altay | DDoS Saldrlar NaslGerekletirilir?

Huzeyfe NAL

Bilgi Gvenlii AKADEMS

www.bga.com.tr

Ajanda

DDoS saldrlarn anlamak iin gerekli temel bilgiler.

DDoS rnlerindeki sistematik hata

Its not a bug, its a feature durumu!

Syn Flood DDoS saldrlar nasl gerekletirilir ve temel engelleme yntemleri

DNS flood saldrlar nasl gerekletirilir ve temel engelleme yntemleri

HTTP GET Flood saldrlar nasl gerekletirilir

Ve temel engelleme yntemleri

Hereyin Temeli TCP/IP

DDoS saldrlarn iyi anlayabilmek ve yorumlayabilmek iin gerekli olan tek ey salam TCP/IP bilgisi.

TCP/IP bilgisi salam olan bir gvenlik yneticisi ek aralara ihtiya duymadan Linux sistemleri kullanarak DDoS saldrlar konusunda ciddi analizler yapabilir.

TCP/IP bilgisi olmadan yaplandrma(rnek)

Saldrlarlarn nne caching &Load balancer cihaz koyarak engel olma

Hangi portlara ynelik koruma?

IP Spoofing

IP korumasz, onaysz bir protokoldr

stenilen IP adresi ile hedef sistemlere paket gnderilebilir IP spoofing

Daha st katmandaki uygulamalar IP spoofing engellemek iin ek nlemler almak zorundadr TCP iin random ISN numaralar vs

Hangi uygulamarda yaplabilir OSIe gre 7. katmandaki protokollerde IP spoofing teoride

mmkndr

Pratikte imkansza yakndr

TCP ve UDP Protokollerinde IP Spoofing

TCP

TCPde sadece balant balang paketleri spoof edilebilir.

Veri tayan TCP paketleri spoof edilemez Veri tama ncesi kurulmas

gereken l el skma aamas vardr

HTTP, HTTPS, SMTP, POP3 gibi uygulama katman protokollerde ip spoofing teoride mmkndr!

UDP

Mmkndr

Her tr UDP paketi spoof edilmi ip adreslerinden gnderilebilir.

DNS istekleri sahte ip adreslerinden gnderilebilir

UDP kullanan servisler (DNS vs) ip spoofingi engellemek iin ek yntemler gelitirmitir.

Initial Sequence Number (ISN)

32-bitdir

3l el skmada ilk SYN paketinde ve ikinci SYN paketinde kullanlr Bu deerin tahmin edilebilir olmas TCP hijacking

saldrlarna yol aabilir

Gnmz iletim sistemlerinde bu deer tahmin edilemeyecek* ekilde retilir

*Tahmin edilmesi gletirilmi random deerler.

TCPde IP spoofing yaplamamasnn sebebi

6

Paket Boyutlar

DDoS saldrlarnda paket boyutlar ok nemlidir

Saldrgann ne kadar paket gnderebilecei, kurbann ne kadar trafik kaldrabilecei paket boyutlaryla dorudan orantldr

Genel geer kural: paket boyutu kldke gvenlik sistemlerinin performans der!

Ortalama

Bir TCP paketi 60 Byte

Bir UDP paketi 40 Byte

Bir HTTP paketi 400 Byte

100-1000 Mb ile neler yaplabilir?

Saldr Tipine gre

SYNFlood olursa [100 Mb 200.000 pps]

[1Gb 2.000.000 pps]

UDP flood olursa [100Mb 400.000pps]

[1Gb 4.000.000 pps]

GET Flood olursa [100Mb 32.000 pps]

[1Gb 320.000 pps]

100Mb=100x1024Kb=100x1024x1024b=104857600bit

104857600bit/8=13107200byte/60=218.000 pps

TCP SYN paket boyutu

DDoS Engelleme

DDoS Engelleme rnleri

Tek i DDoSOlan rnler

Firewall rnleriIPS rnleri

Gnmz Enterprise Security rnleri

Firewall/IPS sistemleri DDOS saldrlarna ne kadar dayankldr?

Gelebilecek itirazlar: Firewall/IPS sistemleri DDOS engelleme amal deildir(!)

ou kurum/kurulu DDoS engelleme amal Firewall/IPS kullanmaktadr

Fortinet Firewall Limitleri

Netscreen Firewall Limitleri

Netscreen ISG Limitleri

Checkpoint Power-1 Limitleri

TippingPoint 10Gb IPS Limitleri

DDoS rnlerinde zl(e)meyen Problem

Piyasadaki ou DDoS engelleme sistemi rate limiting/karantina mantyla almaktadr. Bir ip adresi(ip blou)nden belirli saynn stnde

trafik/paket gelirse ip adresini kara listeye al

Bazlar daha karmak algoritmalar da kullanmaktadr

Rate limiting ilemi en kolay ve kesin zm gibi grnmesine ramen IP adreslerinin spoof edilebilir olmas sebebiyle tehlikelidir!

