no cloud allowed
play

No Cloud Allowed Denying Service to DDOS Protection Services - PowerPoint PPT Presentation

Feb 24, 2024 •614 likes •875 views

No Cloud Allowed Denying Service to DDOS Protection Services Presented by: Allison Nixon Allison.Nixon@integralis.com Pentesting, Incident Response PaulDotCom host Cloud Based DDOS Protection How it works Fundamental flaws

  1. No Cloud Allowed Denying Service to DDOS Protection Services Presented by: Allison Nixon Allison.Nixon@integralis.com Pentesting, Incident Response PaulDotCom host

  2. Cloud Based DDOS Protection How ¡it ¡works ¡ Fundamental ¡flaws ¡ Many ¡ways ¡to ¡find ¡the ¡origin ¡IP ¡ Mi:ga:ng ¡the ¡threat ¡ Other ¡alterna:ves ¡ Slide ¡2 ¡

  3. How it Works – Filtering Traffic in Theory Inbound ¡Requests ¡ Response ¡is ¡passed ¡back ¡ (good ¡and ¡evil) ¡ through ¡the ¡filtering ¡ service ¡to ¡the ¡client ¡ Filtering ¡service ¡ receives ¡all ¡requests ¡ Filtering ¡Service ¡ The ¡user ¡ Only ¡good ¡requests ¡ are ¡passed ¡along. ¡ ¡ ¡ cannot ¡ Server ¡ (AKA ¡the ¡origin) ¡ interact ¡ directly ¡with ¡ Server ¡processes ¡requests ¡ and ¡sends ¡response ¡ the ¡origin ¡ Slide ¡3 ¡

  4. How it Works – DNS Based Mitigation Normal ¡ Inbound ¡Requests ¡ Or ¡we ¡could ¡ opera:ons ¡ (using ¡DNS ¡ take ¡a ¡more ¡ normally) ¡ direct ¡route… ¡ Inbound ¡Requests ¡ (manually ¡ Filtering ¡Service ¡ resolving ¡DNS) ¡ No filtering Server ¡ haha oops! (AKA ¡the ¡origin) ¡ Poin:ng ¡your ¡DNS ¡to ¡the ¡filter ¡will ¡not ¡block ¡traffic ¡to ¡the ¡origin ¡ DNS ¡resolu:on ¡is ¡NOT ¡a ¡network ¡access ¡control ¡ The ¡origin ¡IP ¡can ¡be ¡kept ¡secret ¡but ¡this ¡is ¡security ¡by ¡obscurity ¡ All ¡filtering/DDoS ¡blocking ¡can ¡be ¡bypassed ¡if ¡the ¡origin ¡can ¡be ¡found ¡ Slide ¡4 ¡

  5. Fundamental Flaws Cloud ¡Based ¡DDoS ¡protec:on ¡bypass ¡ • Fundamental ¡flaws ¡-­‑ ¡Mi:ga:ons ¡are ¡messy ¡and ¡difficult ¡ • Mul:ple ¡providers ¡are ¡affected, ¡including ¡the ¡largest ¡ones ¡ on ¡the ¡market ¡ Techniques ¡may ¡be ¡effec:ve ¡for ¡other ¡cloud-­‑ based ¡filtering ¡services ¡like ¡WAF ¡and ¡e-­‑mail ¡ filtering ¡ Slide ¡5 ¡

  6. Fundamental Flaws Three ¡ways ¡to ¡route ¡traffic: ¡DNS, ¡BGP, ¡inline ¡ Using ¡DNS ¡to ¡reroute ¡traffic ¡ • Clever ¡a]ackers ¡can ¡send ¡traffic ¡to ¡the ¡origin ¡ • There ¡is ¡low ¡awareness ¡of ¡just ¡how ¡easy ¡it ¡is ¡ • Every ¡provider ¡that ¡uses ¡DNS ¡based ¡mi:ga:on ¡is ¡affected ¡ Providers ¡that ¡use ¡BGP ¡based ¡mi:ga:on ¡or ¡inline ¡filtering ¡ are ¡not ¡affected ¡ • BGP ¡is ¡prac:cally ¡inline ¡because ¡IP ¡traffic ¡cannot ¡choose ¡how ¡it ¡is ¡routed ¡ Slide ¡6 ¡

