yuri gushin alex behar introduction dos attacks overview
play

Yuri Gushin & Alex Behar Introduction DoS Attacks - PowerPoint PPT Presentation

Apr 01, 2023 •117 likes •589 views

Yuri Gushin & Alex Behar Introduction DoS Attacks overview & evolution DoS Protection Technology Operational mode Detection

  1. Yuri ¡Gushin ¡& ¡Alex ¡Behar ¡

  2. Ø Introduction ¡ Ø DoS ¡Attacks ¡– ¡overview ¡& ¡evolution ¡ ¡ Ø DoS ¡Protection ¡Technology ¡ Ø Operational ¡mode ¡ Ø Detection ¡ Ø Mitigation ¡ Ø Performance ¡ Ø Wikileaks ¡(LOIC) ¡attack ¡tool ¡analysis ¡ ¡ Ø Roboo ¡release ¡& ¡live ¡demonstration ¡ Ø Summary ¡

  3. labs ¡

  4. Newton’s ¡Third ¡Law ¡(of ¡Denial ¡of ¡Service) ¡ For ¡every ¡action, ¡there ¡is ¡an ¡equal ¡and ¡opposite ¡reaction. ¡ ¡ ¡ ¡ Research ¡and ¡mitigate ¡DoS ¡attacks ¡ ¡ ¡ ¡ Core ¡founders ¡of ¡the ¡Radware ¡ERT ¡ ¡ In ¡charge ¡of ¡Radware’s ¡strategic ¡security ¡customers ¡around ¡ EMEA ¡and ¡the ¡Americas ¡

  6. ¡ Goal ¡– ¡exhaust ¡target ¡resources ¡to ¡a ¡point ¡where ¡ service ¡is ¡interrupted ¡ ¡ ¡ ¡ Common ¡motives ¡ § Hacktivism ¡ § Extortion ¡ § Rivalry ¡ ¡ ¡ ¡ Most ¡big ¡attacks ¡succeed! ¡

  7. ¡ Scoping ¡the ¡threat ¡– ¡main ¡targets ¡at ¡risk ¡ Ø On-­‑line ¡businesses, ¡converting ¡uptime ¡to ¡revenue ¡ ¡ Ø Cloud ¡subscribers, ¡paying ¡per-­‑use ¡for ¡bandwidth ¡utilization ¡ ¡

  8. ¡ Layer ¡3 ¡-­‑ ¡muscle-­‑based ¡attacks ¡ § Flood ¡of ¡TCP/UDP/ICMP/IGMP ¡packets, ¡overloading ¡infrastructure ¡due ¡ to ¡high ¡rate ¡processing/discarding ¡of ¡packets ¡and ¡filling ¡up ¡the ¡packet ¡ queues, ¡or ¡saturating ¡pipes ¡ § Introduce ¡a ¡packet ¡workload ¡most ¡gear ¡isn't ¡designed ¡for ¡ § Example ¡-­‑ ¡UDP ¡flood ¡to ¡non-­‑listening ¡port ¡ I’m ¡hit! ¡ I’m ¡hit! ¡ I’m ¡hit! ¡ CPU ¡ CPU ¡ CPU ¡ overloaded ¡ overloaded ¡ overloaded ¡ UDP ¡to ¡port ¡80 ¡ Internet Access Firewall IPS Switch DMZ Router

  9. ¡ Layer ¡4 ¡– ¡slightly ¡more ¡sophisticated ¡ § DoS ¡attacks ¡consuming ¡extra ¡memory, ¡CPU ¡cycles, ¡and ¡triggering ¡ responses ¡ Ø TCP ¡SYN ¡flood ¡ ¡ Ø TCP ¡new ¡connections ¡flood ¡ Ø TCP ¡concurrent ¡connections ¡exhaustion ¡ Ø TCP/UDP ¡garbage ¡data ¡flood ¡to ¡listening ¡services ¡(ala ¡LOIC) ¡ I’m ¡hit! ¡ SYN ¡queue ¡is ¡full, ¡ § Example ¡– ¡SYN ¡flood ¡ dropping ¡new ¡ connections ¡ SYN ¡ Internet Access Firewall IPS Switch DMZ Router SYN+ACK ¡

