Investigation of home router security

Karamanos, Emmanouil

January 2010

Home routers are common in every household that has some kind of Internet connectivity. These embedded devices are running services such as web, file and DHCP server. Even though they have the same security issues as regular computers, they do no run protection software such as anti-virus and they are not updated. Moreover, the importance of these devices is misjudged; all network traffic is passing through them and they control the DNS of the network while, in most cases, they are on-line around the clock. When more and more non-Internet features are implemented into home routers, such as Voice over IP and network storage, their role becomes more special and many security concerns are raising. In this thesis, we investigate the issues resulting from this special role; the importance for these devices to be secure, the attacking vector and how the devices can be compromised to be part of a large home router botnet. We conclude by proposing ways to make the current implementation more secure, suggesting ways to protect routers from botnets without user interaction, that is from the ISP, while respecting the privacy of the end user and we identify what future work needs to be done. / Router är vanliga i hem som har någon slags Internet anslutning. De här inbyggda enheter kör tjänster som t.ex. web, file och DHCP basenheter. Fastän de har samma säkerhetsfrågor som vanliga datorer, så kan de inte använda säkerhets mjukvara som t.ex anti-virus och de är inte uppdaterade. Dessutom har betydelsen av de här apparaterna blivit felbedömmat; hela nätverket passerar genom dem och de kontrolerar nätverkets DNS medan, i de flesta fall, de är on-line dygnet runt. Men, när mer och mer icke-Internet lockvaror fars in i routern, som t.ex Voice över IP och nätverkslagring, blir deras roll viktigare och oron för säkerheten växer. I den här avhandlingen utforskars problemen och frågorna som efterföljer deras speciella roll, hur viktigt det är att de här apparaterna är skyddade, (the attacking vector) och hur de här apparaterna kan bli jämkningad för att bli en del av ett stort router botnet. Vi avsluter med att lägga fram sätt att göra det nuvarande verktyget mer skyddat, föreslå sätt att skydda routern från botnet utan användarinteraktion, som kommer från ISP, medan man respekterar det andra användarens privtaliv och markera vad som behövs ändras i framtiden.

Home router

SOHO routers

security

security of embedded devices

CSRF

UPnP hack

Communication Systems

Kommunikationssystem

Erkennung und Unterbindung der DDoS-Teilnahme in Heimroutern: Analyse und Implementierung von Erkennungsmechanismen

Heinrich, Lukas

22 December 2023

DDoS-Angriffe und die für diese genutzten Botnetze werden u. a. durch die zunehmende Verbreitung von IoT-Geräten stetig größer. Aufgrund der Vorteile einer frühzeitigen Unterbindung solcher Angriffe ist eine effektive Erkennung der DDoS-Teilnahme in Heimroutern sinnvoll. Diese Arbeit analysiert aktuell verbreitete DDoS-Angriffstypen und entwickelt sowie sammelt verschiedene Erkennungsmechanismen aus der Literatur. Mithilfe ausführlicher Untersuchungen und Tests bezüglich Filterverhalten und Ressourcenbedarf der Erkennungsmechanismen konnten DDoS-Angriffstypen identifiziert werden, welche effektiv im Heimrouter erkannt und unterbunden werden können.:1 Einleitung 1.1 Problemstellung 1.2 Zielstellung 2 Verbreitetste DDoS-Angriffstypen 2.1 Source IP Spoofing 2.2 Reflection/Amplification 2.2.1 SSDP 2.2.2 WS Discovery 2.2.3 QUIC-Reflection 2.3 TCP-Floods 2.3.1 SYN-Flood 2.3.2 RST- und FIN-Flood 2.3.3 SYN-ACK-Flood 2.3.4 ACK-Flood 2.4 UDP-Flood 2.5 Direkte Application-Layer-Angriffe 2.6 Übersicht 3 Erkennung 3.1 Source IP Spoofing 3.2 SSDP & WS Discovery 3.3 TCP 3.3.1 SYN-Flood 3.3.2 RST- und FIN-Flood 3.3.3 SYN-ACK-Flood 3.3.4 ACK-Flood 3.4 UDP 3.5 Allgemeine Erkennung 3.5.1 MULTOPS 3.5.2 TOPS 3.5.3 D-WARD 4 Implementierung 4.1 Source IP Spoofing 4.2 SSDP & WS Discovery 4.3 TCP (ohne SYN) 4.4 SYN-Flood 4.4.1 SYN Paketratenlimitierung 4.4.2 SYN Proxy 5 Untersuchung 5.1 Tests 5.1.1 Implementierungskomplexität 5.1.2 Speicher- und Rechenkapazitätsbedarf 5.1.3 Filterverhalten 5.2 Andere Erkennungsmethoden 5.2.1 Implementierungskomplexität 5.2.2 Speicher- und Rechenkapazitätsbedarf 5.2.3 Filterverhalten 5.3 Diskussion 6 Fazit & Ausblick Literaturverzeichnis Abbildungsverzeichnis Tabellenverzeichnis / DDoS attacks and the botnets used for them are constantly growing due to the increasing spread of IoT devices, among other things. Due to the advantages of stopping such attacks at an early stage, effective detection of DDoS participation in home routers makes sense. This thesis analyses currently widespread DDoS attack types and develops and collects various detection mechanisms from the literature. With the help of detailed investigations and tests regarding filter behaviour and resource requirements of the detections mechanisms, DDoS attack types were identified that can be effectively detected and prevented in the home router.:1 Einleitung 1.1 Problemstellung 1.2 Zielstellung 2 Verbreitetste DDoS-Angriffstypen 2.1 Source IP Spoofing 2.2 Reflection/Amplification 2.2.1 SSDP 2.2.2 WS Discovery 2.2.3 QUIC-Reflection 2.3 TCP-Floods 2.3.1 SYN-Flood 2.3.2 RST- und FIN-Flood 2.3.3 SYN-ACK-Flood 2.3.4 ACK-Flood 2.4 UDP-Flood 2.5 Direkte Application-Layer-Angriffe 2.6 Übersicht 3 Erkennung 3.1 Source IP Spoofing 3.2 SSDP & WS Discovery 3.3 TCP 3.3.1 SYN-Flood 3.3.2 RST- und FIN-Flood 3.3.3 SYN-ACK-Flood 3.3.4 ACK-Flood 3.4 UDP 3.5 Allgemeine Erkennung 3.5.1 MULTOPS 3.5.2 TOPS 3.5.3 D-WARD 4 Implementierung 4.1 Source IP Spoofing 4.2 SSDP & WS Discovery 4.3 TCP (ohne SYN) 4.4 SYN-Flood 4.4.1 SYN Paketratenlimitierung 4.4.2 SYN Proxy 5 Untersuchung 5.1 Tests 5.1.1 Implementierungskomplexität 5.1.2 Speicher- und Rechenkapazitätsbedarf 5.1.3 Filterverhalten 5.2 Andere Erkennungsmethoden 5.2.1 Implementierungskomplexität 5.2.2 Speicher- und Rechenkapazitätsbedarf 5.2.3 Filterverhalten 5.3 Diskussion 6 Fazit & Ausblick Literaturverzeichnis Abbildungsverzeichnis Tabellenverzeichnis