Upload
rayran
View
27
Download
2
Embed Size (px)
DESCRIPTION
DDOS_rayn
Citation preview
altay | DDoS Saldrlar NaslGerekletirilir?
Huzeyfe NAL
Bilgi Gvenlii AKADEMS
www.bga.com.tr
Ajanda
DDoS saldrlarn anlamak iin gerekli temel bilgiler.
DDoS rnlerindeki sistematik hata
Its not a bug, its a feature durumu!
Syn Flood DDoS saldrlar nasl gerekletirilir ve temel engelleme yntemleri
DNS flood saldrlar nasl gerekletirilir ve temel engelleme yntemleri
HTTP GET Flood saldrlar nasl gerekletirilir
Ve temel engelleme yntemleri
Hereyin Temeli TCP/IP
DDoS saldrlarn iyi anlayabilmek ve yorumlayabilmek iin gerekli olan tek ey salam TCP/IP bilgisi.
TCP/IP bilgisi salam olan bir gvenlik yneticisi ek aralara ihtiya duymadan Linux sistemleri kullanarak DDoS saldrlar konusunda ciddi analizler yapabilir.
TCP/IP bilgisi olmadan yaplandrma(rnek)
Saldrlarlarn nne caching &Load balancer cihaz koyarak engel olma
Hangi portlara ynelik koruma?
IP Spoofing
IP korumasz, onaysz bir protokoldr
stenilen IP adresi ile hedef sistemlere paket gnderilebilir IP spoofing
Daha st katmandaki uygulamalar IP spoofing engellemek iin ek nlemler almak zorundadr TCP iin random ISN numaralar vs
Hangi uygulamarda yaplabilir OSIe gre 7. katmandaki protokollerde IP spoofing teoride
mmkndr
Pratikte imkansza yakndr
TCP ve UDP Protokollerinde IP Spoofing
TCP
TCPde sadece balant balang paketleri spoof edilebilir.
Veri tayan TCP paketleri spoof edilemez Veri tama ncesi kurulmas
gereken l el skma aamas vardr
HTTP, HTTPS, SMTP, POP3 gibi uygulama katman protokollerde ip spoofing teoride mmkndr!
UDP
Mmkndr
Her tr UDP paketi spoof edilmi ip adreslerinden gnderilebilir.
DNS istekleri sahte ip adreslerinden gnderilebilir
UDP kullanan servisler (DNS vs) ip spoofingi engellemek iin ek yntemler gelitirmitir.
Initial Sequence Number (ISN)
32-bitdir
3l el skmada ilk SYN paketinde ve ikinci SYN paketinde kullanlr Bu deerin tahmin edilebilir olmas TCP hijacking
saldrlarna yol aabilir
Gnmz iletim sistemlerinde bu deer tahmin edilemeyecek* ekilde retilir
*Tahmin edilmesi gletirilmi random deerler.
TCPde IP spoofing yaplamamasnn sebebi
6
Paket Boyutlar
DDoS saldrlarnda paket boyutlar ok nemlidir
Saldrgann ne kadar paket gnderebilecei, kurbann ne kadar trafik kaldrabilecei paket boyutlaryla dorudan orantldr
Genel geer kural: paket boyutu kldke gvenlik sistemlerinin performans der!
Ortalama
Bir TCP paketi 60 Byte
Bir UDP paketi 40 Byte
Bir HTTP paketi 400 Byte
100-1000 Mb ile neler yaplabilir?
Saldr Tipine gre
SYNFlood olursa [100 Mb 200.000 pps]
[1Gb 2.000.000 pps]
UDP flood olursa [100Mb 400.000pps]
[1Gb 4.000.000 pps]
GET Flood olursa [100Mb 32.000 pps]
[1Gb 320.000 pps]
100Mb=100x1024Kb=100x1024x1024b=104857600bit
104857600bit/8=13107200byte/60=218.000 pps
TCP SYN paket boyutu
DDoS Engelleme
DDoS Engelleme rnleri
Tek i DDoSOlan rnler
Firewall rnleriIPS rnleri
Gnmz Enterprise Security rnleri
Firewall/IPS sistemleri DDOS saldrlarna ne kadar dayankldr?
Gelebilecek itirazlar: Firewall/IPS sistemleri DDOS engelleme amal deildir(!)
ou kurum/kurulu DDoS engelleme amal Firewall/IPS kullanmaktadr
Fortinet Firewall Limitleri
Netscreen Firewall Limitleri
Netscreen ISG Limitleri
Checkpoint Power-1 Limitleri
TippingPoint 10Gb IPS Limitleri
DDoS rnlerinde zl(e)meyen Problem
Piyasadaki ou DDoS engelleme sistemi rate limiting/karantina mantyla almaktadr. Bir ip adresi(ip blou)nden belirli saynn stnde
trafik/paket gelirse ip adresini kara listeye al
Bazlar daha karmak algoritmalar da kullanmaktadr
Rate limiting ilemi en kolay ve kesin zm gibi grnmesine ramen IP adreslerinin spoof edilebilir olmas sebebiyle tehlikelidir!
