (weinig kennis bij gebruiker)  CPE routers (kennis, gebrek aan verantwoordelijkheid)  Andere apparatuur thuis (gebrek aan kennis en besef)  IOT (security vaak lage prio)



10

Gevolg  Veel apparatuur en bandbreedte is te misbruiken  Aanval van tientallen Gbit/s eenvoudig uit te voeren  Verhouding normaal / DDoS verkeer schever  Voor kleinere netwerken niet meer bij te benen



11

Bestrijding  Globaal probleem, afhankelijk van lokale wetgeving

 Cybercrime lang niet overal in wet opgenomen  Opsporing complex en tijdrovend  Niet iedere ISP heeft een actief anti-abuse beleid  Financiele belangen  Transit netwerken  Leveranciers anti-DDoS apparatuur  Exploitanten van botnets



12

DDoS as a Service  Vaak onder de noemer ‘stresstest’  Gratis kort ‘testen’  Ingewikkelder / langer tegen betaling



13

Wat doe je er aan?  Detectie  Blackholen  Anti-DDoS apparatuur  Veel bandbreedte  Commerciele diensten  Voor veel netwerken te duur



14

Detectie  Flow analyse: sampling  Vanaf meerdere routers  Vaste ‘rules’  Zelflerend  Volume, poort, protocol, packetsize DDoS of backup?

 Alarmering (SNMP / e-mail)  BGP (filtering of rerouting)



15

Nationale Wasstraat (NaWas)  Gemeenscahppelijke aanpak  Onafhankelijke partij  Non-profit  Sneller reageren dan bestaande services  Auto-detectie en mitigatie  Gebruik het internet zoals het is ontworpen (BGP!)



16



17

BGP  Core routers hebben routes voor elke prefix  TCP connectie met andere routers via internet exchanges, private peerings of transit leverancier  Routers announcen prefixen die ze weten te bereiken

 Verschillende criteria, zoals lengte van het pad  Meest specifieke route heeft altijd voorrang! Donderdag 18 juni 2015


18

Voorbeeld  www.bit.nl (213.136.12.236)  Wordt gerouteerd als 213.136.0.0/19  In geval van DDOS: 213.136.12.0/24  More specific, dus deze route heeft voorrang



19

Een klein stukje internet



20

Normale situatie



21

Tijdens een DDoS



22

Via NaWas



23

NaWas netwerk  Meerdere transit leveranciers  Peering (AMS-IX / NL-ix)  Volume attacks  ‘Intelligentere’ attacks  Schoon verkeer via AMS-IX of NL-ix  Flow data van alle verkeer naar deelnemer



24

Detectie



25

Automatische mitigatie



26

Vragen?



27

Thanks!



28

De Nationale Wasstraat (NaWas)

Recommend Documents