How to Prevent dos Attacks

Préveniren Sie DoS-Angriffe von einem Bluecoat-Proxy mit HAProxy.

Unsere Dienstleistungen werden mit Haproxy und mehreren Web-Knoten zur Lastverteilung und Zuverlässigkeit genutzt, da unser Service von immer mehr Unternehmen genutzt wird. Im Laufe der letzten Wochen haben wir festgestellt, dass eine unserer gehosteten Webseiten (medienbewusst.de) regelmäßig unter DoS-Angriff steht. Es ist nicht sehr langweilig, und wir haben jetzt damit begonnen, dieses Thema genauer zu untersuchen.

Das Angriffsschema ist fast immer das gleiche: Wenn Sie einen bekannten User-Agenten (z.B. für den Browser Firewall 38) fragen, folgen mehr als 1500 Anfragen in etwa 3 bis 4 Minuten, um nur ein Beispiel zu nennen. "Mozilla/4.0 (kompatibel;)". ::ffff:1.2.3.4 - -[26/Jan/2016:14:47:55 +0100] "GET /fernsehen/20130531/programmtipps-fur-juni-2013.html HTTP/1. "70439 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:38.0) Gecko/20100101 Firefox/38.0"::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /2015/08 HTTP/1.

"2" 200 58606 "-" "Mozilla/4.0 (kompatibel;)" ::ffff:1.2.3.4 - - - [26/Jan/2016:14:47:56 +0100] "GET /cms/favicon.ico HTTP/1. "404 63555 "-" "Mozilla/4.0 (kompatibel;)" ::ffff:1.2.3.4 - - - [26/Jan/2016:14:47:56 +0100] "GET /2014/03 HTTP/1.1" 200 57874 "-" "Mozilla/4. 404 63583 "-" ::ffff:1.2.3.4 - - -[26/Jan/2016:14:47:56 +0100] "GET /fernsehen/20130531/medienbewusst.de%20& HTTP/1.1" 404 63583 "-" "Mozilla/4. Zertifizierte Daten: 0 (kompatibel;)" ::ffff:1.2.3.4 - - - - [26/Jan/2016:14:47:56 +0100] "GET /2014/06 HTTP/1.1" 200 58581 "-" "Mozilla/4.0 (kompatibel;)" ::ffff:1.

2.3.4 - -[26/Jan/2016:14:47:56:56 +0100]"GET /2015/06 HTTP/1.1" 200 58251 "-""Mozilla/4.0 (kompatibel;)" Nach einem Gespräch mit einem Techniker, der für eines dieser Firmennetzwerke verantwortlich ist, stellte sich heraus, dass das Unternehmen Proxy-Geräte von Blue Coat verwendet. Die Nutzer in diesen Foren und in diesen Weblogs berichten, dass dies typisch für Blue Coat ist und dass Anfragen durch den HTTP-Header "HTTP_X_BLUECOAT_VIA" neben dem User-Agent identifiziert werden können.

Gießen Sie den DoS-Angriff ab, indem Sie Ihre Anfrage blockieren.

Firewall-Angriff: Wie kann man Schwarze Krankenschwester stoppen?

Christ Osterbrink, Alexander Sieber und Daniel Vollmer über die Analyse der BlackNurse. Die Angreifer überlasten ein System oder einen Dienst, bis legitime Anfragen nicht mehr bearbeitet werden können. Bei der Nutzung eines Botnetzes handelt es sich um ein Netzwerk von Computern, die bereits mit logischen Schadprogrammen infiziert sind, was sie anfällig für die Fernsteuerung durch logische Schadprogramme macht.

SchwarzKrankenschwester ist jedoch eine bestimmte Art von ICMP-Flutattacke, die etwas anders funktioniert. Das IoT ( "Internet der Dinge") wurde zu einem Angriff infiziert und missbraucht, um einen der massivsten DDoS-Angriffe aller Zeiten zu starten. Gewohnheitsmäßig basiert ein erfolgreicher DDoS-Angriff auf dem Prinzip der unerbittlichen Überlastung der Infrastruktur.

Eine weitere gängige Methode ist die Verwendung von Softwarefunktionen oder Bugs, um Systemstörungen zu verursachen. Atteindrehen des gemeinsamen Zieles, eine Verweigerung der Dienstleistung, wird auf diese Weise viel einfacher. Der Zugang zum Internet oder zum Betriebssystem bis hin zu den vom Host angebotenen Diensten - alles ist potentiell anfällig und anfällig für Angriffe.

