yuri gushin alex behar introduction dos attacks overview
play

Yuri Gushin & Alex Behar Introduction DoS Attacks - PowerPoint PPT Presentation

Apr 01, 2023 •117 likes •589 views

Yuri Gushin & Alex Behar Introduction DoS Attacks overview & evolution DoS Protection Technology Operational mode Detection

  1. Yuri ¡Gushin ¡& ¡Alex ¡Behar ¡

  2. Ø Introduction ¡ Ø DoS ¡Attacks ¡– ¡overview ¡& ¡evolution ¡ ¡ Ø DoS ¡Protection ¡Technology ¡ Ø Operational ¡mode ¡ Ø Detection ¡ Ø Mitigation ¡ Ø Performance ¡ Ø Wikileaks ¡(LOIC) ¡attack ¡tool ¡analysis ¡ ¡ Ø Roboo ¡release ¡& ¡live ¡demonstration ¡ Ø Summary ¡

  3. labs ¡

  4. Newton’s ¡Third ¡Law ¡(of ¡Denial ¡of ¡Service) ¡ For ¡every ¡action, ¡there ¡is ¡an ¡equal ¡and ¡opposite ¡reaction. ¡ ¡ ¡ ¡ Research ¡and ¡mitigate ¡DoS ¡attacks ¡ ¡ ¡ ¡ Core ¡founders ¡of ¡the ¡Radware ¡ERT ¡ ¡ In ¡charge ¡of ¡Radware’s ¡strategic ¡security ¡customers ¡around ¡ EMEA ¡and ¡the ¡Americas ¡

  6. ¡ Goal ¡– ¡exhaust ¡target ¡resources ¡to ¡a ¡point ¡where ¡ service ¡is ¡interrupted ¡ ¡ ¡ ¡ Common ¡motives ¡ § Hacktivism ¡ § Extortion ¡ § Rivalry ¡ ¡ ¡ ¡ Most ¡big ¡attacks ¡succeed! ¡

  7. ¡ Scoping ¡the ¡threat ¡– ¡main ¡targets ¡at ¡risk ¡ Ø On-­‑line ¡businesses, ¡converting ¡uptime ¡to ¡revenue ¡ ¡ Ø Cloud ¡subscribers, ¡paying ¡per-­‑use ¡for ¡bandwidth ¡utilization ¡ ¡

  8. ¡ Layer ¡3 ¡-­‑ ¡muscle-­‑based ¡attacks ¡ § Flood ¡of ¡TCP/UDP/ICMP/IGMP ¡packets, ¡overloading ¡infrastructure ¡due ¡ to ¡high ¡rate ¡processing/discarding ¡of ¡packets ¡and ¡filling ¡up ¡the ¡packet ¡ queues, ¡or ¡saturating ¡pipes ¡ § Introduce ¡a ¡packet ¡workload ¡most ¡gear ¡isn't ¡designed ¡for ¡ § Example ¡-­‑ ¡UDP ¡flood ¡to ¡non-­‑listening ¡port ¡ I’m ¡hit! ¡ I’m ¡hit! ¡ I’m ¡hit! ¡ CPU ¡ CPU ¡ CPU ¡ overloaded ¡ overloaded ¡ overloaded ¡ UDP ¡to ¡port ¡80 ¡ Internet Access Firewall IPS Switch DMZ Router

  9. ¡ Layer ¡4 ¡– ¡slightly ¡more ¡sophisticated ¡ § DoS ¡attacks ¡consuming ¡extra ¡memory, ¡CPU ¡cycles, ¡and ¡triggering ¡ responses ¡ Ø TCP ¡SYN ¡flood ¡ ¡ Ø TCP ¡new ¡connections ¡flood ¡ Ø TCP ¡concurrent ¡connections ¡exhaustion ¡ Ø TCP/UDP ¡garbage ¡data ¡flood ¡to ¡listening ¡services ¡(ala ¡LOIC) ¡ I’m ¡hit! ¡ SYN ¡queue ¡is ¡full, ¡ § Example ¡– ¡SYN ¡flood ¡ dropping ¡new ¡ connections ¡ SYN ¡ Internet Access Firewall IPS Switch DMZ Router SYN+ACK ¡

