TDC DDoS trusselsrapport for 2015

Transkript

1 1 TDC DDoS trusselsrapport for 2015 Udarbejdet af TDC Security Operations Center

2 2 Indhold Indledning...4 Resumé...4 Statistikgrundlag...4 TDC Security Operations Center (SOC)...5 Baggrund Fakta End-to-end sikkerhedsmodel Angrebsstørrelse...6 Angrebsvarighed...7 Angrebstyper...8 Angrebsfrekvens Beskyt din DNS-server...12 Analyse af amplification-angreb...13 Undgå selv at være en del af problemet...15 DNS NTP SSDP (UPnP) CharGen Bilag A. TDC s produkter til beskyttelse mod DDoS-angreb...19 TDC DoS Protection TDC DoS Protection Always On Bilag B. De mest almindelige DDoS-angrebstyper...21 TCP SYN flood ICMP flood UDP flood Amplification-angreb

3 4 DDoS TRUSSELSRAPPORT TDC Indledning Dette er anden udgave af TDC s rapport om DDoS-trusselsbilledet. Rapporten er baseret på informationer om de angreb, som er set i TDC s net i 2015 rettet mod nordiske kunder, der er beskyttet med TDC DoS Protection. TDC Security Operations Center (SOC) Resumé I 2015 skete der et fald i den gennemsnitlige størrelse på de DDoS-angreb, som var rettet mod TDC DoS Protection-kunderne. Den gennemsnitlige angrebsstørrelse faldt fra 3,3 Gbit/s i 2014 til 2,9 Gbit/s i Dette er i stærk kontrast til den markante stigning i den gennemsnitlige angrebsstørrelse, som fandt sted fra 2013 (600 Mbit/s) til 2014 (3,3 Gbit/s). Årsagen til denne tendensændring skal nok findes i følgende: 1) Størrelsen på DDoS-angreb har nu generelt nået et leje, som overstiger langt de fleste kunders båndbredde og er dermed tilstrækkelig til at holde de angrebne mål utilgængelige. 2) Antallet af oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes, faldt fra 84% af alle angreb i 2014 til 75% i Derimod steg de mindre båndbreddekrævende TCP SYN flood angreb fra 16% af alle angreb i 2014 til 25% i Antallet af angreb over 1 Gbit/s steg minimalt fra 56% i 2014 til 57% i Det største angreb i 2015 var på 39 Gbit/s. DDoS-angrebenes gennemsnitlige varighed faldt i 2015 med 20% ift I gennemsnit varede et angreb i minutter, mens tallet i 2014 var 41 minutter. I 2015 varede 90% af alle angreb under en time, og 31% af alle angreb varede under 15 min. Det skal dog samtidig bemærkes, at kunderne typisk angribes af flere kortvarige angreb med mindre pauser imellem. Derfor har kunderne den oplevelse, at et DDoS-angreb er væsentligt længere, end tallene angiver. I gennemsnit blev en TDC DoS Protection-kunde udsat for 2,4 DDoSangreb i Her er der tale om et fald siden 2014, hvor tallet var 2,9 angreb pr. kunde. Alt i alt vurderes truslen fra DDoS-angreb til at have været på nogenlunde samme niveau i 2015 som i Baggrund TDC Security Operations Center (SOC) blev etableret i 2011 ifm. lancering af TDC s produkt til beskyttelse af erhvervskunder mod DDoS-angreb. I 2015 blev TDC SOC løftet til næste niveau med nyt overvågningscenter, nye produkter/services og flere medarbejdere, og TDC SOC beskytter nu erhvervskunder mod alle typer af cybertrusler og -angreb. Fakta Fakta om TDC SOC: Overvågningscenteret er placeret i København Alle medarbejdere er sikkerhedsgodkendte Håndterer sikkerhedshændelser for TDC og TDC s kunder Er autoriseret til at anvende den anerkendte varemærkebeskyttede CERT-titel Er akkrediteret af Trusted Introducer, som står bag et samarbejdsforum for europæiske CERT/CSIRT incident response teams Understøtter TDC s Managed Security Services Leverer 24/7/365 beredskab med CERT/CSIRT incident response team Leverer skræddersyede ydelser End-to-end sikkerhedsmodel TDC SOC arbejder ud fra følgende end-to-end model: Helt centralt for TDC SOCs virke er anvendelse af intelligence feeds fra bl.a. følgende kilder: Malware analyse TDC s honeynet TDC core infrastruktur TDC sikkerhedsprodukter Nationale og internationale samarbejdsfora 3. parts feeds (både open source og kommercielle) Statistikgrundlag Rapportens indhold er baseret på analyser af et tre-cifret antal DDoSangreb, som er blevet bekæmpet af TDC s Security Operations Center med TDC DoS Protection-produktet 1. Kunderne på dette produkt kommer fra alle markedssegmenter, hvilket bl.a. betyder, at der både er tale om offentlige og private erhvervskunder.som skrevet ovenfor består mange DDoS-angreb af flere kortvarige angreb med pauser imellem. Hvert af disse kortvarige angreb er i statistikken opgjort som et enkeltstående angreb. Forebyggelse Sikring mod angreb og uautoriseret adgang til netværket Opdagelse Monitorering af datatrafik og analyse af hændelser Bekæmpelse Identifikation og isolering af årsagen til angreb Genoprettelse Rensning af systemer og genoprettelse til betroet tilstand Analyse Analyse af hændelser, evalueringer og evt. opdateringer 1 Se Bilag A. TDC s produkter til beskyttelse mod DDoS-angreb for produktbeskrivelse