Bu rnlerin dayand temel nokta session bilgisi tutmamaktr Session bilgisi demek maliyet demek
Her bir session iin ~300 byte
rnek-I
X Firmas Y DDoS rn kullanmaktadr.
Y rn gelen trafik zerinde zel bir algoritma altrarak belirli seviyenin zerinde paket gnderen IP adreslerini engellemektedir.
A nickli saldrgan basit bir ara kullanarak root dns sunucularn ip adreslerini spoof ederek X Firmasna youn paket gndermektedir
X firmasndaki Y sistemi Root DNS sunucularn IP adresini engellemeye balar...
rnek-II
Saldrgan bununla da kalmayp bir dosyaya Trkiye IP bloklarn yazarak rastgele bu ip adreslerinden spoof edilmi paketler gndermektedir.
X firmasn koruyan Y sistemi tm Trkiye IP adreslerini engellemeye balar...
Netstress bu senaryolar gerekletirebilmektedir.
Trkiyeden Gncel rnek
Gncel saldr
DNS Flood
Kaynak IP Adresleri
Saldrgan gerek DNS sunucu ip
Adreslerini spoof ederek gnderiyor paketleri
Nasl engellenecek?
IP engelleme?
Rate limiting?
195.175.39.3195.175.39.5195.175.39.7195.175.39.9195.175.39.11195.175.39.13195.175.39.15195.175.39.17195.175.39.75195.175.39.76195.175.39.77195.175.39.81195.175.39.136195.175.39.137195.175.39.138195.175.39.229
Uygulama|Iptables ile Rate Limiting
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
8 paketten sonra 60 saniye ierisinde o ip adresinden paket kabul etmez!
Iptables ile RateLimiting
Iptables limit zelliinin test edilmesi
TCP Flood DDoS Saldrlar
TCP Flood: Hedef sisteme eitli TCP bayraklar set edilmi paketler gndermek
TCP Bayraklar
FIN, ACK, PUSH, SYN, RST, URG
Ama hedef sistemin kapasitesini zorlama
Bant genilii kapasitesi
Paket ileme kapasitesi
Sahte ip adreslerinden gerekletirilebilir
TCP Flood eitleri
TCP Flood
SYN Flood ACK Flood FIN Flood
Syn Flood
Internet dnyasnda en sk gerekletirilen DDoS saldr tipi
Olduka kolaydr
Eer gerekli nlemler alnmamsa 2Mb hat ile 100Mb hatta sahip olan sistemler devre d braklabilir
Saldr yapmas kadar korunmas da kolaydr
Genellikle sahte IP adresleri kullanlarak gerekletirilir
Neden Kaynaklanr?
Temel problem
SYN paketini alan tarafta paketi gnderen onaylanmadan kaynak ayrlmas
SYN pakteini alan taraf backlog queuebellekten yer ayrr
Paketi gnderen IP adresinin gerek olduu belirlenmeden sistemden kaynak ayrlmamal!
TCP SYN Paketi
Ortalama 60 byte
Gnderilen her SYN paketi iin hedef sistem ACK-SYN paketi retecektir.
Uygulama|Hping ile TCP Paketleri Oluturma
SYN bayrakl TCP paketi oluturma Hping S p 80 192.168.1.1
192.168.1.1 ip adresinin 80 portuna SYN bayrakl TCP paketi gnderimi
FIN bayrakl TCP paketi oluturma Hping F p 80 192.168.1.1
192.168.1.1 ip adresinin 80 portuna FINbayrakl TCP paketi gnderimi
ACK bayrakl TCP paketi oluturma Hping A p 80 192.168.1.1
192.168.1.1 ip adresinin 80 portuna ACK bayrakl TCP paketi gnderimi
SynFlood rnei
Ama:Hedef sisteme tamamlanmam binlerce TCP SYN paketi gnderip servis verememesinin salanmas
Kullanlan ara: Hping, juno, netstress vs
Syn Flood:Gerek IP Adresleri Kullanarak
Syn Flood:Sahte IP Adresleri Kullanarak
Kaynak IP adresi seilen makine aksa gelen SYN+ACK paketine RST cevab dnecektir
Ciddi saldrlarda kaynak ip adresleri canl olmayan sistemler seilmeli!
Random Sahte IP Adresi Kullanarak Syn Flood
SynFlood DDoS Saldrlar Nasl Anlalr?