  7. Fundamental Flaws A ¡server’s ¡public ¡facing ¡IP ¡was ¡not ¡intended ¡to ¡be ¡ secret ¡informa:on ¡ Many ¡sources ¡of ¡informa:on ¡leakage ¡can ¡reveal ¡the ¡ origin. ¡ Once ¡the ¡origin ¡IP ¡is ¡known, ¡all ¡protec:on ¡is ¡lost ¡ Unmasking ¡an ¡origin ¡is ¡very ¡easy ¡ Slide ¡7 ¡

  8. Many ways to find the origin IP Verifying ¡the ¡origin ¡IP ¡is ¡straighdorward ¡ • Manually ¡resolve ¡DNS ¡and ¡view ¡the ¡origin’s ¡website ¡ directly ¡ • If ¡firewall ¡rules ¡prevent ¡verifica:on, ¡DDoS ¡the ¡origin ¡ • The ¡provider ¡will ¡show ¡a ¡cached ¡copy ¡of ¡the ¡site ¡if ¡ the ¡origin ¡is ¡unreachable ¡ Slide ¡8 ¡

  9. Many ways to find the origin IP Verifying ¡the ¡origin ¡IP ¡is ¡straighdorward ¡ Slide ¡9 ¡

  10. Many ways to find the origin IP Slide ¡10 ¡

  11. Many ways to find the origin IP Slide ¡11 ¡

  12. Many ways to find the origin IP Verifying ¡the ¡origin ¡IP ¡is ¡straighdorward ¡ Slide ¡12 ¡

  13. Many ways to find the origin IP Slide ¡13 ¡

  14. Many ways to find the origin IP - DNS Related ¡DNS ¡records ¡ • www.vic:m.com ¡points ¡to ¡a ¡DDoS ¡protec:on ¡ provider’s ¡range, ¡but ¡ip.vic:m.com ¡points ¡to ¡the ¡ origin ¡ • www.vic:m2013event.com ¡may ¡point ¡to ¡the ¡origin. ¡ Check ¡all ¡domains ¡owned ¡by ¡your ¡target ¡ Historical ¡DNS ¡records ¡ • If ¡the ¡origin ¡IP ¡was ¡not ¡changed ¡aier ¡protec:on ¡is ¡set ¡ up, ¡historical ¡DNS ¡services ¡exist ¡that ¡could ¡have ¡ recorded ¡the ¡origin ¡IP ¡ Slide ¡14 ¡

  15. Many ways to find the origin IP - Connections Outbound ¡connec:ons ¡to ¡an ¡a]acker ¡controlled ¡server ¡ • DDoS ¡protec:on ¡services ¡act ¡as ¡HTTP ¡reverse ¡proxies, ¡but ¡they ¡do ¡not ¡ proxy ¡outbound ¡connec:ons ¡ • Applica:on ¡specific ¡features ¡like ¡“avatar ¡upload” ¡on ¡forums ¡ Outbound ¡e-­‑mail ¡headers ¡ • “I ¡forgot ¡my ¡password” ¡ • “I ¡wish ¡to ¡subscribe ¡to ¡your ¡newsle]er” ¡ Slide ¡15 ¡

  16. Many ways to find the origin IP - Leaks Server ¡specific ¡informa:on ¡leakage ¡ • HTTP ¡authoriza:on ¡some:mes ¡leak ¡origin ¡IP ¡ Applica:on ¡specific ¡informa:on ¡leakage ¡ • Overly ¡helpful ¡error ¡messages ¡ • Exposed ¡config ¡files ¡ Slide ¡16 ¡