4 6 DDoS TRUSSELSRAPPORT TDC Angrebsstørrelse DDoS-angrebenes størrelse og udviklingen fra 2013 til 2015 fremgår af figuren nedenfor. Angrebsvarighed DDoS-angrebenes varighed og udviklingen fra 2013 til 2015 fremgår af figuren nedenfor. Angrebsstørrelse Angrebsvarighed 45% % % % % % % 35% 25% 20% 15% 30% 25% 20% 15% 10% 10% 5% 5% 0% 0% Bemærkninger: Efter en markant stigning fra 2013 til 2014 faldt den gennemsnitlige angrebsstørrelse en smule i Bemærkninger: Den gennemsnitlige angrebsvarighed faldt i 2015 med 20% ift Den gennemsnitlige angrebsstørrelse var i ,9 Gbit/s (2014: 3,3 Gbit/s, 2013: 600 Mbit/s). Den gennemsnitlige angrebsvarighed var i minutter (2014: 41 minutter, 2013: 35 minutter). 57% af alle angreb i 2015 var på 1 Gbit/s eller over (2014: 56%, 2013: 21%). Mange DDoS-angreb i 2015 bestod af flere kortvarige angreb med pauser imellem. 17% af alle angreb i 2015 var på 5 Gbit/s eller over (2014: 26%, 2013: 0%). 31% af alle angreb i 2015 varede under 15 min (2014: 44%, 2013: 43%). 4% af alle angreb i 2015 var på 10 Gbit/s eller over (2014: 8%, 2013: 0%). 90% af alle angreb i 2015 varede under 1 time (2014: 78%, 2013: 79%). Det største angreb i 2015 var på 39 Gbit/s. Det længste angreb i 2015 var på 5 timer og 31 minutter (2014: 5 timer og 43 minutter, 2013: 5 timer og 31 minutter). Ingen angreb i 2015 varede mere end et døgn.

