Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği

4.057 Aufrufe

Veröffentlicht am

"DDoS Saldırıları ve Korunma Yolları ile E-posta ve ATM Güvenliği" hakkında hazırladığımız eğitim sunumudur.

Baskı 2013-2014

Veröffentlicht in: Technologie
  • Dating for everyone is here: ❤❤❤ http://bit.ly/2F7hN3u ❤❤❤
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Follow the link, new dating source: ❶❶❶ http://bit.ly/2F7hN3u ❶❶❶
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier

DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği

  1. 1. @BGASecurity Dos/DDoS Saldırıları ve Korunma Yolları E-posta ve ATM Güvenliği 2013-2014
  2. 2. @BGASecurity BGA Bilgi Güvenliği A.Ş BGA Security Hakkında BGA | Hakkında Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir. Gerçekleştirdiği vizyoner danışmanlık projeleri ve nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır. ARGE EĞİTİM MSSP PENTEST SOME / SOC SECOPS
  3. 3. @BGASecurity Eğitim Hakkında BGA | Dos/DDoS v Internet’in yaygın kullanımından itibaren önemini hiç yitirmemiş ve kesin çözümü bulunamayan en sıkıntılı problemlerden biri DoS/DDoS saldırılarının teorik ve pratik yönden incelenmesi, gereken önlemlerin alınması. v E-posta ve ATM Güvenliği hakkında pratik bilgiler.
  4. 4. @BGASecurity Eğitim Ders Planı BGA | Dos/DDoS Ø I. Gün Ø Temel Kavramlar, DoS/DDoS Saldırı Çeşitleri ve Araçları Ø Türkiye Ve Dünyadan DDoS Saldırı Örnekleri Ø TCP Flood DDoS Saldırıları Ø Web Sunuculara Yönelik DDoS Saldırıları Ø II.Gün Ø DDoS Saldırı Analizi Ø DDoS Engelleme Ürünleri Ø DNS Güvenliği Ø III.Gün Ø DNS flood ddos saldırıları. Ø Mail güvenliği ve ATM güvenliği
  5. 5. @BGASecurity DDos Saldırıları ve Korunma Yöntemleri
  6. 6. @BGASecurity Amaç ve Hedefler BGA | Dos/DDoS v DoS/DDoS hakkında yanlış/eksik bilinen konuların düzeltilmesi v DDoS saldırıları hakkında güncel istatistiklerin ve tehlikelerin öğrenilmesi v DDoS saldırısı karşısında analiz ve engelleme için reçete sunulabilmesi v Açık kod yazılımlar kullanılarak DDoS testlerinin yapılması v Açık kod yazılımlar kullanılarak DDoS saldırılarının engellenmesi için gerekli sistem altyapısının kurulması.
  7. 7. @BGASecurity Türkiye 2010 Yılı Siber Tehdit Sıralaması Siber Tehditler BGA | Dos/DDoS
  8. 8. @BGASecurity Eğitim İçeriği BGA | Dos/DDoS v Temel TCP/IP güvenliği bilgisi v Temel kavramlar, DoS/DDoS saldırıları ve çeşitleri v Türkiye ve dünyadan DDoS saldırı istatistikleri v Yerel ve kablosuz ağlarda “DoS” v Syn Flood DDoS saldırıları v Web sunuculara yönelik DDoS saldırıları v UDP Flood saldırıları v Dns kullanılarak yapılan DDoS saldırıları v Uygulamaya özel DoS saldırıları v DDoS saldırı analizi ve araçları v DDoS engelleme ürünleri v Alternatif DDoS engelleme yöntemleri v OpenBSd Packet Filter DDoS koruma sistemi v Güncel DDoS kaynakları
  9. 9. @BGASecurity DDoS-BotNet Çalışma Grubu BGA | Dos/DDoS • DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla 2010 yılında kurulmuştur. Ø E-posta listesi ve çalışma grubu olarak faaliyet göstermektedir. • E-posta listesi hakkında https://www.bgasecurity.com/bga-community/ddos-botnet-e-posta-listesi/ adresinden bilgi alabilirsiniz. Ø Sadece kurumsal katılıma açıktır.
  10. 10. @BGASecurity DDoS İçin Gerekli Temel TCP/IP Bilgisi
  11. 11. @BGASecurity Amaç BGA | Dos/DDoS “Yerel ağlarda, kablosuz ağlarda ve internette DoS/DDoS saldırılarının anlaşılabilmesi için gerekli temel bilginin aktarılması”
  12. 12. @BGASecurity Neden TCP/IP Bilgisi BGA | Dos/DDoS v Günümüzde içerisinde Ağ(network) kelimesi geçen her şeyin temeli TCP/IP’dir. v TCP/IP detayları ne kadar iyi bilinirse network güvenliği ve network işlemleri o kadar kolay anlaşılabilir. v TCP/IP bilgisi olmadan yönetilen network/güvenlik sistemleri her zaman bilinmeyen saldırılara açıktır. v DDoS saldırıları ve engelleme yöntemleri tamamen TCP/IP bilgisine dayanır. v TCP/IP bilmeden yönetilecek ağ güvenliği sistemleri alfabeyi iyi bilmeden yabancı dil konuşmak gibidir. v Sadece kalıplaşmış işler yapılabilir.
  13. 13. @BGASecurity MAC Adresi BGA | Dos/DDoS • Layer 2 için iletişim adresleri • Yerel ağlarda iletişim MAC adresleri üzerinden gerçekleşir • 48 bitlik adreslerdir • 1 byte=8bit • İlk üç byte üretilen firmayı gösterir. • Kolaylıkla değiştirilebilir Firma Bilgisi Sizin mac adresiniz hangi firmaya ait?
  14. 14. @BGASecurity Address Resolution Protocol(ARP) BGA | Dos/DDoS v Yerel ağlarda iki hostun birbiri ile anlaşabilmesi için kullanılan protokoldür.(RFC 826) v İki host birbiri ile iletişime geçmeden önce birbirlerinin IP adreslerini bilmek zorundadır. Ø IP adresini bilenlerin iletişime geçebilmesi için MAC adreslerini edinme zorunluluğu vardır. v TCP/IP İletişiminde en önemli(?) protokoldür. v Ipv6 ‘da ARP yerine benzeri işlevi yerine getiren Neighbor Discovery Protocol (NDP) geliyor. v ARP iki işlemli bir süreçtir. Ø ARP Request Ø ARP Reply v Gratious ARP Paketleri
  15. 15. @BGASecurity ARP Çalışma Mantığı BGA | Dos/DDoS
  16. 16. @BGASecurity ARP Request BGA | Dos/DDoS ARP REPLY (Broadcast)
  17. 17. @BGASecurity ARP Reply BGA | Dos/DDoS ARP REPLY (Unicast)
  18. 18. @BGASecurity ARP Cache BGA | Dos/DDoS • ARP unutkan bir protokol olduğu için işletim sistemleri arp kayıtlarını bir müddet saklar(30 - 60 saniye vs) • Arp kayıtları dinamik veya statik olabilir. • Yanlış ARP kaydı girilmesi DoS’a sebep olabilir.
  19. 19. @BGASecurity ARP DOS BGA | Dos/DDoS • Kurban Olarak bir Host/Network Seçilir. • Gateway IP Adresi Öğrenilir. • Kurban sisteme bozuk ARP-REPLY paketleri gönderilir. • Gateway 00:00:00:00:02:01 adresinde • Kurban ile Gateway arasında tüm iletişim durur! • Kurban aynı ağdaki arkadaşlarıyla konuşabilirken diğer ağlara, internete erişimi kesilmiş olur
  20. 20. @BGASecurity Nemesis ile ARP Dos Denemesi BGA | Dos/DDoS #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.6 -H 00:01:02:03:04:05 -M 00:1B:38:C3:D3:A0 ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4beta3 (Build 22) [MAC] 00:01:02:03:04:05 > 00:1B:38:C3:D3:A0 [Ethernet type] ARP (0x0806) [Protocol addr:IP] 10.2.0.1 > 10.2.0.6 [Hardware addr:MAC] 00:01:02:03:04:05 > 00:1B:38:C3:D3:A0 [ARP opcode] Reply [ARP hardware fmt] Ethernet (1) [ARP proto format] IP (0x0800) [ARP protocol len] 6 [ARP hardware len] 4 Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.
  21. 21. @BGASecurity MAC Flooding BGA | Dos/DDoS • Amaç switch mantığını bozup sistemin bir hub gibi çalışmaya zorlamak. • Switch Cam Table (Port-Mac Bilgilerini Tutar) • Etherflood ve Macoff yazılımları kullanılabilir.
  22. 22. @BGASecurity Macoff ile MAC Flooding BGA | Dos/DDoS
  23. 23. @BGASecurity Internet Protocol BGA | Dos/DDoS • Internetin Temel Yapıtaşı • Güncel IP sürümü:v4 • Yakın gelecekteki IP sürümü:v6 • Ağlar arası yönlendirme işlemini yapar. • Hata kontrol mekanizması yoktur. • Gönderici ve Alıcı arasında bir kimlik doğrulama işlemi yoktur. • DDoS açısından IP spoofing en ciddi problemdir.
  24. 24. @BGASecurity TCP/IP Protokol Ailesi ve IP BGA | Dos/DDoS
  25. 25. @BGASecurity IP Başlık Bilgisi BGA | Dos/DDoS
  26. 26. @BGASecurity IP Adresi BGA | Dos/DDoS • Layer 3 için adres bilgisi • Routing kavramının temeli • 32 bit • Unicast IP adresleri • Multicast IP adresleri • Broadcast IP adresleri
  27. 27. @BGASecurity IP Adresi-II BGA | Dos/DDoS • Internet servis sağlayıcılar tarafından atanır. • Kendi isteğinize göre bir IP adresi belirleyip internete çıkamazsınız! • Internette IP adresleri tektir(uniq) • NAT arkasındaki sistemler aynı ip adresine sahip olabilirler ama internete çıkarken tek bir ip adresine sahip olmak gerekir.
  28. 28. @BGASecurity IP Spoofing BGA | Dos/DDoS • Ne anlama gelir? • Hedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme. • Genellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir. • Günümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak çalışması imkansızdır. • Proxy üzerinden ip değiştirme ip spoofing değildir • Ücretsiz proxy hizmetleri üzerinden paket gönderimi
  29. 29. @BGASecurity IP Spoofing-II BGA | Dos/DDoS • IP korumasız, onaysız bir protokoldür. • İstenilen IP adresi ile hedef sistemlere paket gönderilebilir. • IP spoofing • Daha üst katmandaki uygulamalar IP spoofing engellemek için ek önlemler almak zorundadır. • TCP için random ISN numaraları vs • Hangi uygulamarda yapılabilir. • OSI’e göre 7. katmandaki protokollerde IP spoofing teoride mümkündür • Pratikte imkansıza yakındır.
  30. 30. @BGASecurity Hping Spoof Örneği BGA | Dos/DDoS • Hping:TCP/IP paket üreteci • İstenilen türde paket üretmeye yarar. • Stateless paketler üretebilir(SMTP bağlantısı kuramaz, sadece SYN paketi vs gönderebilir) • Hping –a parametresi kullanılarak gönderilecek paketlerin istenilen bir IP adresinden çıkması sağlanabilir. # hping -S -p 80 -a www.microsoft.com www.linux.com HPING www.linux.com (bge0 140.211.167.55): S set, 40 headers + 0 data bytes ^C --- www.linux.com hping statistic --- 3 packets tramitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms
  31. 31. @BGASecurity ICMP BGA | Dos/DDoS • IP Katmanında temel görevi hata bildirmek olan bağımsız bir protokol. • UDP/TCP gibi port numaraları yoktur. • Port numaralarına benzeyen protokolün kendine özgü Code, Type alanları vardır. • ICMP Paketinin amacını bu alanlar belirler. • Ping, traceroute vs.
  32. 32. @BGASecurity ICMP-II BGA | Dos/DDoS • İletimden sorumlu protokol olan IP’nin hata bildirme yeteneği yoktur. • IP Katmanında temel görevi hata bildirmek olan bağımsız bir protokol. • UDP/TCP gibi port numaraları yoktur. • Port numaralarına benzeyen protokolün kendine özgü Code, Type alanları vardır. • ICMP Paketinin amacını bu alanlar belirler. • Ping, traceroute vs.
  33. 33. @BGASecurity ICMP Başlığı BGA | Dos/DDoS ICMP paketi ICMP Başlığı
  34. 34. @BGASecurity ICMP Flood(Smurf) BGA | Dos/DDoS
  35. 35. @BGASecurity ICMP Smurf Saldırısı ÖRNEK BGA | Dos/DDoS • Hping kullanarak smurf saldırısı oluşturma • hping3 --icmp -C 8 -K 0 -a 172.26.27.22 172.26.27.255 -d 1000 • 172.26.27.0 ağındaki tüm makineler 1000 bytelık icmp replay paketlerini kurban makineye (172.26.27.22) göndereceklerdir.
  36. 36. @BGASecurity Gerçek ICMP Flood BGA | Dos/DDoS
  37. 37. @BGASecurity Smurf Saldırısı Analizi BGA | Dos/DDoS • Smurf saldırısı günümüzde çalışmaz. Neden? • Linux sistemler(diğer işletim sistemleri de) broadcaste gelen ICMP isteklerine cevap vermezler. • ICMP smurf saldırısının gerçekleşmesi için broadcaste gelen icmp paketlerine cevap verilmesi gerekir • Linux için ICMP broadcaste cevap verme • # sysctl net.ipv4.icmp_echo_ignore_broadcasts=0 net.ipv4.icmp_echo_ignore_broadcasts = 0
  38. 38. @BGASecurity UDP(User Datagram Protocol) BGA | Dos/DDoS • Gönder ve UNUT! • Connectionless • Sıra numarası kavramı yok • Handshake yok • Onay mekanizması yok • Akış kontrolü yok. • Hata kurtarma mekanizması yok! • Zaman aşımı ve gelen cevaplara göre çalışır. • Broadcast çalışabilir. • IP spoofing için ek bir önlem yoktur
  39. 39. @BGASecurity TCP/IP Protokol Ailesinde UDP BGA | Dos/DDoS
  40. 40. @BGASecurity Neden UDP BGA | Dos/DDoS • Bu kadar işlevsiz ise neden kullanılır? • Hızlıdır. • İletişimin başlaması için handshake gerekmez • Onay paketleri yoktur. • Kaynak tüketimi daha azdır. • Sıra numarası/Onay takibi yok. • Gerekli tüm mekanizmalar protokolü kullanan uygulama tarafından kontrol edilmeli.