  17. Many ways to find the origin IP - Providers DMCA ¡complaints ¡ • Submit ¡bogus ¡DMCA ¡complaints ¡to ¡obtain ¡the ¡origin ¡IP ¡of ¡ Cloudflare ¡customers* ¡ Other ¡types ¡of ¡abuse ¡complaints ¡ • Depends ¡on ¡the ¡policies ¡of ¡the ¡DDoS ¡protec:on ¡provider ¡ Exceeding ¡capacity ¡ • DDoSing ¡with ¡a ¡large ¡enough ¡a]ack ¡can ¡apparently ¡drop ¡the ¡ customer ¡into ¡bypass ¡mode, ¡especially ¡for ¡cheap/free ¡ accounts** ¡ * ¡h]p://blog.cloudflare.com/thoughts-­‑on-­‑abuse ¡ ¡ ** ¡link ¡to ¡a ¡google ¡cached ¡version ¡of ¡a ¡malicious ¡"Cloudflare ¡dropping" ¡service. ¡Not ¡personally ¡tested ¡by ¡me ¡ ¡ ¡ ¡ Slide ¡17 ¡

  18. Many ways to find the origin IP - Other As ¡of ¡yet ¡undiscovered ¡methods ¡to ¡discover ¡the ¡origin ¡IP ¡ • Not ¡much ¡serious ¡research ¡has ¡been ¡done ¡in ¡gepng ¡a ¡server ¡to ¡divulge ¡ its ¡public ¡facing ¡IP, ¡because ¡this ¡is ¡generally ¡not ¡a ¡security ¡issue ¡ • If ¡more ¡research ¡is ¡done, ¡more ¡exploits ¡may ¡emerge ¡ Target ¡specific ¡informa:on ¡leakage ¡ • Informa:on ¡is ¡not ¡considered ¡sensi:ve ¡so ¡may ¡be ¡carelessly ¡lei ¡around, ¡ can ¡be ¡found ¡manually ¡ Slide ¡18 ¡

  19. Many ways to find the origin IP - Scanner NoCloudAllowed.com ¡ L ¡ • Scans ¡the ¡en:re ¡Internet ¡for ¡servers ¡that ¡ look ¡like ¡the ¡protected ¡website ¡ • Same ¡method ¡as ¡manual ¡origin ¡verifica:on, ¡ but ¡against ¡every ¡IP ¡in ¡an ¡arbitrary ¡range ¡ • Unmasks ¡the ¡origin ¡even ¡in ¡the ¡absence ¡of ¡ informa:on ¡leakage ¡ • Obscurity ¡is ¡no ¡more ¡ Slide ¡19 ¡

  20. Mitigating the Threat Non-­‑standard ¡configura:ons ¡to ¡prevent ¡unmasking ¡ • Block ¡traffic ¡from ¡outside ¡the ¡provider’s ¡range ¡ Mi:ga:on ¡techniques ¡may ¡harm ¡availability ¡ • Blocking ¡outside ¡requests ¡can ¡backfire ¡if ¡the ¡provider ¡must ¡go ¡ into ¡bypass ¡mode ¡or ¡the ¡provider ¡sends ¡traffic ¡from ¡new ¡ranges ¡ Security ¡non-­‑issues ¡become ¡security ¡issues ¡ • The ¡public ¡facing ¡IP ¡of ¡a ¡server ¡is ¡generally ¡not ¡considered ¡ sensi:ve ¡data, ¡apps ¡are ¡not ¡designed ¡to ¡conceal ¡this ¡ Slide ¡20 ¡

  21. Mitigating the Threat Inspect ¡all ¡apps ¡for ¡ Outbound ¡mail ¡ Check ¡error ¡ outbound ¡ must ¡obscure ¡the ¡ messages ¡for ¡IP ¡ connec:ons ¡ source ¡ leakage ¡ Remove ¡all ¡DNS ¡ Fix ¡IP ¡leakage ¡ Security ¡by ¡ records ¡poin:ng ¡to ¡ issues ¡specific ¡to ¡ obscurity ¡ the ¡origin ¡ your ¡setup ¡ A]ackers ¡bypass ¡ Fix ¡problems ¡ Change ¡your ¡IP ¡ your ¡protec:ons ¡ caused ¡by ¡ every ¡:me ¡it ¡is ¡ every ¡:me ¡they ¡ changing ¡your ¡ leaked ¡ find ¡your ¡IP ¡ server’s ¡IP ¡ Slide ¡21 ¡

Recommend

Licensing Opportunity Licensing to: Cloud to Cable Software: US Patents: 10123074 ,

Licensing Opportunity Licensing to: Cloud to Cable Software: US Patents: 10123074 ,

Licensing Opportunity Licensing to: Cloud to Cable Software: US Patents: 10123074 , 16/152,606 (Allowed)., European Patent: EP3238457 By Dr. Edwin A. Hernandez Mondragon Inventor and Owner September 5 th , 2019 edwinhm@eglacorp.com

461 views • 10 slides
Embracing Cloud Ian Apperley Agenda A little about me What is Cloud and where did it come

Embracing Cloud Ian Apperley Agenda A little about me What is Cloud and where did it come

Embracing Cloud Ian Apperley Agenda A little about me What is Cloud and where did it come from? Why Cloud? Cloud for small, medium, enterprise, and government Barriers to adoption Embracing Cloud Social Mobile Cloud

972 views • 45 slides
SAS and (the) Cloud Dave Annis SAS Solutions onDemand SAS and (the) Cloud Everyones Cloud

SAS and (the) Cloud Dave Annis SAS Solutions onDemand SAS and (the) Cloud Everyones Cloud

SAS and (the) Cloud Dave Annis SAS Solutions onDemand SAS and (the) Cloud Everyones Cloud Tour of the buzzwords, myths and realities Whats in store for me, the boss, the company, the industry? Your cloud, our cloud their

224 views • 19 slides
CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

Cornell CS5412 Cloud Computing (Spring 2015) 1 CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is cheaper! The cloud business model is growing at an unparalleled pace without any limit in sight

632 views • 45 slides
CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is

1 CS5412: THE CLOUD VALUE PROPOSITION Lecture XXII Ken Birman Cloud Hype 2 The cloud is cheaper The cloud business model is growing at an unparalleled pace without any limit in sight In the future everything will be on the cloud

945 views • 65 slides
The Cloud Is Big! The Cloud Is Hot! IT industry Constitutes about 2% of total US energy

The Cloud Is Big! The Cloud Is Hot! IT industry Constitutes about 2% of total US energy

The Data Furnace: Heating Up with Cloud Computing Jie Liu , Michel Goraczko, Jiakang Lu Sean James, Christian Belady Kamin Whitehouse Microsoft University of Virginia The Cloud Is Big! The Cloud Is Hot! IT industry Constitutes about 2%

551 views • 16 slides
Cloud Computing & Cloud Models Cloud Models Topics Defining cloud computing

Cloud Computing & Cloud Models Cloud Models Topics Defining cloud computing

Cloud Computing & Cloud Models Cloud Models Topics Defining cloud computing Understanding: Distributed Application Design Resource Management Automation Virtualized Computing Environments High-performance Computing

1.02k views • 49 slides
NVIDIA GPUs in the Cloud 4 EVOLVING CLOUD REQUIREMENTS On Off Hybrid Cloud premises premises

NVIDIA GPUs in the Cloud 4 EVOLVING CLOUD REQUIREMENTS On Off Hybrid Cloud premises premises

NVIDIA GPUs in the Cloud 4 EVOLVING CLOUD REQUIREMENTS On Off Hybrid Cloud premises premises Connecting clouds New workloads Components to disrupt SOFTLAYER CAPABILITIES OVERVIEW 5 GLOBAL CLOUD PLATFORM Unified architecture enabled by