Bu rnlerin dayand temel nokta session bilgisi tutmamaktr Session bilgisi demek maliyet demek

Her bir session iin ~300 byte

rnek-I

X Firmas Y DDoS rn kullanmaktadr.

Y rn gelen trafik zerinde zel bir algoritma altrarak belirli seviyenin zerinde paket gnderen IP adreslerini engellemektedir.

A nickli saldrgan basit bir ara kullanarak root dns sunucularn ip adreslerini spoof ederek X Firmasna youn paket gndermektedir

X firmasndaki Y sistemi Root DNS sunucularn IP adresini engellemeye balar...

rnek-II

Saldrgan bununla da kalmayp bir dosyaya Trkiye IP bloklarn yazarak rastgele bu ip adreslerinden spoof edilmi paketler gndermektedir.

X firmasn koruyan Y sistemi tm Trkiye IP adreslerini engellemeye balar...

Netstress bu senaryolar gerekletirebilmektedir.

Trkiyeden Gncel rnek

Gncel saldr

DNS Flood

Kaynak IP Adresleri

Saldrgan gerek DNS sunucu ip

Adreslerini spoof ederek gnderiyor paketleri

Nasl engellenecek?

IP engelleme?

Rate limiting?

195.175.39.3195.175.39.5195.175.39.7195.175.39.9195.175.39.11195.175.39.13195.175.39.15195.175.39.17195.175.39.75195.175.39.76195.175.39.77195.175.39.81195.175.39.136195.175.39.137195.175.39.138195.175.39.229

Uygulama|Iptables ile Rate Limiting

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

8 paketten sonra 60 saniye ierisinde o ip adresinden paket kabul etmez!

Iptables ile RateLimiting

Iptables limit zelliinin test edilmesi

TCP Flood DDoS Saldrlar

TCP Flood: Hedef sisteme eitli TCP bayraklar set edilmi paketler gndermek

TCP Bayraklar

FIN, ACK, PUSH, SYN, RST, URG

Ama hedef sistemin kapasitesini zorlama

Bant genilii kapasitesi

Paket ileme kapasitesi

Sahte ip adreslerinden gerekletirilebilir

TCP Flood eitleri

TCP Flood

SYN Flood ACK Flood FIN Flood

Syn Flood

Internet dnyasnda en sk gerekletirilen DDoS saldr tipi

Olduka kolaydr

Eer gerekli nlemler alnmamsa 2Mb hat ile 100Mb hatta sahip olan sistemler devre d braklabilir

Saldr yapmas kadar korunmas da kolaydr

Genellikle sahte IP adresleri kullanlarak gerekletirilir

Neden Kaynaklanr?

Temel problem

SYN paketini alan tarafta paketi gnderen onaylanmadan kaynak ayrlmas

SYN pakteini alan taraf backlog queuebellekten yer ayrr

Paketi gnderen IP adresinin gerek olduu belirlenmeden sistemden kaynak ayrlmamal!

TCP SYN Paketi

Ortalama 60 byte

Gnderilen her SYN paketi iin hedef sistem ACK-SYN paketi retecektir.

Uygulama|Hping ile TCP Paketleri Oluturma

SYN bayrakl TCP paketi oluturma Hping S p 80 192.168.1.1

192.168.1.1 ip adresinin 80 portuna SYN bayrakl TCP paketi gnderimi

FIN bayrakl TCP paketi oluturma Hping F p 80 192.168.1.1

192.168.1.1 ip adresinin 80 portuna FINbayrakl TCP paketi gnderimi

ACK bayrakl TCP paketi oluturma Hping A p 80 192.168.1.1

192.168.1.1 ip adresinin 80 portuna ACK bayrakl TCP paketi gnderimi

SynFlood rnei

Ama:Hedef sisteme tamamlanmam binlerce TCP SYN paketi gnderip servis verememesinin salanmas

Kullanlan ara: Hping, juno, netstress vs

Syn Flood:Gerek IP Adresleri Kullanarak

Syn Flood:Sahte IP Adresleri Kullanarak

Kaynak IP adresi seilen makine aksa gelen SYN+ACK paketine RST cevab dnecektir

Ciddi saldrlarda kaynak ip adresleri canl olmayan sistemler seilmeli!

Random Sahte IP Adresi Kullanarak Syn Flood

SynFlood DDoS Saldrlar Nasl Anlalr?

