Download - DDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve KorunmaYolları
Huzeyfe ÖNAL
Bilgi Güvenliği AKADEMİSİ
www.bga.com.tr
Konuşmacı Hakkında |Huzeyfe ÖNAL
• Bilgi Güvenliği Danışmanı (iş hayatı)
– Bilgi Güvenliği AKADEMİSİ(www.bga.com.tr)
• Ağ Güvenliği Araştırmacısı (gerçek hayat)
• Kıdemli DDoS Uzmanı
• Blogger
– www.lifeoverip.net
Neden DDoS’a Özel Bir Etkinlik?
• Güvenliğin en önemli bileşeni=Availability
• Gün geçtikce önemi artan bir konu
• Tehdit sıralamasında en üstlerde
– En büyük eksiklik temel ağ bilgisi
– Tecrübesizlik
– Varolan ürünleri doğru yapılandıramama
Ajanda
• DoS/DDoS hakkında genel terim ve tanımlar
• DDoS saldırıları hakkında hatalı bilgiler ve düzeltmeler
• DDoS saldırı çeşitleri
• Zombi, botnet oluşturma araç ve yöntemleri
• Türkiye ve dünyadan DDoS saldırı örnekleri
• “Teknik detay ve uygulamalar ikinci kısımda”
Standart Güvenlik Bileşenleri
• Hatalı bilgi
– En güvenli sistem fişi çekilmiş sistemdir!
Confidentiality
AvailabilityIntegrity
Confidentiality
Integrity Availability
Başlamadan Önce...
• Gelen DDOS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok!
• DDOS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez!
Gürcistan DDOS saldırısı 200-800 Mbps arası
DOS
• DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi.
• DOS saldırılarında kaynak yüzlerce, binlerce farklı sistem değildir.
• Bazı saldırılar özünde DoS, sonuçlarına göre DDoS’tur
– DDoS görünümlü DoS
– Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi
• DoS saldırılarını engelleme kolaydır
DDoS
• DDOS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme
• Binlerce, yüzbinlerce sistem kullanılarak gerçekleştirilir.
• Genellikle sahte IP adresleri kullanılır
• BotNet’ler kullanılır
• Saldırgan kendini gizler
• Engellemesi zordur!
DOS/DDoS Hakkında Yanlış Bilinenler
• Bizim Firewall tek başına DDoS’u engeller
• Bizim IPS tek başına DOS/DDoS’u engeller
• Linux DDoS’a karşı dayanıklıdır
• Biz de DDoS engelleme ürünü var, korunuyoruz!– Yapılandırılmış mı? Test edilmiş mi?
• Donanım tabanlı firewallar DDoS’u engeller
• Bizde antivirüs programı var– Sistemlerimize kötücül yazılım bulaşmaz!
• DOS/DDOS Engellenemez
DDoS Hakkında Yanlış Bilinenler
• DDoS saldırıları sizin trafiğinizden daha yüksek boyutta olduğu için engellenemez.
• Yapılan çalışmalar DDoS saldırılarının çok küçük bir bölümünün bandwith şişirme yöntemiyle gerçekleştirğini ortaya koymaktadır.
DDoS Saldırılarında Amaç
• Sistemlere sızma girişimi değildir!!
• Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak
• Web sitelerinin ,
E-postaların, telefon
Sistemlerinin, bankacılık
sistemlerinin çalışmaması
Niye Yapılır?
• Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir
– Ya benimsin ya ...
• Politik sebepler
– Ülkeler arası anlaşmazlıklarda(Gürcistan, Estonya, İsrail...)
• Ticari sebepler
– Rakip firma, Google’da üstte çıkma
• Can sıkıntısı & karizma amaçlı
– Bahis amaçlı(forumlarda)
Neden Kaynaklanır?
DOS/DDOS
Yazılım-BUG
Bind Cisco
Protokol Tasarım Eksikliği
TCP Syn flood
DoS Sadece Internette Mi Geçerlidir?
• DoS bir saldırı şeklidir ve ağ kavramının geçerli olduğu her ortamda gerçekleştirilebilir.
• Temel sebep protokol tasarımlarının günümüze hitap etmemesi
• DoS saldırıları:
– Yerel ağlarda gerçekleştirilebilir
– Kablosuz ağlarda gerçekleştirilebilir
– Internet üzerinden gerçekleştirilebilir
Yerel Ağlarda DoS Tehlikesi
• Yerel ağlarda zorunlu kullanıma sahip ARP protokolünün doğasında bulunan zaafiyetler kullanılarak tek paketle tüm ağ işlevsiz kılınabilir.
