 Cation Congress in Hamburg. Hallo, vielen Dank. Wie schon gesagt wurde, heute werden wir über DDoS lernen. Nicht nur, was das ist, weil das ist, was sie alles wissen sollten, sondern lernen. Wir kennen sie hauptsächlich von der verteidiger Seite. Wir sehen sie aus den Medien, aus den Nachrichten. Irgendjemand hat einen Virus geschrieben, der das macht. Aber wir hören immer nur eine Seite von dem ganzen, die verteidiger. Heute werden wir über die Mitigation lernen. Oder wie man das nicht mitigiert. Zuerst, Mitigation ist gegenkämpfen, in denen die Fehler das Problem abwenden. Zuerst kriegen wir ein paar Informationen darüber, was die das ist, worum geht es. Zweitens. Wie wir diese Dienste anbieten, sind seit drei Jahren von DDoS von Leuten, die unseren Service ausprobieren. Teilweise hilft das auch nicht so ganz. Danach schauen wir, wie das DDoS wirklich passiert. Das passiert bei Statistiken auch sehr langweilig. Dann gehen wir über die zehn üblichsten Strategien, die wir vermuten, hoffen, dass sie die von ihnen hören. Am Ende haben wir ein paar Fragen und Antworten. Ich bin Michelioni. Ich mache Sicherheitszeug. Ich bin Teil eines Sicherheitsforscher. Wir zusammen machen was Cooles. Wir verteidigen. Ich arbeite mit Penetrationsteste und ethischem Hacking. Über drei Jahre harte Arbeit über DDoS. Jetzt können wir unseren Kunden ein Service zu berieten, sich gegen DDoS verteidigen. Das ist das Ende der Werbung. Jeder kriegt DDoS Angreifer. Nicht wirklich. Nicht jeder. Wenn ihr ein Angreifer seid, werdet ihr vielleicht dann einen oder zwei Taktiken, die ihr vorher nicht kennt. Wenn ihr ein Verteidiger seid, werdet ihr dann, was ihr nicht machen sollt, was sind die zehn häufigsten Strategien, die man nicht machen sollte. Wenn ihr weder noch seid, werdet ihr dann einen Verteidiger oder einen Angreifer. Einfach zu. Hier sind gute Schamens. Schadenfreude. Die Methode, wie wir es ein bisschen kompliziert. Wir wollen Kontrolle über unser Botnet haben. Wir wollen ein ordentliches Botnet haben. Alles, worüber ich hier rede, ist legal. Wir machen das als legal. Wir haben unser eigenes Botnet, überall auf der Welt, überall auf dem Globus. Wir haben diese Kontrolle und Mechanismus für unsere Kunden. Wir haben ein paar extra Zugänge. Wir können genau anschauen. Wir lockern alles mit. Das ist ziemlich kompliziert zu machen, wenn man ein Botnet mit tausenden Computern hat. Wir wollen jeden von denen einzeln kontrollieren können. Wir wissen genau, was wir nicht hinkriegen, was wir nicht sehen. Wir haben einen blauen Team und ein blaues Team. Das blaue Team ist noch falsch. Hier sieht man Blue Spock mit einem blauen T-Shirt. Das blaue T-Shirt ist auf der Seite mit dem Kunden und schaut deren Blogs an. Nicht um zu zeigen, was er tun soll, sondern nur eine Notizen macht für das rote Team. Das rote Team, auf der anderen Seite der Zeile, greift die Kunden an mit dem großen Botnet. Zusammen mit den beiden Spocks wissen wir genau, was passiert auf dem Netzwerk oder in den Computern des Kunden. Dadurch können wir den wirklich sagen, was er macht, gut sagen, was er macht. Wir wissen, was passiert. Wir können genau anschauen, wo das ist. Wir können es analysieren. Wir können unseren eigenen Botnets analysieren und die Verbesserungsmethodiken für das nächste Mal anschauen. Zusammen haben wir diese Visualisierung von der Analyse und wir können weitergehen mit dem Angriff. Außerdem, einige DDoS-Attacken benutzen hauptsächlich vielleicht diesen Schock für meisten. Meistens sind kleiner als 2 Gigabits pro Sekunden. Wir brauchen uns zu zeigen, dass DDoS nicht unbedingt so groß ist, wie die Medien sagen. Das ist natürlich Sinn manchmal, sehr große Angriffe und die Netzwerke haben wirklich Probleme damit, aber bei den meisten Fällen, wenn jemand DDoS im Medien sagt, dann bedeutet das nicht sofort, dass es ein sehr großen Angriff ist, sondern auf dem Netzwerk. Außerdem haben wir Reflexion und Amplikation. Es sind zwei Werte, von denen wir sehr viel hören. Reflexion ist der wirkliche Attacker, von den Servers von dritten Personen, die kommunizieren müssen. Die dritte Person leitet es weiter auf den wirklichen Angriff, den wir schon wollen. Verstärkungen benutzen wir in irgendein asymetrisches Protokoll. Asymetrisches Behalten des Verteidigers oder des Anrevers oder des Servers. Die Server sind viel härter arbeiten, um irgendetwas zu machen. Das ist Verstärkung. Die meisten Attacker, über die wir hören, brauchen keine Gehirne. Man kann das Gehirn draußen lassen und einfach nur anfangen mit einem Werkzeug. Dafür bedeutet es, dass die meisten Angriffe sehr starke Bandbreite brauchen. Man muss nicht so dumm sein. Man muss nicht die meisten von diesen 90% des Gehirns, aber man braucht ein kleiner Anteil des Gehirns, um den Angriff zu verstärken, ohne dass man so viel Bandbreite benötigt. Man braucht das Alter. Nur ein paar Sachen. Es gibt ein sehr modernes Frontend. Wir werden das schon beim Beispielen, aber jeder denkt, die Webseite geht gut kaputt, weil die dort wegen einem Log-Intool, eine WW-Seite der Bank, aber das ist nicht, worum es wirklich geht. Man kann das Backend angreifen. Zudem kann man das Backend auch dafür bringen. Das macht ja auch etwas, und nicht nur die Seite anzeigen. Man kann den Angriff verstärken, weil