Web Uygulamarına Yönelik DoS DDoS

Saldırıları ve Performans TestleriBarkın Kılıç@barknkilic

barkin@barkin.info

localhost ~ $ id barkink

● Eski ve daimi sistem yöneticisi

● Linuxcu

● Pentester

● Eğitmen

Aj(an)da

● Kavramlar ( DoS/DDos Nedir)● 5N1K (Ne? Ne zaman? Nerede? Nasıl?

Neden? Kim?)● DoS/DDoS çeşitleri ve HTTP ● Biraz İstatistik● Biraz Medyada DoS● Kullanılan araçlar (Hulk,Slowloris,Xerxes,

Jmeter)● Demo● Sorular

What the...?

● DoS(Denial of Service)

● DDos(Distributed Denial Of Service)

● Zombi

● BotNet(Robot Networks)

● IP Sahteciliği

DOS ? DDOS

• DOS(Denial Of Service) = sistemleri çalışamazhale getirmek için yapılan saldırı tipi• DDOS(Distrubuted Denial of Service ) DOSsaldırısının yüzlerce, binlerce farklı sistemdenyapılması• Genellikle spoof edilmiş ip adresleri vezombiler kullanılır

Zombi & Botnet

• Zombi: Emir kulu– Çeşitli açıklıklardan faydalanılarak sistemlerinesızılmış ve arka kapı yerleştirilmiş sistemler– Temel sebebi: Windows yamalarının eksikliği• BotNet – roBOTNETworks• Zombilerden oluşan sanal yıkım orduları• Internette satışı yapılmakta

DDoS Sonuçları

● Finansal Kayıp

● Prestij Kaybı

● Zaman Kaybı

Kim?

● Hacker?

● Devletler

● Sıradan kullanıcılar

BotNet C&C Yönetim arayüzü

BotNet C&C Arayüzü Ülkeler Dağılımı

DOS hakkında yanlış bilinenler

● Bizim Firewall DOS’u engelliyor● Bizim IPS DOS/DDOS’u engelliyor...● Linux DOS’a karşı dayanıklıdır● Biz de DDOS engelleme ürünü var● Donanım tabanlı firewallar DOS’u engeller● Bizde antivirüs programı var● DOS/DDOS Engellenemez

Ne zaman?

İlk olarak Michal Zalewski ve Adrian Ilarion Ciobanu tarafından 2007'de bahsedildi.

http://www.securityfocus.com/archive/1/456339/30/0/threaded

2009'da Robert "RSnake" Hansen tarafından geliştirilen Slowloris ile popülerleşti.

Neden?

● Sistemlere sızma değil

● Web sitelerinin çalışmaması

● Sistemlerin çalışmaz hale gelmesi

Neden?

• Sistemde güvenlik açığı bulunamazsa zararverme amaçlı yapılabilir

• Politik sebeplerden

• Ticari sebeplerle

• Can sıkıntısı & karizma amaçlı

2011 DDoS İstatistikleri

Nerde? 2011 DDoS Ülkeler

Eskiden DDoS Saldırıları Layer 4 Üzerine Yoğun Olurdu

ICMP Saldırıları

● Broadcast adresine gönderilen spoof edilmiş bir echo request paketi ile network'teki herkesin kurbana cevap dönmesi ve bu şekilde kurbanın bandwith kaynağını tüketme saldırısı

● Ping of Death, standart en fazla büyüklüğü aşılan(65535) bir paket ile karşı makinanın bu paketi birleştirirken yaşadığı sorun sebebi ile işletim sisteminin çakılması

Son Zamanlardaki Yöntemler

● SYN Flood

● HTTP Get / Flood

● UDP Flood

● DNS DOS

● Amplification DOS saldırıları

DNS Servisine Yapılan Saldırılar

● UDP protokolü ile çalışır, ip sahteciliği yapmak mümkündür

● Saldırıyı tespit etmek zordur.

● İnternetin kalbi olması sebebi ile internet kesintisi gibi algılanabilir. Sayfaya erişemiyorum gibi şikayetler olabilir, halbuki sayfa yada sunucu çalışmaktadır

Layer 4 Attacks

● Sunucu yada Network cihazlarında bant genişliği veya bağlantı limitlerini doldurarak yapılan saldırılar

● Layer 4 güvenlik çözümleri genelde bu saldırılara karşı başarılı oluyorlar.

Layer 7 DDoS Saldırıları

● Uygulama seviyesinde yapılan saldırılardır

● HTTP(S), SMTP, FTP, LDAP vs

Layer 7 Saldırıların Etkisi

● TCP ve UDP bağlantıları onarmal olmayan ve IPS/IDS leri kızdırmayacak şekilde.

● Normal uygulama talepleri gibi yapılan normal bir trafik olarak gözükmesi

● Daha az bağlantı ve paket gerektirmesi ve bunun yanında etkisinin yüksek olması

Layer 7 DDoS Web Saldırı Türleri

● Hatalı kodlanmış uygulamalar veya servis ayarları üzerinden servis dışı bırakma (Kendi ayağından vurmak)

● HTTP yada HTTPS zaafiyeti üzerine yoğunlaşacağız

HTTP GET => Michal Zalewski, Adrian IlarionCiobanu, RSnake (Slowloris)HTTP POST => Wong Onn Chee

DDoS Örnekleri

DDoS Örnekleri

DDoS Örnekleri

DDoS Örnekleri

Bazı Tool (Araçlar)

● Kullandıkları teknikler bakımından farklılık gösteren ve amaca göre kullanabilecek farklı programlardan bahsedicem

● Kimler yazmış, ne şekilde kullanılır örnek vererek bahsedelim

HULK(HTTP Unbearable Load King)

Hulk

● http://www.sectorix.com/2012/05/17/hulk-web-server-dos-tool/

● Barry Shteiman (Sectorix)● User Agent değiştiriliyor devamlı● Referer bilgisi değiştiriliyor● Keep-Alive yakalamak● no-cache ● URL sürekli eşsiz olması sağlanıyor

Hulk Demo

Xerxes

● th3j35t3r

● Kasım 2010'da Wikileaks, Amazon, Wikileaks

● Basic Authantication Header üzerinden sunucuda kaynak tüketmek üzerine çalışıyor

● http://www.airdemon.net/xerxes.txt

Xerxes Demo

Slowloris

Slowloris● http://ha.ckers.org/slowloris/slowloris.pl

● Robert "Rsnake" Hansen

● 2009 Iran seçim protestosu zamanında popüler oldu.

● Bandwith kullanmıyor

● Http Get/Post üzerinden bağlantı açıp çok ağır birşekilde transfer yapıp kaynak tüketiyor.

Slowloris Demo

Apache Jmeter

Apache Jmeter

● Kompleks Load test amacı ile kullanılabiliyor (FTP,HTTP POST/GET LDAP vs)

● Mantıksal yapıda kullabiliyorsunuz (if else gibi)

● Java tabanlı● Server client mantığı ile çalışabiliyor

Apache Jmeter Demo

Sorular?