Temel mantk

Normalin zerinden SYN paketi geliyorsa veya normalin zerinde SYN_RECV durumu gzkyorsa SYN Flood olma ihtimali vardr

Netstat le SynFlood Belirleme-Windows

Sahte IP Kullanmnn Dezavantajlar

Synflood saldrsnda sahte IP adresleri kullanlrsa

Her gnderilen SYN paketine karlk hedef sistem sahte IP adreslerine SYN ACK paketi dnecektir.

Bu durumda sahte IP adreslerinin gerek sahipleri sizden ACK flood saldrs geliyormu zannedebilir

Saldrgan belirli bir firmann IP Adresinden geliyormu gibi SynFlood Saldrs gnderebilir

SynFlood Saldrlarn Engelleme

Syn Flood Saldrs gerekletirme ok kolaydr

Syn flood saldrlarn engellemek ok kolaydr

Syn flood saldrlar iin tm dnya iki(+1) temel zm kullanr Syn cookie

Syn proxy

Bunun haricinde sk tercih edilmeyen iki yntem daha vardr DFAS(Drop First Accept Second)*

Anormallik tespiti

SynCookie

Syncookie aktif edilmi bir sistemde gelen SYN paketi iin sistemden bir kaynak ayrlmaz

SYN paketine dnecek cevaptaki ISN numaras zelolarak hesaplanr(kaynak.ip+kaynak.port+.hedef.ip+hedef.port+xdeeri) ve hedefe gnderilir

Hedef son paket olan ACKi gnderdiinde ISN hesaplama ilemi tekrarlanr ve eer ISN numarasuygunsa balant kurulur

Deilse balant iptal edilir

SynCookie-II

SynCookie Dezavantajlar

Syncookiede zel hazrlanacak ISNler iin retilenrandom deerler sistemde matematiksel ilemgc gerektirdii iin CPU harcar

Eer saldrnn boyutu yksekse CPU performansproblemlerinden dolay sistem yine darboaz yaar

DDOS Engelleme rnleri(baz IPSlerde de ) budarboaz amak iin sistemde Syncookie zelliifarkl CPU tarafndan iletilir

SynProxy Mant

Sadece oturum kurulmu TCP balantlarn sunucuya geir!

39

SynProxy

Web site

SYN^30

SYN/ACK ^30

ACKs^5

SynProxy Dezavantajlar

Synproxyde proxylik yapan makine state bilgisi tuttuundan youn saldrlarda state tablosu iebilir

Synproxy ya hep aktr ya da kapal

Belirli deerin zerinde SYN paketi gelirse aktif et zellii yoktur

SYN Cookie Alt etme

Sunucu tarafnda kullanlan syncookie zellii istemci tarafnda da kullanlarak sunucudaki syncookie zellii ie yaramaz hale getirilebilir.

Bylece istemci kendi tarafnda state tutmaz, sunucu tarafnda da 3l el skma tamamland iin balant ak kalr(uzun sre)

Netstress arac kullanarak syn cookie atlatma saldrlar gerekletirilebilir.

ACK, FIN, PUSH Flood Saldrlar

SynFlooda kar nlem alnan sistemlerde denenir.

Hedef sisteme ACK, FIN, PUSH bayrakl TCP paketleri gndererek gvenlik cihazlarnn kapasitesiniz zorlama

Dier saldr tiplerine gre engellemesi olduka kolaydr

Etki dzeyi dktr

Icmp Flood(Smurf)

43

Hping ile Icmp Flood Denemesi

hping3 --icmp -C 8 -K 0 -a 172.26.27.22 172.26.27.255 -d 1000

44

Smurf Ata Artk almaz. Neden ?

Tm router ve iletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez!

root@seclabs:~# sysctlnet.ipv4.icmp_echo_ignore_broadcastsnet.ipv4.icmp_echo_ignore_broadcasts = 1

DNS Servisine ynelik DDOS Saldrlar

DNS UDP zerinden alr= kandrlmaya msait servis

DNS = Internetin en zayf halkas

E-posta hizmetleri

Web sayfalarnn almas

nternetim almyor ikayetinin ba kayna

DNS sunuculara ynelik DDOS saldrlar

DNS yazlmnda kan buglar

ENDS kullanm ile amplification saldrlar

DNS sunucularn kapasitelerini zorlama

DNSe Ynelik DDoS Saldrlar

Dns Flood Saldrlar

Amplified DNS DoS Saldrlar

DNS sunucu yazlmlarn hedef alan DoS Saldrlar

DNS Nasl alr?

48

www.lifeoverip.net IP Adresi Nedir?

www.lifeoverip.net IP 91.93.119.80

DNS Sunucu

DNS Sunucu

UDP Port 53

http://www.lifeoverip.net/http://www.lifeoverip.net/

DNS Nasl alr? - Detay

49

DnsFlood Saldrlar

DNS sunucuya apoof edilmi random ip adreslerinden yzbinlerde sahte(gerekte olmayan) domain isimleri iin istek gnderme

Her gelen istek iin DNS sunucunun root dnslere gidip yorulmas ve gerek isteklere cevap verememesi salanmaya allr

DNS sunucunun kapasitesini zorlama

DNS Flood rnei

Sahte IP adreslerinden yaplabilir

Veya zel bir IP adresinden geliyormu gibi gsterilebilir.

