dos presentation

doc/presentation-dos/dos.tex

@@ -0,0 +1,291 @@
+\documentclass{beamer}
+\usepackage{pdfpages}
+\usepackage{amssymb}
+\usepackage{enumerate}
+\usepackage{array}
+\usepackage{lmodern}
+\usepackage[all]{xy}
+\definecolor{türkis}{rgb}{0.0, 0.65, 0.76}
+\definecolor{weiss}{rgb}{1.0,1.0,1.0}
+\usetheme{metropolis}
+%\usecolortheme{whale}
+\setbeamercolor{progress bar}{fg=türkis,bg=türkis}
+\setbeamercolor{frametitle}{bg = türkis}
+\setbeamercolor{background canvas}{bg = weiss}
+\setbeamercolor{footline}{fg=gray}
+\setbeamerfont{page number in head/foot}{size=\tiny}
+\setbeamercolor{title}{fg = black}
+\setbeamertemplate{frame footer}{ \insertlogo{\includegraphics[width=1cm]{img/logo}} \hfill  \insertsection }
+% \setbeamertemplate{navigation symbols}{\insertframenavigationsymbol}
+
+\title[Denial-of-Service Angriffe]{Denial-of-Service Angriffe}
+\subtitle{Ablauf, Wirkungsweise \& Auswahl konkreter Angriffe}
+\institute{TU Ilmenau}
+\date{06.05.2021}
+
+\AtBeginSection[]
+{
+	\begin{frame}
+		\frametitle{Gliederung}
+		\tableofcontents[currentsection]
+	\end{frame}
+}
+
+\begin{document}
+
+\frame{\titlepage}
+
+\section{Begriffserklärung \& Grundwissen}
+\begin{frame}
+	\frametitle{Was ist eine (D)DoS Attacke?}
+	\includegraphics[width=0.9\linewidth]{img/1}
+\end{frame}
+
+\begin{frame}
+	\frametitle{TCP 3-Wege-Handshake: Verbindungsaufbau}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/2}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{TCP 3-Wege-Handshake: Verbindungsabbau}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/3}
+	\end{center}
+\end{frame}
+
+\section{Angriffsarten \& Abwehrmechanismen}
+\begin{frame}
+	\frametitle{SYN-Flooding}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/4}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: SYN-Flooding}
+	\begin{itemize}
+		\item Vergrößern des SYN-Backlogs
+		\item Recycling der ältesten halboffenen TCP-Verbindung
+		\item SYN-Cookies % (erweitert TCP um Regeln zur Sequenznummernvergabe und ermöglicht so die Auslagerung der Informationen über die halboffenen Verbindungen direkt in die Pakete)
+		\item SYN-Caches %(Allokation minimaler Ressourcen für halboffene Verbindungen. allokation aller Ressourcen erst bei erfolgreichem Aufbau)
+		\item Ingress Filter (Antispoofing) (Kann nur der ISP)
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{SYN-FIN-Attack}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/9}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: SYN-FIN-Attack}
+	\begin{itemize}
+		\item Verwerfen aller Pakete, welche sowohl SYN als auch FIN gesetzt haben.
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{SYN-Frag-Attack }
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/syn}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: SYN-Frag-Attack }
+	\begin{itemize}
+		\item Verwerfen segmentierter TCP SYN Pakete. % A 'SYN fragment attack' floods the target host with SYN packet fragments. The host catches the fragments, waiting for the remaining packets to arrive so it can reassemble them. By flooding a server or host with connections that cannot be completed, the host's memory buffer eventually fills. No further connections are possible, and damage to the host's operating system can occur.
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Out-Of-Sequence-Attack}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/seg}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: Out-Of-Sequence-Attack}
+	\begin{itemize}
+		\item Puffern bis zu einer maximalen Anzahl an Segmenten pro Verbindung und insgesamt. Verwerfen von Segmenten sobald diese Anzahl erreicht ist.