  10. ¡ Layer ¡7 ¡– ¡the ¡culmination ¡of ¡evil! ¡ § DoS ¡attacks ¡abusing ¡application-­‑server ¡memory ¡and ¡performance ¡ limitations ¡– ¡ masquerading ¡as ¡legitimate ¡transactions ¡ Ø HTTP ¡page ¡flood ¡ Ø HTTP ¡bandwidth ¡consumption ¡ Ø DNS ¡query ¡flood ¡ Ø SIP ¡INVITE ¡flood ¡ I’m ¡hit! ¡ Ø Low ¡rate, ¡high ¡impact ¡attacks ¡-­‑ ¡e.g. ¡Slowloris, ¡HTTP ¡POST ¡DoS ¡ HTTP ¡requests/second ¡at ¡ the ¡maximum ¡ HTTP: ¡GET ¡/ ¡ Internet Access Firewall IPS Switch DMZ Router HTTP: ¡503 ¡ Service ¡Unavailable ¡ HTTP: ¡200 ¡OK ¡

  12. ① Operational ¡modes ¡ ② Detection ¡ ③ Mitigation ¡

  13. Operational ¡mode ¡

  14. ① Operational ¡mode ¡ The ¡operational ¡mode ¡is ¡defined ¡during ¡the ¡configuration ¡of ¡ an ¡Anti-­‑DoS ¡system. ¡ ¡ There ¡are ¡two ¡typical ¡operational ¡modes: ¡ § Static ¡– ¡static ¡rate-­‑based ¡thresholds ¡are ¡set ¡for ¡ detection ¡ ¡(e.g. ¡SYNs/second, ¡HTTP ¡requests/ second) ¡ § Adaptive ¡– ¡the ¡system ¡learns ¡and ¡adapts ¡dynamic ¡ thresholds ¡continuously, ¡according ¡to ¡the ¡network ¡ characteristics ¡

  15. Ø Static ¡thresholds ¡ ¡Put ¡the ¡user ¡in ¡control ¡ ü × Requires ¡constant ¡tuning ¡and ¡maintenance ¡– ¡decreasing ¡ accuracy ¡and ¡increasing ¡operational ¡expenses ¡ Restricts ¡detection ¡phase ¡to ¡a ¡single-­‑dimension ¡(rate) ¡ × Ø Adaptive ¡thresholds ¡ Adapts ¡to ¡the ¡real ¡traffic ¡characteristics, ¡improving ¡accuracy ¡ ü Automatic ¡– ¡no ¡need ¡to ¡tune ¡every ¡time ¡before ¡Christmas! ¡ ü Anything ¡can ¡be ¡learned ¡– ¡allowing ¡the ¡detection ¡phase ¡for ¡ ü behavioral ¡multi-­‑dimensional ¡decision-­‑making ¡(rate ¡& ¡ratio) ¡

  16. Detection ¡

  17. ② Detection ¡ Reliant ¡on ¡the ¡data ¡from ¡the ¡previous ¡phase ¡– ¡the ¡ detection ¡phase ¡can ¡be ¡one ¡of ¡the ¡following: ¡ Rate-­‑based ¡(single-­‑dimensional) ¡– ¡the ¡detection ¡engine ¡ § will ¡detect ¡anything ¡breaching ¡the ¡threshold ¡as ¡an ¡attack ¡ Behavioral ¡(multi-­‑dimensional) ¡– ¡the ¡detection ¡engine ¡will ¡ § correlate ¡the ¡dynamic ¡thresholds ¡and ¡real-­‑time ¡traffic ¡of ¡ several ¡dimensions ¡(e.g. ¡rate ¡& ¡ratio) ¡to ¡detect ¡an ¡attack ¡ ¡