  10. ¡ Layer ¡7 ¡– ¡the ¡culmination ¡of ¡evil! ¡ § DoS ¡attacks ¡abusing ¡application-­‑server ¡memory ¡and ¡performance ¡ limitations ¡– ¡ masquerading ¡as ¡legitimate ¡transactions ¡ Ø HTTP ¡page ¡flood ¡ Ø HTTP ¡bandwidth ¡consumption ¡ Ø DNS ¡query ¡flood ¡ Ø SIP ¡INVITE ¡flood ¡ I’m ¡hit! ¡ Ø Low ¡rate, ¡high ¡impact ¡attacks ¡-­‑ ¡e.g. ¡Slowloris, ¡HTTP ¡POST ¡DoS ¡ HTTP ¡requests/second ¡at ¡ the ¡maximum ¡ HTTP: ¡GET ¡/ ¡ Internet Access Firewall IPS Switch DMZ Router HTTP: ¡503 ¡ Service ¡Unavailable ¡ HTTP: ¡200 ¡OK ¡

  12. ① Operational ¡modes ¡ ② Detection ¡ ③ Mitigation ¡

  13. Operational ¡mode ¡

  14. ① Operational ¡mode ¡ The ¡operational ¡mode ¡is ¡defined ¡during ¡the ¡configuration ¡of ¡ an ¡Anti-­‑DoS ¡system. ¡ ¡ There ¡are ¡two ¡typical ¡operational ¡modes: ¡ § Static ¡– ¡static ¡rate-­‑based ¡thresholds ¡are ¡set ¡for ¡ detection ¡ ¡(e.g. ¡SYNs/second, ¡HTTP ¡requests/ second) ¡ § Adaptive ¡– ¡the ¡system ¡learns ¡and ¡adapts ¡dynamic ¡ thresholds ¡continuously, ¡according ¡to ¡the ¡network ¡ characteristics ¡

  15. Ø Static ¡thresholds ¡ ¡Put ¡the ¡user ¡in ¡control ¡ ü × Requires ¡constant ¡tuning ¡and ¡maintenance ¡– ¡decreasing ¡ accuracy ¡and ¡increasing ¡operational ¡expenses ¡ Restricts ¡detection ¡phase ¡to ¡a ¡single-­‑dimension ¡(rate) ¡ × Ø Adaptive ¡thresholds ¡ Adapts ¡to ¡the ¡real ¡traffic ¡characteristics, ¡improving ¡accuracy ¡ ü Automatic ¡– ¡no ¡need ¡to ¡tune ¡every ¡time ¡before ¡Christmas! ¡ ü Anything ¡can ¡be ¡learned ¡– ¡allowing ¡the ¡detection ¡phase ¡for ¡ ü behavioral ¡multi-­‑dimensional ¡decision-­‑making ¡(rate ¡& ¡ratio) ¡

  16. Detection ¡

  17. ② Detection ¡ Reliant ¡on ¡the ¡data ¡from ¡the ¡previous ¡phase ¡– ¡the ¡ detection ¡phase ¡can ¡be ¡one ¡of ¡the ¡following: ¡ Rate-­‑based ¡(single-­‑dimensional) ¡– ¡the ¡detection ¡engine ¡ § will ¡detect ¡anything ¡breaching ¡the ¡threshold ¡as ¡an ¡attack ¡ Behavioral ¡(multi-­‑dimensional) ¡– ¡the ¡detection ¡engine ¡will ¡ § correlate ¡the ¡dynamic ¡thresholds ¡and ¡real-­‑time ¡traffic ¡of ¡ several ¡dimensions ¡(e.g. ¡rate ¡& ¡ratio) ¡to ¡detect ¡an ¡attack ¡ ¡