5 8 DDoS TRUSSELSRAPPORT TDC Angrebstyper Stort set alle DDoS-angreb set i 2015 kan placeres i en af følgende to hovedkategorier: 1) Et oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes. Angrebstyper i 2015 Sentinel amplification 0% UDP flood 3% ICMP flood 0% 2) Et connection-angreb, hvor det er connection-tabellen i fx en firewall eller en web-server, som angribes. I figuren nedenfor kan man se fordelingen mellem angreb i disse to hovedkategorier og udviklingen fra 2013 til Angrebstyper Oversvømmelses-/connection-angreb SSDP amplification 36% TCP SYN flood 25% 90% 80% 70% % 50% 40% 30% SNMP amplification 0% DNS amplification 13% 20% 10% 0% Oversvømmelsesangreb Connection-angreb NTP amplification 12% CharGen amplification 11% Bemærkninger: I 2015 var 75% af alle angreb oversvømmelsesangreb (UDP flood 2, ICMP flood 2 og diverse amplification-angreb 2 ) (2014: 84%, 2013: 52%). 25% af alle angreb i 2015 var et connection-angreb (TCP SYN flood 2 ). (2014: 16%, 2013: 48%). I figuren nedenfor kan man se en mere detaljeret opdeling af de forskellige angrebstyper i Bemærkninger: I 2015 var 72% af alle angreb amplification-angreb (2014: 70%, 2013: 40%). I 2015 udgjorde amplification-angreb 95% af alle oversvømmelsesangreb (2014: 84%, 2014: 77%). 36% af alle angreb i 2015 var SSDP amplification-angreb (2014: 25%, 2013: 0%), og denne angrebstype var ligesom i 2014 dermed den hyppigst forekomne. SSDP amplification-angreb udgjorde i 2015 halvdelen af alle amplification-angreb. DNS amplification-angreb faldt fra 20% af alle angreb i 2014 til 13% af alle angreb i I Q var DNS amplification-angreb den mest hyppige angrebstype og udgjorde 46% af alle angreb. Ikke-amplification UDP flood-angreb faldt fra 13% af alle angreb i 2014 til 3% af alle angreb i TCP SYN flood-angreb steg fra 16% af alle angreb i 2014 til 25% af alle angreb i Antallet af multivektor-angreb, hvor flere angrebstyper blev anvendt på samme tid mod samme mål, faldt markant i 2015 til 4% (2014: 8%, 2013: 9%). 2 Se Bilag B. De mest almindelige DDoS-angrebstyper for forklaring

6 10 DDoS TRUSSELSRAPPORT TDC Angrebsfrekvens Det gennemsnitlige antal angreb pr. TDC DoS Protection-kunde og udviklingen fra 2013 til 2015 fremgår af figuren nedenfor. Nedenstående figur viser antallet af angreb fordelt pr. måned i 2015 (indekseret ift. indeks 100, som er gennemsnittet for en måned i 2015) mod kunder med TDC DoS Protection. Angrebsfrekvens pr. kunde Angreb pr. måned i 2015 (index 100) 4 3, , , , Bemærkninger: I gennemsnit blev en TDC DoS Protection-kunde udsat for 2,4 angreb i 2015 (2014: 2,9 angreb, 2013: 3,7 angreb) Jan Feb Mar Apr Maj Jun Jul Aug Sep Okt Nov Dec

