Upload
burakizu
View
40
Download
2
Embed Size (px)
DESCRIPTION
güncel
Citation preview
Siber Saldr Arac Olarak DDoS
Huzeyfe NAL
Bilgi Gvenlii AKADEMS
www.bga.com.tr
Konumac Hakknda |Huzeyfe NAL
Bilgi Gvenlii Danman (i hayat)
Bilgi Gvenlii AKADEMS(www.bga.com.tr)
A Gvenlii Aratrmacs (gerek hayat)
Kdemli DDoS Uzman
Blogger
www.lifeoverip.net
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
http://www.bga.com.tr/http://www.lifeoverip.net/
Ama
Son yllarn en popler saldrlarndan biri olan DDoSun ne kadar kolay gerekletirilip ne kadar zor engellenebildiinin uygulamal olarak gsterimi..
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Ajanda
DoS/DDoS hakknda genel terim ve tanmlar
DDoS saldrlar hakknda hatal bilgiler ve dzeltmeler
DDoS saldr eitleri
Trkiye ve dnyadan DDoS saldr rnekleri
Teknik detay ve uygulamalar
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Siber Saldrlar
ki trldr:
Bilginin gizliliini ihlal etme amal saldrlar
Bilgiye eriimi aksatma amal saldrlar
Gizlilik ihali
RSA, SONY rnekleri
Eriim aksatma
Anonymous saldrlar(Trkiye, Malezya, Paypal, Mastercard)
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DOS/DDoS Saldrlar
Neden DDoS saldrlar youn olarak kullanlmaya baland?
En basit saldr tipi!
Bir adet 100 Mb sunucu+ekmek+ya+un+su...
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Balamadan nce... Gelen DDOS saldrs sizin sahip olduunuz
bantgeniliinden fazlaysa yaplabilecek ok ey yok!
Delikanlla smayan saldr tr!
DDOS saldrlarnn byk ounluu bantgenilii tarma eklinde gereklemez!
Grcistan DDOS saldrs 200-800 Mbps aras
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DOS
DOS(Denial Of Service) = sistemleri alamaz hale getirmek iin yaplan saldr tipi.
DOS saldrlarnda kaynak yzlerce, binlerce farkl sistem deildir.
Baz saldrlar znde DoS, sonularna gre DDoStur DDoS grnml DoS
Tek bir sistemden yaplan spoof edilmi IP kullanlan SYN flood saldrlar gibi
DoS saldrlarn engelleme kolaydr
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DDoS
DDOS(Distrubuted Denial of Service ) =Datk Servis Engelleme
Binlerce, yzbinlerce sistem kullanlarak gerekletirilir.
Genellikle sahte IP adresleri kullanlr
BotNetler kullanlr
Saldrgan kendini gizler
Engellemesi zordur!
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DDoS Hacking Yntemi midir?
Deildir .
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DDoS eitleri
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
TCP ve UDP Protokollerinde IP Spoofing
TCP
TCPde sadece balant balang paketleri spoof edilebilir.
Veri tayan TCP paketleri spoof edilemez
Veri tama ncesi kurulmas gereken l el skma aamas vardr
HTTP, HTTPS, SMTP, POP3 gibi uygulama katman protokollerde ip spoofing teoride mmkndr!
UDP
Mmkndr
Her tr UDP paketi spoof edilmi ip adreslerinden gnderilebilir.
DNS istekleri sahte ip adreslerinden gnderilebilir
UDP kullanan servisler (DNS vs) ip spoofingi engellemek iin ek yntemler gelitirmitir.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Paket Boyutlar
DDoS saldrlarnda paket boyutlar ok nemlidir Saldrgann ne kadar paket gnderebilecei,
kurbann ne kadar trafik kaldrabilecei paket boyutlaryla dorudan orantldr
Genel geer kural: paket boyutu kldke gvenlik sistemlerinin performans der!