sich das Backend. Man kann Selfie sein, die Hörer zu, die Sniffen, schauen die ganze Zeit, was da passiert. Das ist ein merkisches Sniffing. Man kann auch bei Verstärkungen einfach so generell darüber denken. Wenn ich sage, Selfie benutze deine eigenen Werkzeuge. Die meisten Attacken, die man hört, die Liste, die man in den Quellcode dafür hat, dann kann man analysieren, was macht denn der Angriff? Diese Angriffe sind in der Regel relativ einfach zu verstehen, weil sie brauchen sehr kleine Verteidigungsanformen, um Sinn durchzuführen. Wenn man weiß, was man macht, dann kann man den sehr einfach ein eigenes Skript schreiben. Damit kann man 90% der Signaturen, die auf Antididos-Maschinen laufen. Amplifikation generell, sind vier Pillars. Der Netzwerk, die CPU, die teilweise sehr limitiert ist in manchen Fällen, und CPU war schon auf dem 28. C3 von jemandem angegriffen worden. Ich hab seinen Namen vergessen, weil es nicht meine Muttersprache ist. Ein sehr professioneller Typ hat einen effektiven CPU-Angriff gezeigt, der ein einzelnes Geld- oder Post-Request zu dem Server geschickt hat, und der evaluiert die CPU-Aushaltung. Er hat bis zu 99% gebracht, und das hat sich der Hesche benutzt. CPU ist auch wieder ein sehr starker Angriffspunkt, den wir vielleicht angreifen wollen. Ein anderer Teil, den wir potenziell angreifen wollen, sind die Arbeitsspeicher, sondern die Rahmen. Alles, was wir benutzen, hat Rahmen drin, und wir können das ausnutzen. Arbeitsspeicher, und alles, was auf einer Webseite passiert, wenn man ein Datei hat, und die Datei muss unterschiedlich analysiert werden, und alle Stände haben im Arbeitsspeicher-Bereich, und das kann man sehr effektiv sein. Und zu guter Letzt sind die Speicher selber, und hat eine gewisse Menge an Speicherplatz, also Festplattenspeicher, und sogar der IO-Buffer, der Festplatten, die sehr gut arbeiten, um alles auszuführen. Okay, das ist eine wahre Geschichte. Und die Namen wurden geändert, wir werden keine unserer Kunden anschätzen, und ihr wisst, dass jetzt nichts kommt, außer aus dem Verteidigung der Toten, wird der Rest nicht geändert. Das ist irgendeine Empfehlung. Also, Ready? Set? Festbaum, also Hand. Und jede der Gesichten wird von einem Festbaum-Ration gezeigt werden. Wir haben eine Skala davon. Aber ich habe schon gesagt, am Ende der Nummer 1, wir gehen von 10 zu 1, Nummer 1, ich kann versprechen, ihr werdet ein episches Festbaum machen. Das verspreche ich, okay? Ready? Bereit? Nummer 10. Nummer 10 war, also das war üblich, es ist nicht so üblich, die Dienstwerkleute wissen, dass es Müll sind. Also begrenzend der Anzahl an Pakete, die reingehen. Ja, ja, wir haben, wir haben ein DDoS mit 2 Gig, aber wir haben nur 1 Megabyte auf Bettenbreite. Deswegen lasst uns mal nur einen Nutzen zum Hochladen. Deswegen können, deswegen der Rest der 99 Megabyte per Sekunde werden nicht verwendet. Also, wenn ihr einen eingierende Paket, das funktioniert nicht. Der Kunde hatte einen DDoS und der ESP hat gesagt, bitte begrenz der Anzahl an eingierende Pakete. Und das war der Internetprovider, der gesprochen hat. Und der Kunde hat es geglaubt. Und der Glaube, das war genug, um das Problem zu lösen. Und da wollte das testen, deswegen haben wir es getan. Und das war, das war relativ einfach. Aber wenn du weißt, wie das Internet funktioniert, du hast ein Get-Request. Es ist, es ist einfach. Es ist ein KB, ein Kilo-Bit oder vielleicht ein Kilobyte. Und du willst ein Datei von der Server. Wenn die Datei groß genug ist, dann hast du ein Megabyte, oder 200, das ist schon einen Amplifikationsfaktor von 200 mehr. Wir nutzen sehr wenig Daten, die wir brauchen und zum Hochladen, aber der Download ist das Inhalt. Und der Server tötet sich selbst. Das Schöne an diese Taktik ist, das funktioniert immer. Nicht nur, wenn irgendjemand versucht, so zu mitigieren, sondern das, der, die Verwendung ist schon ein, ja, das ist nicht den größten Facebook, das ist nur Implicitus-Facebook. Vielleicht sollte es nicht mal auf diese Skala sein. Nummer 9. Es ist sehr schön. Wir haben Werkzeug, der prüft die Größe, die jederzeit in dieser Geschichte, eine wahre Geschichte, die in einem Monitoring wurde von einem Drittanbieter gemacht. Der einzige Job war, diese Seite zu monitoren. Du kannst, nach 20 Minuten, deine Gedanken gehen weg. Du kannst nur an Blumen oder Kinder oder Wasserhema oder was du mittags gegessen hast, aber dein Aufmerksam weg. Und dann vergisst du eben das Monitoring. Das ist etwas, das sehr, sehr langweilig ist. Das ist ein Graf, und wenn es okay aussieht, dann lass du es so, wie es ist. Aber in dem Fall, wir haben es nicht so. Wir haben die Seite angerufen und die Seite war kaputt. Das war ein Überraschungsangriff. Die Person, die den Test haben wollte, war der Sicherheitsbeauftragte der Organisation und der Drittanbieter nicht bescheid gegeben, dass ein Test stattfinden würde. Deswegen, als die Seite runter war, hat man es gesehen. Man musste kein Expert sein, um das zu sehen. Und dann hat er nur gewartet. Und noch ein bisschen gewartet. Und du stellst dich die Frage, vielleicht ein E-Mail oder irgendein Anruf, irgendjemand wird die Person sagen, hey, wir haben ein Problem. Nein, keiner hat es getan, weil zwei Sachen. Die IT war ... Es hat keiner die IT