7 12 DDoS TRUSSELSRAPPORT TDC Beskyt din DNS-server Analyse af amplification-angreb TDC har set en betydelig stigning sidst i 2015 af DDoSangreb mod virksomheders DNS-servere. Der har primært været tale om oversvømmelsesangreb, der har haft til formål at fylde virksomhedens liniekapacitet. Den store udfordring ved denne type angreb er, at en virksomheds DNS-server er essentiel for infrastrukturen, både hvis den anvendes af virksomhedens systemer til at forespørge ud i verden, og hvis den anvendes til at hoste virksomhedens domæner. TDC opfordrer udbydere af DNS-tjenester samt virksomheder med egne internet-vendte DNS-servere til at beskytte deres DNS-servere mod DDoS-angreb. DNS-tjenester, der er nede, kan nemlig have konsekvenser for store dele af en virksomheds infrastruktur, herunder klienter og servere der ikke kan lave DNS-opslag. De oversvømmelsesangreb, som har været rettet mod vores kunders DNS-servere, har primært været i form af amplification-angreb, hvor andre sårbare DNS-servere har været anvendt til at forstærke angrebet. Angrebene har været på ca. 10 Gbit/s i størrelse og har haft en varighed på en time. Det skal dog bemærkes, at der ofte kan gå minutter, efter at et angreb er stoppet, til alle systemer er kommet sig (fx firewalls, routere og DNS-serverne selv). Figuren nedenfor viser placeringen af de åbne sårbare servere, som blev udnyttet i et amplification-angreb mod en af vores kunders DNS-server. Af figuren fremgår det tydeligt, at de udnyttede servere kom fra hele verden. I medierne bliver det ofte nævnt, at der har været angreb på fx 10, 50 eller 100 Gbit/s. Dette betyder dog ikke, at der fra et angrebs start til angrebet stopper kontinuerligt sendes data med en konstant volumen. Som det er eksemplificeret i det analyserede DNS amplification-angreb nedenfor, så varierer et angrebs størrelse ofte hen over angrebets tidsrum. Begrundelsen for denne generelle tendens kan fx være 1) varierende trafikmængde sendt ud fra de misbrugte systemer, 2) rate-limiting på de misbrugte DNS-servere, eller 3) at de kriminelle bagmænd tilpasser angrebet undervejs, men så det stadig har en tilpas stor styrke til, at det kan holde det angrebne mål utilgængeligt. Ofte topper et angreb i starten og falder herefter. Det gælder også for eksemplet. I eksemplet kom de DNS-servere, som blev misbrugt i amplification-angrebet, fra hele verden. Dette er et helt almindelig træk for amplification-angreb. Det analyserede DNS amplification-angreb kørte over et tidsrum på ca. 12 minutter og med peak på 12 Gbit/s. Det blev registreret, at cirka 2500 åbne DNS-servere blev misbrugt til at forstærke angrebet. For det analyserede DNS-amplification angreb er der nedenfor vist tre figurer: 1) Trafikmængde i Gbit/s der blev sendt mod angrebsmålet i angrebets tidsrum 2) Trafikmængde i Kpakker/s der blev sendt mod angrebsmålet i angrebets tidsrum 3) Heatmap der illustrerer placeringen af de servere, der blev anvendt til angrebet Angreb mod kundes DNS-server Angrebskilderne DNS-angreb Trafikmængde sendt mod mål (Gbit/s) Gbit/s :17 4:18 4:19 4:20 4:21 4:22 4:23 4:24 4:25 4:26 4:27 4:28 4:29 Tidspunkt DNS-angreb Trafikmængde sendt mod mål (Kpakker/s) Hosts Der har i slutningen af 2015 været et angreb mod DNS-root-serverne ( txt). TDC SOC ser ingen sammenhæng mellem angrebene mod root-serverne og angrebene mod TDC's kunder. Kpakker/s :17 4:18 4:19 4:20 4:21 4:22 4:23 4:24 4:25 4:26 4:27 4:28 4:29 Tidspunkt