  18. Rate-­‑based ¡(single-­‑dimensional) ¡ ¡ Ø Prone ¡to ¡false-­‑positives ¡(legitimate ¡traffic ¡identified ¡as ¡attack) ¡ × Prone ¡to ¡false-­‑negatives ¡(attack ¡traffic ¡below ¡the ¡radar) ¡ × No ¡attacks ¡ Attack ¡Detected ¡ ¡ ¡ Examples: ¡ SYNs ¡/ ¡second ¡ § Current ¡rate ¡ HTTP ¡requests ¡/ ¡second ¡ § HTTP ¡requests ¡/ ¡second ¡/ ¡source ¡IP ¡ ¡ Threshold ¡ § Current ¡rate ¡ ¡ HTTP ¡requests ¡/ second ¡

  19. Behavioral ¡(multi-­‑dimensional) ¡ Ø Highly ¡accurate ¡due ¡to ¡correlation ¡of ¡multiple ¡dimensions ¡ ü ¡ Rate ¡dimension ¡consists ¡of ¡the ¡throughput ¡and ¡rate ¡of ¡packets/ § requests/messages ¡(depending ¡on ¡the ¡protected ¡layer) ¡ E.g. ¡PPS, ¡BPS, ¡HTTP ¡requests ¡per ¡second, ¡SIP ¡messages ¡per ¡second, ¡DNS ¡queries ¡per ¡ ▪ second ¡ Ratio ¡dimension ¡consists ¡of ¡the ¡ratio, ¡per ¡protocol, ¡of ¡message/packet/ § request/data ¡types ¡ E.g. ¡L4 ¡Protocol ¡%, ¡TCP ¡flag ¡%, ¡HTTP ¡content-­‑type ¡%, ¡DNS ¡query ¡type ¡% ¡ ▪ Ø Logic ¡– ¡both ¡dimensions ¡must ¡identify ¡“anomalies” ¡to ¡decide ¡an ¡attack ¡ is ¡ongoing ¡

  20. Example: ¡L3 ¡flood ¡ Decision = Attack! Z-axis Attack area Attack Degree axis Suspicious area X-axis Y-axis Normal area Abnormal protocol distribution [%] n o i s n e m d i e t a R Abnormal rate of packets,…

  21. Example: ¡L4 ¡flood ¡ Decision = Attack! Z-axis Attack area Attack Degree axis Suspicious area X-axis Y-axis Normal area Abnormal TCP flag distribution [%] n o i s n e m d i e t a R Abnormal rate of SYN packets

  22. Example: ¡L7 ¡flood ¡ Decision = Attack! Z-axis Attack area Attack Degree axis Suspicious area X-axis Y-axis Normal area Abnormal content-type distribution [%] n o i s n e m d i e t a R Abnormal rate of HTTP requests

  23. Example: ¡Flash ¡Crowd ¡scenario ¡ Z-axis Attack area Attack Degree axis Suspicious Decision = not an area attack! X-axis Y-axis Normal area n o i s n e m d i e t a R Abnormal rate of Normal TCP flag SYN packets distribution [%]

  24. Mitigation ¡

  25. ③ Mitigation ¡ An ¡attack ¡has ¡been ¡detected, ¡now ¡we ¡need ¡to ¡analyze ¡it ¡ and ¡start ¡mitigating! ¡ Mitigation ¡flow ¡ Analysis ¡ ¡ § Active ¡& ¡passive ¡mitigation ¡ §

  26. Analysis ¡– ¡generate ¡a ¡real-­‑time ¡signature ¡of ¡the ¡ongoing ¡ § DoS ¡attack, ¡by ¡using ¡the ¡highest ¡repeating ¡anomaly ¡ values ¡from ¡L3-­‑L7 ¡headers ¡ Exactly ¡what ¡you ¡do ¡manually ¡when ¡under ¡attack, ¡sifting ¡through ¡ Ø Wireshark ¡looking ¡for ¡patterns ¡ J ¡ ¡