Ortalama Bir TCP paketi 60 Byte Bir UDP paketi 40 Byte Bir HTTP paketi 400 Byte
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
100-1000 Mb ile Ne Yaplabilir? Saldr Tipine gre
SYNFlood olursa [100 Mb 200.000 pps]
[1Gb 2.000.000 pps]
UDP flood olursa [100Mb 400.000pps]
[1Gb 4.000.000 pps]
GET Flood olursa [100Mb 32.000 pps]
[1Gb 320.000 pps]
100Mb=100x1024Kb=100x1024x1024b=104857600bit
104857600bit/8=13107200byte/60=218.000 pps
TCP SYN paket boyutu
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DDOS-I:Bandwidth Doldurma
nlemenin yolu yoktur Srahi bardak ilikisi
ISP seviyesinde engellenebilir...
L7 protokolleri kullanlarak yaplan DDOSlarda saldr trafii eitli yntemlerle ~6da birine drlebilir HTTP GET flood 400 Byte
IP Engelleme sonras sadece syn paketi gelir(60 byte)
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DDOS-II:A/gvenlik Cihazlarn Yorma Ama a-gvenlik sistemlerinin kapasitesini
zorlama ve kaldramayacaklar kadar yk bindirme
Session bilgisi tutan a/gvenlik
cihazlarnn kapasitesi snrldr
Max session 10.000.000
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Sk Gerekletirilen DDoS Saldrlar
SYN FloodHTTP Flood
UDP Flood
DNS Flood
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
SynFlood
Hedef sisteme kapasitesinin zerinde SYN paketi gndererek yeni paket alamamasn salamaktr
En sk yaplan DDoS saldr tipidir
lk olarak 1994 ylnda Firewalls and Internet Security kitabndan teorik olarak bahsi gemitir
lk Synflood DDoS saldrs 1996 ylnda gerekletirilmitir
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Nasl Gerekletirilir?
Syn Flood saldrs basitce ak bir porta hedef sistemin kapasitesinden fazla gnderilecek SYN paketleriyle gerekletirilir.
Buradaki kapasite tanm nemlidir. Teknik olarak bu kapasiteye Backlog Queue denilmektedir.
Saldry yapan kendini gizlemek iin gerek IP adresi kullanmaz
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Backlog Queue Kavram(Kapasite)
letim sistemleri ald her SYN paketinekarlk l el skmann tamamlanaca anakadar bellekten bir alan kullanrlar, bu alanTCB olarak adlandrlr
Bu alanlarn toplam backlog queue olarakadlandrlr.
Baka bir ifadeyle iletim sisteminin half-open olarak ne kadar balant tutabileceini backlog queue veriyaps belirler.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Problem|Uygulama
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
SynFlood Saldrlarn Engelleme
Syn Flood Saldrs gerekletirme ok kolaydr Syn flood saldrlarn engellemek ok kolaydr Syn flood saldrlar iin tm dnya iki(+1) temel
zm kullanr Syn cookie Syn proxy
Bunun haricinde sk tercih edilmeyen iki yntem daha vardr DFAS(Drop First Accept Second)* Anormallik tespiti
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
SynCookie
Syncookie aktif edilmi bir sistemde gelen SYN paketi iin sistemden bir kaynak ayrlmaz
SYN paketine dnecek cevaptaki ISN numaraszel olarak hesaplanr(kaynak.ip+kaynak.port+.hedef.ip+hedef.port+xdeeri) ve hedefe gnderilir
Hedef son paket olan ACKi gnderdiinde ISN hesaplama ilemi tekrarlanr ve eer ISN numaras uygunsa balant kurulur Deilse balant iptal edilir
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Uygulama|Syn Flood Analizi
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
HTTP Flood
HTTP Protokol kullanlarak gerekletirilen DoS/DDoS saldr tipi
Neden HTTP?
%99,999 firma/kurum dar HTTP servisini am durumdadr.
HTTP en kolay hedeftir!
Literatrde GET Flood, POST Flood olarak geer.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
GET/POST Flood Saldrlar
Synflood iin nlem alnan yerlere kar denenir
Daha ok web sunucunun limitlerini zorlayarak sayfann ulalamaz olmasn salar
nlemesi Synflooda gre daha kolaydr
HTTP iin IP spoofing pratik olarak imkanszdr.
#ab n 100000 c 5000 http://www.google.com/
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
http://www.google.com/
HTTP Flood Test Aralar
Netstress
Ab
Siege
DOSHTTP
Skipfish
Jmeter
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
HTTP Flood Engelleme
HTTP Flood saldrlarn normal HTTP isteklerinden ayrt etmek olduka gtr.
