DoS ve DDoS Saldırıları ve Korunma Yöntemleri

Embed Size (px)

Text of DoS ve DDoS Saldırıları ve Korunma Yöntemleri

  • 1. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi Konu:TCP Flood DDoS Saldrlar@2014 rnek Eitim Notu bilgi@bga.com.tr DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr

2. TCP Flood DDoS SaldrlarDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 3. TCP Flood TCP Flood: Hedef sisteme eitli TCP bayraklar set edilmi paketler gndermektir. TCP Bayraklar FIN, ACK, PUSH, SYN, RST, URG Ama hedef sistemin kapasitesini zorlama; Bant genilii kapasitesi Paket ileme kapasitesi Sahte ip adreslerinden gerekletirilebilir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 4. TCP Flood eitleriTCP Flood SYN FloodACK FloodFIN FloodDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 5. Etki Seviyesine Gre TCP Flood Saldrlar Gnmz iletim sistemleri ve a tabanl gvenlik sistemleri (Firewall/IPS/) statefull yapdadr. Stateful yap: Balant iin gelen ilk paket SYN olmal, gelen ilk paket SYN ise oturum kurulumunu balat ve bu oturuma ait dier paketlere de izin ver. Bir sisteme gnderilecek FIN, ACK, PUSH bayrakl paketler(SYN harici) hedef sistem tarafndan kabul edilmeyecektir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 6. Uygulama|TCP Bayraklar ve Oturum Hedef sisteme hping3 arac kullanlarak SYN bayrakl paket gnderimi, Hedef sistemde netstat ant komutuyla socket durumlar incelenerek etkisi grlmeli. Hedef sisteme hping3 arac kullanlarak FIN bayrakl paket gnderimi, Hedef sistemde netstat ant komutuyla socket durumlar incelenerek etkisi grlmeli. Hedef sisteme hping3 arac kullanlarak ACK bayrakl paket gnderimi, Hedef sistemde netstat ant komutuyla socket durumlar incelenerek etkisi grlmeli.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 7. Uygulama|Hping ile TCP Paketleri Oluturma SYN bayrakl TCP paketi oluturma Hping S p 80 192.168.1.1 192.168.1.1 ip adresinin 80 portuna SYN bayrakl TCP paketi gnderimi FIN bayrakl TCP paketi oluturma Hping F p 80 192.168.1.1 192.168.1.1 ip adresinin 80 portuna FINbayrakl TCP paketi gnderimi ACK bayrakl TCP paketi oluturma Hping A p 80 192.168.1.1 192.168.1.1 ip adresinin 80 portuna ACK bayrakl TCP paketi gnderimiDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 8. FIN Flood Saldrlar Hedef sisteme sahte ip adreslerinden FIN paketleri gnderme Hedef sistem nnde Firewall/IPS gibi statefull alan bir sistem varsa FIN paketlerine kar cevap dnmeyecektir. Veya RST paketi dnecektir.(ak port, kapal port seimine gre)DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 9. ACK Flood Saldrlar Hedef sisteme sahte ip adreslerinden ACK paketleri gnderme Hedef sistem nnde Firewall/IPS gibi statefull alan bir sistem varsa ACK paketlerine kar cevap dnmeyecektir. Veya RST paketi dnecektir.(ak port, kapal port seimine gre)DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 10. Syn Flood DDoS Saldrlar TCP flood saldrlarnda en etkili saldr tipidir. Hedef sistemin kaynaklarn tketmek amal gerekletirilir. Internet dnyasnda en sk gerekletirilen DDoS saldr tipidir. Gerekli nlemler alnmam ise 2Mb hat ile 100Mb hatta sahip olan sistemler devre d braklabilir. Saldr yapmas kadar korunmas da kolaydr. Genellikle sahte IP adresleri kullanlarak gerekletirilir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 11. Syn Flood Sorunu Kayna Problem: SYN paketini alan sistemin SYN-ACK paketi gnderdikten sonra paketi gnderenin gerek olup olmadn onaylamadan sistemden kaynak ayrmas. zm: Paketi gnderen IP adresinin gerek olduu belirlenmeden sistemden kaynak ayrlmamal! DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 12. SYN TCPe ait bir zelliktir 8 TCP bayrandan biri TCP oturumlarn balatmak iin kullanlan TCP bayra Sadece oturumun balang aamasnda grlr SYN paketleri veri tayamaz stisna durumlar anormallik olarak adlandrlr. Hping p 8 0-S localhost d 100 E data komutuyla SYN bayrakl TCP paketine veri tattrlabilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 13. TCP SYN Paketi Ortalama 60 byteGnderilen her SYN paketi iin hedef sistem ACK-SYN paketi retecektir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 14. TCP Handshake 3l el skma olarak da adlandrlr. CSSYNCListeningSYNS, ACKCStore dataWait ACKS Connected DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 15. TCP Handshake-II Handshake esnasnda sunucu tarafnda hangi bilgiler tutulur? TCP Control Block (TCB) tarafndan aadaki bilgileri tutulabilir. > 280 byte FlowID, timer