  27. Juno2.c ¡– ¡Popular ¡SYN ¡Flooder ¡ ¡ ¡ Very ¡good ¡performance ¡(up ¡to ¡700K ¡PPS ¡per ¡box) ¡ ¡ Creates ¡a ¡fairly ¡static ¡header ¡ ¡ Each ¡attack ¡has ¡its ¡own ¡“fixed” ¡characteristics ¡ [src.port ¡+ ¡dst.port ¡+ ¡win.size ¡+ ¡ip.ttl ¡+ ¡tcp.ack ¡!= ¡0] ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Remote delivery of postgraduate-level courses http://maths-magic.ac.uk/ Yuri Bazlov Yuri Bazlov

Remote delivery of postgraduate-level courses http://maths-magic.ac.uk/ Yuri Bazlov Yuri Bazlov

Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov Yuri Bazlov yuri.bazlov@manchester.ac.uk yuri.bazlov@manchester.ac.uk yuri.bazlov@manchester.ac.uk

226 views • 9 slides
Introduction the literature and research strategy Scott Bates 1 , Vadim Gushin 2 , Joshua Marquit

Introduction the literature and research strategy Scott Bates 1 , Vadim Gushin 2 , Joshua Marquit

Plants as countermeasures in long- duration space missions: A review of Introduction the literature and research strategy Scott Bates 1 , Vadim Gushin 2 , Joshua Marquit 1 , Gail Bingham 3 & Last week I got to photograph the Vladimir

306 views • 8 slides
Attacks and Countermeasures for White-box Designs Alex Biryukov, Aleksei Udovenko CSC and SnT,

Attacks and Countermeasures for White-box Designs Alex Biryukov, Aleksei Udovenko CSC and SnT,

Attacks and Countermeasures for White-box Designs Alex Biryukov, Aleksei Udovenko CSC and SnT, University of Luxembourg December 5, 2018 Plan 1 Introduction 2 Attacks on Masked White-box Implementations 3 Countermeasures 4 Algebraic Security 0

797 views • 53 slides
WELCOME WELCOME TO TO COOCH BEHAR COLLEGE COOCH BEHAR COLLEGE Implementation of Semester

WELCOME WELCOME TO TO COOCH BEHAR COLLEGE COOCH BEHAR COLLEGE Implementation of Semester

WELCOME WELCOME TO TO COOCH BEHAR COLLEGE COOCH BEHAR COLLEGE Implementation of Semester System with CBCS in UG level at CBPBU Route Map and Challenges Type of Degrees Offered Type of Courses Course Structures CBPBU : Credit,

477 views • 21 slides
Quantum Attacks on Symmetric Cryptography Gregor Leander (joint work with Alex May) MMC 2017

Quantum Attacks on Symmetric Cryptography Gregor Leander (joint work with Alex May) MMC 2017

Introduction Quantum Basics Grover Grover and Simon on Symmetric Crypto The FX Construction Conclusion Quantum Attacks on Symmetric Cryptography Gregor Leander (joint work with Alex May) MMC 2017 Introduction Quantum Basics Grover Grover

1.45k views • 97 slides
Not-a-Bot Improving Service Availability in the Face of Botnet Attacks Overview Introduction

Not-a-Bot Improving Service Availability in the Face of Botnet Attacks Overview Introduction

Not-a-Bot Improving Service Availability in the Face of Botnet Attacks Overview Introduction to the problem Architecture of NAB A way to attest human-generated traffic Use of attestation to mitigate presented problems Results

418 views • 25 slides
Introduction to Machine Learning 1. Overview Alex Smola Carnegie Mellon University

Introduction to Machine Learning 1. Overview Alex Smola Carnegie Mellon University

Introduction to Machine Learning 1. Overview Alex Smola Carnegie Mellon University http://alex.smola.org/teaching/cmu2013-10-701 10-701 Administrative Stuff Important Stuff Lectures Monday and Wednesday 12:00-1:20pm Recitation

1.2k views • 87 slides
Introduction to Machine Learning 1. Overview Alex Smola & Geoff Gordon Carnegie Mellon

