The Joys of Ddos

The Joys of DDoS

Barrett Lyon Prolexic Technologies

Jay Adelson Digg Network Terrorist Motivations

• Extortionists: Many Based in Asia / Eastern Europe _ Most common motivation for DDoS attacks; ransom sites for thousands, and sometimes hundreds of thousands, of dollars _ Once operator agrees to pays, the attacker simply redirects the DDoS at another site (usually in the same industry sector) • Competitive Sabotage _ Rival businesses employ attackers to eliminate competition _ Harm to brand • Hackers Pride _ To gain notoriety, often target high-profile sites _ Censorship • Network Warfare _ Recent attacks to the National Security Agency in the United States show that the Internet can be used to attack government interests.

2 © Prolexic Technologies, 2006 Recap: Extortion

• Anonymous EMAIL systems

• Rude, use poor English

• Attempt to establish communication with president/principals of the Company

3 © Prolexic Technologies, 2006 Recap: Extortion

4 © Prolexic Technologies, 2006 Competitive Sabotage

•DVD Sales during Christmas

•Rx Sales due to Ad-Words competition

•Shutting down payment processing:

HYIP / Stormpay.com

5 © Prolexic Technologies, 2006 The attack: Mixed GET/SYN Flood to port 80

6 © Prolexic Technologies, 2006 The attack: PPS rates

7 © Prolexic Technologies, 2006 Hackers Pride

•Digg.com:

Bad guy (Fred Ghosn of Canada) vs. Kevin Rose

8 © Prolexic Technologies, 2006 Digg and IRC

digg.com / revision3.com. tonight. :<. we wull see. fucking kevin rose. i miss. my old bots. from like. 2 years. i had. 1.8 million. :<. my biggest. channel. was. 980k.

9 © Prolexic Technologies, 2006 Digg and IRC

Why isn't his attack succeeding? He claims:

now i got shit. lol.

He has some help, which would explain the changing nature of the attack.

gimme the ips you need nulled/fucked with. lets just wait. till later. nothing big is happenin now. ok. well. www.digg.com. if u want. kk np. kk done.

10 © Prolexic Technologies, 2006 Digg and IRC

stop doss so i can read a bit lol rofl.

no.

11 © Prolexic Technologies, 2006 Most Corporate Networks break

Overcommitted ISP “Black-holing” completes the attackers’ router fails with objective by taking the site offline high PPS rate. Router / firewall filtering does not scale Bandwidth is and is useless when spoofed saturated taking IDS simply detects, but does not protect ISP offline IPS devices present a static solution to a Edge router fails - Firewall fails. dynamic problem and cannot help when high PPS and ACLs Filled client attack consumes all available consume CPU. No table and bandwidth bandwidth CPU max. DMZ and office off-line

Web farm hit. Memory and resource limits of kernels hit. Not serving web pages

12 © Prolexic Technologies, 2006 Tracking x3m1st/Ivan/eXe 8 7 Target of 1 6 ISP Router Attacker Zombie overloaded. Severe attack. Computer machines, packet loss to all Infrastructure mixed in customers saturated and general fails. internet, make 2 up part of Hacked Computer botnet masks Attacker’s location

5 Internet IRC Server at co-lo facility. 3 nd Zombies Attacker uses 2 connect here. Hacked Computer Attacker has to hide identity control

4 3rd Computer to hide real source IP 13 © Prolexic Technologies, 2006 Tracking x3m1st/Ivan/eXe

14 © Prolexic Technologies, 2006 Tracking Pkeglhema

Japan Utah

Japan California

Japan

China

15 © Prolexic Technologies, 2006 DNS Reflective Attacks

• NS record from a cancer research from points off to ns1.321blowjob.com over at EV1. • The x.p.ctrc.cc TXT RR responded with a truncated response with a 3 day TTL allowing cache to stick around for a while. • The botnet queried x.p.ctrc.cc TXT any with the spoofed source of the target resulting in massive sourced UDP 53 and fragmented UDP to hit the target.