  18. Rate-­‑based ¡(single-­‑dimensional) ¡ ¡ Ø Prone ¡to ¡false-­‑positives ¡(legitimate ¡traffic ¡identified ¡as ¡attack) ¡ × Prone ¡to ¡false-­‑negatives ¡(attack ¡traffic ¡below ¡the ¡radar) ¡ × No ¡attacks ¡ Attack ¡Detected ¡ ¡ ¡ Examples: ¡ SYNs ¡/ ¡second ¡ § Current ¡rate ¡ HTTP ¡requests ¡/ ¡second ¡ § HTTP ¡requests ¡/ ¡second ¡/ ¡source ¡IP ¡ ¡ Threshold ¡ § Current ¡rate ¡ ¡ HTTP ¡requests ¡/ second ¡

  19. Behavioral ¡(multi-­‑dimensional) ¡ Ø Highly ¡accurate ¡due ¡to ¡correlation ¡of ¡multiple ¡dimensions ¡ ü ¡ Rate ¡dimension ¡consists ¡of ¡the ¡throughput ¡and ¡rate ¡of ¡packets/ § requests/messages ¡(depending ¡on ¡the ¡protected ¡layer) ¡ E.g. ¡PPS, ¡BPS, ¡HTTP ¡requests ¡per ¡second, ¡SIP ¡messages ¡per ¡second, ¡DNS ¡queries ¡per ¡ ▪ second ¡ Ratio ¡dimension ¡consists ¡of ¡the ¡ratio, ¡per ¡protocol, ¡of ¡message/packet/ § request/data ¡types ¡ E.g. ¡L4 ¡Protocol ¡%, ¡TCP ¡flag ¡%, ¡HTTP ¡content-­‑type ¡%, ¡DNS ¡query ¡type ¡% ¡ ▪ Ø Logic ¡– ¡both ¡dimensions ¡must ¡identify ¡“anomalies” ¡to ¡decide ¡an ¡attack ¡ is ¡ongoing ¡

  20. Example: ¡L3 ¡flood ¡ Decision = Attack! Z-axis Attack area Attack Degree axis Suspicious area X-axis Y-axis Normal area Abnormal protocol distribution [%] n o i s n e m d i e t a R Abnormal rate of packets,…

  21. Example: ¡L4 ¡flood ¡ Decision = Attack! Z-axis Attack area Attack Degree axis Suspicious area X-axis Y-axis Normal area Abnormal TCP flag distribution [%] n o i s n e m d i e t a R Abnormal rate of SYN packets

  22. Example: ¡L7 ¡flood ¡ Decision = Attack! Z-axis Attack area Attack Degree axis Suspicious area X-axis Y-axis Normal area Abnormal content-type distribution [%] n o i s n e m d i e t a R Abnormal rate of HTTP requests

  23. Example: ¡Flash ¡Crowd ¡scenario ¡ Z-axis Attack area Attack Degree axis Suspicious Decision = not an area attack! X-axis Y-axis Normal area n o i s n e m d i e t a R Abnormal rate of Normal TCP flag SYN packets distribution [%]

  24. Mitigation ¡

  25. ③ Mitigation ¡ An ¡attack ¡has ¡been ¡detected, ¡now ¡we ¡need ¡to ¡analyze ¡it ¡ and ¡start ¡mitigating! ¡ Mitigation ¡flow ¡ Analysis ¡ ¡ § Active ¡& ¡passive ¡mitigation ¡ §

  26. Analysis ¡– ¡generate ¡a ¡real-­‑time ¡signature ¡of ¡the ¡ongoing ¡ § DoS ¡attack, ¡by ¡using ¡the ¡highest ¡repeating ¡anomaly ¡ values ¡from ¡L3-­‑L7 ¡headers ¡ Exactly ¡what ¡you ¡do ¡manually ¡when ¡under ¡attack, ¡sifting ¡through ¡ Ø Wireshark ¡looking ¡for ¡patterns ¡ J ¡ ¡