info, Sequence number, flow control status, out-of-band data, MSS, .. Half-open TCB verileri zaman amna kadar tutulur Kaynak yeterli deilse yeni balant kabul edilmeyecektir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 16. TCP Balantsnda SYN Paketleri Normal TCP balants sreci1)Kaynak Ayr 2)Cevap gelene dekBekleOturum Kuruldu DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 17. SYN Flood Saldrsnda SYN Paketleri120 saniye bekler Bir SYN paketi ortalama 65 Byte 8Mb hat sahibi bir kullanc saniyede 16.000 SYN paketi retebilir. Hat kapasitesinde upload hz nemlidir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 18. SynFlood Hedef sisteme kapasitesinin zerinde SYN paketi gndererek yeni paket alamamasn salamaktr. En sk yaplan DDoS saldr tipidir. lk olarak 1994 ylnda Firewalls and Internet Security kitabnda teorik olarak bahsi gemitir. lk Synflood DDoS saldrs 1996 ylnda gerekletirilmitir. 2011 ylnda henz bu saldrya %100 engel olacak standart bir zm gelitirilememitir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 19. Nasl Gerekletirilir? Syn Flood saldrs basitce ak bir porta hedef sistemin kapasitesinden fazla gnderilecek SYN paketleriyle gerekletirilir. Buradaki kapasite tanm nemlidir. Teknik olarak bu kapasiteye Backlog Queue denilmektedir. letim sistemlerinde Backlog queue deeri deitirilebilir. Arttrlabilir, azaltlabilir Saldry yapan kendini gizlemek iin gerek IP adresi kullanmaz.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 20. Backlog Queue Kavram(Kapasite) letim sistemleri ald her SYN paketine karlk l el skmann tamamlanaca ana kadar bellekten bir alan kullanrlar. Bu alan TCB olarak adlandrlr. Bu alanlarn toplam backlog queue olarak adlandrlr. Baka bir ifadeyle iletim sisteminin half-open olarak ne kadar balant tutabileceini backlog queue veriyaps belirler. Linux sistemlerde backlog queue deeri sysctl komutuyla deitirilebilir. Sysctl a|grep backlog DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 21. Syn Flood DurumuDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 22. Syn Flood Ne Kadar Kolaydr? Tahmin edildiinden daha ok! rnek: Backlog queue deeri 1000 olan sisteme 1000 adet SYN paketi gndererek servis veremez duruma getirilebilir. 1000 adet SYN paketi=1000*60byte=60.000 byte=468Kpbs Bu deer gnmzde ou ADSL kullancsnn sahip olduu hat kapasitesine yakndr. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 23. SynFlood Backscatter Tehlikesi SYN Flood saldrlarnda sahte IP kullanlrsa saldr yaplan sistemden geriye doru binlerce SYN+ACK paketi dnecektir. Bu da ayr bir saldr olarak alglanabilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 24. Syn Flood Aralar Netstress Juno Hping Windows tabanl aralar BotNet ynetim sistemleriDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 25. SynFlood rnei Ama:Hedef sisteme tamamlanmam binlerce TCP SYN paketi gnderip servis verememesinin salanmas Kullanlan ara: HpingDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 26. Syn Flood:Gerek IP Adresleri Kullanarak Gerek ip adresinden gerekletirilecek syn flood saldrlar: Tek bir ip adresinden Rahatlkla engellenebilir. Botnete dahil tm ip adreslerindenDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 27. Gerek IP Syn Flood Analizi Gerek ip adresleri kullanlarak gerekletirilecek SYN flood saldrsnn etki seviyesi dk olacaktr. Neden? Gnderilen her gerek SYN paketi sonras gelecek SYN/ACK cevabna iletim sistemi kzarak(kendisi gndermedi, zel bir ara kullanlarak gnderildi SYN paketi) RST paketi dnecektir. Syn flood yaplan sistemde RST paketi alndnda oturum tablosundan ilgili ip adresine ait balantlar silinecektir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 28. Syn Flood:Sahte IP Adresleri Kullanarak Kaynak IP adresi seilen makine aksa gelen SYN+ACK paketine RST cevab dnecektir. Ciddi saldrlarda kaynak ip adresleri canl olmayan sistemler seilmeli!DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 29. Sahte IP le SynFlood Analizi Kaynak ip adresi 5.5.5.5 yaplarak gnderilen SYN paketi iin iletim sistemi belirli bir sre SYN/ACK paketi gndererek kar taraftan ACK paketi bekleyecektir. Saldrgan: Hping p 80 S hedef_ip c 1 a 5.5.5.5 Masum: Netstat ant|grep 5.5.5.5DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 30. Random Sahte IP Adresi Kullanarak Syn FloodDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 31. SynFlood DDoS Saldrlar Nasl Anlalr? Temel mantk: Normalin zerinden SYN paketi geliyorsa veya normalin ze