Bescheid gegeben, und wir werden wissen, warum in einer Sekunde. Es hat keiner ein E-Mail geschrieben. Und der Monitoring, der hat nicht gemerkt, dass irgendwas kaputt ging, dass irgendwas falsch auf dem Netzwerk war. Der Drittanbieter hat den Logging-System gesehen. Und der Logging-System ... und der Logging-System sah so aus. Du hast einen Peak, so irgendwie vorne ... also ich weiß nicht die Farben, aber ... aber da gab es einen Botnet. Und ... das ist ein Train irgendwo. Und der Drittanbieter hat das screenshot gemacht und das geschickt. Und hat gesagt, ja, das sieht okay aus. Guck mal, das sieht wieder entspannt. Da gibt es nichts. Aber ... Nummer eins. Sie haben tatsächlich nicht aktiv überprüft. Wenn Sie einfach auf ein Browser geklickt hätten und die Seite geöffnet, dann haben Sie die Seite geöffnet. Du merkst, das funktioniert nicht. Du musst keinen extern sein. Oder ein Soctim. Das ist ... genau das nicht gemacht. Und warum ... warum wusste die IT davon nichts? Warum kein Anruf oder E-Mail? Und das ist eigentlich ... das Teil von der E-Mail-Welt. Die tatsächliche Bandbreite, die dafür verwendet wurde, wurde auch verwendet, wurde auch verwendet, wurde auch verwendet für der Hauptquartier innerhalb ... also jeder, der surft, innerhalb der Gebäude dort, der Hauptquartier. Also es gab keinen E-Mail in der Zeit. Es könnte keiner ... es könnte keiner anrufen. Weil die Bandbreite war einfach nicht mehr vorhanden. So. Das war schön. Und dieser Art von Facebook ist ... Facebook. Ja, das ist einfach. Und das sieht süß aus, oder? Okay. So, Nummer 8. Okay. Die Backend-Server sind nicht wichtig, die das zu schätzen. Und die ... der sichere ... die, die wir anschauen müssen, Backend-Server sind nicht wichtig. Ah, das ist dumm. Man denkt, dass irgendetwas aber nicht wichtig ist und dann einfach nicht benutzen. Wenn ... wenn die Server nicht ... geschützt werden müssen, das sind die Irgendwo. Und diese Idee, dass man denkt, kommt von den ... von den Medien, den Medien. Jeder liest davon diesen ... Angriff zum Beispiel, Bank von Amerika voran gegriffen. Jeder tweetet darüber die Blockchain-Seite von dieser Bank. Warum die nicht antwortet? Also die Medien ... machen dasselbe. Die anderen Seite der Bank ist kaputt. Aber meh. Was aber wirklich passieren kann, ist, was das Schild schlimmer ist. Was versteht, wissen wir nicht, bis man durch das Anschalten weiß, genau was schief gelaufen ist. Vielleicht ist das passiert. Vielleicht sind die meisten Zeiten aufgetreffend das Frontend, aber das bedeutet noch lange nicht, dass das Backend unwichtig ist. In diesem Fall haben wir versucht, die Seite zu ... eine Karte von der Seite zu machen. Wir wollen das Backend anschauen, weil wir ... mit dieser Idee, wir wollen wissen ... Backend antreffen, wollen wissen, was passiert. Wie kriegen wir das hin, dass ein Backend selber getroffen wird? Also ich weiß nicht, wie einfach das ist. Aber es ist sehr üblich und man geht mit einer Seite und schaut ... rauszufinden, was passiert. Dahinter. Und man kann es aber nicht wirklich sehen, wenn man da nicht ein Entwickler ist. Man versucht aber die Seite als Pentester aus. Und wenn man sich die Seite aus sich anschaut, dann versucht man rauszufinden, wo ist die Datenbank, was passiert denn da? Und das Teil ist relativ einfach. Wenn man eine Frage bekommen, eine Zettischfrage, wahrscheinlich jetzt SQL, oder ein neues Geldzettel, oder ein Datei sogar, so ist ein Datenbank. Man kann da eine Anfragen stellen und kann es anschauen. Darum ist diese Idee ziemlich schlimm. So, diese Backend-Server ... ähm ... ähm ... vielleicht ... die da ist mich jemand? Nein? Ah, okay. Also in diesem Fall haben wir ... etwas raten. Und das ist relativ einfach. Wenn etwas langsamer wird, zwischen Daten, Danken oder Forms, dann ist es irgendwann im Backend. Das Frontend hat, denk ich, darüber nach, dass er um den Punkt und es sinnvoll ist. Und wenn die Seite braucht was nachzudrücken, dann muss das das Backend sein. Man hat es gefunden, man hat dann Erfolg beim DDoS. Und das, ja, Fame-Porm, das ist ein kritisches Kitten. Das muss ... Kitten sein, sondern Kätzchen sein, das zu machen. Das ist so einzig an von euch. So. Sieben. Wir haben einen relativ guten Kunden im Zusammenarbeit. Und der hat uns sehr gut unsere Arbeit respektiert und uns einem DDoS gemacht. Er hat ihn doch mal angerufen. Diesmal hat er einen neuen Box gekauft. Und dieser neue Box hat sehr viel Geld gekostet. Und ... wie jeder Kiste tut das. Wenn man eine sehr, sehr teure Küste kauft, dann muss man vielleicht die Alles-Server daran anschließen. Diese Backend-Server sind genauso wichtig wie die Frontend-Server. Protect die ganzen Domains, die ganzen Daten verbinden, die ganzen Corporate-Maschinen anbinden. Die Bank. Alles. Alles, was ... ... zu dieser Kiste anschließen. Was ist das Problem? Ein bisschen extra Zeug? Oder vielleicht auch nicht. Was wir wirklich bekommen, ist die Verstöße gegen die DDoS, gegen diese ganzen Domains. Wenn wir das ausprobiert haben, den wirklichen Test ausgeführt haben, haben wir versucht, rauszufinden, was diese Box machen soll. Wir haben keine Branche von dieser Kiste, die wir wirklich nicht gekannt haben. Ziemlich keine Name. Und die Verteidigung ist ziemlich ... ... eindeutend neu. Die Strategie