Introduction to Machine Learning 1. Overview Alex Smola & Geoff Gordon Carnegie Mellon

Introduction to Machine Learning 1. Overview Alex Smola & Geoff Gordon Carnegie Mellon University http://alex.smola.org/teaching/cmu2013-10-701x 10-701 Administrative Stuff Important Stuff Lectures Monday and Wednesday

860 views • 48 slides
Heart Attacks in Middle-aged Recreational Athletes Karl Cernovitch Alex C. Samak Jay Brophy

Heart Attacks in Middle-aged Recreational Athletes Karl Cernovitch Alex C. Samak Jay Brophy

Heart Attacks in Middle-aged Recreational Athletes Karl Cernovitch Alex C. Samak Jay Brophy MD,PhD Mark Goldberg PhD Royal Victoria Hospital Clinical Epidemiology Unit If it happened to a Pro, it could happen to you! Montreal

963 views • 21 slides
Resilient Networking 6: Attacks on DNS 1 Chapter Outline Overview of DNS Known attacks

Resilient Networking 6: Attacks on DNS 1 Chapter Outline Overview of DNS Known attacks

Resilient Networking 6: Attacks on DNS 1 Chapter Outline Overview of DNS Known attacks on DNS Denial-of-Service Cache Poisoning Securing DNS Split-Split-DNS DNSSEC 2 DNS The Domain Name System Naming Service

1.15k views • 46 slides
Boomerang attacks on BLAKE-32 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c)

Boomerang attacks on BLAKE-32 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c)

Boomerang attacks on BLAKE-32 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c) University of Luxembourg, Luxembourg February 15, 2011 Arnab Roy (joint work with Alex Biryukov and Ivica Nikoli c) Boomerang attacks on BLAKE-32

396 views • 27 slides
Introduction to Datacenters & the Cloud Introduction to Storage in the Cloud Alex M. Hurd

Introduction to Datacenters & the Cloud Introduction to Storage in the Cloud Alex M. Hurd

Introduction to Datacenters & the Cloud Introduction to Storage in the Cloud Alex M. Hurd Clarkson Open Source Institute April 14, 2015 Alex M. Hurd (COSI) Introduction to Datacenters & the Cloud April 14, 2015 1 / 14 Overview What

640 views • 14 slides
Passively Monitoring Networks at Gigabit Speeds Luca Deri <deri@ntop.org> Yuri Francalacci

Passively Monitoring Networks at Gigabit Speeds Luca Deri <deri@ntop.org> Yuri Francalacci

Passively Monitoring Networks at Gigabit Speeds Luca Deri <deri@ntop.org> Yuri Francalacci <yuri@ntop.org> ntop.org Presentation Overview Monitoring Issues at Wire Speed Traffic Filtering and Protocol Conversion

438 views • 22 slides
Overview Network and Server Goal of Security Control Attacks and Penetration Phases of

Overview Network and Server Goal of Security Control Attacks and Penetration Phases of

Overview Network and Server Goal of Security Control Attacks and Penetration Phases of Control Methods of Taking Control Common Points of Attack Multifront Attacks Chapter 12 Auditing to Recognize Attacks Malicious

535 views • 7 slides
Generic Attacks on Stream Ciphers John Mattsson Generic Attacks on Stream Ciphers 2/22

Generic Attacks on Stream Ciphers John Mattsson Generic Attacks on Stream Ciphers 2/22

Generic Attacks on Stream Ciphers John Mattsson Generic Attacks on Stream Ciphers 2/22 Overview What is a stream cipher? Classification of attacks Different Attacks Exhaustive Key Search Time Memory Tradeoffs

656 views • 22 slides
On-Device Power Analysis Across Hardware Security Domains Colin OFlynn , Alex Dewar Dalhousie

On-Device Power Analysis Across Hardware Security Domains Colin OFlynn , Alex Dewar Dalhousie

On-Device Power Analysis Across Hardware Security Domains Colin OFlynn , Alex Dewar Dalhousie University CHES 2019 - Atlanta, Georgia 1 What am I doing for next 17 mins (in 42 slides)? Introduction Remote & Cross-Domain Attacks

674 views • 43 slides
Git Project Manager / Commission Open Source Y ann Esposito <2018-10-25 Thu> Code from

Git Project Manager / Commission Open Source Y ann Esposito <2018-10-25 Thu> Code from

Git Project Manager / Commission Open Source Y ann Esposito <2018-10-25 Thu> Code from this talk Git Project Manager git is a Distributed Concurrent V ersions System GitHub is a Centralized git host Can we do without Github?