  41. 41. @BGASecurity UDP Başlığı BGA | Dos/DDoS • Basit bir protokoldür. • 8 Byte başlık bilgisine sahiptir • Kaynak Port: (CB84)16 or 52100 • Hedef Port: (000D)16 or 13. • UDP Paket boyutu: 28 byte(001C)16 • Payload=28-8(başlık kısmı=20 Byte Hexedecimal UDP Başlığı
  42. 42. @BGASecurity UDP Başlığı-II BGA | Dos/DDoS • Source Port: • Destination Port • Checksum: Hedefe ulaşan UDP paketinin sağlıklı ulaşıp ulaşmadığının kontrolü • Basit hash mantığı • UDP paket boyutu: Tüm baket boyut bilgisi(başlık+payload)
  43. 43. @BGASecurity UDP Oturumu BGA | Dos/DDoS • UDP stateless olduğuna göre Firewall, IPS nasıl state(oturum) tutar? • Zamana bağlı , ve port numaralarına bağlı • TCP’de sıra numarası-onay numarası vardır UDP’de bu tip özellikler yoktur. Bu sebeple UDP oturumu tam bir oturum olarak görülmez.
  44. 44. @BGASecurity UDP Paketi Oluşturma BGA | Dos/DDoS • #hping –udp • #nemesis udp help
  45. 45. @BGASecurity TCP(Transmission Control Protocol) BGA | Dos/DDoS • Transport katmanı, taşıyıcısı IP • “Güvenilir” bir protokol. • Arkadaşı UDP’ye göre oldukça yavaş. • Çoğunluk protokol TCP kullanır. • Smtp, ftp, ssh, telnet, http, pop • IP spoofing için ek önlem alınmıştır. • Günümüzde DDoS saldırılarında en sık tercih edilen protokol
  46. 46. @BGASecurity TCP/IP’de TCP’nin Konumu BGA | Dos/DDoS
  47. 47. @BGASecurity TCP Başlık Bilgisi BGA | Dos/DDoS TCP Paketi TCP Başlığı
  48. 48. @BGASecurity TCP/UDP Farkını Anlama BGA | Dos/DDoS • Netcat kullanarak • TCP üzerinden 8 byte veri transferi • UDP üzerinden 8 byte veri transferi • Nc –l 99 • Nc –l –u 99
  49. 49. @BGASecurity Initil Sequence Number (ISN) BGA | Dos/DDoS • 32-bit’dir. • 3’lü el sıkışmada ilk SYN paketinde ve ikinci SYN paketinde kullanılır. • Bu değerin tahmin edilebilir olması TCP hijacking saldırılarına yol açabilir. • Günümüz işletim sistemlerinde bu değer tahmin edilemeyecek* şekilde üretilir. • *Tahmin edilmesi güçleştirilmiş random değerler. • TCP’de IP spoofing yapılamamasının sebebi
  50. 50. @BGASecurity TCP Bağlantılarda Bayraklar BGA | Dos/DDoS • TCP bağlantıları bayraklarla (flags) yürütülür. • Bayraklar TCP bağlantılarında durum belirleme konumuna sahiptir. • Bağlantının başlaması, veri transferi, onay mekanizması ve bağlantının sonlandırılması işlemleri tamamen bayraklar aracılığı ile gerçekleşir. • (SYN, ACK, FIN, PUSH, RST, URG bayrak çeşitleridir)
  51. 51. @BGASecurity TCP Bayrakları BGA | Dos/DDoS SYN ACK PUSH RST FIN URG 6 + (2) çeşittir.
  52. 52. @BGASecurity Wireshark’da TCP Bayrakları BGA | Dos/DDoS
  53. 53. @BGASecurity İletişim Başlangıcı BGA | Dos/DDoS • Tüm iletişim Bayraklar aracılığı ile kontrol edilir. • Bağlantı Bağlatma=3 lü el sıkışma (3 way handshaking) SYN SYN+ACK ACK
  54. 54. @BGASecurity Data Aktarımı KONTROL BGA | Dos/DDoS TCP paket no 100 ve içerisinde 20 byte var Tamamdır 120’yi aldım, 121’den başla Bu TCP paketi 121 ve içerisinde 50 byte var • Aktarılan her veri parçası için onay gerekir. • Onay ACK bayrakları ile gerçekleşir. • Data aktarımı PUSH bayrakları ile.
  55. 55. @BGASecurity Bağlantı Sonlandırma NORMAL BGA | Dos/DDoS • Bağlantı sonlandırma için her iki taraf da FIN ve ACK paketleri göndermelidir. • Bir taraf bu paketlerden birini eksik gönderirse bağlantı askıda kalabilir • Close_wait, fin_wait durumları FIN ACK ACK FIN
  56. 56. @BGASecurity Bağlantı Sonlandırma ANİ BGA | Dos/DDoS RST RST bayraklı paket gönderilerek bağlantı aniden kapatılabilir.
  57. 57. @BGASecurity TCP Bağlantı Durumları BGA | Dos/DDoS • TCP oturumlarının her anı bayraklar tarafından kontrol edilir. • Kullanılan bayrakların durumuna göre oturumun aşamaları farklı adlarla isimlendirilir. • TCP bağlantıları Linux/UNIX ve Windows sistemlerde netstat komutuyla incelenebilir. • TCP’ye ait bazı oturum durumları • CLOSE_WAIT, CLOSED, ESTABLISHED, FIN_WAIT_1, FIN_WAIT_2, LAST_ACK, LISTEN, SYN_RECEIVED, SYN_SEND ve TIME_WAIT
  58. 58. @BGASecurity TCP State Diyagram BGA | Dos/DDoS
  59. 59. @BGASecurity Netstat ile Bağlantı Durumları İzleme BGA | Dos/DDoS
  60. 60. @BGASecurity Oturum Başlatma BGA | Dos/DDoS • Hizmet veren bir TCP portu açıksa kendisine gelen SYN paketine karşılık olarak ACK+SYN paketi döner. • Dönen paketlerden ACK(onay paketi), SYN ise hizmet veren tarafın istek başlatma paketidir. • Port kapalıysa RST döner, SYNflood saldırısının başarılı olabilmesi için portun açık ve dinlemede (LISTEN mod)olması gerekir.
  61. 61. @BGASecurity Oturum Başlatma-II BGA | Dos/DDoS
  62. 62. @BGASecurity SYN Paketi Boyutu BGA | Dos/DDoS • Ortalama bir TCP başlığı 60 byte, buna dönen SYN + ACK cevabı da 60 byte civarı olacaktır. • Yapılandırılışına göre SYN paketini alan sistem son ACK paketini alana kadar 5-6 kere SYN+ACK paketini tekrar gönderir. • Bu da ortalama 3 dakika sürer.
  63. 63. @BGASecurity TCB BGA | Dos/DDoS • LISTEN durumunda olan bir TCP portuna SYN paketi geldiğinde SYN_RECEIVED durumuna geçer ve son ACK paketi gelene kadar verileri bir veri yapısında tutar. • Bu veri yapısı TCB (Transmission Control Block) olarak adlandırılır. • İşletim sistemlerine göre TCB değeri değişkenlik gösterse de ortalama olarak sistemden 280-1300 byte arası bellek kullanır (Üçlü el sıkışma tamamlanana kadar bir SYN paketininin sistemden kullandığı bellek miktarı) • İşletim sistemleri gelecek fazla isteklerden kaynaklanacak bellek yetmezliğini önleme amaçlı TCB’lerin tutacağı max bellek miktarını sınırlandırırlar.
  64. 64. @BGASecurity Oturum Başlangıcı Socket Durumları BGA | Dos/DDoS
  65. 65. @BGASecurity TCP Oturum Sonlandırma BGA | Dos/DDoS • Oturum sonlandırma her iki tarafında anlaşması sonucu tamamlanır. • Taraflardan birinin ilgili bayraklı paketi göndermemesi, geç göndermesi bağlantının sağlıklı olarak sonlanmasına engel olur.
  66. 66. @BGASecurity TCP Oturum Sonlandırma-II BGA | Dos/DDoS
  67. 67. @BGASecurity Bağlantı Sonlandırma Socket Durumları BGA | Dos/DDoS
  68. 68. @BGASecurity DHCP BGA | Dos/DDoS • Dynamic Host Configuration Protocol(RFC 2131) • DHCP ağdaki istemcilerin ağ ayarlarını otomatik almalarını sağlayan protokoldür. • Otomatik Ağ Ayarları; • IP Adresi • Alt Ağ maskesi • DNS sunucu • Varsayılan Ağ geçidi • Proxy adresi... • UDP Tabanlı “broadcast” çalışan Protokol • Hangi Portlardan Çalışır?
  69. 69. @BGASecurity DHCP Nasıl Çalışır BGA | Dos/DDoS
  70. 70. @BGASecurity DHCP Portları BGA | Dos/DDoS
  71. 71. @BGASecurity DHCP Kullanılarak DoS Saldırısı Gerçekleştirme BGA | Dos/DDoS • DHCP Discover mesajları gönderilerek DHCP sunucudan anlık ip adresi talebi yapılabilir. • Saldırgan rastgele ürettiği binlerce MAC adresinden DHCP Discover mesajları göndererek ortamdaki DHCP sunucudan DHCP offer bekler. • DHCP offer sonrası DHCP sunucu DHCP Request gelene kadar ilgili ip adreslerini havuzdan çıkarır. • Bu süre zarfında ortama bağlanan istemciler yeni ip adresi (ağ ayarlarını ) alamaz • Literatürde “DHCP Kaynak Tüketimi” saldırısı olarak geçer
  72. 72. @BGASecurity DHCP Kaynak Tüketim Saldırısı BGA | Dos/DDoS
  73. 73. @BGASecurity Yersinia ile DHCP Starvation Saldırısı BGA | Dos/DDoS Yersinia, çeşitli L2 saldırılar gerçekleştirmek üzere tasarlanmış bir uygulamadır.
  74. 74. @BGASecurity DNS BGA | Dos/DDoS • Internet dünyasında isim-ip çözümlemesi için kullanılır(A ve PTR Kayıtları) • E-postaların ulaşım adreslerini belirler(MX kayıtları) • Internet’de en çok ihtiyaç duyulan protokol • Ipv6 ile vazgeçilmez olacak • Son yıllarda DDoS saldırılarının en büyük hedeflerinden
  75. 75. @BGASecurity DNS Hiyerarşisi BGA | Dos/DDoS Root(.) org net edu com uk tr metuitukocaeliistanbulmardin ciscs huzeyfe
  76. 76. @BGASecurity DNS Nasıl Çalışır BGA | Dos/DDoS www.lifeoverip.net IPAdresi Nedir? www.lifeoverip.net IP 91.93.119.80 DNS Sunucu UDP Port 53 DNS Sunucu
  77. 77. @BGASecurity DNS Nasıl Çalışır? DETAY BGA | Dos/DDoS
  78. 78. @BGASecurity DNS ve TCP İlişkisi BGA | Dos/DDoS DNS UDP tabanlı bir protokoldür. 512 Byte üzerindeki cevaplar için TCP kullanılır
  79. 79. @BGASecurity DNS Sorgu Çeşitleri BGA | Dos/DDoS Sorgu Çeşitleri IterativeRecursive
  80. 80. @BGASecurity Recursive Query BGA | Dos/DDoS • İstemcinin DNS sunucuya gönderdiği sorgu tipidir • İstemci DNS sunucuya erişmek istediği sisteme ait sorguyu gönderir ve net bir cevap bekler(olumlu ya da olumsuz) • DNS sunucu istemcinin sorgusunu alarak internette farklı DNS sunuculara sorabilir veya doğrudan kendi üzerindeki bilgilerden cevap verebilir
  81. 81. @BGASecurity Iterative Query BGA | Dos/DDoS DNS sunucuların kendi aralarında gerçekleştirdiği sorgu tipi İstemcinin istediği alan adının cevabını bulana kadar DNS sunucu uğraşır. Cevabı bulduktan sonra istemciye cevap döner ve bulduğu cevabı sonraki sorgular için ön belleğinde saklar.
  82. 82. @BGASecurity DNS Cache BGA | Dos/DDoS • DNS cevapları sorgulayan taraflar tarafından belirli süreliğine hatırlanmak üzere kaydedilir. • TTL( değeri alan adının sahibi tarafından belirlenir. • TTL değerinin düşük olması • Daha sık DNS sorgusu gerektirir. • DNS sunucuyu yorar. • TTL değerinin yüksek olması • Daha az DNS sorgusu gerektirir, dns sunucuyu fazla yormaz. • IP adresine ulaşılamayan durumlarda veya ip değişikliği durumlarında sisteme erişim sağlanmaz. • Olumsuz cevaplar da kaydedilir. • Olmayan domainlere yapılacak sorgulamalarda zaman kaybı olmasın diye • DDoS saldırılarında oldukça faydalı olabilir. • Nasıl?
  83. 83. @BGASecurity DNS TTL Süresi ÖRNEK BGA | Dos/DDoS Genellikle bu değer 3 gün civarı olarak belirlenir.
  84. 84. @BGASecurity Ethernet Kartlarında Filtreleme BGA | Dos/DDoS • Gelen donanım adresine göre ethernet kartları çeşitli filtreler uygular. • Paket • Makinenin kendi donanım adresine(MAC) geliyor olabilir • Broadcast’e gönderiliş olabilir • Multicast bir adrese gönderilmiş olabilir. • Promiscious mod
  85. 85. @BGASecurity PROMISCIOUS BGA | Dos/DDoS To xx:xx:xx:xx:xx:xx Pass NIC 00:11:22:33:44:55 Promiscious -> Gelen paketin ne olduğuna bakmadan kabul edildiği durum.
  86. 86. @BGASecurity Sniffing’e Açık Protokoller BGA | Dos/DDoS • Sniffing’e açık:İçerisinde taşıdığı veri okunabilir, şifrelenmemiş trafik • Hemen hemen tüm protokoller • Telnet, Rlogin • HTTP/FTP • SMTP/POP/IMAP • Güvensiz Protokollerin güvenli kullanımı • SSL Wrapper • RDP’ye özel durum Internette en sık kullanılan 10 port
  87. 87. @BGASecurity Sniffer Yerleşimi BGA | Dos/DDoS • Ağ ortamının özelliğine göre Snifferların yerleşimi değişmektedir. • TAP kullanılan ortamlarda • HUB’lı ortamlarda • Switch kullanılan ağlarda(Port mirroring)
  88. 88. @BGASecurity TAP BGA | Dos/DDoS • TAP = Traffic Access Point • Paket çoğullayıcı • Donanımsal • Sniffer/IDS Kullanımında yaygın
  89. 89. @BGASecurity TAP Kullanımı BGA | Dos/DDoS • En sık sniffer yerleşiminde tercih edilir. • IDS(Saldırı Tespit Sistemi) için zorunluluk • Trafik analizi, izleme amaçlı • Compliance, DLD(Data Leakage Detection) • SPAN işleminin sınırlı sayıda olması • Network yöneticileri SPAN alır, güvenlikciler analiz yapacak yer bulamaz. • Inline ya da pasif olabilir.
  90. 90. @BGASecurity Trafik Analizinde TAP Kullanımı BGA | Dos/DDoS Inline TAP Sistemi Pasif TAP Sistemi
  91. 91. @BGASecurity Trafik Analizinde SPAN Port Kullanımı BGA | Dos/DDoS • Switched Port Analyzer (SPAN) • Port mirroring(aynalama), port monitoring olarak da adlandırılır. • Switch yapısının Hubdan farklı olmasından dolayı düşünülmüş bir teknoloji http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml
  92. 92. @BGASecurity Sniffer Araçları BGA | Dos/DDoS tcpdump windump Wireshark Snort Tshark
  93. 93. @BGASecurity Sniffer Olarak Tcpdump BGA | Dos/DDoS • UNIX Tabanlı popüler sniffer yazılımı • Windows icin windump • Libpcap tarafından alınan ham veriler tcpdump tarafından işlenerek okunabilir hale gelir. • Tamamen ücretsiz bir yazılım. • Sorun giderme , trafik analizi, hacking amaclı kullanılabilir.
  94. 94. @BGASecurity Arabirim Seçimi BGA | Dos/DDoS
  95. 95. @BGASecurity İsim Çözümleme BGA | Dos/DDoS
  96. 96. @BGASecurity Yakalanan Paketleri Kaydetme BGA | Dos/DDoS • Tcpdump'ın yakaladığı paketleri sonradan incelemek üzere dosyaya yazılabilir. • Dosya formatı libpcap uyumludur. • -w parametresi kullanılır. • -c ile kaç adet paket yakalanacağı • -C ile kaydedilen dosyaların ne büyüklükte olacağı belirlenebilir.
  97. 97. @BGASecurity Eğitim Hakkında BGA | Dos/DDoS -w ile kaydettğimiz paketleri okumak içinde -r parametresini kullanılır.
  98. 98. @BGASecurity Paket Detaylarını Loglama BGA | Dos/DDoS -v parametresi ile tcpump'dan biraz daha detaylı loglama yapmasını isteyebiliriz. Mesela bu parametre ile tcpdump çıktılarını TTL ve ID değerleri ile birlikte edinebiliriz.
  99. 99. @BGASecurity SYN Bayraklı TCP Paketlerini Yakalama BGA | Dos/DDoS #tcpdump -n –i eth0 'tcp[13] == 2'
  100. 100. @BGASecurity Sniffer Olarak Wireshark BGA | Dos/DDoS • Eski adı Ethereal • Açık kaynak kodlu Sniffer aracı • Grafik arabirimli/ komut satırı • Bilinen çoğu işletim sistemlerinde çalışır • Bilinen tüm protokolleri destekler • Yakalanan paketleri kaydedebilme • Kaydedilmiş paketleri diskten okuma • Protokol renklendirme
  101. 101. @BGASecurity Wireshark Ekranı BGA | Dos/DDoS
  102. 102. @BGASecurity Paket Yakalama Seçenekleri BGA | Dos/DDoS
  103. 103. @BGASecurity Filtreler BGA | Dos/DDoS Capture Filter • Yakalanacak paketlere uygulanır. • Tcpdump formatı ile aynıdır. • Tcp port 22 and host vpn.lifeoverip.net or icmp • gibi Display Filter • Yakalanan paketler üzerinde analiz yapılırken kullanılır. • Farklı bir formata sahiptir. • (Tcp.port eq 22) and (ip.addr eq blabla...) • Arabirimden filtre yazılabilir
  104. 104. @BGASecurity Capture Filter BGA | Dos/DDoS • Tcp port 21 • Tcp port 21 and tcp port 1982 • Tcp port 22 and host vpn.lifeoverip.net or icmp
  105. 105. @BGASecurity Display Filter BGA | Dos/DDoS
  106. 106. @BGASecurity Wireshark ile Sadece SYN Bayraklı Paketler BGA | Dos/DDoS
  107. 107. @BGASecurity Trafik Çıktılarını Anonimleştirme BGA | Dos/DDoS • Trafik dosyaları hangi özel bilgileri içerebilir? • -IP adresleri • -MAC adresleri ve buradan da kullanılan donanımların türleri (Intel, Vmware, Cisco, Juniper vs) • -Paketin veri kısmında kaydedilmiş diğer veriler • Özel bilgi içerek tüm bileşenler rastgele verilerle değiştirilerek trafik kayıtlarının anonimleştirilmesi sağlanabilir. • Trafik anonimleştirme için çeşitli araçlar vardır • Bunlardan en esnek ve kolay kullanıma sahip olanı tcprewrite
  108. 108. @BGASecurity Tcpwrite ile Trafik Anonimleştirme BGA | Dos/DDoS root@seclabs:~# tcpdump -n -r kayit1.pcap 02:45:05.597166 IP 192.168.56.101.22 > 192.168.56.1.3199: P 368772774:368772906(132) ack 2254292994 win 8576 02:45:05.597704 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 132 win 64675 02:45:07.204945 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 02:45:07.807829 IP 192.168.56.1.3199 > 192.168.56.101.22: P 1:53(52) ack 132 win 64675 02:45:07.814418 IP 192.168.56.101.22 > 192.168.56.1.3199: P 132:184(52) ack 53 win 8576 02:45:07.954580 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 02:45:08.058572 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 184 win 64623 02:45:08.704682 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST Tcprewrite kullanarak hedef ve kaynak IP adreslerinin rastgele değişmesini sağlayalım. root@seclabs:~# tcpdump -n -r kayit_random.pcap 02:45:05.597166 IP 214.92.41.183.22 > 214.92.41.191.3199: P 368772774:368772906(132) ack 2254292994 win 8576 02:45:05.597704 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 132 win 64675 02:45:07.204945 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 02:45:07.807829 IP 214.92.41.191.3199 > 214.92.41.183.22: P 1:53(52) ack 132 win 64675 02:45:07.814418 IP 214.92.41.183.22 > 214.92.41.191.3199: P 132:184(52) ack 53 win 8576 02:45:07.954580 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 02:45:08.058572 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 184 win 64623
  109. 109. @BGASecurity Paket Boyutları BGA | Dos/DDoS • DDoS saldırılarında paket boyutları çok önemlidir. • Saldırganın ne kadar paket gönderebileceği, kurbanın ne kadar trafik kaldırabileceği paket boyutlarıyla doğrudan orantılıdır. • Genel geçer kural: paket boyutu küçüldükçe güvenlik sistemlerinin performansı düşer! • Ortalama • Bir TCP paketi 60 Byte • Bir UDP paketi 40 Byte • Bir HTTP paketi 400 Byte
  110. 110. @BGASecurity 100-1000 Mb ile Neler Yapılabilir BGA | Dos/DDoS • Saldırı Tipine göre • SYNFlood olursa • [100 Mb 200.000 pps] • [1Gb 2.000.000 pps] • UDP flood olursa • [100Mb 400.000pps] • [1Gb 4.000.000 pps] • GET Flood olursa • [100Mb 32.000 pps] • [1Gb 320.000 pps] • 100Mb=100x1024Kb=100x1024x1024b=104857600bit • 104857600bit/8=13107200byte/60=218.000 pps
  111. 111. @BGASecurity Temel Kavramlar Dos/DDoS Saldırı Çeşitleri ve Araçları
  112. 112. @BGASecurity Bilgi Güvenliği Bileşenleri BGA | Dos/DDoS (C.I.A) Confidentiality Integrity Avability
  113. 113. @BGASecurity En Önemli Bileşen AVAILABILITY BGA | Dos/DDoS Availability Erişilebilirlik olmadan güvenlikten söz edilemez! En güvenli sistem fişi çekilmiş sistemdir! Confidentiality Integrity Avability
  114. 114. @BGASecurity Bilinmesi Gerekenler BGA | Dos/DDoS • Gelen DDoS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok! • DDoS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez! • Bazı saldırı tiplerinde karşı tarafın gönderim hızı düşürülebilir Gürcistan DDOS saldırısı 200-800 Mbps arası
  115. 115. @BGASecurity Bant Genişliği Taşırma Oranı BGA | Dos/DDoS
  116. 116. @BGASecurity Genel Kavramlar BGA | Dos/DDoS DOS/DDOS • DoS(Denial of Service) • DDoS(Distributed Denial of Service) • Zombi • BotNet(Robot Networks) • IP Spoofing • FastFlux networks • SYN, FIN, ACK, PUSH ... • Flood • RBN(Russian Business Network)
  117. 117. @BGASecurity DoS BGA | Dos/DDoS • DoS(Denial of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi • Sadece internet üzerinden gerçekleştirilmez • Yerel ağlarda DoS • Kablosuz ağlarda DoS • Genellikle bir ya da birkaç farklı kaynaktan gerçekleştirilir • Bazı saldırılar özünde DoS, sonuçlarına göre DDoS’tur • Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi • DoS saldırılarını engellemek DDoS saldırılarına göre daha kolaydır
  118. 118. @BGASecurity DDoS BGA | Dos/DDoS • DDoS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme • Sonuçları DoS saldırı tipine göre daha etkilidir • Binlerce, yüz binlerce köle(zombi) sistem kullanılarak gerçekleştirilir • Genellikle sahte IP adresleri kullanılır • BotNet’ler kullanılır • Saldırgan kendini gizler
  119. 119. @BGASecurity DrDoS BGA | Dos/DDoS Bant genişliği yüksek olan sistemler reflektor olarak kullanılarak DDoS saldırısı gerçekleştirilebilir. Bu saldırı tipine en iyi örnek Amplified DNS DoS saldırısıdır.
  120. 120. @BGASecurity Malware BGA | Dos/DDoS • Kötücül yazılım • Bilişim sistemlerine yüklenerek sistemi kötü amaçlı kullanımını sağlayan yazılım türü • Malware bulaşan sistem zombi haline dönüşerek sahibinin isteklerini yerine getirmek için çalışır • Spam gönderimi, ddos saldırısı, • reklam tıklamaları vs gibi amaçlarla • kullanılırlar.
  121. 121. @BGASecurity Exploit BGA | Dos/DDoS • Bir zaafiyeti kötüye kullanarak sisteme izinsiz erişim yetkisi veren program/scriptlerdir • Sistemlerdeki zaafiyetler exploit edilerek zararlı yazılımlar yüklenebilir • Sistemlerdeki zaafiyetler exploit edilerek DoS yapılabilir
  122. 122. @BGASecurity Zombi/(ro)BOT BGA | Dos/DDoS • Zombi: Emir kulu • Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler • Temel sebebi: Windows yamalarının eksikliği • roBOT = Uzaktan yönlendirilebilir sistemler • Zombi • Dünyada milyonlarca vardır. • Internet üzerinde bazı illegal sitelerde BotNet satış işlemleri gerçekleştirilmektedir.
  123. 123. @BGASecurity BotNet Satın Alma BGA | Dos/DDoS
  124. 124. @BGASecurity Türkiye BotNet Piyasası BGA | Dos/DDoS Asıl piyasaya internet üzerinden ulaşmak pek mümkün değil. Türkiye dünya BotNet piyasasında önemli yere sahiptir.
  125. 125. @BGASecurity Zombi Olmamak İçin Antivirüs Yeterlimidir? BGA | Dos/DDoS • Internette satışa sunulan Exploit kitleri (Botnet oluşturma araçları) için kullanılan sistemler antivirüs programları tarafından tanınmaz. • Antivirüs sistemleri güncel olmalı ama tek başlarına yeterli değildir.
  126. 126. @BGASecurity FUD(Fully Undetectable) BGA | Dos/DDoS Geliştirilen kötücül yazılımların antivirüs programları tarafından yakalanmaması anlamına gelir.
  127. 127. @BGASecurity (ro)BOTNET(works) BGA | Dos/DDoS • Zombi ve roBOTlardan oluşan yıkım orduları! • Uzaktan yönetilebilirler. • Çeşitli amaçlarla kullanılırlar. • Genellikle yaması geçilmemiş Windows sistemler ve güncel antivirüs kullanmayan son kullanıcı bilgisayarlarından oluşur. • Merkezi olarak yönetilirler.
  128. 128. @BGASecurity BotNet Kullanım Amaçları BGA | Dos/DDoS • Yeraltı siber ekonomisinin en güçlü kazanç kapısı • SPAM amaçlı kullanılır • Google reklamlarından para kazanma amaçlı • Google Adword’de öne çıkma veya bir firmayı geri düşürme amaçlı kullanılabilir • Anket manipülasyonu • DDoS yapmak için kullanılabilir • Bilgi çalma amaçlı kullanılabilir • Yeni malware yayma amaçlı
  129. 129. @BGASecurity BoNet’ler Üzerinden Toplanan Kredi Kartları BGA | Dos/DDoS
  130. 130. @BGASecurity BotNet Yönetim Sistemleri BGA | Dos/DDoS • 2007 yılına kadar BotNet sistemlerin yönetimi büyük çoğunlukla IRC üzerinden gerçekleştirilirdi. • 2007 itibariyle IRC yerine HTTP, HTTPS, P2P üzerinden yönetilen BotNet’lere sık rastlanılmaktadır. • IRC üzerinden yönetilen BotNet kolaylıkla farkedilip devre dışı bırakılabilir. Kurumsal şirketlerde IRC portuna erişim güvenlik sistemleri tarafından engellenmiştir.
  131. 131. @BGASecurity IRC Üzerinden BotNet Yönetimi BGA | Dos/DDoS
  132. 132. @BGASecurity Twitter’dan Yönetilen BotNet Örneği BGA | Dos/DDoS
  133. 133. @BGASecurity BotNet Yönetim Ekranı GUI BGA | Dos/DDoS
  134. 134. @BGASecurity Nasıl Farkedilir? BGA | Dos/DDoS • Bir sistemin BotNet’e üye olduğu(zombi) nasıl anlaşılır? • Anormal trafik davranışları • SPAM • DDoS • Belirli DNS adreslerine gönderilen istekler • Zeus Tracker • Suç amaçlı kullanılan botnet yönetim IP adreslerine yapılan bağlantılar • Russian Business Network
  135. 135. @BGASecurity Eğitim Hakkında BGA | Dos/DDoS • Sistemlere sızma girişimi değildir! • Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak • Web sitelerinin, E-postaların, telefon sistemlerinin çalışmaması • Para kazancı
  136. 136. @BGASecurity DDoS Saldırılarına Kaynak Sebepler BGA | Dos/DDoS • Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir. • “Ya benimsin ya … “ misali • Politik sebeplerden, • Ticari sebeplerle, • Can sıkıntısı & karizma amaçlı • Bahis amaçlı (forumlarda)
  137. 137. @BGASecurity Kim/Kimler Gerçekleştirir? BGA | Dos/DDoS • Hacker grupları • Devletler • Sıradan kullanıcılar • Ticari şirketler • Canı sıkılan bilgisayar kurtları
  138. 138. @BGASecurity DDoS Sonuçları BGA | Dos/DDoS Finansal kayıplar Prestij kaybı Zaman kaybı
  139. 139. @BGASecurity DoS/DDoS Çeşitleri BGA | Dos/DDoS DOS/DDOS Yazılım BUG Bind Cisco Protokol Tasarım Hata TCP Syn flood
  140. 140. @BGASecurity DDoS Çeşitleri BGA | Dos/DDoS DDOS Bandwidth Doldurma Kaynak Tüketimi
  141. 141. @BGASecurity DoS/DDoS Çeşitleri BGA | Dos/DDoS • Bandwidth şişirme • Udp flood, icmp flood (diğer tüm tipler) • Kaynak tüketimi(Firewall, server) • Synflood, ACK/FIN flood, GET/POST Flood, udp flood • Programsal hata • Bind DoS • Protokol istismarı • DNS amplification DoS • Sahte IP kullanarak/ Gerçek IP kullanarak
  142. 142. @BGASecurity DoS/DDoS Çeşitleri-II BGA | Dos/DDoS • Her protokole özel DoS/DDoS saldırı yöntemi vardır • ARP, Wireless • IP • İp flooding • ICMP • İcmp flooding, smurf • TCP • Syn flood, tcp null flood • UDP • Udp flood • DHCP/SMTP/HTTP/HTTPS/DNS
  143. 143. @BGASecurity DDoS Atak Tipleri EN SIK TERCİH EDİLEN BGA | Dos/DDoS
  144. 144. @BGASecurity DDoS-1 BANDWITH ŞİŞİRME BGA | Dos/DDoS • Önlemenin yolu yoktur. • Sürahi bardak ilişkisi • ISP seviyesinde engellenebilir... • L7 protokolleri kullanılarak yapılan DDOS’larda saldırı trafiği çeşitli yöntemlerle ~6’da birine düşürülebilir. • HTTP GET flood 400 Byte • IP Engelleme sonrası sadece syn 60 byte
  145. 145. @BGASecurity DDoS-II AĞ/GÜVENLİK CİHAZLARINI YORMA BGA | Dos/DDoS • Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme • Oturum(Session) bilgisi tutan ağ/güvenlik • Cihazlarının kapasitesi sınırlıdır
  146. 146. @BGASecurity DDoS Atakları UYGULAMA SEVİYESİ BGA | Dos/DDoS • Son yıllarda tırmanışta • Engellemesi diğer DDoS tiplerine oranla daha zor/kolay • IP spoofing yapılamaz • Engelleme için avantaj. • Normal bağlantılardan • ayırt etmek zorlaşıyor
  147. 147. @BGASecurity Uygulamaya Özel DoS BGA | Dos/DDoS • Uygulamaya özel DoS saldırıları • Programlama hatalarından kaynaklanır • Güncelleme yaparak korunulabilir
  148. 148. @BGASecurity Eski Yöntemler BGA | Dos/DDoS • DDoS saldırıları en çok 2000’li yıllarda medyanın dikkatini çekmiştir • Amazon • Ebay • Yahoo • Root Dns saldırıları • Günümüzdeki DDoS kaynaklarının çoğu eski tip DDoS ataklarını ve araçlarını anlatır. • Günümüzde eski tip yöntem, araç kullanan DDoS saldırılarına rastlamak çok zordur.
  149. 149. @BGASecurity Eski Yöntem DDoS Saldırıları BGA | Dos/DDoS • Smurf • Teardrop • Ping Of Death • Land Attack
  150. 150. @BGASecurity Smurf Atağı BGA | Dos/DDoS Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di) ICMP ve UDP Paketleri Broadcast olarak gönderilebilir
  151. 151. @BGASecurity Smurf Atağı Artık Çalışmaz NEDEN? BGA | Dos/DDoS root@seclabs:~# sysctl net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_echo_ignore_broadcasts = 1 Tüm router ve işletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez!
  152. 152. @BGASecurity Tear Drop BGA | Dos/DDoS • Saldırgan parçalanmış paket gönderir ve paketlerin offset değerleriyle oynar • Paketi alan hedef sistem birleştirme işlemini düzgün yapamadığı için reboot eder • Günümüzde işlemez bir yöntemdir! • Tüm işletim sistemleri gerekli yamaları çıkarmıştır
  153. 153. @BGASecurity Land Attack BGA | Dos/DDoS • Hedef sisteme kaynak IP ve hedef IP adresi aynı olan paketler(hedef sistemin IP adresi kayna, hedef sistemin IP adresi hedef) gönderilerek sistemin çakılması sağlanır. • Günümüzde çalışmaz! • Tüm işletim sistemleri gerekli yamaları geçmiştir.
  154. 154. @BGASecurity DDoS Amaçlı Kullanılan Eski Araçlar BGA | Dos/DDoS
  155. 155. @BGASecurity Günümüzde Tercih Edilen Yöntemler BGA | Dos/DDoS • Eski araçlarla gerçekleştirilecek DDoS saldırıları günümüzde çalışmaz! • Yeni Yöntemler • HTTP Get / Flood , DNS DoS, Dns Flood • Amplification DOS saldırıları • BGP Protokolü kullanarak DoS
  156. 156. @BGASecurity Yeni Araçlar BGA | Dos/DDoS • Hping • Juno (eskiden de kullanılırdı) • Netstress • Daha çok BotNet yazılımları kullanılır • Zeus Botnet • Yes Exploit System • Russ Kill
  157. 157. @BGASecurity BotNet Örneği ZEUS BGA | Dos/DDoS
  158. 158. @BGASecurity Türkiye ve Dünyadan DDoS Saldırı Örnekleri
  159. 159. @BGASecurity ‘99’ – 10 Arası DDoS İstatistiği BGA | Dos/DDoS
  160. 160. @BGASecurity DDoS Yakalama Yöntemleri BGA | Dos/DDoS
  161. 161. @BGASecurity DDoS Engellem Yöntem Tercihi BGA | Dos/DDoS
  162. 162. @BGASecurity BotNet Kullanım Alanları BGA | Dos/DDoS
  163. 163. @BGASecurity En Sık Tercih Edilen DDoS Atak Tipleri BGA | Dos/DDoS
  164. 164. @BGASecurity DDoS Trafik Seviyeleri BGA | Dos/DDoS
  165. 165. @BGASecurity Ülkelere Göre BotNet Oranları BGA | Dos/DDoS Türkiye’den DDOS Örnekleri
  166. 166. @BGASecurity Türkiye’den DDoS Örnekleri BAŞBAKANLIK&TÜBİTAK&BTK BGA | Dos/DDoS
  167. 167. @BGASecurity Türkiye’den DDoS Örnekleri IHH BGA | Dos/DDoS • 2010 Mavi Marmara gemisi olayından sonra • İsrail IP adreslerinden ciddi miktarda DDoS saldırısı • Türkiye’den misilleme
  168. 168. @BGASecurity İsrail, Türkiye IP Bloklarını Engelledi BGA | Dos/DDoS Türkiye’den yapılan bağlantı- başarısız •Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri ulaşılamaz duruma geldi. •Kısa sürede Türkiye’den gelen istekleri engelleyerek geçici çözüm bulundu •Aynı yöntem Estonya tarafından da kullanılmıştı.
  169. 169. @BGASecurity Lifeoverip.net & Çözümpark BGA | Dos/DDoS • 7 saat 7 dakika • UDP port 80 • UDP portu kapalıydı • Geriye dönen ICMP port unreachable mesajları trafiği iki kat arttırdı. • Saldırı hedefi Loip& Çözümpark olmadığı halde aynı çıkış noktasını paylaştığı için erişilemez oldu
  170. 170. @BGASecurity Başbakanlık BGA | Dos/DDoS Mavi Marmara olayları sırasında...
  171. 171. @BGASecurity Youtube Protestosu BGA | Dos/DDoS • TİB • BTK • Ulaştırma Bakanlığı sitelerine yönelik saldırılar • Tübitak...
  172. 172. @BGASecurity Devlet Sitelerine Yönelik Toplu DDoS BGA | Dos/DDoS
  173. 173. @BGASecurity Dünyadan DoS/DDoS Örnekleri BGA | Dos/DDoS
  174. 174. @BGASecurity Dünyadan DDoS Örnekleri BGA | Dos/DDoS
  175. 175. @BGASecurity Dünyadan DDoS Örnekleri BGA | Dos/DDoS
  176. 176. @BGASecurity Estonya BGA | Dos/DDoS İki hafta sürdü ve hükumet siteleri ile ticari siteler saldırı aldı.
  177. 177. @BGASecurity Estonya DDoS Scripti BGA | Dos/DDoS
  178. 178. @BGASecurity Estonya Ddos Atağı Çeşitleri ATLAS ‘07 BGA | Dos/DDoS • Saldırı çeşitleri • 115 ICMP flood, 4 TCP SYN floods • Bandwidth: • 12 farklı saldırı: 70-95 Mbps 10 saat • Tüm saldırılar Estonya IP blokları haricinden geliyordu • Estonya ne yaptı: • Estonian ISPleri Estonya IP adresleri hariç diğer tüm ip adreslerini engellediler(saldırı bitene kadar)
  179. 179. @BGASecurity Wikileaks DDoS Saldırıları BGA | Dos/DDoS • Wikileaks olayının patlak vermesinden sonra çift taraflı DDoS saldırıları başladı • Bir taraf Wikileaks.org sistemlerine yönelik saldırı başlattı • Diğer taraf Wikileaks’e kapılarını kapatan firmalara(Paypal, Visa...) yönelik saldırı başlattı • Gönüllü BotNet kurulumu konusunda ilk defa bu kadar yüksek seviyeye ulaşıldı! • Gönüllü olarak botnete katılanların IP adresleri kayıt altına alındı.
  180. 180. @BGASecurity DDoS Saldırıları BGA | Dos/DDoS
  181. 181. @BGASecurity Wordpress DDoS 2011 BGA | Dos/DDoS
  182. 182. @BGASecurity Root DNS Sunucularına Yönelik DDoS BGA | Dos/DDoS • Feb. 6, 2007: • 13 Ana DNS sunucuya Botnet kullanarak DDoS yapıldı • 2.5 saat sürdü • DNS sunuculardan bazıları performans sıkıntısı yaşadığı için internet yavaşladı • g-root (DoD), l-root (ICANN) • 2002’de yapılan benzeri saldırı da 13 DNS sunucudan 9 tanesi devre dışı kalmıştı
  183. 183. @BGASecurity Google DoS BGA | Dos/DDoS • Firefox phishing/malware kouma özelliği: §Browserlar kara listeyi Google’dan alırlar • http://safebrowsing.clients.google.com/safebrowsing/gethash §Bu liste zararlı url’lere ait hash değerlerini tutar §Firefox bir URL’i açmadan bu listeyi sorgular • 31 Ocak 2009 : Google listeye yanlışlıkla “/” ekledi §55 dakika tüm siteler karalistede gözüktüğü için sorun yaşandı §Sebep: insan hatası
  184. 184. @BGASecurity Türkiye’de DDoS Engelleme BGA | Dos/DDoS
  185. 185. @BGASecurity TCP Flood DDoS Saldırıları BGA | Dos/DDoS
  186. 186. @BGASecurity TCP Flood BGA | Dos/DDoS • TCP Flood: Hedef sisteme çeşitli TCP bayrakları set edilmiş paketler göndermek • TCP Bayrakları • FIN, ACK, PUSH, SYN, RST, URG … • Amaç hedef sistemin kapasitesini zorlama • Bant genişliği kapasitesi • Paket işleme kapasitesi • Sahte ip adreslerinden gerçekleştirilebilir
  187. 187. @BGASecurity TCP Flood Çeşitleri BGA | Dos/DDoS TCP Flood SYN Flood ACK Flood FIN Flood
  188. 188. @BGASecurity TCP Flood Saldırıları ETKİ SEVİYESİNE GÖRE BGA | Dos/DDoS • Günümüz işletim sistemleri ve ağ tabanlı güvenlik sistemleri (Firewall/IPS/…) statefull yapıdadır • Stateful yapı: Bağlantı için gelen ilk paket SYN olmalı, gelen ilk paket SYN ise oturum kurulumunu başlat ve bu oturuma ait diğer paketlere de izin ver. • Bir sisteme gönderilecek FIN, ACK, PUSH bayraklı paketler(SYN harici) hedef sistem tarafından kabul edilmeyecektir.
  189. 189. @BGASecurity TCP Bayrakları ve Oturum UYGULAMA BGA | Dos/DDoS • Hedef sisteme hping3 aracı kullanılarak SYN bayraklı paket gönderimi • Hedef sistemde netstat –ant komutuyla socket durumları incelenerek etkisi görülmeli • Hedef sisteme hping3 aracı kullanılarak FIN bayraklı paket gönderimi • Hedef sistemde netstat –ant komutuyla socket durumları incelenerek etkisi görülmeli • Hedef sisteme hping3 aracı kullanılarak ACK bayraklı paket gönderimi • Hedef sistemde netstat –ant komutuyla socket durumları incelenerek etkisi görülmeli
  190. 190. @BGASecurity Hping ile TCP Paketleri Oluşturma UYGULAMA BGA | Dos/DDoS • SYN bayraklı TCP paketi oluşturma • Hping –S –p 80 192.168.1.1 • 192.168.1.1 ip adresinin 80 portuna SYN bayraklı TCP paketi gönderimi • FIN bayraklı TCP paketi oluşturma • Hping –F –p 80 192.168.1.1 • 192.168.1.1 ip adresinin 80 portuna FINbayraklı TCP paketi gönderimi • ACK bayraklı TCP paketi oluşturma • Hping –A –p 80 192.168.1.1 • 192.168.1.1 ip adresinin 80 portuna ACK bayraklı TCP paketi gönderimi
  191. 191. @BGASecurity FIN Flood Saldırıları BGA | Dos/DDoS • Hedef sisteme sahte ip adreslerinden FIN paketleri gönderme • Hedef sistem önünde Firewall/IPS gibi statefull çalışan bir sistem varsa FIN paketlerine karşı cevap dönmeyecektir • Veya RST paketi dönecektir (açık port, kapalı port seçimine göre)
  192. 192. @BGASecurity ACK Flood Saldırıları BGA | Dos/DDoS • Hedef sisteme sahte ip adreslerinden ACK paketleri gönderme • Hedef sistem önünde Firewall/IPS gibi statefull çalışan bir sistem varsa ACK paketlerine karşı cevap dönmeyecektir • Veya RST paketi dönecektir (açık port, kapalı port seçimine göre)
  193. 193. @BGASecurity Syn Flood DDoS Saldırıları BGA | Dos/DDoS • TCP flood saldırılarında en etkili saldırı tipidir • Hedef sistemin kaynaklarını tüketmek amaçlı gerçekleştirilir • Internet dünyasında en sık gerçekleştirilen DDoS saldırı tipi • Gerekli önlemler alınmamışsa 2Mb hat ile 100Mb hatta sahip olan sistemler devre dışı bırakılabilir. • Saldırı yapması kadar korunması da kolaydır. • Genellikle sahte IP adresleri kullanılarak gerçekleştirilir.
  194. 194. @BGASecurity Syn Flood Sorunu Kaynağı BGA | Dos/DDoS • Problem: • SYN paketini alan sistemin SYN-ACK paketi gönderdikten sonra paketi gönderenin gerçek olup olmadığını onaylamadan sistemden kaynak ayırması. • Çözüm: • Paketi gönderen IP adresinin gerçek olduğu belirlenmeden sistemden kaynak ayırılmamalı!
  195. 195. @BGASecurity SYN BGA | Dos/DDoS • TCP’e ait bir özelliktir. • 8 TCP bayrağından biri • TCP oturumlarını başlatmak için kullanılan TCP bayrağı • Sadece oturumun başlangıç aşamasında görülür • SYN paketleri veri taşıyamaz • İstisna durumlar anormallik olarak adlandırılır • Hping –p 8 0-S localhost –d 100 –E data komutuyla SYN bayraklı TCP paketine veri taşıttırılabilir.
  196. 196. @BGASecurity TCP SYN Paketi BGA | Dos/DDoS Ortalama 60 byte Gönderilen her SYN paketi için hedef sistem ACK-SYN paketi üretecektir.
  197. 197. @BGASecurity TCP Handshake BGA | Dos/DDoS SYNS, ACKC ACKS Listening Store data Wait Connected 3’lü el sıkışma olarak da adlandırılır SYNC
  198. 198. @BGASecurity TCP Handshake-II BGA | Dos/DDoS • Handshake esnasında sunucu tarafında hangi bilgiler tutulur? • TCP Control Block (TCB) tarafından aşağıdaki bilgileri tutulabilir • > 280 byte • FlowID, timer info, Sequence number, flow control status, out-of-band data, MSS, .. • Half-open TCB verileri zaman aşımına kadar tutulur • Kaynak yeterli değilse yeni bağlantı kabul edilmeyecektir
  199. 199. @BGASecurity TCP Bağlantısında SYN Paketleri BGA | Dos/DDoS 1)Kaynak Ayır 2)Cevap gelene dekBekle Oturum Kuruldu
  200. 200. @BGASecurity SYN Flood Saldırısında SYN Paketleri BGA | Dos/DDoS 120 saniye bekler • Bir SYN paketi ortalama 65 Byte • 8Mb hat sahibi bir kullanıcı saniyede 16.000 SYN paketi üretebilir. • Hat kapasitesinde upload hızı önemlidir
  201. 201. @BGASecurity SynFlood BGA | Dos/DDoS • Hedef sisteme kapasitesinin üzerinde SYN paketi göndererek yeni paket alamamasını sağlamaktır • En sık yapılan DDoS saldırı tipidir • İlk olarak 1994 yılında “Firewalls and Internet Security “ kitabında teorik olarak bahsi geçmiştir • İlk Synflood DDoS saldırısı 1996 yılında gerçekleştirilmiştir • 2011 yılında henüz bu saldırıya %100 engel olacak standart bir çözüm geliştirilememiştir.
  202. 202. @BGASecurity Nasıl Gerçekleştirilir? BGA | Dos/DDoS • Syn Flood saldırısı basitce açık bir porta hedef sistemin kapasitesinden fazla gönderilecek SYN paketleriyle gerçekleştirilir. • Buradaki “kapasite” tanımı önemlidir. • Teknik olarak bu kapasiteye Backlog Queue denilmektedir. • İşletim sistemlerinde Backlog queue değeri değiştirilebilir • Arttırılabilir, azaltılabilir • Saldırıyı yapan kendini gizlemek için gerçek IP adresi kullanmaz
  203. 203. @BGASecurity Backlog Queue Kavramı(Kapasite) BGA | Dos/DDoS • İşletim sistemleri aldığı her SYN paketine karşılık üçlü el sıkışmanın tamamlanacağı ana kadar bellekten bir alan kullanırlar • Bu alan TCB olarak adlandırılır • Bu alanların toplamı backlog queue olarak adlandırılır. • Başka bir ifadeyle işletim sisteminin half-open olarak ne kadar bağlantı tutabileceğini backlog queue veri yapısı belirler. • Linux sistemlerde backlog queue değeri sysctl komutuyla değiştirilebilir • Sysctl –a|grep backlog
  204. 204. @BGASecurity Syn Flood Durumu BGA | Dos/DDoS
  205. 205. @BGASecurity Syn Flood Ne Kadar Kolaydır? BGA | Dos/DDoS • Tahmin edildiğinden daha çok! • Örnek: • Backlog queue değeri 1000 olan sisteme 1000 adet SYN paketi göndererek servis veremez duruma getirilebilir. • 1000 adet SYN paketi=1000*60byte=60.000 byte=468Kpbs • Bu değer günümüzde çoğu ADSL kullanıcısının sahip olduğu hat kapasitesine yakındır.
  206. 206. @BGASecurity SynFlood Backscatter Tehlikesi BGA | Dos/DDoS • SYN Flood saldırılarında sahte IP kullanılırsa saldırı yapılan sistemden geriye doğru binlerce SYN+ACK paketi dönecektir. • Bu da ayrı bir saldırı olarak algılanabilir
  207. 207. @BGASecurity Syn Flood Araçları BGA | Dos/DDoS • Netstress • Juno • Hping • Windows tabanlı araçlar • BotNet yönetim sistemleri
  208. 208. @BGASecurity SynFlood Örneği BGA | Dos/DDoS • Amaç:Hedef sisteme tamamlanmamış binlerce TCP SYN paketi gönderip servis verememesinin sağlanması • Kullanılan araç: Hping
  209. 209. @BGASecurity Syn Flood GERÇEK IP ADRESİNDEN BGA | Dos/DDoS • Gerçek ip adresinden gerçekleştirilecek syn flood saldırıları: • Tek bir ip adresinden • Rahatlıkla engellenebilir • Botnet’e dahil tüm ip adreslerinden
  210. 210. @BGASecurity Gerçek IP SynFlood Analizi BGA | Dos/DDoS • Gerçek ip adresleri kullanılarak gerçekleştirilecek SYN flood saldırısının etki seviyesi düşük olacaktır. • Neden? • Gönderilen her gerçek SYN paketi sonrası gelecek SYN/ACK cevabına işletim sistemi kızarak(kendisi göndermedi, özel bir araç kullanılarak gönderildi SYN paketi) RST paketi dönecektir. • Syn flood yapılan sistemde RST paketi alındığında oturum tablosundan ilgili ip adresine ait bağlantılar silinecektir.
  211. 211. @BGASecurity Syn Flood SAHTE IP ADRESLERİ KULLANARAK BGA | Dos/DDoS Kaynak IP adresi seçilen makine açıksa gelen SYN+ACK paketine RST cevabı dönecektir. Ciddi saldırılarda kaynak ip adresleri canlı olmayan sistemler seçilmeli!
  212. 212. @BGASecurity Sahte IP ile SynFlood Analizi BGA | Dos/DDoS • Kaynak ip adresi 5.5.5.5 yapılarak gönderilen SYN paketi için işletim sistemi belirli bir süre SYN/ACK paketi göndererek karşı taraftan ACK paketi bekleyecektir. • Saldırgan: • Hping –p 80 –S hedef_ip –c 1 –a 5.5.5.5 • Masum: • Netstat –ant|grep 5.5.5.5
  213. 213. @BGASecurity SynFlood RANDOM SAHTE IP ADRESİ KULLANARAK BGA | Dos/DDoS
  214. 214. @BGASecurity SynFlood DDoS Saldırıları Nasıl Anlaşılır? BGA | Dos/DDoS • Temel mantık: • Normalin üzerinden SYN paketi geliyorsa veya normalin üzerinde SYN_RECV durumu gözüküyorsa SYN Flood olma ihtimali vardır. • Linux/Windows sistemlerde netstat komutuyla SYN flood saldırısı anlaşılabilir. • Linux için netstat komutu: • Netstat –antgrep SYN_ • Windows için netstat komutu: • Netstat –an –p tcp |find “SYN_RCVD”
  215. 215. @BGASecurity Netstat ile SynFlood Belirleme BGA | Dos/DDoS
  216. 216. @BGASecurity Netstat ile SynFlood Belirleme WINDOWS BGA | Dos/DDoS
  217. 217. @BGASecurity Sahte Ip Kullanımının Dezavantajları BGA | Dos/DDoS • Synflood saldırısında sahte IP adresleri kullanılırsa • Her gönderilen SYN paketine karşılık hedef sistem sahte IP adreslerine SYN ACK paketi dönecektir. • Bu durumda sahte IP adreslerinin gerçek sahipleri sizden ACK flood saldırısı geliyormuş zannedebilir • Saldırgan belirli bir firmanın IP Adresinden geliyormuş gibi SynFlood Saldırısı gönderebilir
  218. 218. @BGASecurity SynFlood Saldırılarını Engelleme BGA | Dos/DDoS • Syn Flood Saldırısı gerçekleştirme çok kolaydır. • Syn flood saldırılarını engellemek kolaydır. • Syn flood saldırıları için tüm dünya iki temel çözümü kullanır • Syn cookie • Syn proxy • Bu iki çözüm haricinde endüstri standartı haline gelmiş başka çözüm bulunmamaktadır • Farklı adlandırmalar kullanılabilir (syn authentication gibi)
  219. 219. @BGASecurity Klasik TCP Bağlantısı BGA | Dos/DDoS • Normal TCP bağlantılarında gelen SYN bayraklı pakete karşılık ACK paketi ve SYN paketi gönderilir. • Gönderilen ikinci(sunucunun gönderdiği) SYN paketinde ISN değeri random olarak atanır ve son gelecek ACK paketindeki sıra numarasının bizim gönderdiğimizden bir fazla olması beklenir. • Son paket gelene kadar da sistemden bu bağlantı için bir kaynak ayrılır (backlog queue) • Eğer SYN paketine dönen ACK cevabı ilk Syn paketininin ISN+1 değilse paket kabul edilmez.
  220. 220. @BGASecurity SynCookie Aktifken TCP Bağlantısı BGA | Dos/DDoS • Syncookie aktif edilmiş bir sistemde gelen SYN paketi için sistemden bir kaynak ayrılmaz • SYN paketine dönecek cevaptaki ISN numarası özel olarak hesaplanır (kaynak.ip+kaynak.port+.hedef.ip+hedef.port+x değeri) ve hedefe gönderilir • Hedef son paket olan ACK’i gönderdiğinde ISN hesaplama işlemi tekrarlanır ve eğer ISN numarası uygunsa bağlantı kurulur • Değilse bağlantı iptal edilir
  221. 221. @BGASecurity Syn Cookie Adımları BGA | Dos/DDoS
  222. 222. @BGASecurity Syn Cookie Ek Bilgiler BGA | Dos/DDoS • Syncookie bazı sistemlerde belirli SYN paketi değerini aştıktan sonra devreye girer. • Mesela saniyedeki SYN paketi sayısı • SYN cookie de aradaki güvenlik sistemi SYN/ACK paketinde cookie cevabı döner. , • Bu cookie değeri ISN'dir. • Cookie değeri nasıl hesaplanır • MD5 hash (source address, port number, destination address, port number, ISN değeri (SYN packet) • Karşı taraftan gelecek ACK paketindeli onay numarası cookie+1 değilse paketi çöpe atar. • cookie+1 ise oturum kurulur.
  223. 223. @BGASecurity Syn Cookie Değeri BGA | Dos/DDoS
  224. 224. @BGASecurity Syn Cookie-II BGA | Dos/DDoS • Böylece spoof edilmiş binlerce ip adresinden gelen SYN paketleri için sistemde bellek tüketilmemiş olacaktır ki bu da sistemin SYNflood saldırıları esnasında daha dayanıklı olmasını sağlar. • Syncookie mekanizması backlog queue kullanmadığı için sistem kaynaklarını daha az kullanır • Syncookie aktif iken hazırlanan özel ISN numarası cookie olarak adlandırılır.
  225. 225. @BGASecurity SynCookie Paketleri BGA | Dos/DDoS Netstat kullanılarak Linux sistemlerde kaç adet syn cookie gönderildiği ve buna dönüş yapan cevaplar edinilebilir.
  226. 226. @BGASecurity SynCookie Dezavantajları BGA | Dos/DDoS • Syncookie’de özel hazırlanacak ISN’ler için üretilen random değerler sistemde matematiksel işlem gücü gerektirdiği için CPU harcar. • Eğer saldırının boyutu yüksekse CPU performans problemlerinden dolayı sistem yine darboğaz yaşar. • DDoS Engelleme ürünleri(bazı IPS’ler de ) bu darboğazı aşmak için sistemde Syncookie özelliği farklı CPU tarafından işletilir.
  227. 227. @BGASecurity SynCookie Dezavantajları-II BGA | Dos/DDoS • Syncookie özelliği sadece belirli bir sistem için açılamaz. • Ya açıktır ya kapalı • Bu özellik çeşitli IPS sistemlerinde probleme sebep olabilir. • Syncookie uygulamalarından bazıları TCP seçeneklerini tutmadığı için bazı bağlantılarda sorun yaşatabilir.
  228. 228. @BGASecurity SynProxy BGA | Dos/DDoS • SynProxy, adından da anlaşılacağı üzere SYN paketlerine karşı proxylik yapmaya yarayan bir özelliktir. • Güvenlik duvarlarında ve Syncookie’nin kullanımının sıkıntılı olduğu durumlarda rahatlıkla kullanılabilir. • Syncookie gibi arkasında korumaya aldığı sistemlere gelecek tüm SYN paketlerini karşılar ve üçlü el sıkışma tamamlandıktan sonra paketleri koruduğu sistemlere yönlendirir.
  229. 229. @BGASecurity SynProxy Mantığı BGA | Dos/DDoS SynProxy Web site SYN^30 SYN/ACK ^30 ACKs^5
  230. 230. @BGASecurity SynProxy Dezavantajları BGA | Dos/DDoS • Synproxy’de proxylik yapan makine state bilgisi tuttuğundan yoğun saldırılarda state tablosu şişebilir. • Synproxy ya hep açıktır ya da kapalı • Belirli değerin üzerinde SYN paketi gelirse aktif et özelliği yoktur
  231. 231. @BGASecurity SynFlood Koruma-I BGA | Dos/DDoS Tcp timeout değerlerini düşürme
  232. 232. @BGASecurity Syn Flood Engelleme BGA | Dos/DDoS • Synflood engelleme standartı:Syncookie/SynProxy • Linux sistemlerde Syncookie ile yapılabilir • Syncookie STATE tutmaz, state tablosunu kullanmaz • OpenBSD PF Synproxy • En esnek çözüm: ip, port, paket özelliklerine göre aktif edebilme ya da kapatabilme özelliği • pass in log (all) quick on $ext_if proto tcp to $web_servers port {80 443} flags S/SA synproxy state • (Loglama sıkıntı çıkarabilir)
  233. 233. @BGASecurity SynFlood Engelleme-II BGA | Dos/DDoS • TCP timeout değerleriyle oynama Ø Default değerler yüksektir... Ø Saldırı anında dinamik olarak bu değerlerin 1/10’a düşürülmesi saldırı etkisini azaltacaktır. • Linux için sysctl ile (manuel) • OpenBSD PF için Ø set timeout {tcp.first 10, tcp.opening 10 tcp.closing 33, tcp.finwait 10, tcp.closed 20} gibi... Ya da • Packet Filter adaptive timeout özelliği! • State tablosu dolmaya başladıkça timeout değerlerini otomatik azalt!
  234. 234. @BGASecurity SynFlood Engelleme-III BGA | Dos/DDoS • Rate limiting(bir ip adresinden 500’den fazla istek geldiyse engellenecekler listesine ekle ve o ip adresine ait oturum tablosunu boşalt) • OpenBSD Packet Filter Ø ... flags S/SA synproxy state (max-src-conn 500, max-src-conn-rate 100/1, overload <ddos_host> flush global) • Linux iptables modülleri Ø -m limit, recent vs
  235. 235. @BGASecurity SynFlood Engelleme-IV BGA | Dos/DDoS • Beyaz liste, kara liste uygulaması Ø Daha önce state oluşturmuş, legal trafik geçirmiş ip adresleri • Ülkelerin IP bloklarına göre erişim izni verme Ø Saldırı anında sadece Türkiye IP’lerine erişim açma • (IP spoofing kullanıldığı için çoğu zaman işe yaramaz) • DNS round-robin & TTL değerleriyle oynayarak engelleme
  236. 236. @BGASecurity Linux SynCookie Dezavantajları BGA | Dos/DDoS • Donanım iyiyse yeterli koruma sağlar Ø Syncookie CPU’ya yüklendiği için CPU %100’lere vurabilir Ø Ethernet kartının üreteceği IRQ’lar sistemi zora sokabilir • Sadece kendisine syncookie koruması sağlar • 1/0 . Aç - kapa özelliğindedir, çeşitli uygulamalarda SYNcookie sıkıntı çıkartabilir. • Bir port/host için kapama özelliği yoktur
  237. 237. @BGASecurity SynProxy Dezavantajları BGA | Dos/DDoS • SynProxy=State=Ram gereksinimi • State tablosu ciddi saldırılarda çok çabuk dolar Ø 100Mb~=200.000 SYN=200.000 State Ø 40 saniyede 8.000.000 state = ~5GB ram ... • Tcp timeout değerlerini olabildiğince düşürmek bir çözüm olabilir Ø Timeout süresi 5 saniye olursa? (Genel Çözüm: Stateless SynProxy çözümü)
  238. 238. @BGASecurity Rate Limiting Dezavantajları BGA | Dos/DDoS • Akıllı saldırganın en sevdiği koruma yöntemidir. • Paket gönderen IP adresinin gerçek olup olmadığı belirlenmeden gerçekleştirilecek rate limiting ciddi sıkıntılara sebep olabilir. ØSaldırgan istediği IP adresini rate limiting yapan sisteme engellettirebilir. • Nasıl belirlenir? ØHedef sisteme belirli sayının üzerinde SYN paketi gönderilir. ØBir müddet beklendikten sonra bağlantı kurulmaya çalışılır. • Hedef sistem cevap dönmüyorsa rate limiting özelliği devreye girmiş ve paket gönderen tarafı engellemiştir.
  239. 239. @BGASecurity ACK, FIN, PUSH Flood Saldırıları BGA | Dos/DDoS • SynFlood’a karşı önlem alınan sistemlerde denenir. • Hedef sisteme ACK, FIN, PUSH bayraklı TCP paketleri göndererek güvenlik cihazlarının kapasitesini zorlama • Diğer saldırı tiplerine göre engellemesi oldukça kolaydır. • Etki düzeyi düşüktür.
  240. 240. @BGASecurity ACK, FIN, PUSH Saldırıları Engelleme BGA | Dos/DDoS • Gelen ilk paketin SYN paketi olma zorunluluğu, oturum kurulmamış paketleri düşürme • OpenBSD Packet Filter • scrub all • Linux • iptables kuralları
  241. 241. @BGASecurity Web Sunuculara Yönelik DDoS Saldırıları
  242. 242. @BGASecurity HTTP’e Giriş BGA | Dos/DDoS • HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim protokolüdür. • Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık kullanılan (%96 civarında) protokoldür. • Transport katmanında TCP kullanır
  243. 243. @BGASecurity HTTP Nasıl Çalışır? BGA | Dos/DDoS • HTTP istemci-sunucu mantığıyla çalışır Ø Önce TCP bağlantısı açılır, kullanıcı istek(HTTP isteği) gönderir sunucu da buna uygun cevap döner ve TCP bağlantısı kapatılır. • Her HTTP isteği için bir TCP bağlantısı gerekir.
  244. 244. @BGASecurity Web Uygulama Bileşenleri BGA | Dos/DDoS • Kullanıcı • Web sunucu yazılımı • Web uygulama programlama dili • Veritabanı • ...
  245. 245. @BGASecurity HTTP İstek ve Cevapları BGA | Dos/DDoS • Web’in çalışma mantığı istek ve cevaplardan oluşur, istekler ve bunlara dönülecek cevaplar farklıdır. • Bu konuda detay için HTTP RFC’si 2616 incelenebilir. • HTTP isteklerinden önce mutlaka 3’lü el sıkışma tamamlanmalıdır!
  246. 246. @BGASecurity HTTP GET Paket Boyutu BGA | Dos/DDoS Ortalama 100-400 byte
  247. 247. @BGASecurity HTTP İstek ve Cevapları BGA | Dos/DDoS
  248. 248. @BGASecurity HTTP ve TCP İlişkisi BGA | Dos/DDoS • HTTP TCP kullanan bir protokoldür. Ø Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır. Ø Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir ü 3 adet TCP bağlantı başlangıcı ü 4 adet TCP bağlantı koparılması ü 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri • HTTP’nin performansı TCP’e bağlıdır
  249. 249. @BGASecurity HTTP ve TCP İlişkisi BGA | Dos/DDoS • Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir Ø Ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir • Ciddi performans sorunu vardır
  250. 250. @BGASecurity HTTP Performansı İçin Ek Özellikler BGA | Dos/DDoS • KeepAlive ve Pipelining özellikleri eklenmiştir. • HTTP/1.1 de her iki özellik de kullanılabilir. • Hem sunucu hem de istemci bu özellikleri desteklemeli
  251. 251. @BGASecurity HTTP KeepAlive BGA | Dos/DDoS • HTTP KeepAlive (persistent connection) • HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
  252. 252. @BGASecurity HTTP Pipelining BGA | Dos/DDoS • Pipelining HTTP isteklerinin eş zamanlı olarak gönderilmesi işlemidir Ø Genellikle Keep Alive kavramıyla karıştırılır fakat birbirlerinden farklı kavramlardır. • Klasik HTTP bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir. • Pipelining kullanıldığında cevapları beklemeksizin birden fazla HTTP isteği eş zamanlı olarak gönderilebilir
  253. 253. @BGASecurity Pipelining+KeepAlive BGA | Dos/DDoS Pipelining ve KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz, tek bir TCP bağlantısı içerisinden eşzamanlı yüzlerce HTTP isteği gönderilebilir
  254. 254. @BGASecurity Web Sunuculara Yönelik DoS Saldırıları BGA | Dos/DDoS Web sunucularına yönelik DoS/DDoS saldırılarında amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır.
  255. 255. @BGASecurity Web Sunuculara Yönelik DoS/DDoS Saldırıları-II BGA | Dos/DDoS • Web sunuculara yönelik yapılacak DoS saldırıları temelde iki türden oluşur; Ø Kaba kuvvet saldırıları (Flood) Ø Tasarımsal/yazılımsal eksikliklerden kaynaklanan zafiyetler
  256. 256. @BGASecurity GET/POST Flood Saldırıları BGA | Dos/DDoS • Synflood için önlem alınan yerlere karşı denenir. • Daha çok web sunucunun limitlerini zorlayarak sayfanın ulaşılamaz olmasını sağlar. • Önlemesi Synflood’a göre daha kolaydır Ø HTTP için IP spoofing “pratik olarak” imkansızdır. • Rate limiting kullanılarak rahatlıkla önlenebilir. • False positive durumu • #ab –n 100000 –c 5000 http://www.google.com/
  257. 257. @BGASecurity Kaba Kuvvet(Flood) Saldırıları BGA | Dos/DDoS • Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. • Literatürde adı “GET Flood”, “POST Flood” olarak geçen bu saldırılar iki şekilde yapılabilir. Ø Tek bir bilgisayardan Ø Botnet sistemlerden (binlerce farklı bilgisayar)
  258. 258. @BGASecurity HTTP Üzerinden DoS BGA | Dos/DDoS
  259. 259. @BGASecurity HTTP GET Flood Saldırıları BGA | Dos/DDoS • Hedef sisteme binlerce HTTP GET paketi gönderilir. • HTTP GET Flood yaparken tek bir kaynaktan gönderilecek paket sayısı sınırlıdır. Ø IP spoofing yapılamaz. • BotNet kullanılmadan yapılan saldırılar etkili olmaz. Ø Küçük sistemlere karşı etkili olabilir.
  260. 260. @BGASecurity HTTP Flood Test Araçları BGA | Dos/DDoS • Netstress • Ab • Siege • DOSHTTP • Skipfish • ....
  261. 261. @BGASecurity Ab(ApacheBenchmark) BGA | Dos/DDoS • POST Flood Ø #ab -c 100 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r - q http://blog.lifeoverip.net/searcme.php • GET Flood Ø #ab -c 100 -n 10000 http://blog.lifeoverip.net/searcme.php
  262. 262. @BGASecurity HTTP GET Flood Saldırıları-II BGA | Dos/DDoS
  263. 263. @BGASecurity Tasarımsal/Yazılımsal DoS Saldırıları BGA | Dos/DDoS • Kullanılan web sunucu yazılımında ya da programlama dilinde çıkan DoS zaafiyetleri Ø Apache slowloris Ø PHP “multipart/form-data” denial of service) Ø Nginx DoS Ø Captcha kullanılmayan formlar
  264. 264. @BGASecurity DoS/DDoS Saldırılarından Korunma Yöntemleri BGA | Dos/DDoS • Web sunuculara yönelik DoS/DDoS saldırılarından korunma diğer DoS/DDoS yöntemlerine göre daha zordur(synflood, udp flood, smurf vs). • HTTP Flood saldırıları Firewall/IPS gibi sistemler üzerinden engellenebilir fakat gerçek kullanıcıları da engelleme riski yüksektir. Ø Bot üzerinden gelen saldırılarda gerçek kullanıcıyla saldırganı ayırt etmek çok zordur.
  265. 265. @BGASecurity Web Sunucu Yapılandırması BGA | Dos/DDoS • İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler kullanılmalı Loadbalancer, reverseProxy kullanımı (Nginx gibi) • Web sunucunun desteklediği dos koruma modülleri kullanılabilir (Apache Mod_dosevasive)
  266. 266. @BGASecurity Firewall/IPS Üzerinden Ek Ayarlar BGA | Dos/DDoS • Firewall/IPS ile belirli bir kaynaktan gelebilecek max. İstek/paket sayısı sınırlandırılmalı( rate limiting kullanımı) • HTTP isteklerini gönderecek IP adresleri sahte olamayacağı için rate limiting işlemi sağlıklı çalışacaktır • Eğer HTTP flood saldırısı Keep alive özelliğini kullanıyorsa Firewall HTTP istekleri içerisine bakmadığı için bunu engelleyemez Ø Tek bir TCP bağlantısı içerisinden 100 adet HTTP paketi geçirme
  267. 267. @BGASecurity Snort ile HTTP Flood Saldırıları Engelleme BGA | Dos/DDoS •Mantık basit: HTTP sunucuya gelebilecek HTTP isteklerini ip bazında sınırlama(TCP seviyesinde değil) •Her ip den anlık gelebilecek max HTTP GET/HEAD/POST isteği=100
  268. 268. @BGASecurity HTTP Flood Engelleme BGA | Dos/DDoS • OpenBSD Packet Filter • pass in log(all) quick on $ext_if proto tcp to $web_server port {80 443} flags S/SA synproxy state (max-src-conn 1000, max-src-conn-rate 100/3, overload <ddos_host> flush global) • table <ddos_host> persist file /etc/ddos • block in quick log on $ext_if from <ddos_host> • False positive durumuna karşı her saat başı yasaklı ip listesini sıfırla! • Sayfa yoğunluğuna göre • Kurallar düzenlenmeli
  269. 269. @BGASecurity HTTP Get Flood Engelleme-II BGA | Dos/DDoS • Apache Loglarını inceleyen ve belirli bir değerin üzerinde istek gönderenleri iptables ile engelleyen bir script yazılabilir. • Netstat ile establish olmuş bağlantılardan belirli değerin üzerindekilaeri engelleyen script yazılabilir. • Apache dos engelleme modülleri kullanılabilir
  270. 270. @BGASecurity Özel BotNet Yasaklama BGA | Dos/DDoS • Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse(User-Agent, Refererer vs) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir. • User-Agent: Zeus • Referrer: http://www.example.com
  271. 271. @BGASecurity UDP Flood DDoS Saldırıları BGA | Dos/DDoS
  272. 272. @BGASecurity UDP BGA | Dos/DDoS • Basit bir protokoldür. • Herhangi bir onay mekanizması yoktur. • Onay gerektiren durumlarda üst seviye protokoller veya yazılım geliştiriciler önlem almak zorunda. • Ip spoofing yapılabilir. • Broadcast çalışabildiğinden olduğundan ciddi DoS saldırılarında kullanılabilir. • RFC’e göre Ø Açık UDP portuna gelen isteklere cevap dönülmez Ø Kapalı UDP portuna gelen isteklere ICMP Port unrc. Mesajı döner
  273. 273. @BGASecurity UDP İçin State Kavramı BGA | Dos/DDoS • Gerçek State durumu yoktur. • TCP’deki gibi bayrak mekanizması yoktur. • Firewall/IPS/DDoS sistemleri UDP bağlantısına ait state tutabilir. • Kaynak ip adresi, kaynak port • Hedef ip adresi, hedef port • Zaman bilgileri kullanılır
  274. 274. @BGASecurity RFC’e Göre UDP BGA | Dos/DDoS UDP Kapalı Port UDPAçık Port
  275. 275. @BGASecurity UDP Paket Boyutu BGA | Dos/DDoS Ortalama 30 byte
  276. 276. @BGASecurity UDP Flood Saldırıları BGA | Dos/DDoS • UDP stateless bir protokol, yönetimi zor! • Paket boyutları küçük, etkisi yüksek. • Amaç UDP servislerini çökertmekten çok aradaki güvenlik cihazlarının kapasitesini zorlayıp cevap veremez hale getirmektir. • Zaman zaman DNS sunuculara yönelik de yapılır. • Syncookie/Synproxy gibi kolay bir çözümü yok! Ø Denenmiş, kanıtlanmış standart bir çözüm bulunmamaktadır.
  277. 277. @BGASecurity UDP Flood Saldırıları-II BGA | Dos/DDoS • IP spoofing yapılabilir. Ø hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com Ø Paket boyutu ~ 30 byte Ø 20Mb hat ile saniyede 90.000 pps üretilebilir. ü 20*1024*1024/8/30 • UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye • Her gönderilen UDP paketi 60 saniye boyunca Firewall/IPS oturum kapasitesinde yer kaplayacaktır.
  278. 278. @BGASecurity UDP Flood Saldırıları-III BGA | Dos/DDoS • Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi • Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
  279. 279. @BGASecurity Hping ile UDP Flood Saldırısı Gerçekleştirme BGA | Dos/DDoS
  280. 280. @BGASecurity UDP Flood Korunma Yöntemi BGA | Dos/DDoS • Genel geçer bir korunma yöntemi yoktur. • Güçlü güvenlik duvarları tercih edilmeli. • Router’lar üzerinden kullanılmayan UDP servislerini kapama. • Kapalı UDP portları için cevap dönmeme. • Belirli ip adresinden gelecek istekleri sınırlama Ø X saniyede Y’den fazla paket gönderen IP adresini karantinaya al • UDP timeout sürelerini değiştirme
  281. 281. @BGASecurity UDP Flood Korunma Yöntemleri-II BGA | Dos/DDoS • Kapalı UDP portlarına cevap dönmeme • RFC’ye göre kapalı bir UDP portuna gelen isteğe ICMP Dest. Port Unreachable mesajı dönülür • Kapalı porta gelen her UDP paketi için ICMP mesajı dönmek Firewall/IPS sistemini yorar • Güvenlik sistemleri kapalı udp portlarından cevap vermeyecek şekilde yapılandırılmalıdır
  282. 282. @BGASecurity UDP Flood Korunma Yöntemleri-III BGA | Dos/DDoS • Rate limiting kullanarak udp flood engelleme • Bir ip adresinden gelebilecek anlık/zamana bağlı UDP paket sayısını belirlemek ve eşik değerini aşan ip adreslerini belirli süreliğine engelleme yöntemidir. • UDP paketlerinde ip spoofing kontrolü yapılamayacağı için rate limiting kullanımı sıkıntı doğuracaktır. • Piyasadaki çoğu ürün UDP flood saldırılarını bu şekilde engellemektedir.
  283. 283. @BGASecurity UDP Flood Korunma Yöntemleri-IV BGA | Dos/DDoS • DFAS(Drop first, Accept Second) yöntemi • Normal durumda UDP isteği gönderen bir host karşı sistemden cevap alamazsa ilk UDP paketini tekrar gönderir (retransmission) • DDoS engelleme sistemi gelen tüm udp paketlerini drop edip aynı ip adresinden ikinci udp paketi geldiğinde kabul et şeklinde yapılandırılabilir. • %99 udp saldırıları için geçerli bir çözüm olacaktır. • Saldırgan sahte ip adreslerinden gönderilecek paketleri ayarlayabileceği için sahte iplerden birden fazla udp paketi göndererek bu korumayı aşabilir.
  284. 284. @BGASecurity UDP Flood Korunma Yöntemleri-V BGA | Dos/DDoS • UDP timeout değerleri ile oynama • Bir UDP paketi güvenlik sisteminden izinli olarak geçtiğinde güvenlik sistemi belirli süreliğine bu UDP paketi için oturum bilgisi tutar. • Firewall’dan açık ama arka tarafta kapalı bir UDP portu varsa bu sisteme gönderilecek UDP istekleri için Firewall ortalama 60 saniye boyunca oturum bilgisi tutacaktır. • Firewall/IPS sistemleri üzerinden UDP timeout süreleri düşürülerek açıkta kalan udp oturumlarının hızlı kapatılması sağlanabilir
  285. 285. @BGASecurity DDoS Saldırı Analizi BGA | Dos/DDoS • Saldırı olduğunu nasıl anlaşılır? Ø Sistemimiz açılmıyordur, çalışmıyordur. • Saldırı yapan bulunabilir mi? • Saldırının tipini nasıl anlaşılır? Ø Tcpdump, awk, sort, uniq Ø Ourmon anormallik tespit sistemi
  286. 286. @BGASecurity DDoS Saldırı Analizi BGA | Dos/DDoS • DDoS saldırılarında dikkate alınması gereken iki temel husus vardır. Ø İlki saldırıyı engelleme Ø ikincisi saldırının kim tarafından ne şiddete ve hangi yöntemler, araçlar kullanılarak yapıldığının belirlenmesidir. • Analiz kısmı genellikle unutulur fakat en az engelleme kadar önemlidir Ø Aynı saldırı tekrar ederse nasıl engelleme yapılacağı konusunda yol haritası çıkarılmış olmalı
  287. 287. @BGASecurity DDoS Analizi İçin Gerekli Yapının Kurulması BGA | Dos/DDoS • Amaç DDoS saldırılarında otomatik olarak devreye girip saldırıya ait delil olabilecek paketlerin kaydı. • Saldırı anında paketler kaydedilirse saldırıya ait tüm detaylar istenildiği zaman öğrenilebilir. • Paket kaydı hedef sistem üzerinde (Windows/Linux) veya ağ ortamında TAP/SPAN portu aracılığıyla yapılabilir. • Paket kaydında tcpdump, Wireshark kullanılabilir
  288. 288. @BGASecurity DDoS Analizi İçin Gerekli Yapının Kurulması BGA | Dos/DDoS
  289. 289. @BGASecurity Saldırı Analizinde Cevabı Aranan Sorular BGA | Dos/DDoS • Gerçekten bir DDoS saldırısı var mı? • Varsa nasıl anlaşılır? • DDoS saldırısının tipi nedir? • DDoS saldırısının şiddeti nedir? • Saldırı ne kadar sürmüş? • DDoS saldırısında gerçek IP adresleri mi spoofed IPadresleri mi kullanılmış? • DDoS saldırısı hangi ülke/ülkelerden geliyor?
  290. 290. @BGASecurity Saldırı Analizinde Kullanılan Araçlar BGA | Dos/DDoS • Tcpstat • Tcpdstat • Tcptrace • Tcpdump, Wireshark • Ourmon, • Argus • Urlsnarf • Snort • Aguri • Cut, grep, awk, wc gibi UNIX araçları
  291. 291. @BGASecurity MRTG/RRD Grafikleri BGA | Dos/DDoS Normal Trafik DDOS 1. Gün DDOS 2.Gün
  292. 292. @BGASecurity İstatiksel Analiz BGA | Dos/DDoS
  293. 293. @BGASecurity DDoS Saldırılarında Delil Toplama BGA | Dos/DDoS • DDoS saldırılarında sonradan incelenmek üzere paketler kaydedilmelidir. • Kaydedilen trafik miktarına bağlı olarak ciddi sistemlere(CPU, RAM, Disk alanı bakımından) ihtiyaç olabilir. • Paket kaydetme işlemi kesinlikle aktif cihazlar tarafından (IPS, DDoS engelleme Sistemi, Firewall) yapılmamalıdır. • Tüm paket detayları kaydedilmelidir! Ø Tcpdump –s0
  294. 294. @BGASecurity Paket Kaydetme BGA | Dos/DDoS • Paket kaydetme için Linux/FreeBSD üzerinde tcpdump en uygun seçenektir. • Windows üzerinde Wireshark ya da windump tercih edilebilir. • 10 Gb ortamlarda klasik libpcap yerine alternatif kütüphaneler tercih edilmelidir.
  295. 295. @BGASecurity Tcpdump ile DDoS Paketlerini Kaydetme BGA | Dos/DDoS • #tcpdump –n -w ddostest1.pcap –C 2000 –s0 Ø -n isim-ip çözümlemesi yapma Ø -w ddostest1.pcap dosyasına kaydet Ø Dosya boyutu 2GB olduktan sonra başka dosyaya yaz Ø -s0 pakete ait başlık ve payload bilgilerini kaydet
  296. 296. @BGASecurity DDoS Saldırı Tipi Belirleme BGA | Dos/DDoS • Amaç yapılan saldırının tipini belirlemek • Hangi protokol kullanılarak gerçekleştirilmiş Ø TCP mi? UDP mi? ICMP mi? • İlk olarak protokol belirlenmeli • Protokol tipini belirlemek için tcpdstat aracı kullanılabilir Ø tcpdstat -n ddos.pcap
  297. 297. @BGASecurity Tcpdstat ile DDoS Tipini Belirleme BGA | Dos/DDoS [2] tcp 529590 ( 98.59%) 178126550 ( 99.60%) 336.35 [3] smtp 238109 ( 44.33%) 14288975 ( 7.99%) 60.01
  298. 298. @BGASecurity Tcpdstat BGA | Dos/DDoS
  299. 299. @BGASecurity Saldırıda Kullanılan Protokol Bilgisi BGA | Dos/DDoS • Belirlendikten sonraki aşama hangi ip adreslerinden saldırının yapıldığı Ø Spoof ip kullanılmış mı sorusunun cevabı
  300. 300. @BGASecurity SYN Flood Saldırısı Analizi BGA | Dos/DDoS • # tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’ • 22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags , seq 2861145144, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags , seq 539301671, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:22.864007 IP 91.3.119.80.59205 > 11.22.33.44.53: Flags , seq 4202405882, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:23.033997 IP 91.3.119.80.64170 > 11.22.33.44.53: Flags , seq 1040357906, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:23.146001 IP 91.3.119.80.59170 > 11.22.33.44.53: Flags , seq 3560482792, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:23.164997 IP 91.3.119.80.59171 > 20.17.222.88.25: Flags , seq 1663706635, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:23.384994 IP 91.3.119.80.59136 > 11.22.33.44.53: Flags , seq 192522881, win 65535, options [mss 1460,sackOK,eol], length 0 • 22:04:23.432994 IP 91.3.119.80.59137 > 11.22.33.44.53: Flags , seq 914731000, win 65535, options [mss 1460,sackOK,eol], length 0 •
  301. 301. @BGASecurity ACK Flood Analizi BGA | Dos/DDoS • Tcpdump kullanarak ACK bayraklı paketleri ayıklama • # tcpdump -i bce1 -n ‘tcp[13] & 16 != 0ʹ
  302. 302. @BGASecurity FIN Flood Analizi BGA | Dos/DDoS • Tcpdump kullanarak FIN bayraklı paketleri ayıklama • # tcpdump -i bce1 -n ‘tcp[13] & 1 != 0ʹ and tcp port 80
  303. 303. @BGASecurity HTTP GET Flood Saldırısı BGA | Dos/DDoS • TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler. • #tcpdump -n -r ddos3.pcap tcp port 80 and ( tcp[20:2] = 18225 ) • Veya urlsnarf programıyla kaydedilen pcap dosyası okutularak hangi URL’in hangi ip adresleri tarafından istendiği belirlenebilir.
  304. 304. @BGASecurity Saldırının Şiddetini Belirleme BGA | Dos/DDoS • Saldırının şiddetini iki şekilde tanımlayabiliriz Ø Gelen trafiğin ne kadar bant genişliği harcadığı Ø Gelen trafiğin PPS değeri • PPS=Packet Per Second • Tcpstat aracı kullanılarak trafik dosyaları üzerinde saldırının PPS değeri, ne kadar bantgenişliği harcandığı bilgileri detaylı olarak belirlenebilir.
  305. 305. @BGASecurity Tcpstat BGA | Dos/DDoS
  306. 306. @BGASecurity Saldırı Kaynağını Belirleme BGA | Dos/DDoS • DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır. • Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır. • Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu rahatlıkla anlaşılabilir.
  307. 307. @BGASecurity Wireshark IP İzleme BGA | Dos/DDoS
  308. 308. @BGASecurity Spoof IP Belirleme BGA | Dos/DDoS • Saldırının gerçek IP adreslerinden mi Spoof edilmiş IP adreslerinden mi gerçekleştirildiği nasıl belirlenebilir? Ø Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir. • Fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak gerçekleştirildiği varsayılabilir.
  309. 309. @BGASecurity Spoof IP Belirleme-II BGA | Dos/DDoS Tek cümleyle özetleyecek olursak: Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.
  310. 310. @BGASecurity Saldırılarda Kullanılan Top 10 IP Adresi BGA | Dos/DDoS Saldırıda en fazla paket gönderen 10 IP adresi aşadağıdaki script ile bulunabilir. Sol taraf IP adresi, sağ taraf ise ilgili IP adresinden saldırı boyunca kaç adet paket gönderildiğidir.
  311. 311. @BGASecurity GET Flood Saldırısında Kullanılan IP Adresleri BGA | Dos/DDoS • HTTP GET flood saldırılarında IP spoofing yapmak mümkün değildir. • Bir sistem HTTP isteği gönderebilmesi için öncelikli olarak 3lü el sıkışmasını tamamlaması gerekmektedir. • Günümüz işletim sistemi/ağ/güvenlik cihazlarında 3’lü el sıkışma esnasında TCP protokolünü kandırarak IP spoofing yapmak mümkün gözükmemektedir. • Dolayısıyla HTTP GET flood saldırıları analizinde saldırı yapan IP adresleri %99 gerçek IP adreslerdir.
  312. 312. @BGASecurity HTTP Flood Yapan IP Adresleri BGA | Dos/DDoS
  313. 313. @BGASecurity Saldırılarda Kullanılan IP Adresleri Hangi Ülkeden? BGA | Dos/DDoS
  314. 314. @BGASecurity Ülke Bulma Scripti BGA | Dos/DDoS
  315. 315. @BGASecurity DDoS Engelleme Ürünleri
  316. 316. @BGASecurity Eğitim Hakkında BGA | Dos/DDoS DDoS Engelleme Ürünleri Tek İşi DDoS Olan Ürünler Firewall ÜrünleriIPS Ürünleri
  317. 317. @BGASecurity Engelleme Yöntemleri BGA | Dos/DDoS • Genel engelleme yöntemleri • SYN Flood için Syncookie/SynProxy • UDP flood için rate limiting • HTTP Get flood için rate limiting/session limiting • ACK flood için scrubbing • FIN flood için scrubbing • ICMP flood için firewall özellikleri
  318. 318. @BGASecurity Günümüz «Enterprise Security» Ürünleri BGA | Dos/DDoS • Saldırganın silahlarını ve gücünü gördük, buna karşılık güvenlik dünyasının ürettiği savunma sistemlerinin özelliklerine ve güçlerine bakalım. • Firewall/IPS sistemleri DDoS saldırılarına nr kadar dayanıklı…. Ø Gelebilecek itirazlar: Firewall/IPS sistemleri DDOS engelleme amaçlı değildir(!)
  319. 319. @BGASecurity Fortinet Firewall Limitleri BGA | Dos/DDoS
  320. 320. @BGASecurity Netscreen Firewall Limitleri BGA | Dos/DDoS
  321. 321. @BGASecurity Netscreen ISG Limitleri BGA | Dos/DDoS
  322. 322. @BGASecurity Checkpoint Power-1 Limitleri BGA | Dos/DDoS
  323. 323. @BGASecurity TippingPoint 10Gb IPS Limitleri BGA | Dos/DDoS
  324. 324. @BGASecurity Güvenlik Duvarları ve DDoS Saldırıları BGA | Dos/DDoS • Güvenlik duvarları DDoS saldırıları engelleme amaçlı düşünülmemiştir Ø İstisnalar mevcuttur, Packet Filter gibi • Genellikle izin ver, engelle, session tut gibi özelliklere sahiptir Ø Bazı Firewallar syn cookie, syn proxy, rate limiting özelliklerine sahiptir • Session tabloları sınırlıdır Ø Max değer 10.000.000 • Donanım tabanlı olmayanlar ciddi saldırılar karşısında işe yaramaz
  325. 325. @BGASecurity Linux Iptables BGA | Dos/DDoS • Linux işletim sistemi syncookie özelliğine sahiptir. Ø Fakat bu özellik sadece işletim sisteminin kendini korumak içindir. Ø Linux iptables tarafından korunan sistemlere doğru syncookie özelliği yoktur. • Rate limiting özelliği vardır fakat tasarım hatasına sahiptir! • Ciddi saldırılar karşısında yetersizdir! iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
  326. 326. @BGASecurity Iptables ile Syn Saldırılarını Engelleme BGA | Dos/DDoS • iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH • iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 -- hitcount 8 --rttl --name SSH -j DROP
  327. 327. @BGASecurity Iptables ile RateLimiting BGA | Dos/DDoS Iptables limit özelliğinin test edilmesi
  328. 328. @BGASecurity OpenBSD Packet Filter BGA | Dos/DDoS • DDoS engelleme amaçlı geliştirilmiş güvenlik duvarı • Her tür engelleme özelliği bulunmaktadır Ø Syn proxy Ø Rate limiting Ø IP başına session limit, zaman limiti Ø Sahte ip geçirmeme özelliği Ø FIN,ACK,NULL Flood özellikleri Ø Adaptive timeout özelliği Ø ... • 1 Gb’e kadar DDoS saldırılarında rahatlıkla kullanılabilir
  329. 329. @BGASecurity CheckPoint BGA | Dos/DDoS • En fazla tercih edilen Güvenlik duvarı yazılımı • Donanım versiyonları da vardır fakat Intel tabanlıdır. Ø İstisnalar mevcut olabilir. • Eski tip DoS/DDoS saldırılarına karşı Smartdefense eklentisi kullanılabilir. • Yeni tip DDoS saldırılarına karşı dayanıksızdır! • Rate limiting özelliği vardır Ø IP başına zamana bağlı paket geçirme
  330. 330. @BGASecurity Ping of Death Koruması BGA | Dos/DDoS
  331. 331. @BGASecurity Syn Flood Koruması BGA | Dos/DDoS
  332. 332. @BGASecurity Rate Limiting Özelliği BGA | Dos/DDoS
  333. 333. @BGASecurity Sahte IP Engelleme Koruması BGA | Dos/DDoS
  334. 334. @BGASecurity Netscreen BGA | Dos/DDoS • Donanım tabanlı güçlü sistemlerdir. • Eski tip ve yeni ddos saldırılarına karşı çeşitli özellikler barındırmaktadır. • IP spoofing koruma • Syn cookie özelliği • Udp flood, icmp flood özellikleri • IP başına session, paket belirleme • Kandırmaya açıktır! Ø Spoof edilmiş ip adreslerinden UDP istekleri gelirse??
  335. 335. @BGASecurity Netscreen SynCookie BGA | Dos/DDoS DDoS korumasının etkili bir şekilde çalışabilmesi için öncelikle flows bölümünden TCP SYN-Proxy SYN-Cookie nin aktif edilmesi gerekir. Aksi halde aşağıda yapmış olduğumuz birçok ayar geçersiz olacaktır.
  336. 336. @BGASecurity Netscreen DDoS Özellikleri BGA | Dos/DDoS
  337. 337. @BGASecurity Fortinet BGA | Dos/DDoS • Güçlü donanımsal güvenlik duvarlarından biri • Pazar payı gün geçtikçe artmaktadır. • Alternatif güvenlik duvarlarında bulunan özelliklerin çoğunu barındırır. • Yeni sürümlerinde DDoS engelleme özellikleri de gelmektedir. • Akıllı DDoS engelleme/Botnet keşif özellikleri yoktur. • Eski ve yeni tip DDoS saldırılarını engelleyebilir.
  338. 338. @BGASecurity Threshold & Action Kısmı BGA | Dos/DDoS
  339. 339. @BGASecurity DDoS Policy Menüsü BGA | Dos/DDoS
  340. 340. @BGASecurity IPS’ler ve DDoS Engelleme BGA | Dos/DDoS • Güvenlik duvarlarına göre daha fazla seçenek sunarlar. • Uygulama seviyesi DDoS saldırıları için özel imzalar yazılabilir Ø HTTP Get Flood Ø SMTP Flood gibi...
  341. 341. @BGASecurity Snort ve DoS Saldırıları BGA | Dos/DDoS • Snort DDoS saldırılarına karşı korumada yetersiz bir sistemdir Ø Syncookie koruma özelliği yok Ø Spoofed IP’lerden yapılan saldırılar karşısında performansı kötü • Rate limiting yapılabilir Ø Belirli bir IP’den gelen atakları durdurabilir Ø Bot’ları engellemede kullanılabilir. • Snort yerine bu iş için en ideal çözüm olan OpenBSD/FreeBSD Packet Filter kullanılabilir.
  342. 342. @BGASecurity Snort ve DoS Saldırıları-II BGA | Dos/DDoS • Eski tip DoS araçlarını tanır. • RBN tanır. • Kural yazılırsa GET flood , POSt Flood, DNS flood gibi uygulama seviyesi DDoS ataklarını yakalayabilir, engelleyebilir. • Synflood tanır ama engelleme modülü yok! • Spoof edilmemiş IP adreslerinden gelen Synflood ataklarını engelleyebilir. • Udp flood engelleyebilir.

×