DDoS-Stresstest
by zeroBS: höchste Kompetenz im Bereich DDoS-Tests + Beratung – Made in Germany seit 2015
Stresstest by zeroBS
zeroBS betreibt eine dedizierte, cloudbasierte Plattform zur Durchführung von DDoS-Testangriffen auf Netze, Appliances und Applikationen, die wir ebenfalls zur Überprüfung der Wirksamkeit IHRER DDoS-Abwehrmechanismen einsetzen.
Neben Teamtraining und Testen der Anti-DDoS-Maßnahmen rückt immer mehr die Durchführung von Leistungsnachweisen in den Fokus von Stresstests.
Aufgrund unserer langjährigen Erfahrung können wir vom BGP-seitigen Entrypoint, über Anti-DDoS-Appliances, Firewalls, Loadbalancer, bis hin zu Application-Servern alles gezielt unter Beschuß nehmen.
Teil unseres Stresstest sind umfangreiche Analysen im Vorfeld und integriertes Monitoring der angegriffenen Ziele, um qualitative, messbare Aussagen zur Performance und Limits treffen zu können.
Features
- Volumenangriffe bis 100 GB/s oder 100 Mio pps via TCP, UDP oder ICMP
- Layer-7-Angriffe mit FullStack-Browsern, bis zu 10 Mio RPS
- 50 Locations, bis zu 100.000 IPs möglich
- IPv4 und IPv6
- Automatisiertes Setup und Orchestration der Infrastruktur
- Dashboard und Monitoring
- Exports und Logs für einfache Nachverfolgung und Analyse
- Simulation von echten Botnetzen (Server, IoT, Mirai etc)
- Komplett anpassbare Angriffe
- Interaktives Dashboard: jeder Angriff wird aufgezeichnet und ist Replay-fähig zur späteren Analyse
- Multi-Location-Monitoring
Screens
Referenzen unserer Arbeit
Diese Hersteller, Technologien und Provider haben wir u.a. bereits erfolgreich getestet.
AttackModes
- Standard: Angriff auf einzelne IPs, ideal für Leistungsnachweise und Nachtests
- CarpetBombing: Angriff auf ganze Netze, notwendig für fortgeschrittene Leistungsnachweise und erhöhte Bedrohungslevel [1]
- ChewieAttack: CarpetBombing v 2.0; jede AngreiferIP sendet nur für max 30 Sekunden Traffic, geht dann in Standby und sucht sich nach 2 Minuten ein neues Ziel [2]
- ThorsHammer: auf die Millisekunde abgestimmter Angriff (Thors Hammer); eine Eigenentwicklung mit durchschlagendem Erfolg
Definition CarpetBombing von APNIC
Global DDoS attack trends 2018
Carpet bombing attacks are a new variant of the more common reflection or flooding attacks, where instead of focusing the attack on a single destination, the attacker attacks every destination within a specific subnet or CIDR block (for example, a /20). This will both make it more difficult to detect the attack and also to mitigate it, potentially resulting in outages due to the flood of attack traffic across network devices and internal links.
In addition, these attacks are often fragmented, resulting in a flood of non-initial IP fragments, which can be tricky to mitigate. The attacker will often shift their attacks from one subnet (or CIDR block) to another, complicating the detection and mitigation even further.
Definition ChewieAttack
(CarpetBombing 2.0)
Von der Zielauswahl her dem Carpetbombing sehr ähnlich, bringt der ChewieAngriff mehr Zufälligkeit ins Spiel, indem sowohl Ziel, Stärke, Vector und Protokoll völlig zufällig ausgewählt werden.
Dies sorgt dafür, dass reine Statistik-basierte Erkennungsmethoden völlig verwirrt werden, da der Paketstrom von einer AngriffsIP nie länger als 30 Sekunden dauert, und dann für mindestens 120 Sekunden aufhört, um dann mit neuem Ziel und Pattern erneut zu starten.
Von einem Botnet sind zwar nur 25% der Bots jeweils aktiv, dafür ist der Angriff wesentlich schwieriger zu verteidigen
DDoS RedTeaming
Wir sind in der Lage, ausgefeilte Angriffe nachzustellen und durchzuführen, bei denen die Methode "Recon" und "OSINT" bei der Zielanalyse und -auswahl zum Einsatz kommen, um dann mit ausgewählten Angriffen auf neuralgische Punkte
a) die Abwehr zu testen und
b) eine echte "targeted Attack" zu simulieren.
Dass dieses Angreiferverhalten durchaus nicht selten ist, haben wir in mehreren DFIR-Analysen gesehen:
Scope
- Netze oder Applikationen
- ausgewählter Zeitraum (mindestens 30 Tage)
Angriffsmodule
- alle Angriffe, die auch im Bereich targeted Attacks zu finden sind
- >SmokeScreening
- für alle Angriffe kommen neue Lastgegeneratoren zum Einsatz, um ein „Lernen“ von Signaturen zu verhindern
Zielgruppen
- Vendors/Schutzanbieter
- Security-Teams mit hohem Security-Maturity-Level
Gründe für einen Stresstest
- Leistungsnachweis für die einzelnen Netz-Komponenten
- Prüfung, ob DDoS-Schutzmaßnahmen wie gewünscht funktionieren (Funktionsnachweis)
- Messen des eigenen Schutzniveaus im Vergleich zur Bedrohungslage gem DDoS Resiliency Score
- Testen, ob Administratoren für einen DDoS-Angriff ausreichend geschult sind
- Optimieren des Workflow für den Fall eines DDoS-Angriffs
- Abschätzen der Auswirkungen eines erfolgreichen Angriffs
- Abschätzen der Kosten/Aufwände eines erfolgreichen Angriffs
DRS – DDoS Resiliency Score
Folgende Ziele können getestet werden:
- Netzwerke
- BGP-Router
- Firewalls und VPN-Gateways
- Webserver/Web-Infrastruktur
- APIs
- SSL Offloader
- Loadbalancer
- DNS-Infrastruktur
- beliebige TCP-Services
- DDoS-Appliances
- WebApplicationFirewalls
- IDS/IPS
- CDNs
- cloudbasierter DDoS-Schutz (Akamai, CloudFront, CloudFlare)
- Inhouse DDoS-Protection
Angriffsvektoren
- Layer 3/4 (Volumenangriffe)
- Layer 7 (Angriffe auf Applikationen)
- IPv4 oder IPv6
- Angriffe gegen Firewalls
- Angriffe gegen Loadbalancer
- DNS-Waterboarding
- CDN-Reflections
- insgesamt über 50 verschiedene Angriffsarten
- individuell gestaltete Angriffe
- Real-World-Botnet-Simulationen (10.000 IPs)
- Paperworks und Trockenübungen für Notfall-Workflows