Genel Terim

DoS/DDoS hakkında genel terim ve tanımlar
DDoS saldırıları hakkında hatalı bilgiler ve düzeltmeler
Türkiye’den güncel örnek
DDoS ürünleri
Açık kaynak yazılımlar kullanarak DDoS analizi
Açık kaynak sistemler kullanarak DDoS engelleme

Neden DDOS ?

Cloud computing, Virtulization, Web 2.0, Green IT
vs gibi afilli konular varken neden DDOS konusu?
Herşeyin temeli “networking”
Teknolojiler değişir, gelişir ama TCP/IP değişmedikce DdoS saldırıları tehlike olmaya devam edecektir.

Standart Güvenlik Bileşenleri

En güvenli sistem fişi çekilmiş sistemdir

Konumuza başlamadan önce...

Gelen DDOS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok.
DDOS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez.

DOS

DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi.
DOS saldırılarında kaynak yüzlerce, binlerce farklı sistem değildir.
Bazı saldırılar özünde DOS, sonuçlarına göre DDOS’tur.
DDOS görünümlü DOS
Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi DOS saldırılarını engelleme kolaydır.

DDOS

DDOS(Distrubuted Denial of Service ) =Dağıtık
Servis Engelleme
Binlerce, yüzbinlerce sistem kullanılarak gerçekleştirilir.
Genellikle sahte IP adresleri kullanılır
BotNet’ler kullanılır
Saldırgan kendini gizler
Engellemesi zordur.

(ro)BOTNET(works)

Zombi(roBOT)lerdan oluşan yıkım orduları
Her an emir almaya hazır sanal askerlerden oluşur
Uzaktan yönetilebilirler
Sahibi adına istenen bilgileri çalar, saldırı düzenler
Hiyerarşik yapıda değildir
Genelde tek bir yönetici/komutan olur
Internet üzerinde çeşitli amaçlar için satılmaktadır.

IP Spoofing

TCP/IP paketlerini farklı IP adreslerinden geliyormuş gibi göstermek.
DoS/DDoS saldırılarında sıkça kullanılır
IP spoofing UDP tabanlı protokollerde kolaylıkla yapılabilir
Udp flood, dns flood, vs
IP spoofing TCP tabanlı protokollerde sadece bağlantı başlangıç paketi olarak yapılabilir
SYN flood, FIN flood gibi
HTTP GET flood saldırılarında IP spoofing yapılamaz.

IP Spoofing - II

Her sistem ip spoofinge izin vermez
NAT arkasındaki sistemler
İp spoof korumalı ağlar
Türkiye’de ADSL aboneleti nat arkasında olduğu için saldırılarda ip spoofing yapılamaz
3g için aynı durum geçerli değil
Hping ve benzeri araçlarla ip spoofing yapılabilir.
Hping -a microsoft.com -S -p -flood linux.com

IP Spoof Engelleme

ISP’ler isterse kendi korumaları altında olansistemlerden sahte ip adresli paketlerin çıkmasını engeller!

DDOS saldırılarını engellemedeki en büyük sıkıntı olan IP spoofing çözülürse saldırgan kimliğini/aracı sistemleri bulma kolaylaşacaktır
URPF kullanarak ip spoofing (internetten gelen paketler için dğeil) engellenebilir
Urpf RFC’si olan denenmiş bir yöntemdir.

DDOS Hakkında Yanlış Bilinenler

DDoS saldırıları sizin trafiğinizden daha yüksek boyutta olduğu için engellenemez.
Yapılan çalışmalar DDoS saldırılarının çok küçük bir bölümünün bandwith şişirme yöntemiyle gerçekleştirğini ortaya koymaktadır.

DDOS Saldırılarında Amaç

Sistemlere sızma girişimi değildir
Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak
Web sitelerinin, postaların, telefon Sistemlerinin, bankacılık sistemlerinin çalışmaması.

BotNet Oluşturma Teknikleri

Temelde iki tür yöntem vardır
Son kullanıcı bilgisayarlarını ele geçirme
Sunucuları ele geçirip kullanma
Sunucular son kullanıcılara göre daha fazla kaynağa sahip olduğu için değerlidir
ADSL abonesi max upload 1Mbps
Sunucu 100Mbps, 1Gbps ...
Son dönem moda botnet o luşturma tekniği
Sık kullanılan open source web yazılımı sitesini ele geçir,
kodlar arasında ajan yazılım yükle ve binlerce sunucuyu aynı
anda ele geçirmiş ol.