8 14 DDoS TRUSSELSRAPPORT TDC Heatmap for servere anvendt i angrebet Undgå selv at være en del af problemet TDC ser stadig DDoS amplification-angreb blive brugt i udstrakt grad, hvor det er åbne eller fejlkonfigurerede systemer, der misbruges til at lave oversvømmelsesangreb. Disse angreb er også kendt som distribuerede amplificationangreb, hvor man primært misbruger services som DNS, NTP, SSDP eller CharGen. Metoden, som de IT-kriminelle anvender, er at sende en forespørgsel på ganske få bytes til fx din DNS-server. Forespørgslen til din server er udformet på en særlig måde, så din DNS-server sender en meget stor datamængde til den virksomhed, som skal bringes ud af drift. I TDC's net (AS3292) optræder der også kundeudstyr, der potentielt kan misbruges til DDoS amplification-angreb. Pt. er der detekteret ca services i TDC s net, der kan misbruges. Disse services fordeler sig på følgende vis: Åbne sårbare servere i TDC s AS3292 Protokol Åbne servere Gns amplification faktor Max amplification faktor NTP 63,74% SSDP 31,81% DNS 4,44% CharGen 0,01% TDC s kunder kan anvende følgende side til at teste, om de har en af ovenstående services kørende på et af deres systemer, og om de er sårbare overfor at blive misbrugt til amplificationangreb: Derudover kan vi anbefale at hente yderligere information om problemstillingen her: DNS I bl.a. mange routere er der indbygget en DNS-server, og i mange tilfælde er DNS-serveren indstillet, så den kan bruges af alle på internettet. Løsningen for at forhindre et misbrug er, at du indstiller DNS-serveren, så den kun kan bruges fra dit lokale netværk. Det er de absolut færreste virksomheder, der har brug for at have egne rekursive DNS-servere, der kan bruges fra internettet. Der er dog virksomheder, som har behov for at have autoritative DNS-servere. De kan desværre også i sjældne tilfælde udnyttes til at indgå i amplification-angreb. Man kan evt. sikre dem vha. fx rate-limiting. På CERT/CC's hjemmeside kan man læse om, hvordan man kan beskytte sin DNS-server for at undgå, at den misbruges til amplification-angreb: TA13-088A Brugere med teknisk kendskab kan anvende værktøjet nmap til at undersøge, om en rekursiv DNS-server er åben for forespørgsler fra den ip-adresse, der testes fra: nmap -su -Pn -p 53 --script=dns-recursion <ip/hostnavn> NTP Det kan fx være din firewall eller router, som har en NTPserver kørende. Løsningen for at forhindre et misbrug kan fx være at foretage nogle indstillinger, så NTP-serveren ikke kan anvendes fra internettet. Det er der flere metoder til, fx: Bloker for udp port 123 fra internettet vha. en firewall regel. Indstil NTP-serveren, så den kun kan bruges fra LANnetværket Luk for NTP-serveren. Sidstnævnte metode er at anbefale for langt de fleste. Det er primært NTP-funktionerne readvar og monlist, der kan misbruges til disse angreb. På en Linux-platform kan følgende kommandoer anvendes til at undersøge om hhv. monlist og readvar kan misbruges: NTP monlist: ntpdc -c monlist <ip/hostnavn> NTP readvar: ntpq -c readvar <ip/hostnavn>

9 16 DDoS TRUSSELSRAPPORT TDC SSDP (UPnP) I blandt andet mange routere er der indbygget en SSDPserver. Løsningen for at forhindre et misbrug kan fx være at foretage nogle indstillinger, så SSDP-serveren ikke kan anvendes fra internettet. Det er der flere metoder til, fx: Bloker for udp port 1900 fra internettet vha. en firewall regel. Indstil SSDP-serveren, så den kun kan bruges fra LANnetværket Luk for SSDP-serveren. I praksis har man aldrig brug for at kunne nå SSDP fra internettet. Brugere med teknisk kendskab kan anvende værktøjet nmap til at undersøge, om en SSDP-server er åben for forespørgsler fra den ip-adresse, der testes fra: nmap -su -Pn -p script=upnp-info <ip/hostnavn> CharGen Løsningen for at forhindre et misbrug kan fx være at foretage nogle indstillinger, så CharGen-serveren ikke kan anvendes fra internettet. Det er der flere metoder til, fx: Bloker for udp port 19 fra internettet vha. en firewall regel. Indstil CharGen-serveren, så den kun kan bruges fra LANnetværket Luk for CharGen-serveren. Sidstnævnte metode er at anbefale for langt de fleste. Brugere med teknisk kendskab kan anvende værktøjet nmap til at undersøge, om en CharGen-server er åben for forespørgsler fra den ip-adresse, der testes fra: nmap -su -Pn -p 19 <ip/hostnavn>