  27. Juno2.c ¡– ¡Popular ¡SYN ¡Flooder ¡ ¡ ¡ Very ¡good ¡performance ¡(up ¡to ¡700K ¡PPS ¡per ¡box) ¡ ¡ Creates ¡a ¡fairly ¡static ¡header ¡ ¡ Each ¡attack ¡has ¡its ¡own ¡“fixed” ¡characteristics ¡ [src.port ¡+ ¡dst.port ¡+ ¡win.size ¡+ ¡ip.ttl ¡+ ¡tcp.ack ¡!= ¡0] ¡

Recommend

Remote delivery of postgraduate-level courses http://maths-magic.ac.uk/ Yuri Bazlov Yuri Bazlov

Remote delivery of postgraduate-level courses http://maths-magic.ac.uk/ Yuri Bazlov Yuri Bazlov

Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov yuri.bazlov@manchester.ac.uk yuri.bazlov@manchester.ac.uk yuri.bazlov@manchester.ac.uk

226 views • 9 slides
Introduction the literature and research strategy Scott Bates 1 , Vadim Gushin 2 , Joshua Marquit

Introduction the literature and research strategy Scott Bates 1 , Vadim Gushin 2 , Joshua Marquit

Plants as countermeasures in long- duration space missions: A review of Introduction the literature and research strategy Scott Bates 1 , Vadim Gushin 2 , Joshua Marquit 1 , Gail Bingham 3 & Last week I got to photograph the Vladimir

306 views • 8 slides
Attacks and Countermeasures for White-box Designs Alex Biryukov, Aleksei Udovenko CSC and SnT,

Attacks and Countermeasures for White-box Designs Alex Biryukov, Aleksei Udovenko CSC and SnT,

Attacks and Countermeasures for White-box Designs Alex Biryukov, Aleksei Udovenko CSC and SnT, University of Luxembourg December 5, 2018 Plan 1 Introduction 2 Attacks on Masked White-box Implementations 3 Countermeasures 4 Algebraic Security 0

797 views • 53 slides
WELCOME WELCOME TO TO COOCH BEHAR COLLEGE COOCH BEHAR COLLEGE Implementation of Semester

WELCOME WELCOME TO TO COOCH BEHAR COLLEGE COOCH BEHAR COLLEGE Implementation of Semester

WELCOME WELCOME TO TO COOCH BEHAR COLLEGE COOCH BEHAR COLLEGE Implementation of Semester System with CBCS in UG level at CBPBU Route Map and Challenges Type of Degrees Offered Type of Courses Course Structures CBPBU : Credit,

477 views • 21 slides
Quantum Attacks on Symmetric Cryptography Gregor Leander (joint work with Alex May) MMC 2017

Quantum Attacks on Symmetric Cryptography Gregor Leander (joint work with Alex May) MMC 2017

Introduction Quantum Basics Grover Grover and Simon on Symmetric Crypto The FX Construction Conclusion Quantum Attacks on Symmetric Cryptography Gregor Leander (joint work with Alex May) MMC 2017 Introduction Quantum Basics Grover Grover

1.45k views • 97 slides
Not-a-Bot Improving Service Availability in the Face of Botnet Attacks Overview Introduction

Not-a-Bot Improving Service Availability in the Face of Botnet Attacks Overview Introduction

Not-a-Bot Improving Service Availability in the Face of Botnet Attacks Overview Introduction to the problem Architecture of NAB A way to attest human-generated traffic Use of attestation to mitigate presented problems Results

418 views • 25 slides
Introduction to Machine Learning 1. Overview Alex Smola Carnegie Mellon University

Introduction to Machine Learning 1. Overview Alex Smola Carnegie Mellon University

Introduction to Machine Learning 1. Overview Alex Smola Carnegie Mellon University http://alex.smola.org/teaching/cmu2013-10-701 10-701 Administrative Stuff Important Stuff Lectures Monday and Wednesday 12:00-1:20pm Recitation

1.2k views • 87 slides
Introduction to Machine Learning 1. Overview Alex Smola & Geoff Gordon Carnegie Mellon