390 views • 17 slides
Allowed Revenue, presentation for DNCMF Robert Wigginton Objectives Provide an overview/recap

Allowed Revenue, presentation for DNCMF Robert Wigginton Objectives Provide an overview/recap

June 2017 Allowed Revenue, presentation for DNCMF Robert Wigginton Objectives Provide an overview/recap of how Network price control is set under RIIO to deliver a safe reliable flow of gas. How is allowed revenue calculated How is

127 views • 12 slides
github.com/18F/cg-workshop I Want You to use cloud.gov : Focus on mission " :

github.com/18F/cg-workshop I Want You to use cloud.gov : Focus on mission " :

09:00 Welcome Shashank Khandelwal 09:10 cloud.gov Overview 09:40 cloud.gov Hands-on I 10:20 Break 10:30 Federalist Will Slack 10:40 cloud.gov Hands-on II 11:30 Q & A github.com/18F/cg-workshop I Want You to use cloud.gov

461 views • 34 slides
Cloud Ross Mallace Commercial Director Cloud/SaaS Cloud is here. ALL By 2020 most core

Cloud Ross Mallace Commercial Director Cloud/SaaS Cloud is here. ALL By 2020 most core

Banking in the Cloud Ross Mallace Commercial Director Cloud/SaaS Cloud is here. ALL By 2020 most core most banking initiatives will be in the cloud John Schlesinger Changing Cloud Adoption in Financial Services Over 100

561 views • 20 slides
A vision for Carrier Cloud Networking... Itzik Weinstein, CEO 1 Cloud Services The Cloud is

A vision for Carrier Cloud Networking... Itzik Weinstein, CEO 1 Cloud Services The Cloud is

A vision for Carrier Cloud Networking... Itzik Weinstein, CEO 1 Cloud Services The Cloud is highly scalable, and managed infrastructure capable of hosting end- customer applications and billed by consumption. - Forrester Virtual

399 views • 6 slides
Cloud-Integrated IP Design: Bursting EDA Workflows to the Public Cloud Jerome McFarland,

Cloud-Integrated IP Design: Bursting EDA Workflows to the Public Cloud Jerome McFarland,

Cloud-Integrated IP Design: Bursting EDA Workflows to the Public Cloud Jerome McFarland, Marketing Director, Elastifile Agenda Why Cloud? How Cloud? Real-World Example Why Cloud? IC Design Complexity is Steadily Increasing Process

604 views • 31 slides
Cloud-iQ New features including xSP reporting Crayon Channel Team Cloud-iQ updates The Cloud-iQ

Cloud-iQ New features including xSP reporting Crayon Channel Team Cloud-iQ updates The Cloud-iQ

Cloud-iQ New features including xSP reporting Crayon Channel Team Cloud-iQ updates The Cloud-iQ Platform is Crayons Cloud Service Scaling Engine. Offering best in class self- provisioning, billing and reporting capabilities to

346 views • 12 slides
Building a Private Cloud Cloud Infrastructure Using Opensource Building a Private Cloud OSCON

Building a Private Cloud Cloud Infrastructure Using Opensource Building a Private Cloud OSCON

Building a Private Cloud Cloud Infrastructure Using Opensource Building a Private Cloud OSCON 2010 Building a Private Cloud with Ubuntu Server 10.04 Enterprise Cloud (Eucalyptus) OSCON 2010 (Note: Special thanks to Jim Beasley, my lead Cloud

604 views • 37 slides
SUSE OpenStack Cloud 126 126 What is SUSE OpenStack Cloud You know of Cloud Compute right?

SUSE OpenStack Cloud 126 126 What is SUSE OpenStack Cloud You know of Cloud Compute right?