Temel mantk
Normalin zerinden SYN paketi geliyorsa veya normalin zerinde SYN_RECV durumu gzkyorsa SYN Flood olma ihtimali vardr
Netstat le SynFlood Belirleme-Windows
Sahte IP Kullanmnn Dezavantajlar
Synflood saldrsnda sahte IP adresleri kullanlrsa
Her gnderilen SYN paketine karlk hedef sistem sahte IP adreslerine SYN ACK paketi dnecektir.
Bu durumda sahte IP adreslerinin gerek sahipleri sizden ACK flood saldrs geliyormu zannedebilir
Saldrgan belirli bir firmann IP Adresinden geliyormu gibi SynFlood Saldrs gnderebilir
SynFlood Saldrlarn Engelleme
Syn Flood Saldrs gerekletirme ok kolaydr
Syn flood saldrlarn engellemek ok kolaydr
Syn flood saldrlar iin tm dnya iki(+1) temel zm kullanr Syn cookie
Syn proxy
Bunun haricinde sk tercih edilmeyen iki yntem daha vardr DFAS(Drop First Accept Second)*
Anormallik tespiti
SynCookie
Syncookie aktif edilmi bir sistemde gelen SYN paketi iin sistemden bir kaynak ayrlmaz
SYN paketine dnecek cevaptaki ISN numaras zelolarak hesaplanr(kaynak.ip+kaynak.port+.hedef.ip+hedef.port+xdeeri) ve hedefe gnderilir
Hedef son paket olan ACKi gnderdiinde ISN hesaplama ilemi tekrarlanr ve eer ISN numarasuygunsa balant kurulur
Deilse balant iptal edilir
SynCookie-II
SynCookie Dezavantajlar
Syncookiede zel hazrlanacak ISNler iin retilenrandom deerler sistemde matematiksel ilemgc gerektirdii iin CPU harcar
Eer saldrnn boyutu yksekse CPU performansproblemlerinden dolay sistem yine darboaz yaar
DDOS Engelleme rnleri(baz IPSlerde de ) budarboaz amak iin sistemde Syncookie zelliifarkl CPU tarafndan iletilir
SynProxy Mant
Sadece oturum kurulmu TCP balantlarn sunucuya geir!
39
SynProxy
Web site
SYN^30
SYN/ACK ^30
ACKs^5
SynProxy Dezavantajlar
Synproxyde proxylik yapan makine state bilgisi tuttuundan youn saldrlarda state tablosu iebilir
Synproxy ya hep aktr ya da kapal
Belirli deerin zerinde SYN paketi gelirse aktif et zellii yoktur
SYN Cookie Alt etme
Sunucu tarafnda kullanlan syncookie zellii istemci tarafnda da kullanlarak sunucudaki syncookie zellii ie yaramaz hale getirilebilir.
Bylece istemci kendi tarafnda state tutmaz, sunucu tarafnda da 3l el skma tamamland iin balant ak kalr(uzun sre)
Netstress arac kullanarak syn cookie atlatma saldrlar gerekletirilebilir.
ACK, FIN, PUSH Flood Saldrlar
SynFlooda kar nlem alnan sistemlerde denenir.
Hedef sisteme ACK, FIN, PUSH bayrakl TCP paketleri gndererek gvenlik cihazlarnn kapasitesiniz zorlama
Dier saldr tiplerine gre engellemesi olduka kolaydr
Etki dzeyi dktr
Icmp Flood(Smurf)
43
Hping ile Icmp Flood Denemesi
hping3 --icmp -C 8 -K 0 -a 172.26.27.22 172.26.27.255 -d 1000
44
Smurf Ata Artk almaz. Neden ?
Tm router ve iletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez!
root@seclabs:~# sysctlnet.ipv4.icmp_echo_ignore_broadcastsnet.ipv4.icmp_echo_ignore_broadcasts = 1
DNS Servisine ynelik DDOS Saldrlar
DNS UDP zerinden alr= kandrlmaya msait servis
DNS = Internetin en zayf halkas
E-posta hizmetleri
Web sayfalarnn almas
nternetim almyor ikayetinin ba kayna
DNS sunuculara ynelik DDOS saldrlar
DNS yazlmnda kan buglar
ENDS kullanm ile amplification saldrlar
DNS sunucularn kapasitelerini zorlama
DNSe Ynelik DDoS Saldrlar
Dns Flood Saldrlar
Amplified DNS DoS Saldrlar
DNS sunucu yazlmlarn hedef alan DoS Saldrlar
DNS Nasl alr?
