DDOS ¡Adventures A ¡UGA ¡Story
Saturday ¡02/13/2016 ¡ 01:30 ¡to ¡02:30 ¡ attack ¡on ¡www.uga.edu
Sunday ¡03/37/2016 18:13 ¡to ¡22:00 attack ¡on ¡athena.uga.edu
Sunday ¡04/24/2016 02:00 225.0/24 ¡routing ¡via ¡Akamai ¡GREs 1Gbps ¡“On ¡Demand” 100 ¡Mbps ¡“Always ¡On” Challenge ¡to ¡overcome: MSS ¡1436 ¡(MTU ¡minus ¡IP, ¡TCP, ¡and ¡GRE ¡headers) MSS ¡to ¡1360
Asymmetric ¡Communication MSS ¡1360 Declare ¡MSS ¡1360
Ensure ¡that ¡protected ¡hosts ¡are ¡not RFC ¡1918 downloading ¡large ¡amounts ¡of ¡data SNAT 172.17.x.x NAT ¡at ¡FW MSS ¡1360
Monday ¡04/25/2016 08:00 ¡to ¡14:45 ¡ attack ¡on ¡router ¡subnets
Nul routes Coordinate ¡with ¡SoX ¡to ¡Black ¡hole ¡/ ¡Nul route ¡ Hosts ¡under ¡attack
Lessons: -‑ Nul routing ¡at ¡SoX ¡does ¡not ¡protect ¡SoX -‑ GRE ¡tunnel ¡endpoints ¡cannot ¡be ¡protected -‑ Palo ¡Altos ¡give ¡up ¡OSPF ¡adjacency ¡fast
Solutions: BGP ¡Black ¡hole ¡communities • RTR ¡subnets • Any ¡non ¡critical ¡subnet • Don’t ¡use ¡RTR ¡interfaces ¡for ¡GRE ¡endpoint • only ¡allow ¡GRE ¡endpoint ¡to ¡talk ¡to ¡Akamai • Blocked ¡traceroute ¡at ¡firewall ¡(as ¡application) • Multiple ¡edge ¡NAT ¡pools • • Requested ¡Akamai ¡drop ¡ICMP ¡and ¡UDP
Tuesday ¡04/26/2016 12:30 ¡to ¡13:01 attack ¡on ¡router ¡subnets
Attacks ¡coming ¡from ¡hosts ¡on ¡HE ¡network
Longer ¡term: Direct ¡connect ¡to ¡Akamai • Removes ¡need ¡for ¡GRE • Available ¡to ¡all ¡SoX ¡members • Telex ¡Black ¡hole •
• Tuesday ¡Sept ¡13 ¡? • Largest ¡confirmed ¡DDOS ¡on ¡record ¡– 620 ¡Gbps • Launched ¡against ¡Brian ¡Krebs ¡ • krebsonsecurity.com • Akamai ¡was ¡providing ¡protection ¡pro ¡bono • Akamai ¡dropped ¡Krebsonsecurity following ¡the ¡incident • Google ¡Project ¡Shield ¡picked ¡up Saturday ¡Sept ¡22 • OVH.com ¡hit ¡with ¡1Tbps ¡DDOS ¡– Unconfirmed • https://twitter.com/olesovhcom/status/779297257199964160?ref_src=twsrc%5Etfw • Botnet ¡“Mirai” • “Internet ¡of ¡Things” ¡(IoT) • “Internet ¡of ¡Trash” • IP ¡camera, ¡DVRs, ¡home ¡routers, ¡security ¡systems • UDP ¡and ¡GRE • October ¡30 • Source ¡code ¡release ¡on ¡Hackforums • https://github.com/jgamblin/Mirai-‑Source-‑Code •
Someone ¡is ¡learning ¡how ¡to ¡take ¡down ¡the ¡Internet ¡-‑ Bruce ¡Schneier • https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html • • Verisign ¡Q2 ¡2016 ¡DDOS ¡report • https://www.verisign.com/assets/report-‑ddos-‑trends-‑Q22016.pdf The ¡Short ¡Life ¡of ¡a ¡Vulnerable ¡DVR ¡Connected ¡to ¡the ¡Internet ¡-‑ Johannes ¡Ullrich • https://isc.sans.edu/forums/diary/The+Short+Life+of+a+Vulnerable+DVR+Connected+to+the+Internet/21543/ • “The ¡IP ¡address ¡is ¡hit ¡by ¡telnet ¡attempts ¡pretty ¡much ¡every ¡minute. ¡Instead ¡of ¡having ¡to ¡wait ¡for ¡a ¡long ¡time ¡to ¡ • see ¡an ¡attack, ¡my ¡problem ¡was ¡that ¡the ¡DVR ¡was ¡often ¡overwhelmed ¡by ¡the ¡attacks, ¡and ¡the ¡telnet ¡server ¡ stopped ¡responding.” Large ¡CCTV ¡Botnet ¡Leveraged ¡in ¡DDoS ¡Attacks ¡-‑ Daniel ¡Cid • https://blog.sucuri.net/2016/06/large-‑cctv-‑botnet-‑leveraged-‑ddos-‑attacks.html • How ¡Hacked ¡Cameras ¡Are ¡Helping ¡Launch ¡The ¡Biggest ¡Attacks ¡The ¡Internet ¡Has ¡Ever ¡Seen ¡-‑ Thomas ¡Fox-‑Brewster • http://www.forbes.com/sites/thomasbrewster/2016/09/25/brian-‑krebs-‑overwatch-‑ovh-‑smashed-‑by-‑largest-‑ddos-‑ • attacks-‑ever/#34c228d46fb6 community ¡centurylink-‑blackhole-‑community ¡members ¡209:0; community ¡hurricane-‑blackhole-‑community ¡members ¡6939:666; community ¡i2-‑blackhole-‑community ¡members ¡11537:911; community ¡telia-‑blackhole-‑community ¡members ¡1299:999; community ¡transitrail-‑blackhole-‑community ¡members ¡11164:53666;
Recommend
More recommend