246 views • 11 slides
FIVE TIPS FOR IMPLEMENTING WEB PROJECTS Gordon McLachlan primate.co.uk TIP #1 BE FLEXIBLE

FIVE TIPS FOR IMPLEMENTING WEB PROJECTS Gordon McLachlan primate.co.uk TIP #1 BE FLEXIBLE

FIVE TIPS FOR IMPLEMENTING WEB PROJECTS Gordon McLachlan primate.co.uk TIP #1 BE FLEXIBLE Gordon McLachlan primate.co.uk Gordon McLachlan primate.co.uk TIP #2 CREATE FOR YOUR AUDIENCE Gordon McLachlan primate.co.uk Gordon McLachlan

259 views • 23 slides
Big Games in Small Packages Lessons learned in bringing a PC MMO to Mobile. John Bergman

Big Games in Small Packages Lessons learned in bringing a PC MMO to Mobile. John Bergman

Big Games in Small Packages Lessons learned in bringing a PC MMO to Mobile. John Bergman Founder, CEO Guild Software, Inc. Who We Are Guild Software Small independent studio, based in Milwaukee. Became a full-time startup in

498 views • 35 slides
One-Size-Fits-All: A DBMS Idea Whose Time has Come and Gone Michael Stonebraker December, 2008

One-Size-Fits-All: A DBMS Idea Whose Time has Come and Gone Michael Stonebraker December, 2008

One-Size-Fits-All: A DBMS Idea Whose Time has Come and Gone Michael Stonebraker December, 2008 DBMS Vendors (The Elephants) Sell One Size Fits All (OSFA) Its too hard for them to maintain multiple code bases for different specialized

606 views • 37 slides
CS 378: Autonomous Intelligent Robotics (FRI) Dr. Todd Hester Are there any questions?

CS 378: Autonomous Intelligent Robotics (FRI) Dr. Todd Hester Are there any questions?

CS 378: Autonomous Intelligent Robotics (FRI) Dr. Todd Hester Are there any questions? Logistics Post for teammates on Piazza Project topics, skills BWI Lab - GDC 3.414B Office Hours Greg Dudek talk this morning Texas

555 views • 12 slides
Interest Points: Corners and Blobs Various slides from previous courses by: D.A. Forsyth

Interest Points: Corners and Blobs Various slides from previous courses by: D.A. Forsyth

CS4501: Introduction to Computer Vision Interest Points: Corners and Blobs Various slides from previous courses by: D.A. Forsyth (Berkeley / UIUC), I. Kokkinos (Ecole Centrale / UCL). S. Lazebnik (UNC / UIUC), S. Seitz (MSR / Facebook), J. Hays

878 views • 41 slides
CS 10: Problem solving via Object Oriented Programming Winter

CS 10: Problem solving via Object Oriented Programming Winter

CS 10: Problem solving via Object Oriented Programming Winter 2017 Tim Pierson 260 (255) Sudikoff Agenda 1. MulGple blobs: lists 2. Images 3. Animated

254 views • 12 slides
MetaSync File Synchroniza/on Across Mul/ple Untrusted Storage

MetaSync File Synchroniza/on Across Mul/ple Untrusted Storage

MetaSync File Synchroniza/on Across Mul/ple Untrusted Storage Services Seungyeop Han (syhan@cs.washington.edu) Haichen Shen, Taesoo Kim*, Arvind Krishnamurthy,

837 views • 37 slides

More recommend