10 18 DDoS TRUSSELSRAPPORT TDC Bilag A. TDC s produkter til beskyttelse mod DDoS-angreb Her er en beskrivelse af TDC s to løsninger til beskyttelse mod DDoS-angreb. TDC DoS Protection TDC DoS Protection fjerner DDoS-angreb centralt i TDC s netværk, inden det rammer kundens internetforbindelse. Produktet består af tre dele: 1) Monitorering for DDoS-angreb 2) Bekæmpelse af DDoS-angreb 3) Rapportering Med TDC DoS Protection monitorerer TDC kundens internetforbindelse døgnet rundt for DDoS-angreb. I tilfælde af et angreb udløses en alarm, som sendes til TDC s 24/7 Security Operations Center (SOC). SOC en kontakter kunden for at aftale, om angrebet skal bekæmpes. I givet fald dirigeres al trafikken til den angrebne ip-adresse via TDC s centralt placerede scrubber-bokse. TDC s scrubber-bokse fjerner den uønskede trafik og videresender den legitime trafik. Kunden har ligeledes mulighed for selv at kontakte SOC en for at starte bekæmpelse af et DDoS-angreb. En månedsrapport sendes til kunden med oplysninger om trafikken til de beskyttede servere samt en oversigt over de udløste alarmer. I tilfælde af bekæmpelse af et angreb udarbejdes en rapport med oplysninger om angrebet, og hvordan angrebet er blevet bekæmpet. Som alternativ til den manuelle fremgangsmåde ved et angreb, kan kunden tilvælge automitigering. Herved vil et angreb blive bekæmpet automatisk ud fra nogle forudaftalte teknikker og med en lav reaktionstid. TDC DoS Protection Always On TDC DoS Protection-løsningen kan suppleres med en boksløsning, TDC DoS Protection Always On, som opstilles i kundens net, og som så vil fungere som first line of defence ved DDoS-angreb. Boksløsningen har følgende fordele: Er Always on og ser al trafik på kundens linie Stor trafiksynlighed betyder bedre muligheder for at bekæmpe applikationsrettede angreb Hurtig reaktionstid ved angreb Denne boks vil automatisk kunne bekæmpe de forskellige typer af DDoS-angreb lige undtagen de store såkaldte oversvømmelsesangreb pga. boksens fysiske placering. Kommer kunden ud for et stort oversvømmelsesangreb, vil boksen derfor automatisk signalere ( råbe om hjælp ) til den centrale løsning i TDC s backbone (TDC DoS Protection) for at få umiddelbar hjælp til bekæmpelse af angrebet. Den centrale løsning vil herefter automatisk tage over mht. at bekæmpe angrebet.

11 20 DDoS TRUSSELSRAPPORT TDC Bilag B. De mest almindelige DDoS-angrebstyper TCP SYN flood En kendt og meget brugt metode til at forårsage overbelastning er at udnytte three-way handshake (SYN, SYN-ACK, ACK pakkesekvensen) processen, når en TCPforbindelse skal oprettes. Angriberen sender en SYN-pakke, som offeret svarer på med en SYN-ACK pakke. Herefter forventer offeret en ACK-pakke, som dog aldrig kommer. Efter en tid timer opkaldet ud, men indtil da, er ressourcer hos offeret optaget. Hvis offeret fra fx et botnet modtager mange samtidige opkald af denne type, vil alle ressourcer hos offeret være opbrugt, og reelle forsøg på at etablere en TCPforbindelse vil blive afvist. Denne form for DDoS-angreb går under navnet TCP SYN flood og er selv i dag meget anvendt på grund af sin enkelthed. ICMP flood Et ICMP flood-angreb er et oversvømmelsesangreb, hvor typisk et botnet sender så mange ICMP Echo Request (ping) pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem. Et ICMP flood-angreb kan også overbelaste serveren, der modtager ICMP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne. UDP flood Et UDP flood-angreb er et oversvømmelsesangreb, hvor typisk et botnet sender så mange UDP-pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem. Et UDP flood-angreb kan også overbelaste serveren, der modtager UDP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne. Amplification-angreb Ved et reflection amplification-angreb (også blot kaldet amplification-angreb) sender et botnet angrebstrafik via åbne servere (porte) på nettet for at få forstærket sit angreb. Typisk anvendes åbne servere, der understøtter følgende UDPbaserede protokoller: DNS NTP SNMP SSDP CharGen Et DNS amplification-angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender ip-adresse mod åbne DNS-servere. DNS-serverne vil, som DNSservere altid gør, sende svaret på forespørgslerne tilbage til afsenderadressen. Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNSsvar til denne server. De åbne DNS-servere bliver altså anvendt som reflektorer ( relæmaskiner ) for angrebet, men også som forstærkere, da et DNS-svar typisk fylder meget mere end en DNSforespørgsel. DNS amplification-angreb Botnet DNS-server Bot Bot Forespørgsel med falsk afsender IP DNS-server Angrebsmål Svar Bot DNS-server Bot

12 22 DDoS TRUSSELSRAPPORT TDC

13