Introduction to Machine Learning 1. Overview Alex Smola & Geoff Gordon Carnegie Mellon

Introduction to Machine Learning 1. Overview Alex Smola & Geoff Gordon Carnegie Mellon University http://alex.smola.org/teaching/cmu2013-10-701x 10-701 Administrative Stuff Important Stuff Lectures Monday and Wednesday

860 views • 48 slides
Heart Attacks in Middle-aged Recreational Athletes Karl Cernovitch Alex C. Samak Jay Brophy

Heart Attacks in Middle-aged Recreational Athletes Karl Cernovitch Alex C. Samak Jay Brophy

Heart Attacks in Middle-aged Recreational Athletes Karl Cernovitch Alex C. Samak Jay Brophy MD,PhD Mark Goldberg PhD Royal Victoria Hospital Clinical Epidemiology Unit If it happened to a Pro, it could happen to you! Montreal

963 views • 21 slides
Resilient Networking 6: Attacks on DNS 1 Chapter Outline Overview of DNS Known attacks

Resilient Networking 6: Attacks on DNS 1 Chapter Outline Overview of DNS Known attacks

Resilient Networking 6: Attacks on DNS 1 Chapter Outline Overview of DNS Known attacks on DNS Denial-of-Service Cache Poisoning Securing DNS Split-Split-DNS DNSSEC 2 DNS The Domain Name System Naming Service

1.15k views • 46 slides
Boomerang attacks on BLAKE-32 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c)

Boomerang attacks on BLAKE-32 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c)

Boomerang attacks on BLAKE-32 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c) University of Luxembourg, Luxembourg February 15, 2011 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c) Boomerang attacks on BLAKE-32

396 views • 27 slides
Introduction to Datacenters & the Cloud Introduction to Storage in the Cloud Alex M. Hurd

Introduction to Datacenters & the Cloud Introduction to Storage in the Cloud Alex M. Hurd

Introduction to Datacenters & the Cloud Introduction to Storage in the Cloud Alex M. Hurd Clarkson Open Source Institute April 14, 2015 Alex M. Hurd (COSI) Introduction to Datacenters & the Cloud April 14, 2015 1 / 14 Overview What

640 views • 14 slides
Passively Monitoring Networks at Gigabit Speeds Luca Deri <deri@ntop.org> Yuri Francalacci

Passively Monitoring Networks at Gigabit Speeds Luca Deri <deri@ntop.org> Yuri Francalacci

Passively Monitoring Networks at Gigabit Speeds Luca Deri <deri@ntop.org> Yuri Francalacci <yuri@ntop.org> ntop.org Presentation Overview Monitoring Issues at Wire Speed Traffic Filtering and Protocol Conversion

438 views • 22 slides
Overview Network and Server Goal of Security Control Attacks and Penetration Phases of

Overview Network and Server Goal of Security Control Attacks and Penetration Phases of

Overview Network and Server Goal of Security Control Attacks and Penetration Phases of Control Methods of Taking Control Common Points of Attack Multifront Attacks Chapter 12 Auditing to Recognize Attacks Malicious

535 views • 7 slides
Generic Attacks on Stream Ciphers John Mattsson Generic Attacks on Stream Ciphers 2/22

Generic Attacks on Stream Ciphers John Mattsson Generic Attacks on Stream Ciphers 2/22

Generic Attacks on Stream Ciphers John Mattsson Generic Attacks on Stream Ciphers 2/22 Overview What is a stream cipher? Classification of attacks Different Attacks Exhaustive Key Search Time Memory Tradeoffs

656 views • 22 slides
On-Device Power Analysis Across Hardware Security Domains Colin OFlynn , Alex Dewar Dalhousie

On-Device Power Analysis Across Hardware Security Domains Colin OFlynn , Alex Dewar Dalhousie

On-Device Power Analysis Across Hardware Security Domains Colin OFlynn , Alex Dewar Dalhousie University CHES 2019 - Atlanta, Georgia 1 What am I doing for next 17 mins (in 42 slides)? Introduction Remote & Cross-Domain Attacks