ist, denkt darüber nach, was passiert. Die Kiste setzt dann nur für 20 Sekunden. Wenn Sie vermuten, was passiert, und nach 20 Sekunden wir vermuten, das macht ja ein Modell für den Angriff. Und dann besucht es, automatisch herauszufinden, wie man den abwenden kann, den Angriff. Dieses Mechanismus wird normalerweise benutzt, um dass die Seiten gedrained werden. Wenn man alte Seiten hat, dann macht man die Seiten einfach heiß, und wartet nur auf neue. Und mit dem Modell, was man baut, können die Box entscheiden, was kommt rein, und was kommt nicht rein. Also, dass wir das versucht haben, sehr ... ... haben wir uns ernst. Bevor wir eine Seite angriffen, haben wir die Information über die Seite. Wir haben versucht, rauszufinden, was wirklich passiert. Und der Kunde musste normalerweise überhaupt nichts antworten. Wir versuchen uns nicht ... Wir versuchen die Technologien, die wir umgehen wollen. In diesem Fall haben wir die Liste, die in der Teilung gesehen haben, ein paar interessante Verteidigungs-Sortigen angeschaut. Man versucht, die zu umgehen. Das ist wirklich Gutes. Wir haben wirklich Gutes, als wir den Angriff angefangen haben. Aber genau 20 Sekunden, oder 21 Sekunden später, weil die ganze Seite untergeschaltet. Von der ganzen Welt. Nicht nur das. 6 Minuten später prüfen die Leute vom Blauteam, die auf dem Blauteam noch mal einen Leute, ihr müsst den Angriff anhalten. Sofort. Ihr habt das sehr erwütend. Warum? Was ist passiert? Um 2 Minuten, um einen Angriff auszuschalten, um zu starten. 2 Minuten. Es hat eineinhalb Minuten gedauert, und dann ist der Angriff fertig. Aber keiner der Server hat geantwortet. Also, anscheinend waren die sehr großen Stress. Vermute ich jetzt mal so. Nicht nur das. Nicht nur das. Nicht nur das. Nicht nur das. Nicht nur die Domains, die wir gedacht haben, dass wir die Angreifen waren runter, dass die ganze körperrechte Netzwerke war runter, weil alles von der Kiste abhängt. Und weil, wie die Schattern passiert, die ganze Netzwerke, wenn es eine interne Netzwerke, ein paar sehr back-end, die Kiste, hat die Kiste ein sehr wichtiges kommuniziert, ohne erklären zu können, was es wirklich war. Aber irgendetwas ist sehr komisch laufen beim corporate Netzwerk, und sie haben viel Geld darüber verloren mit den Transaktionen. Es war sehr peinlich, und ihr könnt vermuten, was passiert ist, was ihr sehen habt. Nicht nur das Monitoring, das Monitoring war auch ausgeschaltet, weil es war mit einer Kiste verbunden. Alles war dunkel, innerhalb von Sekunden, und alle hatten Angst, und die Telefone haben nicht geklingelt, aber die haben sich in eine Leihung rufen, das ist erstens einfahren. Wir haben aufgehört, und ich glaube, es hat 7 Stunden gedauert, wirkliche Mitigationen, um die Server wieder zurückzubringen in der normalen Operation. Dieses Facepalm so. Nummer 6 Das ist ein Guten, ich liebe es. Es passiert jederzeit. Also es ist sehr üblich, heutzutage. Man hat sehr viele Verkäufer, die verkaufen irgendwelchen Cloud-basierten Lösungen und Mitigationstechniken. Also wir verkaufen die Verkäufe nicht. Schämlich, das ist was passiert, wenn du vertraust ein Drittanbieter, das du nicht weißt, das du nicht kennst. Also Leute, die irgendwas anbieten, also Cloud-basierte Mitigation, aber wenn du zu einem Start-up gehst oder jemand, der relativ jung ist und der gibt es dir für um, für umsonst, eine gewisse Sicherheit gegenüber dir aus. Und deswegen diese Verteidigung ist ziemlich cool für uns, weil wir können wenn wir das erwarten können mit dem Verkäufer, dann HTTPS ist nicht abgedeckt. Deswegen, wir mit HTTPS. Und wenn wir mit HTTPS gehen, es wird nur besser, weil die Hackers Choice über Forschung gemacht über SSH und Rendition. Und das ist so effizient, so 15 mal effizienter für die CPU des Servers und harter als der eigene Arbeit. Also wenn man versucht, der CPU zu überlasten, das ist ziemlich einfach zu verwenden mit nur 2 Rechnern. Aber wenn wir von einem großen Bank sprechen, 2 Rechnern wird nicht genügend. Aber wenn die Negotiation da ist, also Verhandlung da ist, wird es getan, also sehr schwierig zu kontern. Es sei dem, man hat HTTPS Hit und man hat ganz genau, was auf die Linie auf der Leitung geht. Und der Verkäufer kann auch nichts machen. Man sieht es nicht, weil man verarbeitet das nicht selber. Und hier wird richtig sein. Ihr wollt nicht unbedingt jemand anderem sehen, der eure gesamten Daten sieht. Aber wenn ihr einen Sicherheitsverkäufer nicht traut, dann arbeitet nicht mit dem. Es ist einfach. Und das ist ein Doppelface-Ball. Die erste ist, der Arbeiten mit einem Sicherheitsverkäufer, das du nicht traust. Ist das, wenn es nicht siehst, wenn HTTPS von irgendjemand terminiert wird. Okay. Wir brauchen Big Data. Das war kein Pause. Ich wollte nur was trinken. So, wir brauchen Big Data. Das ist ein großes Wort. Ich weiß nicht, ob ihr da schon darüber gelesen habt, vorher. Aber Big Data wird einen Trend sein. Lasst uns alles sammeln. Wir haben Big Data. Wir haben dieses Netzwerk-Gerät. Wir haben dieses Netzwerk-Gerät. Und wir wollen alles sammeln. Das ist cool für uns, für euch. Aber ihr habt da ein großes Problem. Und das ist das Speicherplatz. Und ehrlich, manche Protokoll wie PCI sagen, du möchtest alles speichern. Es ist nicht eine falsche Assumption. Und