SUSE OpenStack Cloud 126 126 What is SUSE OpenStack Cloud You know of Cloud Compute right? Maybe you use AWS or Azure? Allowing pay-as-you-go model for IT infrastructure and toward dynamic software-defined service delivery.

168 views • 16 slides
Towards ds a self elf auto tomated CE CERN Clo Cloud Jos Castro Len CERN Cloud

Towards ds a self elf auto tomated CE CERN Clo Cloud Jos Castro Len CERN Cloud

Towards ds a self elf auto tomated CE CERN Clo Cloud Jos Castro Len CERN Cloud Infrastructure CERN Cloud Team Who am I? Outlines Introduction CERN Cloud service Automation status Upcoming challenges Improvement

799 views • 34 slides
Going Cloud Native with Cloud Foundry @chipchilders Chip Childers, VP Technology Cloud Foundry

Going Cloud Native with Cloud Foundry @chipchilders Chip Childers, VP Technology Cloud Foundry

Going Cloud Native with Cloud Foundry @chipchilders Chip Childers, VP Technology Cloud Foundry Foundation Why does Cloud Native matter? Since 2000, 52% of the Fortune 500 are no longer on the list Continuous Innovation There is a rough

794 views • 50 slides
Outline Get Off of My Cloud 8271 discussion of cloud computing security (combined)

Outline Get Off of My Cloud 8271 discussion of cloud computing security (combined)

Outline Get Off of My Cloud 8271 discussion of cloud computing security (combined) Administrative discussions Stephen McCamant University of Minnesota Multi-Cloud Oblivious Storage Old and new topics in security Cloud threats, old and new

645 views • 8 slides
Cloud Native Go Building Scalable, Resilient Microservices for the Cloud in Go 1 / 29

Cloud Native Go Building Scalable, Resilient Microservices for the Cloud in Go 1 / 29

Cloud Native Go 6/28/17, 11)02 AM Cloud Native Go Building Scalable, Resilient Microservices for the Cloud in Go 1 / 29 file:///Users/kimberlyamaral/Desktop/cng-presentation/pres.html#1 Page 1 of 38 Cloud Native Go 6/28/17, 11)02 AM Agenda

566 views • 38 slides
Problem solved: Cloud Cost Management 2 Cloud Cost Management Using cloud services from

Problem solved: Cloud Cost Management 2 Cloud Cost Management Using cloud services from

Problem solved: Cloud Cost Management 2 Cloud Cost Management Using cloud services from IaaS to Accelerate digital SaaS creates huge new opportunities transformation to transform the speed, effjciency and operating costs of a

298 views • 10 slides
Cloud Computing and Cloud Storage By: Maurice Kelly History of Internet and Cloud Computing

Cloud Computing and Cloud Storage By: Maurice Kelly History of Internet and Cloud Computing

Cloud Computing and Cloud Storage By: Maurice Kelly History of Internet and Cloud Computing Internet began in the 1950s Internet has been quite revolutoinary due to its lightning fast communication privelages and data sharing. Cloud

378 views • 6 slides
2020 BUDGET 2020 Budget Change in Appropriations: Tax Rate: 0.483 cents = same rate as 2019

2020 BUDGET 2020 Budget Change in Appropriations: Tax Rate: 0.483 cents = same rate as 2019

PUBLIC HEARING 2020 BUDGET 2020 Budget Change in Appropriations: Tax Rate: 0.483 cents = same rate as 2019 1977 Cap Allowed by State for 2020 = 2.50% Allowed by Cap Ordinance = 3.50% Additional ratables and revenues have allowed

301 views • 15 slides
Chapter 9 Cloud Security Contents Security in an interconnected world, cloud security

Chapter 9 Cloud Security Contents Security in an interconnected world, cloud security

Chapter 9 Cloud Security Contents Security in an interconnected world, cloud security risks. Attacks in a cloud environment, top threats. Security, a major concern for cloud users. Privacy. Trust. Operating systems

661 views • 38 slides

More recommend