674 views • 43 slides
Le dfi du march chinois pour les PME franaises MICHEL BEHAR Associ April 2012 A CAPITAL

Le dfi du march chinois pour les PME franaises MICHEL BEHAR Associ April 2012 A CAPITAL

Confrence HEC Le dfi du march chinois pour les PME franaises MICHEL BEHAR Associ April 2012 A CAPITAL : #1 PE fund for Chinese investments to Europe Access and focus on the best & profitable technological groups,

328 views • 8 slides
Introduction to Physical Attacks Arnaud Tisserand CNRS, Lab-STICC 25th October 2018 Summary

Introduction to Physical Attacks Arnaud Tisserand CNRS, Lab-STICC 25th October 2018 Summary

Introduction to Physical Attacks Arnaud Tisserand CNRS, Lab-STICC 25th October 2018 Summary Introduction Side Channel Attacks Fault Injection Attacks Conclusion and References Arnaud Tisserand. CNRS Lab-STICC. Introduction

993 views • 56 slides
Backbone Infrastructure Attacks and Protections draft-savola-rtgwg-backbone-attacks-01.txt Pekka

Backbone Infrastructure Attacks and Protections draft-savola-rtgwg-backbone-attacks-01.txt Pekka

Backbone Infrastructure Attacks and Protections draft-savola-rtgwg-backbone-attacks-01.txt Pekka Savola Introduction Describes a view of ISP backbone network attacks Lots of folks in IETF and elsewhere had quite different ideas whats out

529 views • 9 slides
Empirical study of the impact of Metasploit-related attacks in 4 years of attack traces E.

Empirical study of the impact of Metasploit-related attacks in 4 years of attack traces E.

Empirical study of the impact of Metasploit-related attacks in 4 years of attack traces E. Ramirez-Silva and M. Dacier Eurcom Institute - Sophia Antipolis, France ASIAN'07 December 11, 2007- Doha, Qatar Introduction Overview Introduction

584 views • 42 slides
Detecting distributed attacks using distributed processing frameworks RP2 #59 Sudesh Jethoe

Detecting distributed attacks using distributed processing frameworks RP2 #59 Sudesh Jethoe

Detecting distributed attacks using distributed processing frameworks RP2 #59 Sudesh Jethoe Overview Introduction Problem Description Research Questions Method Results Conclusion Introduction

549 views • 38 slides
Bilinear discretization of integrable systems with quadratic vector fields Yuri B. Suris

Bilinear discretization of integrable systems with quadratic vector fields Yuri B. Suris

Bilinear discretization of integrable systems with quadratic vector fields Yuri B. Suris (Technische Universitt Mnchen) Geometry and Integrability, Obergurgl, 19.12.2008 Yuri B. Suris Hirota-Kimura Discretizations The problem of

988 views • 41 slides
TCP/IP: sniffing, ARP attacks, IP fragmentation Network Security Lecture 3 Recap and overview

TCP/IP: sniffing, ARP attacks, IP fragmentation Network Security Lecture 3 Recap and overview

TCP/IP: sniffing, ARP attacks, IP fragmentation Network Security Lecture 3 Recap and overview Last time Today TCP/IP Attacks IP Sniffing Ethernet Spoofing ARP Hijacking (ARP) Tools/libraries Libnet,

729 views • 37 slides
Real-Time Databases Meghan Russ Miriam Speert Pete Dempsey Sedat Behar Yevgeny Ioffe Zachi

Real-Time Databases Meghan Russ Miriam Speert Pete Dempsey Sedat Behar Yevgeny Ioffe Zachi

Real-Time Databases Meghan Russ Miriam Speert Pete Dempsey Sedat Behar Yevgeny Ioffe Zachi Klopman Timeline 1:40 - 1:50: Introduction 1:50 - 3:00: Real-Time Databases/Scheduling 3:00 - 3:10: Break 3:10 - 4:00: Operator Scheduling in

1.12k views • 69 slides

More recommend