• Yerel ağdaki tüm sistemlere gateway sistemin MAC adresi hatalı olarak bildirilirse
– Tüm sistemler gatewaye ulaşmak isterken paketleri boşa gider.
• #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.255 -H 00:01:02:03:04:05 -M FF:FF:FF:FF:FF:FF
Kablosuz Ağlarda DoS Tehlikesi
• Kablosuz ağlarda kullanılan güncel protokollerde –ağda WEP/WPA/WPA2 kullanılmasına bakmaksızın- DoS mümkündür
• AccessPoint’den geliyormuş gibi tüm bağlı istemcilere de-auth paketleri gönderilir.
DDoS Bileşenleri
Kötü niyet
Kötü adamlar
MalwareZombi/Botnet
C&C
(ro)BOTNET(works)
• Zombi(roBOT)lerdan oluşan yıkım orduları!
• Her an emir almaya hazır sanal askerlerden oluşur
• Uzaktan yönetilebilirler
– Sahibi adına istenen bilgileri çalar, saldırı düzenler
• Hiyerarşik yapıda değildir
– Genelde tek bir yönetici/komutan olur
• Internet üzerinde çeşitli amaçlar için satılmaktadır
Nasıl Zombi Olunur?
Zombi Adımları
BotNet Kullanım Amaçları
• Yeraltı siber ekonomisinin en güçlü kazanç kapısı– SPAM amaçlı kullanılır
– Google reklamlarından para kazanma amaçlı
– Google Adword’de öne çıkma veya bir firmayı geri düşürme amaçlı kullanılabilir
– Anket manipülasyonu
– DDoS yapmak için kullanılabilir
– Bilgi çalma amaçlı kullanılabilir
– Yeni malware yayma amaçlı
BotNet’ler Üzerinden Toplanan Kredi Kartları
BotNet Piyasası
Türkiye BotNet Piyasası
Asıl piyasaya internet üzerinden ulaşmak pek mümkün değil.
Türkiye dünya BotNet piyasasında önemli yere sahiptir.
Nasıl Yönetilir?
• P2P, IRC, WEB, Twitter
IRC Üzerinden BotNet Yönetimi
Türkiye’den Güncel Örnek
• Haziran ayında çok kullanılan blog/portal yazılımının Türkçe sayfası hacklendi
• Hackerlar sisteme sızıp bir sonraki blog sürümüne uzaktan yönetim amaçlı kod eklediler
• İlgili siteden portal yazılımını indiren herkes aynı anda sistemlerini hackerların yönetimine teslim etmiş oldu
– Bu hacking olayını engelleyecek herhangi bir güvenlik cihazı yok.
Güncel Pasif BotNet Örneği(Türkiye)
Nasıl Farkedilir?
• Garip trafik davranışları– SPAM
– DDoS
• Belirli alan adlarına(BotNet yönetim sistemleri) gönderilen istekler– Zeus Tracker
• Suç amaçlı kullanılan botnet yönetim IP adreslerine yapılan bağlantılar– Russian Business Network
Türkiye ve Dünyadan DDoS Örnekleri
• Dönem dönem DDoS saldırıları medyanın ilgi odağı olmaktadır
• 2000’li yıllarda Amazon, Ebay, Yahoo! Gibi sistemlere yönelik saldırılar sonrası
• 2007 Root DNS saldırıları
• 2008- Gürcistan, Estonya siber saldırıları
• 2010 Wikileaks, Mavi Marmara, Youtube protestosu!
I.H.H
• 2010 Mavi Marmara olayından sonra• İsrail IP adreslerinden ciddi miktarda DDoS saldırısı
• Türkiye’den misilleme– Gönüllü DDoS saldırısı
İsrail, Türkiye IP Bloklarını Engelledi
Türkiye’den yapılan bağlantı-başarısız
Amerika’dan yapılan bağlantı-başarılı
•Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri ulaşılamaz duruma geldi.•Kısa sürede Türkiye’den gelen istekleri engelleyerek geçici çözüm bulundu•Aynı yöntem Estonya tarafından da kullanılmıştı.
Youtube Protestosu
• TIB
• BTK
• Tubitak
• Ulaştırma Bakanlığı
Devlet Sistemlerine Yönelik Toplu DDoS
Dünyadan DOS/DDOS Örnekleri
Dünyadan DDOS Örnekleri|Gürcistan
Dünyadan DDOS Örnekleri|Estonya
Wikileaks DDoS Saldırıları
• Wikileaks olayının patlak vermesinden sonra çift taraflı DDoS saldırıları başladı– Bir taraf Wikileaks.org sistemlerine yönelik saldırı
başlattı
– Diğer taraf Wikileaks’e kapılarını kapatan firmalara(Paypal, Visa...) yönelik saldırı başlattı
• Gönüllü BotNet kurulumu konusunda ilk defa bu kadar yüksek seviyeye ulaşıldı!– Gönüllü olarak botnete katılanların IP adresleri kayıt
altına alındı.