48
www.lifeoverip.net IP Adresi Nedir?
www.lifeoverip.net IP 91.93.119.80
DNS Sunucu
DNS Sunucu
UDP Port 53
http://www.lifeoverip.net/http://www.lifeoverip.net/DNS Nasl alr? - Detay
49
DnsFlood Saldrlar
DNS sunucuya apoof edilmi random ip adreslerinden yzbinlerde sahte(gerekte olmayan) domain isimleri iin istek gnderme
Her gelen istek iin DNS sunucunun root dnslere gidip yorulmas ve gerek isteklere cevap verememesi salanmaya allr
DNS sunucunun kapasitesini zorlama
DNS Flood rnei
Sahte IP adreslerinden yaplabilir
Veya zel bir IP adresinden geliyormu gibi gsterilebilir.
DNS Flood Uygulamas
Dns Flood Engelleme
IP bana yaplacak sorgu saysn belirleme
DNS sunucular an dnda gl sistemlerde tutma
Kiralama
Saldr annda gelen DNS isteklerini UDPden TCPe evirip SYN Cookie vs altrma
lk istei reddet ayn istek ikinci kere gelirse kabul et!
DNS Amplification Saldrs
UDP zerinden tanan dns paketleri 512 byten byk olamaz
EDNS(RFC 2671) dns sorgularnn cevaplar 512 bytedan daha byk olabilir
60 byte(dns istei) gnderip cevap olarak 4000 byte alnabilir(cevap=56X istek)
10Mb balantdan 10X65=650 Mbit trafik retilebilir.
Koruma: recursive dns sorgular ve edns destei iyi ayarlanmal
DNS Amplification DOS
Internette herkese ak dns sunucu says ~600,000
DNSsunucu
DOS Yapan Kurban
DNS steiSRC: Kurban
(60 byte)
EDNS Cevab
(4000 byte)
DNS Amplification Saldrs: ( 65 amplification )
DNSsunucu
DNSsunucu DNS
sunucu
20 Kat Trafik Arttrm
Uygulama|DNS Amplification DOS
8.8.8.8 yerine
Kurban IP adresi
verilmeli
BIND Dynamic Update DoS
ISC bind 2009 Temmuz
Bu tarihe kadarki tm bind srmlerini etkileyen basit ama etkili bir ara
Tek bir paketle Trkiyenin internetini durdurma(!)
Tm byk ispler bind kullanyor
Dns=udp=src.ip.spoof+bind bug
%78 dns sunucu bu zaafiyete ak
Sistem odalarnda nazar boncuu takl
Web Sunuculara Ynelik DOS Saldrlar
Web sunucularna ynelik DOS/DDOS saldrlarndaama sayfann ilevsiz kalmas ve o sayfa zerindenverilen hizmetlerin kesintiye uratlmasdr.
Web sunuculara ynelik yaplacak DOS saldrlartemelde iki trden oluur;
kaba kuvvet saldrlar(Flood)
tasarmsal/yazlmsal eksikliklerden kaynaklananzaafiyetler
GET/POST Flood Saldrlar
Synflood iin nlem alnan yerlere kar denenir
Daha ok web sunucunun limitlerini zorlayarak sayfann ulalamaz olmasn salar
nlemesi Synflooda gre daha kolaydr
HTTP iin IP spoofing pratik olarak imkanszdr.
Rate limiting kullanlarak rahatlkla nlenebilir
False positive durumu
#ab n 100000 c 5000 http://www.google.com/
http://www.google.com/Kaba Kuvvet(Flood) Saldrlar
Bu tip saldrlarda sunucu zerinde ne altnabaklmakszn e zamanl olarak binlerce istekgnderilir ve sunucunun kapasitesi zorlanr.
Literatrde ad GET Flood, POST Flood olarakgeen bu saldrlar iki ekilde yaplabilir.
Tek bir bilgisayardan
Botnet sistemlerden(binlerce farkl bilgisayar)
HTTP Flood Test Aralar
Netstress
Ab
Siege
DOSHTTP
Skipfish
Jmeter
Ab(ApacheBenchmark)
POST Flood
#ab -c 100 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q http://blog.lifeoverip.net/searcme.php
GET Flood
#ab -c 100 -n 10000 http://blog.lifeoverip.net/searcme.php
DDoS-BotNet alma Grubu
DDoS&BotNet konusundaki bilin dzeyini arttrmak ve bu konudaki gelimeleri paylamak amacyla 2010 ylnda kurulmutur. E-posta listesi ve alma grubu olarak faaliyet
gstermektedir.
http://www.lifeoverip.net/ddos-listesi/ adresinden ye olabilirsiniz. Sadece kurumsal katlma aktr.
http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/NetSec A Ve Bilgi Gvenlii Topluluu
Trkiyenin en geni katlml bilgi gvenlii e-posta listesi ve topluluu
~950 ye
cretsiz ye olabilirsiniz.
Gvenlik dnyasnda yaynlanan nemli haberler, gvenlik yamalar ve birok teknik konuda tartma...
yelik iin
http://www.lifeoverip.net/netsec-listesi/
http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/Bilgi Gvenlii AKADEMS