nichts damit machen. Sondern speicher das responsiv. Sinnvoll. Wenn es nicht sinnvoll gemacht wird, du hast Log. Und dann hat ein Speicher Boom. Und ein Zilo wird gebraucht. Und dann ist es komplett gelockt. Aber wenn wir nichts mehr machen auf dem Server, das ist wirklich schwierig, irgendwas zu tun ohne 4K. Wenn man irgendwas von der Platte braucht. Und vielleicht ist die I.O. blockiert. Aber das, was am einfachsten fällt, ist nicht ein Server. Weil die gehen durch, die rotieren durch die Logs. Die Netzwerk Switch und IPS UPS. Und die Antididos Mitigationsgerät und vielleicht ein VPN. Und in dem Fall war das das I.P.S. Das I.P.S. Ich werde den Verkäufer einfach allein lassen. Aber der geht durch seine Logs. Und der hat ein Storage Boom bekommen. Und dann hat er einfach die gesamte Seite getrennt. Also, sie konnten nicht mehr irgendwas gegen den Angriff machen, weil der I.P.S. kaputt war. Man könnte nicht mehr auf der Webseite selber ankommen und können sich nicht mehr verbinden mit der I.P.S., weil es gab keinen Speicherplatz mehr auf der I.P.S. Man kann das Problem nicht mehr lösen. Und man musste wirklich in einem Bunker gehen und der Knopf drücken. Hoffentlich der Richtige. Und das ist das von Drittanbieter. I.P.S. ist Detrusion Protection System. Vier. Wir werden angegriffen. Bedeutet diese vortige Scrubbing Service. Es gibt so etwas nicht. Underman Scrubbing Service bedeutet das Scrubbing Service. Die müssen etwas über den eigenen Verkehr lernen. Die müssen wissen was sie entfernt wollen. In diesem Fall haben wir einen Learnings-Mod. Das ist sehr wichtig. Erlernt und sagt einfach, hey, mach nicht die ganzen Anfeiterung und Medikation. Schält es nur an, wenn man den wirklich benutzen möchte. In diesem Fall in Australien und in Deutschland haben wir nicht seinen Fehler. Underman Scrubbing Service hat es benutzt und der Angriff war normaler Verkehr. Wenn man weiß, wie der normale Angriff ansieht, dann kann man sehr einfach so ähnlich aussehen lassen. Und in unseren Werkzeugen können wir das machen. In einem sinnvollen Anweis. Sondern die, die die Handbuch lesen, die Handbuch gelesen, das hat kein Problem. Wir können sofort lernen. Also, ich kenne das jetzt nicht, aber lassen wir mal, das ist möglich. Und der Winderantwort war sehr interessant. Also die Geschichte war so. Wir hatten ein Winder, dann haben sie angegriffen und dann war es ziemlich in Ordnung. Wir haben eine Wir wollten die verstärken und zu schauen, was wirklich passiert. Wir haben höher geworden und höher geworden, noch mehr. Und dann haben wir einen Limit gehabt. Es sieht in Ordnung aus, wenn wir weitlich weitermachen und sagt, nee, ich möchte den On Demand Scrubbing Service abschaltet hat. Der On Demand Scrubbing Service war alles abgeschaltet worden und man konnte nicht mal zu greifen. Und es war sehr interessant, weil nicht nur der es so gemacht hat, er hatte auch keine Kontrolle darüber. Er konnte es nicht mehr ausschalten. Dann fanden wir es vielleicht den S-Ring-Triegen und den Verkäufer angerufen. Normalerweise machen wir das in der Nacht, aber wenn wir den Kunden nicht schaden wollen, das ist problematisch zu uns, weil wir uns einen normalen On-Pick-Schräfte machen. Normalerweise angehen wir es, z.B. den Weihnachten oder so. Aber in diesem Fall ein großer Kunde wollten den Kunden nicht wirklich schaden. Das ist so. Der ruft den Verkäufer an und der Verkäufer hat in 24 Stunden jemand da, der mit den Personen ist und die Telefonen abgenommen und hört. Jemand, der wirklich vom Schaf aufgewacht ist und vermuten, dass er in seinen Unter- konnten ihn nur hören. Wir haben ihm gesagt, hey, hört zu, wir haben wir brauchen ihre Hilfe, unsere Seite ist down, es ist 6 Stunden, wenn es morgen wird und wenn morgen kommt, dann werden unsere Leute zur Seite gehen und keiner kann. Im Moment kann niemand zugreifen und das ist kontrolliert. Er sagt, warte mal, ich muss mit jemandem reden, er ruft mit jemandem an und eine halbe Stunde später kommt er uns an, hey, okay, okay, wir versuchen es rauszukriegen nach einer Stunde und er sagt, der Verkäufer hat gesagt, warum haben wir uns nicht gesagt, dass wir den Calibrieren müssen und Calibrieren müssen und er sagt, bis nächstes Mal kaufen wir unseren Service mit, wir können die Seite Calibrieren für euch. Das ist ein sehr guter Verkäufer und das ist ein Triple-Face-Born. Warum 3? Es fehlt nicht mehr, man arbeitet mit einem Verkäufer und der Antwort ist am Verkäufer. Wir sind krimineert, Nummer 3. Nr. 3. Welche Konditive-Name des Schmittens ist nichts, lass es uns einschalten. Wir sind sehr gut darin gegen DDoS zu verchecken. Wir haben ein sehr großes CDN Content-Delivered-Network kann man viele Netzwerkeingriffe auf das eigene System umgehen. Aber das könnte ein Dynamic-Network zwei Methoden. Static, das sind die meisten. Statisch bedeutet, man ruft ein paar Standard-Antworten, hat die statische Daten, nicht irgendwelche Suche und Fragen und dann speichert man diese Daten auf den Content-Delivered-Network und dann haben andere weniger Angriffe. Wenn sie sagen, wir sind nicht Dynamisch, dann ist es gut und dann sollte man darüber wissen, wenn man benutzt Seite, die Dynamisch ist, mit diesem Content-Delivered-Network kann man sehr viele Probleme haben. Warum? Weil, das funktioniert so. Wir haben ein Content-Delivered-Network und ein Angreifer der 90er-maler Benutzer der fragt eine Standard-Frage und wenn die Seite vorher schon mal von jemandem besucht wurde von dem Delivered-Network, weiß er, wie man darauf antworten muss und beantwortet vom Cash und wenn es nicht ist von jemandem zu und zuvor dann fragt es selber nach und fragt, dass der Content-Delivered-Network und sollte nur von dem Content-Delivered-Network angefragt werden und kriegt eine neue Information und schickt die neue Seite zu dem Kunde. Der Angreifer wird dasselbe machen. Der weiß nicht. Er weiß nicht, wo der Original ist, er kann es nicht echt fragen und fragt den Content-Delivered-Network und die gibt und dann muss das nachdenken. Das muss die Originalseite nachdenken und in diesem Fall haben wir eine Quelle die so viele Anfragen bekommt und das ist ein bisschen problematisch wenn man dynamisch ist Dynamisch ist ziemlich einfach für die Dossen, weil wenn es nicht dynamisch ist und muss nicht jedes einzelne der Anfragen, auch wenn es andere Parameter oder Wert hat die Parameter-Werte hat, muss es jedes einzelne Anfragen. All das was wir machen müssen ist vom Content-Delivered-Network mit unterschiedlichen Anfragen stellen. Selbe Frage, andere Parameter. Manchmal, wenn die Parameter überhaupt nicht existieren ist es egal. Wird es Anfragen und weil es nicht weiß ob die wirklich URL ist und sie hat es nicht gespeichert. Also ein unserer Gründe hat genau das gemacht Dynamisch auf der damenischen Seite gemacht die Maschinen zum Abschutz gebracht. Eine andere Sache für Content-Delivered-Network das ist nicht nur Dynamisch, sondern auch wenn Dynamisch jetzt noch mal schlimmer ist dass wenn man die Quelle anschaut dann haben die haben in der Regel keine DDoS-Chefik anschaut man schaut seine eigene Maschine an so wie man kann vielleicht ein paar Werkzeuge vom Verkäufer und vom Verkäufer des Content-Delivered-Networks wenn man den wirklich umgehen möchte auf der eigenen Seite dann muss man häufig kritisiert man die nicht man weiß nicht welche der Angreifer ist man kann ihn nicht umgehen man sieht nur Nachrichten vom CDN und wenn man den CDN selber blockiert dann ist es gut für uns. Okay, und das ist dieses eine verteilte Collage von Facebook Nummer 2 nochmal CDN CDN sind ziemlich erregend weil keiner weiß wie man damit schützt wenn irgendjemand sucht auf die Seite, wie zum Beispiel irgendeine kleine Seite namens Google um irgendwie einen Weg zu finden zum schützen gegen CDN-Origine das erste Link nach die Akamai-Werbung man bekommt wie schütze ich meinen CDN-Origin und was passiert wie Schützmann wir klicken drauf und wir bekommen verschiedene Ansätze wie man das schützt die Origine und das ist ein einfach Trick und das ist auch die beste Lösung kreiert irgendwelchen Longen Buchstabenzeile und nutzt das als Subdomain und wie kann man das nutzen ja, aber es ist nicht so es wird nicht passieren und kann es gelegt werden aber das wird nicht passieren ich war sehr erfreucht, um das zu lesen warum? lass uns mal drüber reden so die Taktik sieht so aus fein an anderen Subdomain mach mal ein IP draus scan alles drauf also scan 16 es gibt gute Chancen, dass es da ist aber du kannst ziemlich viel von diese Origine finden von der tatsächischen Nähme aber wer ist Dienst der vergisst nie es vergisst, weil es dynamisch ist aber es gibt wer ist Historie online und man kann die Historie suchen und die Domains und wenn man das prüft finden wir heraus dass manche das keine Kunde haben diesen Dienste gekauft und wir wollten die Origine schützen, es war alles statik es war ziemlich schwierig eine staatliche Seite anzugreifen es sei dem, wir haben einen Subdomain oder wir haben einen Origin von dem wir wissen dass es durch unserem Angriff getroffen wird und wir können nicht irgendeinem beliebigen Subdomain geben und wir wissen was wir angreifen und weil der Backend ist nicht so richtig deterministisch, nicht immer so, wer ist vergisst nie und wir prüfen online und wir haben hier einen Beispiel von Big.com und diese Seite hat die gesamte, wer ist Historie von ViewDNS.info in diesem Fall aber es gibt weitere Dienste für wer ist Historie und wenn du ein CDN kaufst du änderst eigentlich nicht die IP-Adresse von deiner Seite du gibst die nur raus zu den CDN-Provider und wenn du dann, die ist der Historie guckst die Ende der Geschichte oder der Vorletzte, dann hast du den Jackpot weil das ist die IP der Origine und das ist genau was wir getan haben und das ist genau was passiert ist wenn diese Seite heruntergefahren wurde und die Kunde hat gesagt wir sehen nichts um CDN und das ist so falsch Nummer 1 also das ist irgendwas Persönliches weil es in diesem Fall nochmal der tatsächliche Person der den Dienst von uns war der Sicherheitsbeauftragte von einer sehr große Firma in diesem Fall Organisation und die waren sehr politisch und die IT war sehr sehr visiös in der Versuch die Attacke zu blockieren und in der Woche Untersuchung als wir versucht haben wie die Mitigationsfunktioniert von kleinen Impact-Attacken ohne tatsächlich irgendwas zu impaktieren dann haben wir versuch herauszufinden was losging und wir haben gesehen dass deren Mitigation war erstaunlich und wir hatten ein Server und wir greifen von den einen Server und ab dem Moment war die Blacklist war nicht nur auf den Server sondern alle unsere Server waren weg und nicht nur nicht ein Server der in der US war und wir haben versuch zu finden warum wenn du von einer Quelle angreifst wie können sie alle unsere Dienste alle unsere Quellen in der vor Ort gefunden hat die Mitigationsfunktioniert so wenn du eine IP siehst dass dass ein Alert auslöst es blockiert nicht nur diese IP es will uns blockieren es will einen Angreifer und die wissen dass wir dazu Ressourcen begrenzt sind und wenn er versucht uns zu blockieren der denkt okay wir haben ein Botnet der ist irgendwo es fährt einen Cluster einen Anzahl an IPs die zusammenhängen die meisten unsere Dienste funktionieren so und er hat einfach den hat den kompletten slash 16 Seite blockiert also ich hoffe dass ihr euch nicht für ihm freut so in Deutschland ihr habt 116 Millionen IP also es ist so also 116 Millionen IP IP dann habt ihr 1800 1800 Class B Ranges so wenn wir nur einen 1800 IP das wir treffen müssen dann können wir sagen wir dann können wir können wir den kompletten Land blockieren also für Versicherung also wir jetzt wahrscheinlich von einem bestimmten Land kommen und dieses Land ist sehr klein und wir haben eigentlich ein Getrollt so denken einem Affe der alles blockiert wie ein Verrückter und dann blockiert er ganz allein das gesamte Land und man kann nichts dagegen weil 15 Minuten danach nachdem wir gestartet haben also die gesamtes Land war blockiert und bevor die 15 Minuten aus waren die Hälfte der Zeit hat er sich selber blockiert, der könnte nicht mal sehen und hier könnt ihr sehen warum es mein Liebling ist so, erinnert ja euch was ich gesagt habe über die Maker Facebook das ist die eine ich sehe euch nicht Facebook meng aber ich habe mein eigenes Bild mitgebracht und ich glaube es ist eine Tradition wenn ihr mal Facebook machen wollt das ist in Ordnung ja super, vielen Dank also verfragen mit der Gedanken dazu vielleicht das Wichtigste ist Testen viele wussten nicht dass so ein Service vorhanden ist und wir sind nicht die Einzigen diesen Service anbieten wir wissen das so das ist keine magische Pille man muss kein Architekt sein um das zu verstehen das ist nicht nur zu Front-Emphasis sondern das ganze Netzwerk und das ganze Computer da habe ich vielleicht sogar mehr als die Telefone oder die E-Mails aber ausprobieren viele Spiele und wenn ihr die ganzen Sachen ausrollt wird es euch ein Problem dargestellt also es passt gut drauf auf und noch ein weiteres Versprach wenn ihr das nicht macht dann könnt ihr vielleicht in Zukunft von diesem Vortrag evaluiert werden vielen Dank bitte stellt euch an die Mikrofon oder stellt bei IAC und Twitter Fragen und dann wird eine Person hier eure Fragen vorlesen und wenn ihr geht dann seid ihr bitte leise denn der Vortrag ist aber nicht fertig wird nach 10 Minuten Wetter gedend einfach leise sein bitte Mikrofon nein, der wartet nicht irgendwelche Fragen ja das Internet bitte wir müssen das Mikrofon einschalten scheinend hat die Person die Frage aus dem Internet vorlesen soll ich mein Internet Service Provider fragen bevor ich die die das beinhaltet ist das ist teilweise eine legale Frage und teilweise eine technische Frage und ich werde die legale Teil überhaupt nicht anfassen denn ich bin kein Anwalt und da solltet ihr wirklich eure Rechtabteilung für das andere Teil es hängt ab was euer Fokus im Test wenn ihr den gesamten System haben wollt alle Mitigationsfaktoren die im Spiel sind dann ist es wichtig den ISP nicht Bescheid zu geben aber wenn es nicht möglich ist dann sagt bitte Bescheid Mikrofon Nr. 3 bitte das sind Techniken zum Beispiel CloudFair benutzen dieses Projekt, das nennt sich Railgun wo sich die Webseiten unterschieden sich anschauen und nicht die ganze Frage an der selben Seite abfragen ich weiss nicht genau wie sie es machen hat es irgendeine Hilfe wenn ihr die das sind frei meistens testen wir mit Black Box das heißt wir machen Band distinct, wir wissen nicht so richtig was auf die andere Seite passiert also wir sehen nur was der Blauerteam überhaupt sieht oder was gesagt wird solche Beispiele wie CloudFair und anderen sind Teil mitmachen Faktoren in der Angriff aber die haben uns nicht so viel Erklärung gegeben haben wie wir das hätten gerne also ich spreche nicht über CloudFair wir haben nichts bisher nie was getestet mit CloudFair also nicht das ich wüsste es war bisher nie ein Faktor und andere Verkäufer die inlig sind sind zu uns gekommen und haben meistens und machen Schwierigkeiten eher die politischen Schwierigkeiten wann das ist das legale Kram ist nicht gültig ihr könnt das nicht machen ihr habt nur 10 Minuten solche Sachen und deswegen äh ähnlich wird also es wurde bisher in unserem Testing bisher nie verwendet ich hoffe das beantwortet die Frage ich hoffe das beantwortet die Frage ich hoffe das beantwortet die Frage ich hoffe das beantwortet die Frage ich hoffe das beantwortet die Frage ich hoffe das beantwortet die Frage und der bord inser die Oliver und in diese zwei bis sechs Stunden, vier bis sechs Stunden, haben wir einen Attack, einen Angriff pro Stunde, das wir vorbereitet haben, laut unserem Forschung, und wenn wir das evaluiert haben, und abhängig von der Anzahl an Angriffe, dass wir über Nacht so wie einen Angreifer machen wird, aber in längere Zeitspanne, dann haben wir mehr als 95 Prozent Erfolg. Das heißt, die meisten sind überhaupt nicht gut geschützt. Beantwortet ist die Frage. Gut. Ist das Internet, bitte. Sie haben gesagt, es können das ganze Sesh 24 oder 16, mit Epifah 6 würde das das verbessern für Sesh 24 zufältigen Epis? Ja, das ist gut, das ist super, aber ich bin nicht, ich kenne keine Bank, mit denen wir arbeiten, die in Richtung Epifah 6, komplett nach Epifah 6 geht. Sie nutzen entweder Epifah, also die nutzen Epifah 4 und Epifah 6. Nummer drei, bitte. Ja, vielen Dank. Es ist viele Sachen auf geteilte Atmosphäre, es ist eine Klaut und Emmerzen. Wie macht, steht jetzt sicher, dass ihr, die das nicht, bei denen Mitschaden für andere macht, die einfach nur andere Rezepte da sind? Es tut, es ist wahrscheinlich, also wenn du Angst hast, also du hast Angst von Kunde, der Kunde. Also jemand, der Amazon, also wenn du auf Amazon angreifst und irgendwas von Amazon geht, also diesen geteilte Infrastruktur, das ist immer ganz anders. Wir fragen und wir sprechen mit Azure, mit Amazon und anderen. Also die sind komplett unterschiedliche. Azure lässt uns Sachen tun, wenn wir den vorher Bescheid geben, Amazon ist, lass uns überhaupt nichts tun, dass sie sehr, sehr strikt in Sachen testen. Das ist, das ist schon massiv, nicht die eigene Seite zu testen, aber das ist wichtig, wenn man eine, ein geteilte Infrastruktur, also gemeinsame Infrastruktur, das hängt ab der Horst und was die SLA mit dem sind. Vielen Dank für den interessanten Vortrag. Können wir die Regeln so ein bisschen ändern? Ich würde gerne mit mir darüber reden, was Sie machen würden, wenn Sie eine missionskritische Infrastruktur laufen lassen würden und wie Sie sich dagegen damit schützen würden. Ich bin kein Genius. Von daher würde ich nicht, ich werde nicht davon ausgehen, dass alles, dass ich sage ist völlig, ist voll, aber alles, dass ich tun werde, ich werde einen, ich werde, ich werde die Architektur der Mitigation nicht nur an die sein, sondern Architektur. Und heutzutage wir wissen, wie ein Backup funktioniert. Das ist mehr oder weniger das Gleiche wegen Redundanz und Sachen, die daneben sein müssen, bereit und die das können passieren. Es gibt keine magische Pille, dass uns schützen wir wie eine Architektur. Das wird immer, dass wir nicht, also es wird nicht immer sicher sein, aber das wird gegen solche epischen Fail sicher sein. Und ein System könnt ihr jederzeit, also wenn du ein guter Entwickler bist, dann machst du auch ein Pentes von deiner eigenen Einwendung. Und wenn du irgendwas Architektur nuliches machst, dann teste es. Ach, mal das Internet bitte. Erntliche Speziellenlösungen oder Produkte, die besonders gut oder schlecht sind. Nein. Ja, bitte. Hallo. So zuallererst. Otto war nicht sehr gut, wir sind jetzt hier nicht für, sagen wir es im Sommon und so. Zweitens, haben Sie irgendwie darüber nachgedacht, den Ding wirklich stark durchfüllen, ohne welche Effekte das Ziel zu senden. Wie kann man das egal machen und wer es wirklich mal machen musste oder war es nie notwendig, weil die Seiten aus anderen Rücken untergebracht werden konnten. Okay, ich muss jetzt nochmal zusammenführen. Deine Frage ist, wie kannst du Schaden hinzufügen, ohne mit den Trafik zu arbeiten? Ja, man kann Trafik zu einer Seite schicken oder eine IP senden, um der reellen Link zum Ziel. Das Ziel wirklich nicht ein Verkehr hat, das man dann nicht, nie einen von den Didersten muss, sondern die kriegen nicht viel für Verkehr, einzigend viel Verkehr, aber das ganze Link zu dem Server wird kaputtieren. Das darf ich irgendwie so sehen, wie der Weg ist, der Angriffsweg ist, zu den akademischen Faketen beschrieben, ich weiß nicht, ob es praktisch benutzen. Okay, wir haben bisher nie so was getan. Also persönlich, es ist schwierig dann zu denken, dass von irgendwas zu denken, dass tatsächlich so was liefern kann. Es sei dem, man hat einen Exploit. Es gab einen Exploit beim 28 C3, wo viele Web-Application-Dienste durch den Caching-Mechanismus, aber es sei dem, wenn es keinen Exploit gibt und wir sprechen von generellen Sachen. Also ich glaube nicht, dass es möglich ist, aber möglicherweise, es ist vielleicht möglich in mancher Situationen, wenn es ein Datenbank tatsächlich, die sehr viel arbeitet und das ist, der sehr viel arbeitet, dann ist es so, was wie ein Exploit. So du schickst Trafik zur IP, der hat nichts mit deinem Ziel zu tun hat, aber weil sie in der gleichen Data Center sind, du saturierst es, aber der Target sieht nichts. Also du greifst ein, du meinst, ich habe ein anderes Subdomain oder eine andere IP, aber dadurch habe ich ein Dealers-offen Domain. Ja, das passiert sehr oft. Das passiert sehr oft, wenn wir Bestätigung bekommen von der, wenn der Kunde uns Bescheid gibt, dass wir das testen soll, weil die Infrastruktur gemeinsam ist und ja, es gibt eine gemeinsame Infrastruktur, vielleicht den gleichen, die gleiche Kiste oder den gleichen Netzwerk klingt und ein Beispiel, wie zum Beispiel den Shiny Box, das ist genau, was passiert ist. Also in der Tier 2 Bucket. Es war nicht unserem Ziel, aber trotzdem wurde es angegriffen und getroffen durch unsere Definition. Ich würde nicht jeweils sagen, es ist keine Zeichenwerte, bitte.