Bize DDoS Yapılmaz Düşüncesi
• Dikkat çeken her sistem(sadece web sayfası değil) eğer koruma altında değilse her an DDoS saldırısıyla karşı karşıya kalabilir
• Yerli hackerlar henüz kurumsal sistemlere yönelik saldırılara başlamadı
– Genellikle hosting firmalarına yönelik ve e-ticaret sitelerine yönelik saldırılar görülmekte
DDoS Çeşitleri
En Sık Tercih Edilen DDoS Atak Tipleri
DOS/DDOS Çeşitleri
• Bandwidth şişirme– Udp flood, icmp flood (diğer tüm tipler)
• Kaynak tüketimi(Firewall, server)– Synflood, ACK/FIN flood, GET/POST Flood, udp flood, Dns
flood
• Programsal hata– Bind DOS
• Protokol istismarı– DNS amplification DOS
• Sahte IP kullanımı/ Gerçek IP kullanımı
• Uygulama seviyesi DDoS atakları
DDOS-I:Bandwidth Şişirme
• Önlemenin yolu yoktur
– Sürahi bardak ilişkisi
• ISP seviyesinde engellenebilir...
• L7 protokolleri kullanılarak yapılan DDOS’larda saldırı trafiği çeşitli yöntemlerle ~6’da birine düşürülebilir
– HTTP GET flood 400 Byte
– IP Engelleme sonrası sadece syn paketi gelir(60 byte)
DDOS-II:Ağ/güvenlik Cihazlarını Yorma
• Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme
• Session bilgisi tutan ağ/güvenlik
cihazlarının kapasitesi sınırlıdır
Uygulama Seviyesi DDoS Atakları
• Son yıllarda tırmanışta
• Engellemesi diğer DDoS tiplerine oranla daha zor/kolay
• IP spoofing yapılamaz
– Engelleme için avantaj.
• Normal bağlantılardan
ayırt etmek zorlaşıyor
DDoS Saldırılarında Eski yöntemler
• DDoS saldırıları en çok 2000’li yıllarda medyanın dikkatini çekmiştir
– Amazon
– Ebay
– Yahoo
– Root Dns saldırıları
• Günümüzdeki DDoS kaynaklarının çoğu eski tip DDoS ataklarını ve araçlarını anlatır
• Günümüzde eski tip yöntem, araç kullanan DDoS saldırılarına rastlamak çok zor
Eski Yöntem DDoS Saldırıları
• Smurf
• Teardrop
• Ping Of Death
• Land Attack
Smurf atağı
Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)
ICMP ve UDP Paketleri Broadcast olarak gönderilebilir
Smurf Atağı Artık Çalışmaz. Neden ?
• Tüm router ve işletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez!
root@seclabs:~# sysctlnet.ipv4.icmp_echo_ignore_broadcastsnet.ipv4.icmp_echo_ignore_broadcasts = 1
Eski Araçlar...
Günümüzde Tercih Edilen Yöntemler
• Eski araçlar, eski yöntemler günümüzde çalışmaz!
• Yeni Yöntemler
– SYN Flood *
– HTTP Get /Post Flood *
– UDP Flood *
– DNS Flood
– Amplification DNS DDoS saldırıları
– BGP protokolü kullanarak DOS
• * ‘lı saldırılar eskiden de yapılırdı.
Yeni Araçlar
• Hping
• Juno (eski ama eskimeyen araç)
• Netstress
• Günümüzde ciddi saldırılarda daha çok BotNet yazılımları kullanılır
– Zeus Botnet
– Yes Exploit System
– Russ Kill
BotNet Yönetim Ekranı
Türkiye DDoS Anket Çalışması
DDoS-BotNet Çalışma Grubu
• DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla 2010 yılında kurulmuştur.– E-posta listesi ve çalışma grubu olarak faaliyet
göstermektedir.
• http://www.lifeoverip.net/ddos-listesi/ adresinden üye olabilirsiniz.– Sadece kurumsal katılıma açıktır.
NetSec Ağ Ve Bilgi Güvenliği Topluluğu
• Türkiye’nin en geniş katılımlı bilgi güvenliği e-posta listesi ve topluluğu
– ~950 üye
• Ücretsiz üye olabilirsiniz.
• Güvenlik dünyasında yayınlanan önemli haberler, güvenlik yamaları ve birçok teknik konuda tartışma...
• Üyelik için
– http://www.lifeoverip.net/netsec-listesi/
Bilgi Güvenliği AKADEMİSİ