De Nationale Wasstraat (NaWas) Donderdag 18 juni 2015 Copyright NBIP - 2015 1
Introductie BIT (kleine ISP / datacenter in Ede) NBIP (cooperatief shared service center voor ISP s) Contact: alex@bit.nl Donderdag 18 juni 2015 Copyright NBIP - 2015 2
DDoS Aanval op dienst, machine of netwerk Opzettelijk of per ongeluk Geen blijvende schade Donderdag 18 juni 2015 Copyright NBIP - 2015 3
Nieuw? Soundmixshow (1988) Ziggo / Ajax Donderdag 18 juni 2015 Copyright NBIP - 2015 4
Soorten Flood BGP hijack Firewall Applicatie Donderdag 18 juni 2015 Copyright NBIP - 2015 5
Soorten (2) Hoe lager in de protocl stack hoe makkelijker uit te voeren Ook makkelijker te detecteren Veel verkeer Dit zijn de meeste attacks Donderdag 18 juni 2015 Copyright NBIP - 2015 6
Motieven Afpersing Politiek / ideeel Persoonlijk / pesterij Afleiding voor andere cybercrime Donderdag 18 juni 2015 Copyright NBIP - 2015 7
Botnets Kwetsbaarheden Besturingssystemen Applicaties Devices Op afstand bestuurd, aanvaller blijft uit het zicht Donderdag 18 juni 2015 Copyright NBIP - 2015 8
Amplification attacks Gebruikt stateless protocollen (UDP) Request met gespoofed source adres Reply gaat naar het doelwit Reply groter dan request Veel gebruikte protocollen: NTP DNS SNMP Donderdag 18 juni 2015 Copyright NBIP - 2015 9
Oorzaken Software slecht onderhouden CMS (weinig kennis bij gebruiker) CPE routers (kennis, gebrek aan verantwoordelijkheid) Andere apparatuur thuis (gebrek aan kennis en besef) IOT (security vaak lage prio) Donderdag 18 juni 2015 Copyright NBIP - 2015 10
Gevolg Veel apparatuur en bandbreedte is te misbruiken Aanval van tientallen Gbit/s eenvoudig uit te voeren Verhouding normaal / DDoS verkeer schever Voor kleinere netwerken niet meer bij te benen Donderdag 18 juni 2015 Copyright NBIP - 2015 11
Bestrijding Globaal probleem, afhankelijk van lokale wetgeving Cybercrime lang niet overal in wet opgenomen Opsporing complex en tijdrovend Niet iedere ISP heeft een actief anti-abuse beleid Financiele belangen Transit netwerken Leveranciers anti-ddos apparatuur Exploitanten van botnets Donderdag 18 juni 2015 Copyright NBIP - 2015 12
DDoS as a Service Vaak onder de noemer stresstest Gratis kort testen Ingewikkelder / langer tegen betaling Donderdag 18 juni 2015 Copyright NBIP - 2015 13
Wat doe je er aan? Detectie Blackholen Anti-DDoS apparatuur Veel bandbreedte Commerciele diensten Voor veel netwerken te duur Donderdag 18 juni 2015 Copyright NBIP - 2015 14
Detectie Flow analyse: sampling Vanaf meerdere routers Vaste rules Zelflerend Volume, poort, protocol, packetsize Alarmering (SNMP / e-mail) BGP (filtering of rerouting) DDoS of backup? Donderdag 18 juni 2015 Copyright NBIP - 2015 15
Nationale Wasstraat (NaWas) Gemeenscahppelijke aanpak Onafhankelijke partij Non-profit Sneller reageren dan bestaande services Auto-detectie en mitigatie Gebruik het internet zoals het is ontworpen (BGP!) Donderdag 18 juni 2015 Copyright NBIP - 2015 16
Donderdag 18 juni 2015 Copyright NBIP - 2015 17
BGP Core routers hebben routes voor elke prefix TCP connectie met andere routers via internet exchanges, private peerings of transit leverancier Routers announcen prefixen die ze weten te bereiken Verschillende criteria, zoals lengte van het pad Meest specifieke route heeft altijd voorrang! Donderdag 18 juni 2015 Copyright NBIP - 2015 18
Voorbeeld www.bit.nl (213.136.12.236) Wordt gerouteerd als 213.136.0.0/19 In geval van DDOS: 213.136.12.0/24 More specific, dus deze route heeft voorrang Donderdag 18 juni 2015 Copyright NBIP - 2015 19
Een klein stukje internet Donderdag 18 juni 2015 Copyright NBIP - 2015 20
Normale situatie Donderdag 18 juni 2015 Copyright NBIP - 2015 21
Tijdens een DDoS Donderdag 18 juni 2015 Copyright NBIP - 2015 22
Via NaWas Donderdag 18 juni 2015 Copyright NBIP - 2015 23
NaWas netwerk Meerdere transit leveranciers Peering (AMS-IX / NL-ix) Volume attacks Intelligentere attacks Schoon verkeer via AMS-IX of NL-ix Flow data van alle verkeer naar deelnemer Donderdag 18 juni 2015 Copyright NBIP - 2015 24
Detectie Donderdag 18 juni 2015 Copyright NBIP - 2015 25
Automatische mitigatie Donderdag 18 juni 2015 Copyright NBIP - 2015 26
Vragen? Donderdag 18 juni 2015 Copyright NBIP - 2015 27
Thanks! Donderdag 18 juni 2015 Copyright NBIP - 2015 28