by zeroBS: höchste Kompetenz im Bereich DDoS-Tests und Beratung
Made in Germany, seit 2015



[ english version ]

zeroBS betreibt eine dedizierte, cloudbasierte Plattform zur Durchführung von DDoS-Testangriffen auf Netze, Appliances und Applikationen. Mit Hilfe dieser Plattform überprüfen wir die Wirksamkeit Ihrer DDoS-­Abwehrmechanismen.

Neben Teamtraining und Prüfen der Anti-DDoS-Maßnahmen rückt immer mehr die Durchführung von Leistungsnachweisen in den Fokus unserer Stresstests.

Wir haben umfangreiche Erfahrungen gesammelt, um die einzelnen Punkte der gesamten Kette, vom BGP-seitigen Entrypoint, über Anti-DDoS-Appliances, Firewalls, Loadbalancer, bis hin zu Application-Servern gezielt zu testen.

Eine Auswahl an Herstellern, Technologien und Providern, die wir bereits getestet haben:

 
   
 
 
 
 
 

Teil unseres Stresstest sind umfangreiche Analysen im Vorfeld und integriertes Monitoring der angegriffenen Ziele, um qualitative, messbare Aussagen zur Performance und Limits treffen zu können.

Features

  • Volumenangriffe bis 100 GB/s oder 100 Mio pps via TCP, UDP oder ICMP
  • Layer-7-Angriffe mit FullStack-Browsern, bis zu 10 Mio RPS
  • 50 Locations, bis zu 100.000 IPs möglich
  • IPv4 und IPv6
  • automatisiertes Setup und Orchestration der Infrastruktur
  • Dashboard und Monitoring
  • Exports und Logs für einfache Nachverfolgung und Analyse
  • Simulation von echten Botnetzen (Server, IoT, Mirai etc)
  • komplett anpassbare Angriffe
  • interaktives Dashboard: jeder Angriff wird aufgezeichnet und ist Replay-fähig zur späteren Analyse
  • Multi-Location-Monitoring

Customer-Dashboard

Botnet-Control

AttackModes

AttackModes
  • Standard: Angriff auf einzelne IPs, ideal für Leistungsnachweise und Nachtests
  • CarpetBombing: Angriff auf ganze Netze, notwendig für fortgeschrittene Leistungsnachweise und erhöhte Bedrohungslevel [1]
  • ChewieAttack: CarpetBombing v 2.0; jede AngreiferIP sendet nur für max 30 Sekunden Traffic, geht dann in Standby und sucht sich nach 2 Minuten ein neues Ziel [2]
  • ThorsHammer: auf die Millisekunde abgestimmter Angriff (Thors Hammer); eine Eigenentwicklung mit durchschlagendem Erfolg

Definition CarpetBombing von APNIC / Global DDoS attack trends 2018

Carpet bombing attacks are a new variant of the more common reflection or flooding attacks, where instead of focusing the attack on a single destination, the attacker attacks every destination within a specific subnet or CIDR block (for example, a /20). This will both make it more difficult to detect the attack and also to mitigate it, potentially resulting in outages due to the flood of attack traffic across network devices and internal links.

In addition, these attacks are often fragmented, resulting in a flood of non-initial IP fragments, which can be tricky to mitigate. The attacker will often shift their attacks from one subnet (or CIDR block) to another, complicating the detection and mitigation even further.

Definition ChewieAttack (CarpetBombing 2.0)

Von der Zielauswahl her dem Carpetbombing sehr ähnlich, bringt der ChewieAngriff von mehr Zufälligkeit ins Spiel, indem sowohl Ziel, Stärke, Vector und Protokoll völlig zufällig ausgewählt werden.

Dies sorgt dafür, dass reine Statistik-basierte Erkennungsmethoden völlig verwirtt werden, da der Paketstrom von einer AngriffsIP nie länger als 30 Sekunden dauert, und dann für mindestens 120 Sekunden aufhört, um dann mit neuem Ziel und Pattern erneut zu starten.

Von einem Botnet sind zwar nur 25% der Bots jeweils aktiv, dafür ist der Angriff wesentlich schwieriger zu verteidigen


Gründe für einen Stresstest

  • Leistungsnachweis für die einzelnen Netz-Komponenten
  • Prüfung, ob DDoS-Schutzmaßnahmen wie gewünscht funktionieren (Funktionsnachweis),
  • Messen des eigenen Schutzniveaus im Vergleich zur Bedrohungslage gem DDoS Resiliency Score
  • Testen, ob Administratoren für einen DDoS-Angriff ausreichend geschult sind
  • Optimieren des Workflow für den Fall eines DDoS-Angriffs
  • Abschätzen der Auswirkungen eines erfolgreichen Angriffs
  • Abschätzen der Kosten/Aufwände eines erfolgreichen Angriffs

Folgende Ziele können getestet werden:

  • Netzwerke
  • BGP-Router
  • Firewalls und VPN-Gateways
  • Webserver/Web-Infrastruktur
  • APIs
  • SSL Offloader
  • Loadbalancer
  • DNS-Infrastruktur
  • beliebige TCP-Services
  • DDoS-Appliances
  • WebApplicationFirewalls
  • IDS/IPS
  • CDNs
  • cloudbasierter DDoS-Schutz (Akamai, CloudFront, CloudFlare)
  • Inhouse DDoS-Protection

Angriffsvektoren

  • Layer 3/4 (Volumenangriffe)
  • Layer 7 (Angriffe auf Applikationen)
  • Angriffe gegen Firewalls
  • Angriffe gegen Loadbalancer
  • DNS-Waterboarding
  • CDN-Reflections
  • insgesamt über 50 verschiedene Angriffsarten
  • individuell gestaltete Angriffe
  • Real-World-Botnet-Simulationen (10.000 IPs)
  • Paperworks und Trockenübungen für Notfall-Workflows




Flyer-Download:

  • DDoS-Stresstest-Flyer (PDF)

    Kontakt

    Kontakt: ddos@zero.bs