Türkiye’den Güncel Örnek

Haziran ayında çok kullanılan blog/portal yazılımının Türkçe sayfası hacklendi
Hackerlar sisteme sızıp bir sonraki blog sürümüne uzaktan yönetim amaçlı kod eklediler
İlgili siteden portal yazılımını indiren herkes aynı anda sistemlerini hackerların yönetimine teslim etmiş oldu
Bu hacking olayını engelleyecek herhangi bir güvenlik cihazı yok.

DDOS Saldırı Analizi

DDOS saldırılarında dikkate alınması gereken iki temel husus vardır

İlki saldırıyı engelleme ikincisi saldırının kim tarafından ne şiddetde ve hangi yöntemler araçlar kullanılarak yapıldığınının belirlenmesidir
Analiz kısmı genellikle unutulur fakat en az engelleme kadar önemlidir
Aynı saldırı tekrar ederse nasıl engelleme yapılacağı konusunda yol haritası çıkarılmış olmalı.

DDOS Analizi İçin Gerekli Yapının Kurulması

Amaç DDoS saldırılarında otomatik olarak devreye girip saldırıya ait delil olabilecek paketlerin kaydı

Saldırı anında paketler kaydedilirse saldırıya ait tüm detaylar istenildiği zaman öğrenilebilir

Paket kaydı hedef sistem üzerinde (Windows/Linux) veya ağ ortamında TAP/SPAN portu aracılığıyla yapılabilir
Paket kaydında tcpdump, Wireshark kullanılabilir.

Saldırı Analizinde Cevabı Aranan Sorular

Gerçekten bir DDoS saldırısı var mı?

Varsa nasıl anlaşılır?

DDOS saldırısının tipi nedir?

DDOS saldırısının şiddeti nedir?

Saldırı ne kadar sürmüş?

DDoS saldırısında gerçek IP adreslerimi spoofed IPadresleri mi kullanılmış?

DDOS saldırısı hangi ülke/ülkelerden geliyor?

Saldırı Analizinde Kullanılan Araçlar

Tcpstat

Tcpdstat

Tcptrace

Tcpdump,Wireshark

Ourmon,

Argus

Urlsnarf

Snort

Aguri

Cut,grep,awk ,wc gibi UNIX araçları

DDOS Saldırılarında Delil Toplama

DDOS saldırılarında sonradan incelenmek üzere paketler kaydedilmelidir.
Kaydedilen trafik miktarına bağlı olarak ciddi sistemlere (CPU, RAM, Disk alanı bakımından)ihtiyaç olabilir.

Paket kaydetme işlemi kesinlikle aktif cihazlar tarafından (IPS,DDoS engelleme Sistemi, Firewall) yapılmamalıdır.

Tüm paket detayları kaydedilmelidir!

Tcpdump –s0

Tcpdump ile DDoS Paketlerini Kaydetme

#tcpdump –n- w ddostest1.pcap –C 2000 –s0

-n isim -ip çözümlemesi yapma

w ddostest1.pcap dosyasına kaydet

Dosya boyutu 2GB olduktan sonra başka dosyaya yaz

-s0 pakete ait başlık ve payload bilgilerini kaydet

DDOS Saldırı Tipi Belirleme

Amaç yapılan saldırının tipini belirlemek

Hangi protokol kullanılarak gerçekleştirilmiş

TCP mi? UDP mi? ICMP mi?

İlk olarak protokol belirlenmeli

Protokol tipini belirlemek için tcpdstat aracı kullanılabilir

tcpdstat -n ddos.pcap

Saldırının Şiddetini Belirleme

Saldırının şiddetini iki şekilde tanımlayabiliriz

Gelen trafiğin ne kadar bant genişliği harcadığı

Gelen trafiğin PPS değeri

PPS=Packet Per Second

Tcpstat aracı kullanılarak trafik dosyaları üzerinde saldırının PPS değeri, ne kadar bantgenişliği harcandığı bilgileri detaylı olarak belirlenebilir.

Saldırı Kaynağını Belirleme

DDOS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır.

Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır.

Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’lermi yoksa spoofed IPler mi olduğu rahatlıkla anlaşılabilir.

Spoof IP Belirleme

Saldırının gerçek IP adreslerinden mi Spoof edilmiş IP adreslerinden mi gerçekleştirildiği nasıl belirlenebilir?

Internet üzerinde sık kullanılan DDOS araçları incelendiğinde IP spoofing seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir.

Fazlasayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak gerçekleştirildiği varsayılabilir.

Açık Kaynak Yazılımlarla DDOS Engelleme

Açık kaynak yazılımlar kullanılarak DDoS saldırıları büyük oranda engellenebilir

Linux ve türevleri DDoS engellemede yetersiz kalmaktadır

İptables’in syncookie, syn proxy özelliği yok

OpenBSD, FreeBSD packet filter ve Snort (+diğer yazılımlarla) tam teşekküllü DDoS analiz ve engelleme sistemi kurulabilir.