16 © Prolexic Technologies, 2006 The Query

13:40:20.333131 IP 207.65.135.138.53 > 216.69.163.150.53: 5976+[1au] ANY ANY? x.p.ctrc.cc. (40) 0x0000: 4500 0044 6f40 4000 ed11 4bc0 cf41 878aE..Do@@...K..A.. 0x0010: d845 a396 0035 0035 0030 0000 1758 0100 .E...5.5.0...X.. 0x0020: 0001 0000 0000 0001 0178 0170 04637472 ...... x.p.ctr 0x0030: 6302 6363 0000 ff00 ff00 0029 2710 0000c.cc...... )'... 0x0040: 0000 0000 ....

17 © Prolexic Technologies, 2006 The Reply

13:40:20.636943 IP 216.69.178.147 > 207.65.135.138: udp 0x0000: 4500 0436 6096 4172 4011 f309 d845 b293 E..6`[email protected].. 0x0010: cf41 878a 2e2e 2e2e 2e2e 2e2e 2e2e2e2e .A...... 0x0020: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0030: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0040: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0050: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0060: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0070: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0080: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0090: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x00a0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x00b0: 2e2e 2e2e 2eff 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x00c0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x00d0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x00e0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x00f0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0100: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0110: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0120: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0130: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0140: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0150: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0160: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0170: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0180: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0190: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x01a0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x01b0: 2e2e 2e2e 2eff 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x01c0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x01d0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x01e0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x01f0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0200: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0210: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0220: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0230: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0240: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0250: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0260: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0270: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0280: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0290: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x02a0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x02b0: 2e2e 2e2e 2eff 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x02c0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x02d0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x02e0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x02f0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0300: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0310: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0320: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0330: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0340: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0350: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0360: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0370: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0380: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0390: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x03a0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x03b0: 2e2e 2e2e 2e59 2e2e 2e2e 2e2e 2e2e2e2e .....Y...... 0x03c0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x03d0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x03e0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x03f0: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2e2e ...... 0x0400: 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e 2e2e2ec0 ...... 0x0410: 0e00 0200 0100 0013 e200 100a 33323162 ...... 321b 0x0420: 6c6f 776a 6f62 0363 6f6d 0000 0029 1000lowjob.com...).. 0x0430: 0000 0000 0000 ......

18 © Prolexic Technologies, 2006 The Reply

19 © Prolexic Technologies, 2006 Tracking these attacks

• DDoS tracking software _ We were able to create software based on assumptions could track and locate the source of a DDoS attack. • Law enforcement and research affiliations

• A long game of Cat and Mouse _ We follow their every move until they make a mistake! _ Pain staking reports and research

• Get the traffic in without latency _ Spread the attack out over as many transit providers as possible. _ Spread the attack out over as many peers as possible. _ Use networks that are not overlapping with important customers. • Give notice and prepare _ Warn upstream and peers about possible attacks to router interfaces. _ Groom customer to specific portable prefixes _ Have customer lower TTL on DNS _ Monitor authoritive DNS servers

• Get a feel for the traffic _ Setup and monitor discard ports to get pcaps. _ Send small levels of traffic to scrubbing hardware to test performance. • Create a compact ACL and push the traffic away. _ Have the routers do as much work as possible. _ Involve providers

• Get the community involved: NANOG _ Feed as much information as possible to the public _ Get on the phone and alert law enforcement: Be descriptive! _ Correctly formatted prefix lists are best: Team Cymru _ Get on the phone and call the worst offenders

• Attacks are emulating true traffic flow

• Command & Control is utilizing protocols that are less obvious such as DNS.

• Botnets are using Linux and Unix systems to have larger bandwidth impact.

• Bot code is becoming polymorphic

• New “reflection” attacks are making things more difficult to filter. More attack vectors.

**Shutting the customer down is no longer an option**

• DDoS mitigation must be integrated into the wire

• DDoS mitigation is a 24/7 network operation not hardware solution

• Large scale collaboration and attack processing

• Mitigation must be done in the 10+ gig range.

Contact me at: [email protected]