DDOS Adventures A UGA Story Saturday 02/13/2016 01:30 to - - PowerPoint PPT Presentation

DDOS ¡Adventures

A ¡UGA ¡Story

Saturday ¡02/13/2016 ¡ 01:30 ¡to ¡02:30 ¡ attack ¡on ¡www.uga.edu

Sunday ¡03/37/2016 18:13 ¡to ¡22:00 attack ¡on ¡athena.uga.edu

Sunday ¡04/24/2016 02:00 225.0/24 ¡routing ¡via ¡Akamai ¡GREs 1Gbps ¡“On ¡Demand” 100 ¡Mbps ¡“Always ¡On” Challenge ¡to ¡overcome: MSS ¡1436 ¡(MTU ¡minus ¡IP, ¡TCP, ¡and ¡GRE ¡headers) MSS ¡to ¡1360

MSS ¡1360 Declare ¡MSS ¡1360 Asymmetric ¡Communication

MSS ¡1360 SNAT Ensure ¡that ¡protected ¡hosts ¡are ¡not downloading ¡large ¡amounts ¡of ¡data RFC ¡1918 172.17.x.x NAT ¡at ¡FW

Monday ¡04/25/2016 08:00 ¡to ¡14:45 ¡ attack ¡on ¡router ¡subnets

Coordinate ¡with ¡SoX ¡to ¡Black ¡hole ¡/ ¡Nul route ¡ Hosts ¡under ¡attack Nul routes

Lessons:

• ­‑

Nul routing ¡at ¡SoX ¡does ¡not ¡protect ¡SoX

• ­‑

GRE ¡tunnel ¡endpoints ¡cannot ¡be ¡protected

• ­‑

Palo ¡Altos ¡give ¡up ¡OSPF ¡adjacency ¡fast

Solutions:

• BGP ¡Black ¡hole ¡communities
• RTR ¡subnets
• Any ¡non ¡critical ¡subnet
• Don’t ¡use ¡RTR ¡interfaces ¡for ¡GRE ¡endpoint
• nly ¡allow ¡GRE ¡endpoint ¡to ¡talk ¡to ¡Akamai
• Blocked ¡traceroute ¡at ¡firewall ¡(as ¡application)
• Multiple ¡edge ¡NAT ¡pools
• Requested ¡Akamai ¡drop ¡ICMP ¡and ¡UDP

Tuesday ¡04/26/2016 12:30 ¡to ¡13:01 attack ¡on ¡router ¡subnets

Attacks ¡coming ¡from ¡hosts ¡on ¡HE ¡network

Longer ¡term:

• Direct ¡connect ¡to ¡Akamai
• Removes ¡need ¡for ¡GRE
• Available ¡to ¡all ¡SoX ¡members
• Telex ¡Black ¡hole

• Tuesday ¡Sept ¡13 ¡?
• Largest ¡confirmed ¡DDOS ¡on ¡record ¡– 620 ¡Gbps
• Launched ¡against ¡Brian ¡Krebs ¡
• krebsonsecurity.com
• Akamai ¡was ¡providing ¡protection ¡pro ¡bono
• Akamai ¡dropped ¡Krebsonsecurity following ¡the ¡incident
• Google ¡Project ¡Shield ¡picked ¡up
• Botnet ¡“Mirai”
• “Internet ¡of ¡Things” ¡(IoT)
• “Internet ¡of ¡Trash”
• IP ¡camera, ¡DVRs, ¡home ¡routers, ¡security ¡systems
• UDP ¡and ¡GRE
• October ¡30
• Source ¡code ¡release ¡on ¡Hackforums
• https://github.com/jgamblin/Mirai-­‑Source-­‑Code
• Saturday ¡Sept ¡22
• OVH.com ¡hit ¡with ¡1Tbps ¡DDOS ¡– Unconfirmed
• https://twitter.com/olesovhcom/status/779297257199964160?ref_src=twsrc%5Etfw

• Someone ¡is ¡learning ¡how ¡to ¡take ¡down ¡the ¡Internet ¡-­‑ Bruce ¡Schneier
• https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
• Verisign ¡Q2 ¡2016 ¡DDOS ¡report
• https://www.verisign.com/assets/report-­‑ddos-­‑trends-­‑Q22016.pdf
• The ¡Short ¡Life ¡of ¡a ¡Vulnerable ¡DVR ¡Connected ¡to ¡the ¡Internet ¡-­‑ Johannes ¡Ullrich
• https://isc.sans.edu/forums/diary/The+Short+Life+of+a+Vulnerable+DVR+Connected+to+the+Internet/21543/
• “The ¡IP ¡address ¡is ¡hit ¡by ¡telnet ¡attempts ¡pretty ¡much ¡every ¡minute. ¡Instead ¡of ¡having ¡to ¡wait ¡for ¡a ¡long ¡time ¡to ¡

see ¡an ¡attack, ¡my ¡problem ¡was ¡that ¡the ¡DVR ¡was ¡often ¡overwhelmed ¡by ¡the ¡attacks, ¡and ¡the ¡telnet ¡server ¡ stopped ¡responding.”

• Large ¡CCTV ¡Botnet ¡Leveraged ¡in ¡DDoS ¡Attacks ¡-­‑ Daniel ¡Cid
• https://blog.sucuri.net/2016/06/large-­‑cctv-­‑botnet-­‑leveraged-­‑ddos-­‑attacks.html
• How ¡Hacked ¡Cameras ¡Are ¡Helping ¡Launch ¡The ¡Biggest ¡Attacks ¡The ¡Internet ¡Has ¡Ever ¡Seen ¡-­‑ Thomas ¡Fox-­‑Brewster
• http://www.forbes.com/sites/thomasbrewster/2016/09/25/brian-­‑krebs-­‑overwatch-­‑ovh-­‑smashed-­‑by-­‑largest-­‑ddos-­‑

attacks-­‑ever/#34c228d46fb6 community ¡centurylink-­‑blackhole-­‑community ¡members ¡209:0; community ¡hurricane-­‑blackhole-­‑community ¡members ¡6939:666; community ¡i2-­‑blackhole-­‑community ¡members ¡11537:911; community ¡telia-­‑blackhole-­‑community ¡members ¡1299:999; community ¡transitrail-­‑blackhole-­‑community ¡members ¡11164:53666;