OpenBSD Packet Filter

BSD dünyasının de fakto güvenlik duvarı yazılımı

Piyasadaki tüm ticari

açık kod güvenlik duvarlarının teknik kabiliyetlerinin üzerindedir

100Mb hat %3 CPU kullanımı (100.000 session)

Kullanımı UNIX/Linux sistemlerin tersine çok kolaydır

İngilizce yazar gibi kural yazma kolaylığı

Pass in on $ext_if proto tcp from 1.1.1.1 to 1.1.1.2 port 80

Packet Filter Firewall Özellikler

IP başına session başına limit koyma özelliği

SYN Proxy özelliği
–TCP authentication özelliği

HA(Yüksek bulunurluk) özelliği

Anormal paketleri (port tarama, işletim sistemi saptama, traceroute vs) engelleme özelliği

DDOS Koruma:Anormal Paketler

TCP bağlantılarında ilk paket mutlaka SYN olmalıdır

FIN flood, ACK flood, PUSH flood gibi saldırılarda ilk paket SYN değildir.

State Tablosu Belirleme

Toplamda kaç adet session(durum) tutulacağını belirler

Fiziksel ram miktarıyla doğru orantılıdır

set limit states 10500000

Kaç adet kaynak IP adresine ait bilgi tutulacağını
belirler

set limit src -nodes 5000000

FIN/ACK/PUSH Flood Engelleme

TCP connection flood engelleme özelliği

Temel mantık:İlk gelen paketin SYN olma zorunluluğu

pass in log(all) on $ ext_if proto tcp to $WEB_SUNUCU port 8000 flags S/SA keep state

Syn Flood Engelleme

Packet Filter syn flood engelleme yöntemlerinden syn cookie değil syn proxy’i kullanır.

Syn proxy sesssion tuttuğu için sistemdeki fiziksel ram miktarı önemlidir.

Packet Filter SynProxy Kullanımı

pass in log(all) on $ ext_if proto tcp to
$ web_server port {80 443} flags S/SA synproxy state

HTTP GET/POST Flood Engelleme

HTTP GET/POST flood saldırılarında IP spoofing yapılamaz

Saldırının başarılı olması için binlerce IP adresinden onlarca HTTP GET paketi gönderilmelidir

OpenBSD PF kullanarak bir IP adresinden eş zamanlı veya belirli süree gelebilecek paket sayısını kısıtlayabiliriz

Rate limiting özelliği

Belirli seviyenin üzerinde paket gönderenler engellenir!

HTTP GET Flood Engelleme -II

HTTP GET paketi boyutu 400 Byte

TCP SYN paketi boyutu 60 Byte

HTTP GET flood saldırılarında sahip olduğumuz bandwith’in 8 katına kadar DDOS saldırılarını başarıyla engelleyebiliriz

Nasıl mı?

Packet Filter HTTP Flood Engelleme

pass in log(all) quick on $ ext_if proto tcp\
to $ web_server port {80 443} flags S/SA\
synproxystate (max -src -conn 400, max-src-conn- rate 90/3, overload <ddos_host> flush global)

Ülkelere Göre IP Adresi Engelleme

Özellikle spoof edilmeiş IP kullanılan saldırılarda trafik yoğun olarak bir ülkeden geliyorsa o ülkeye ait ip blokları tümden engellenebilir!

O ülkeden glecek ziyaretcilere farklı bir sayfa gösterilmelidir!

Unicast Reverse Path Forwarding

IP spoofing yapılmasını engelleme amaçlı standart bir özelliktir.

Unicast Reverse Path Forwarding

IP spoofing yapılmasını engelleme amaçlı standart
bir özelliktir.
block in quick from urpf-failed label uRPF

DDOS-BotNet Çalışma Grubu

DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla 2010 yılında kurulmuştur.

E-posta listesi ve çalışma grubu olarak faaliyet göstermektedir.

http://www.lifeoverip.net/ddos-listesi/adresindenüye olabilirsiniz.

Sadece kurumsal katılıma açıktır.

NetSec Ağ Ve Bilgi Güvenliği Topluluğu

Türkiye’nin en geniş katılımlı bilgi güvenliği e-posta listesi ve topluluğu
~1200 üye

Ücretsiz üye olabilirsiniz.

Güvenlik dünyasında yayınlanan önemli haberler, güvenlik yamaları ve birçok teknik konuda tartışma...
Üyelik için NetSec Ağ ve Bilgi Güvenliği Topluluğu

Kaynak : Hosting Firmalarına yönelik DDoS Saldırıları ve Çözüm Önerileri | Complexity is the enemy of Security