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Ping of Death}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/5}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: Ping of Death}
+	\begin{itemize}
+		\item Sicherstellung durch zusätzliche Checks, dass maximale Paketgröße beim Zusammenfügen der IP-Fragmente nicht überschritten wird
+		\item Nutzung eines größeren Pufferspeichers
+		\item Filterung bösartiger Pakete schon auf dem Weg durch das Netz: auf der Ebene von Routern und Firewalls oder durch Nutzung eines Content Delivery Networks \\ $\rightarrow$ Moderne Systeme i.d.R. gegen Ping of Death abgesichert \\ $\rightarrow$ Ping of Death stellt kaum noch eine Gefahr dar
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Ping Flood}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/6}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: Ping Flood}
+	\begin{itemize}
+		\item Deaktivierung der ICMP-Funktionalität auf Opferseite
+		\item Beschränkung der für ICMP-Nachrichten vorgehaltenen Bandbreite
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Smurf-Attack}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/smurf}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: Smurf-Attack}
+	\begin{itemize}
+		\item Blockieren des im Netzwerk eingehenden gerichteten Broadcast-Verkehrs
+		\item Konfiguration des Hosts und der Router so, dass sie nicht auf ICMP-Echo-Anfragen reagieren
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{UDP-Flooding}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/udp}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: UDP-Flooding}
+	\begin{itemize}
+		\item Durchsatzbegrenzung der ICMP-Antworten pro Zeiteinheit
+		\item Filterung auf Firewall-Ebene auf dem Server
+		\item Filtern von UDP-Paketen außer für DNS auf Netzwerk-Ebene
+		\item Effizientere Datenstrukturen zur Verwaltung des Mappings von UDP Ports auf Anwendungen
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{LAND Attack}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/Land}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: LAND Attack}
+	\begin{itemize}
+		\item Verwerfen von Paketen, bei denen Absender und Empfänger gleich mir selbst sind
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Teardrop}
+	\begin{center}
+		\includegraphics[width=0.9\linewidth]{img/TeardropAttack}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: Teardrop}
+	\begin{itemize}
+		\item Inspektion ankommender Pakete auf Verletzung der Fragmentierungsregeln \\ $\rightarrow$ heute nicht mehr von Relevanz, wurde ca. 2000 gefixt
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Sockstress - TCP Zero Window}
+	\begin{center}
+		\includegraphics[width=0.6\linewidth]{img/zerowin}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Sockstress - TCP Small Window}
+	\begin{center}
+		\includegraphics[width=1.0\linewidth]{img/smallwin}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: Sockstress}
+	\begin{itemize}
+		\item Sockstress - Zero Window Connection Stress
+		      \begin{itemize}
+			      \item Verbot von TCP Verbindungen, welche bereits zu Beginn auf Windowsize = 0 setzen
+			      \item Timer für Verbindungen mit Windowsize = 0 einführen
+		      \end{itemize}
+		\item Sockstress - Small Window Stress
+		      \begin{itemize}
+			      \item Effizientere Aufteilung großer Antworten bei kleinen Windows
+		      \end{itemize}
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{DNS Amplification Attack}
+	\begin{center}
+		\includegraphics[width=1.0\linewidth]{img/DNSAmplificationAttack}
+	\end{center}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Abwehrmechanismen: DNS Amplification Attack}
+	\begin{itemize}
+		\item Konfiguration lokaler DNS Server, sodass diese nur Anfragen von innerhalb der Organisation bearbeiten.
+		\item Verwenden von DNS Anycast, um Anfragen zu verteilen und eine Überlast zu verhindern
+	\end{itemize}
+\end{frame}
+
+\begin{frame}
+	\frametitle{Auswirkungen}
+	\begin{center}
+		\includegraphics[width=1.0\linewidth]{img/12}
+	\end{center}
+\end{frame}
+
+\section{Erkennung von Attacken}
+\begin{frame}
+	\frametitle{Beispiel: SYN-Flooding}
+	\begin{itemize}
+		\item Extrem vereinfacht dargestellt
+		\item[] sudo hping3 -c 15000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.1.18
+		      \begin{center}
+			      \includegraphics[width=0.7\linewidth]{img/14}
+		      \end{center}
+	\end{itemize}
+\end{frame}
+
+\section{Auswahl konkreter Angriffe}
+\begin{frame}
+	\frametitle{Relevante Angriffe}
+	\begin{itemize}
+		\item Angriffe höchster Priorität
+		      \begin{itemize}
+			      \item Alle Arten der SYN-Attacken
+			      \item Sockstress
+		      \end{itemize}
+		\item Optionale Angriffsthemen
+		      \begin{itemize}
+			      \item UDP-Flooding
+			      \item Out of Sequence Attack
+			      \item LAND Attack
+		      \end{itemize}
+	\end{itemize}
+\end{frame}
+
+\end{document}