DNS Flood Uygulamas

Dns Flood Engelleme

IP bana yaplacak sorgu saysn belirleme

DNS sunucular an dnda gl sistemlerde tutma

Kiralama

Saldr annda gelen DNS isteklerini UDPden TCPe evirip SYN Cookie vs altrma

lk istei reddet ayn istek ikinci kere gelirse kabul et!

DNS Amplification Saldrs

UDP zerinden tanan dns paketleri 512 byten byk olamaz

EDNS(RFC 2671) dns sorgularnn cevaplar 512 bytedan daha byk olabilir

60 byte(dns istei) gnderip cevap olarak 4000 byte alnabilir(cevap=56X istek)

10Mb balantdan 10X65=650 Mbit trafik retilebilir.

Koruma: recursive dns sorgular ve edns destei iyi ayarlanmal

DNS Amplification DOS

Internette herkese ak dns sunucu says ~600,000

DNSsunucu

DOS Yapan Kurban

DNS steiSRC: Kurban

(60 byte)

EDNS Cevab

(4000 byte)

DNS Amplification Saldrs: ( 65 amplification )

DNSsunucu

DNSsunucu DNS

sunucu

20 Kat Trafik Arttrm

Uygulama|DNS Amplification DOS

8.8.8.8 yerine

Kurban IP adresi

verilmeli

BIND Dynamic Update DoS

ISC bind 2009 Temmuz

Bu tarihe kadarki tm bind srmlerini etkileyen basit ama etkili bir ara

Tek bir paketle Trkiyenin internetini durdurma(!)

Tm byk ispler bind kullanyor

Dns=udp=src.ip.spoof+bind bug

%78 dns sunucu bu zaafiyete ak

Sistem odalarnda nazar boncuu takl

Web Sunuculara Ynelik DOS Saldrlar

Web sunucularna ynelik DOS/DDOS saldrlarndaama sayfann ilevsiz kalmas ve o sayfa zerindenverilen hizmetlerin kesintiye uratlmasdr.

Web sunuculara ynelik yaplacak DOS saldrlartemelde iki trden oluur;

kaba kuvvet saldrlar(Flood)

tasarmsal/yazlmsal eksikliklerden kaynaklananzaafiyetler

GET/POST Flood Saldrlar

Synflood iin nlem alnan yerlere kar denenir

Daha ok web sunucunun limitlerini zorlayarak sayfann ulalamaz olmasn salar

nlemesi Synflooda gre daha kolaydr

HTTP iin IP spoofing pratik olarak imkanszdr.

Rate limiting kullanlarak rahatlkla nlenebilir

False positive durumu

#ab n 100000 c 5000 http://www.google.com/

http://www.google.com/

Kaba Kuvvet(Flood) Saldrlar

Bu tip saldrlarda sunucu zerinde ne altnabaklmakszn e zamanl olarak binlerce istekgnderilir ve sunucunun kapasitesi zorlanr.

Literatrde ad GET Flood, POST Flood olarakgeen bu saldrlar iki ekilde yaplabilir.

Tek bir bilgisayardan

Botnet sistemlerden(binlerce farkl bilgisayar)

HTTP Flood Test Aralar

Netstress

Ab

Siege

DOSHTTP

Skipfish

Jmeter

Ab(ApacheBenchmark)

POST Flood

#ab -c 100 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q http://blog.lifeoverip.net/searcme.php

GET Flood

#ab -c 100 -n 10000 http://blog.lifeoverip.net/searcme.php

DDoS-BotNet alma Grubu

DDoS&BotNet konusundaki bilin dzeyini arttrmak ve bu konudaki gelimeleri paylamak amacyla 2010 ylnda kurulmutur. E-posta listesi ve alma grubu olarak faaliyet

gstermektedir.

http://www.lifeoverip.net/ddos-listesi/ adresinden ye olabilirsiniz. Sadece kurumsal katlma aktr.

http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/

NetSec A Ve Bilgi Gvenlii Topluluu

Trkiyenin en geni katlml bilgi gvenlii e-posta listesi ve topluluu

~950 ye

cretsiz ye olabilirsiniz.

Gvenlik dnyasnda yaynlanan nemli haberler, gvenlik yamalar ve birok teknik konuda tartma...

yelik iin

http://www.lifeoverip.net/netsec-listesi/

http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/

Bilgi Gvenlii AKADEMS