Eine angeschlossene BlackNurse-Attacke funktioniert folgendermaßen: Der Angriff basiert auf dem ICMP-Protokoll und statt das Ziel-Netzwerk mit ICMP-Anfragen zu überfluten, verwendet sie den Code ICMP-Typ3-Code3. Es ist logisch: In den meisten Fällen bewegt sich der Angriff, ohne von herkömmlichen DDoS-Gegenmaßnahmen erkannt zu werden. Diese Art von Angriffen kann aber auch die Infrastruktur zerstören, die den meisten herkömmlichen DDoS-Angriffen standhalten würde.

Anhänger dieser Plattformen sind jedoch genau das, was sie sind. Das System basiert auf ICMP-Type9-Code0-Paketen, auch bekannt als Ping-Flood-Angriffe. Für die Entwicklung verwendet das Unternehmen ICMP-Type3-Code3-Code3-Pakete. Die Anforderung für einen erfolgreichen Angriff ist, dass das Zielsystem ICMP-Type3-Code3-Code3-Verkehr zulässt. Für diesen Fall reicht schon eine schlechte gemeinsame Verbindung mit 15-18Mbit/s aus, um die 40000 - 50000 Pakete pro Sekunde zu übertragen, die benötigt werden, um das Zielsystem effektiv zu verändern.

Die Angriffsfolge ist wie folgt: Die Systeme der Firewall stellen sich nach Abschluss des Angriffs schnell wieder her und nehmen den normalen Betrieb wieder auf. Malheureusement. Leider erfordert der Angriff sehr wenig technisches Geschick, um ausgeführt zu werden. Die neue Nachricht ist, dass nicht alle Router im Netz mit Hilfe von Typ3-Code3 ICMP-Paketen umgehen. Es ist nicht empfehlenswert, sich einfach auf diese Annahme zu verlassen.

Der Aufwand für die Prüfung der Systeme auf diese besondere Schwachstelle ist sehr gering. Die ICMP-Typen3-Code3-Code3-Pakete werden zunächst auf dem WAN-Testsystem mit dem hping3-Tool generiert und an das Zielsystem gesendet. In diesem Fall kann sofort eine enorme Steigerung der CPU-Auslastung beobachtet werden.

Die Kapazität der betreffenden Firewall kann es erforderlich machen, ein leistungsfähiges Gerät für den Angriff einzurichten. Afin d' Avenue: Um das von BlackNurse ausgehende Risiko für unsere Kunden abzuschätzen, haben wir ein Testszenario mit Hilfe von Palo Alto Networks erstellt. Die Deaktivierung der eingebetteten Funktion Verwerfen mit Fehlermeldung (über Zone-Protection-Profile > Paketbasierter Angriffsschutz > Chip Drop) reduziert den Arbeitsaufwand erheblich (von 50% auf 16% bei einem PA-200).

Cependant: Einige ICMP-Pakete werden jedoch nicht mehr übertragen. Aktuell ist jede Palo Alto Networks Firewall, die ICMP-Type3-Code3 Pakete weiterleitet oder über eine Schnittstelle empfängt, sehr anfällig für diesen Angriff! Für diese Schwachstelle ist eine Überlastung des Datenplans verantwortlich. Wir empfehlen, ein klassifiziertes DDoS-DDoS-Profil (nach SRC-IP-Adresse) mit aktiviertem ICMP-Flood zu erstellen (stellt sicher, dass nur das SRC-IP, das Überschwemmungen verursacht, blockiert wird).

die normale Arbeitsbelastung) und die Verwendung des ICMP-Protokolls, z.B. für das Monitoring. Die Systeme müssen ggf. durch zusätzliche DDoS-Regeln von Schutzmaßnahmen ausgeschlossen werden. Après vermeidet, dass eine Firewall von einem BlackNurse-basierten Angriff betroffen ist, während der Aufwand für den Start des Angriffs stark erhöht wird.

Bei einem Angriff kann es sinnvoll sein, eine effektive Blockierung des ICMP-Verkehrs des jeweiligen Pakettyps durch ISP-Router in Betracht zu ziehen. Cela, das würde die Pakete aufhalten, bevor sie die Verteidigungslinie erreichen.