Genel HTTP Flood belirleme yntemleri: Bir ip belirli saydan fazla GET/POST istei
gndermektedir (f5 tuu?) Proxy arkasndan yzlerce sistem balanyor olabilir
Gelen saldrda HTTP balk bilgileri tam deildir Referrer bilgisi eksik, User-agent eksik, Protokol bilgisi eksik,
URL olarak sadece ana sayfa defalarca isteniyor...
Rate limiting ya da balk bilgisi kullanlarak engellenebilir False positive riski ...
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Uygulama|HTTP Flood Analizi
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
UDP Flood
UDP paketleri kullanlarak gerekletirilir
Hedef sistemde ak (Firewalldan) Udp portu varsa bu porta ynelik gnderilecek her udp paket oturum tablosunda yer edinecektir
Bir udp paketi iin timeout suresi ortalama 60 sn.
UDP paketleri kktr.
100 Mb ile 300.000 UDP paketi gnderilebilir.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
UDP Flood Engelleme
Kesin bir yntem yoktur!
IP spoofing her durumda mmkndr, engellenemez!
Genel engelleme yntemleri
Gereksiz udp portlarnn kapatlmas!
Ak portlarda protokol kontrol
Gelen paket DNS mi? Bo udp paketi mi?
Rate limiting
Belirli saydan fazla udp paketi gnderenleri karantinaya al
False positive durumu...
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Uygulama|UDP Flood Analizi
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DNS Flood
DNS sunucuya apoof edilmi random ip adreslerinden yzbinlerde sahte(gerekte olmayan) domain isimleri iin istek gnderme
Her gelen istek iin DNS sunucunun root dnslere gidip yorulmas ve gerek isteklere cevap verememesi salanmaya allr DNS sunucunun kapasitesini zorlama
DNS Sunucuya bo dns paketleri gnderme(session says doldurma amal)
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DNS Flood rnei
Sahte IP adreslerinden yaplabilir
Veya zel bir IP adresinden geliyormu gibi gsterilebilir.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Dns Flood Engelleme
IP bana yaplacak sorgu saysn belirleme
DNS sunucular an dnda gl sistemlerde tutma
Kiralama
Saldr annda gelen DNS isteklerini UDPden TCPe evirip SYN Cookie vs altrma
lk istei reddet ayn istek ikinci kere gelirse kabul et!
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Uygulama|DNS Flood Analizi
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Trkiyeden Gncel rnek Gncel saldr
DNS Flood
Kaynak IP Adresleri
Saldrgan gerek DNS sunucu ip
Adreslerini spoof ederek gnderiyor paketleri
Nasl engellenecek?
IP engelleme?
Rate limiting?
195.175.39.3195.175.39.5195.175.39.7195.175.39.9195.175.39.11195.175.39.13195.175.39.15195.175.39.17195.175.39.75195.175.39.76195.175.39.77195.175.39.81195.175.39.136195.175.39.137195.175.39.138195.175.39.229
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
Sonu
DDoS klasik bir saldr tipi deildir, klasik yntem ve aralarla engellenemez!
DDoS bir altyap problemidir! Altyapnz ne kadar gl tutarsanz (Altyap!= fiziksel altyap) o kadar korunakl olursunuz.
DDoS saldrlarnda en nemli bileen TCP/IP bilgisidir.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
DDoS-BotNet alma Grubu
DDoS&BotNet konusundaki bilin dzeyini arttrmak ve bu konudaki gelimeleri paylamak amacyla 2010 ylnda kurulmutur. E-posta listesi ve alma grubu olarak faaliyet
gstermektedir.
http://www.lifeoverip.net/ddos-listesi/adresinden ye olabilirsiniz. Sadece kurumsal katlma aktr.
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/
NetSec A Ve Bilgi Gvenlii Topluluu
Trkiyenin en geni katlml bilgi gvenlii e-posta listesi ve topluluu ~950 ye
cretsiz ye olabilirsiniz.
Gvenlik dnyasnda yaynlanan nemli haberler, gvenlik yamalar ve birok teknik konuda tartma...
yelik iin http://www.lifeoverip.net/netsec-listesi/
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS
http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/
Bilgi Gvenlii AKADEMS
Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS