siber savas ddos

Siber Saldr Arac Olarak DDoS

Huzeyfe NAL

Bilgi Gvenlii AKADEMS

www.bga.com.tr

Konumac Hakknda |Huzeyfe NAL

Bilgi Gvenlii Danman (i hayat)

Bilgi Gvenlii AKADEMS(www.bga.com.tr)

A Gvenlii Aratrmacs (gerek hayat)

Kdemli DDoS Uzman

Blogger

www.lifeoverip.net

Bilgi Gvenlii AKADEMS|www.bga.com.tr Siber Saldr Arac Olarak DDoS

http://www.bga.com.tr/http://www.lifeoverip.net/

Ama

Son yllarn en popler saldrlarndan biri olan DDoSun ne kadar kolay gerekletirilip ne kadar zor engellenebildiinin uygulamal olarak gsterimi..


Ajanda

DoS/DDoS hakknda genel terim ve tanmlar

DDoS saldrlar hakknda hatal bilgiler ve dzeltmeler

DDoS saldr eitleri

Trkiye ve dnyadan DDoS saldr rnekleri

Teknik detay ve uygulamalar


Siber Saldrlar

ki trldr:

Bilginin gizliliini ihlal etme amal saldrlar

Bilgiye eriimi aksatma amal saldrlar

Gizlilik ihali

RSA, SONY rnekleri

Eriim aksatma

Anonymous saldrlar(Trkiye, Malezya, Paypal, Mastercard)


DOS/DDoS Saldrlar

Neden DDoS saldrlar youn olarak kullanlmaya baland?

En basit saldr tipi!

Bir adet 100 Mb sunucu+ekmek+ya+un+su...


Balamadan nce... Gelen DDOS saldrs sizin sahip olduunuz

bantgeniliinden fazlaysa yaplabilecek ok ey yok!

Delikanlla smayan saldr tr!

DDOS saldrlarnn byk ounluu bantgenilii tarma eklinde gereklemez!

Grcistan DDOS saldrs 200-800 Mbps aras


DOS

DOS(Denial Of Service) = sistemleri alamaz hale getirmek iin yaplan saldr tipi.

DOS saldrlarnda kaynak yzlerce, binlerce farkl sistem deildir.

Baz saldrlar znde DoS, sonularna gre DDoStur DDoS grnml DoS

Tek bir sistemden yaplan spoof edilmi IP kullanlan SYN flood saldrlar gibi

DoS saldrlarn engelleme kolaydr


DDoS

DDOS(Distrubuted Denial of Service ) =Datk Servis Engelleme

Binlerce, yzbinlerce sistem kullanlarak gerekletirilir.

Genellikle sahte IP adresleri kullanlr

BotNetler kullanlr

Saldrgan kendini gizler

Engellemesi zordur!


DDoS Hacking Yntemi midir?

Deildir .


DDoS eitleri


TCP ve UDP Protokollerinde IP Spoofing

TCP

TCPde sadece balant balang paketleri spoof edilebilir.

Veri tayan TCP paketleri spoof edilemez

Veri tama ncesi kurulmas gereken l el skma aamas vardr

HTTP, HTTPS, SMTP, POP3 gibi uygulama katman protokollerde ip spoofing teoride mmkndr!

UDP

Mmkndr

Her tr UDP paketi spoof edilmi ip adreslerinden gnderilebilir.

DNS istekleri sahte ip adreslerinden gnderilebilir

UDP kullanan servisler (DNS vs) ip spoofingi engellemek iin ek yntemler gelitirmitir.


Paket Boyutlar

DDoS saldrlarnda paket boyutlar ok nemlidir Saldrgann ne kadar paket gnderebilecei,

kurbann ne kadar trafik kaldrabilecei paket boyutlaryla dorudan orantldr

Genel geer kural: paket boyutu kldke gvenlik sistemlerinin performans der!

Ortalama Bir TCP paketi 60 Byte Bir UDP paketi 40 Byte Bir HTTP paketi 400 Byte


100-1000 Mb ile Ne Yaplabilir? Saldr Tipine gre

SYNFlood olursa [100 Mb 200.000 pps]

[1Gb 2.000.000 pps]

UDP flood olursa [100Mb 400.000pps]

[1Gb 4.000.000 pps]

GET Flood olursa [100Mb 32.000 pps]

[1Gb 320.000 pps]

100Mb=100x1024Kb=100x1024x1024b=104857600bit

104857600bit/8=13107200byte/60=218.000 pps

TCP SYN paket boyutu


DDOS-I:Bandwidth Doldurma

nlemenin yolu yoktur Srahi bardak ilikisi

ISP seviyesinde engellenebilir...

L7 protokolleri kullanlarak yaplan DDOSlarda saldr trafii eitli yntemlerle ~6da birine drlebilir HTTP GET flood 400 Byte

IP Engelleme sonras sadece syn paketi gelir(60 byte)


DDOS-II:A/gvenlik Cihazlarn Yorma Ama a-gvenlik sistemlerinin kapasitesini

zorlama ve kaldramayacaklar kadar yk bindirme

Session bilgisi tutan a/gvenlik

cihazlarnn kapasitesi snrldr

Max session 10.000.000


Sk Gerekletirilen DDoS Saldrlar

SYN FloodHTTP Flood

UDP Flood

DNS Flood


SynFlood

Hedef sisteme kapasitesinin zerinde SYN paketi gndererek yeni paket alamamasn salamaktr

En sk yaplan DDoS saldr tipidir

lk olarak 1994 ylnda Firewalls and Internet Security kitabndan teorik olarak bahsi gemitir

lk Synflood DDoS saldrs 1996 ylnda gerekletirilmitir


Nasl Gerekletirilir?

Syn Flood saldrs basitce ak bir porta hedef sistemin kapasitesinden fazla gnderilecek SYN paketleriyle gerekletirilir.

Buradaki kapasite tanm nemlidir. Teknik olarak bu kapasiteye Backlog Queue denilmektedir.

Saldry yapan kendini gizlemek iin gerek IP adresi kullanmaz


Backlog Queue Kavram(Kapasite)

letim sistemleri ald her SYN paketinekarlk l el skmann tamamlanaca anakadar bellekten bir alan kullanrlar, bu alanTCB olarak adlandrlr

Bu alanlarn toplam backlog queue olarakadlandrlr.

Baka bir ifadeyle iletim sisteminin half-open olarak ne kadar balant tutabileceini backlog queue veriyaps belirler.


Problem|Uygulama


SynFlood Saldrlarn Engelleme

Syn Flood Saldrs gerekletirme ok kolaydr Syn flood saldrlarn engellemek ok kolaydr Syn flood saldrlar iin tm dnya iki(+1) temel

zm kullanr Syn cookie Syn proxy

Bunun haricinde sk tercih edilmeyen iki yntem daha vardr DFAS(Drop First Accept Second)* Anormallik tespiti


SynCookie

Syncookie aktif edilmi bir sistemde gelen SYN paketi iin sistemden bir kaynak ayrlmaz

SYN paketine dnecek cevaptaki ISN numaraszel olarak hesaplanr(kaynak.ip+kaynak.port+.hedef.ip+hedef.port+xdeeri) ve hedefe gnderilir

Hedef son paket olan ACKi gnderdiinde ISN hesaplama ilemi tekrarlanr ve eer ISN numaras uygunsa balant kurulur Deilse balant iptal edilir


Uygulama|Syn Flood Analizi


HTTP Flood

HTTP Protokol kullanlarak gerekletirilen DoS/DDoS saldr tipi

Neden HTTP?

%99,999 firma/kurum dar HTTP servisini am durumdadr.

HTTP en kolay hedeftir!

Literatrde GET Flood, POST Flood olarak geer.


GET/POST Flood Saldrlar

Synflood iin nlem alnan yerlere kar denenir

Daha ok web sunucunun limitlerini zorlayarak sayfann ulalamaz olmasn salar

nlemesi Synflooda gre daha kolaydr

HTTP iin IP spoofing pratik olarak imkanszdr.

#ab n 100000 c 5000 http://www.google.com/


http://www.google.com/

HTTP Flood Test Aralar

Netstress

Ab

Siege

DOSHTTP

Skipfish

Jmeter


HTTP Flood Engelleme

HTTP Flood saldrlarn normal HTTP isteklerinden ayrt etmek olduka gtr.

Genel HTTP Flood belirleme yntemleri: Bir ip belirli saydan fazla GET/POST istei

gndermektedir (f5 tuu?) Proxy arkasndan yzlerce sistem balanyor olabilir

Gelen saldrda HTTP balk bilgileri tam deildir Referrer bilgisi eksik, User-agent eksik, Protokol bilgisi eksik,

URL olarak sadece ana sayfa defalarca isteniyor...

Rate limiting ya da balk bilgisi kullanlarak engellenebilir False positive riski ...


Uygulama|HTTP Flood Analizi


UDP Flood

UDP paketleri kullanlarak gerekletirilir

Hedef sistemde ak (Firewalldan) Udp portu varsa bu porta ynelik gnderilecek her udp paket oturum tablosunda yer edinecektir

Bir udp paketi iin timeout suresi ortalama 60 sn.

UDP paketleri kktr.

100 Mb ile 300.000 UDP paketi gnderilebilir.


UDP Flood Engelleme

Kesin bir yntem yoktur!

IP spoofing her durumda mmkndr, engellenemez!

Genel engelleme yntemleri

Gereksiz udp portlarnn kapatlmas!

Ak portlarda protokol kontrol

Gelen paket DNS mi? Bo udp paketi mi?

Rate limiting

Belirli saydan fazla udp paketi gnderenleri karantinaya al

False positive durumu...


Uygulama|UDP Flood Analizi


DNS Flood

DNS sunucuya apoof edilmi random ip adreslerinden yzbinlerde sahte(gerekte olmayan) domain isimleri iin istek gnderme

Her gelen istek iin DNS sunucunun root dnslere gidip yorulmas ve gerek isteklere cevap verememesi salanmaya allr DNS sunucunun kapasitesini zorlama

DNS Sunucuya bo dns paketleri gnderme(session says doldurma amal)


DNS Flood rnei

Sahte IP adreslerinden yaplabilir

Veya zel bir IP adresinden geliyormu gibi gsterilebilir.


Dns Flood Engelleme

IP bana yaplacak sorgu saysn belirleme

DNS sunucular an dnda gl sistemlerde tutma

Kiralama

Saldr annda gelen DNS isteklerini UDPden TCPe evirip SYN Cookie vs altrma

lk istei reddet ayn istek ikinci kere gelirse kabul et!


Uygulama|DNS Flood Analizi


Trkiyeden Gncel rnek Gncel saldr

DNS Flood

Kaynak IP Adresleri

Saldrgan gerek DNS sunucu ip

Adreslerini spoof ederek gnderiyor paketleri

Nasl engellenecek?

IP engelleme?

Rate limiting?

195.175.39.3195.175.39.5195.175.39.7195.175.39.9195.175.39.11195.175.39.13195.175.39.15195.175.39.17195.175.39.75195.175.39.76195.175.39.77195.175.39.81195.175.39.136195.175.39.137195.175.39.138195.175.39.229


Sonu

DDoS klasik bir saldr tipi deildir, klasik yntem ve aralarla engellenemez!

DDoS bir altyap problemidir! Altyapnz ne kadar gl tutarsanz (Altyap!= fiziksel altyap) o kadar korunakl olursunuz.

DDoS saldrlarnda en nemli bileen TCP/IP bilgisidir.


DDoS-BotNet alma Grubu

DDoS&BotNet konusundaki bilin dzeyini arttrmak ve bu konudaki gelimeleri paylamak amacyla 2010 ylnda kurulmutur. E-posta listesi ve alma grubu olarak faaliyet

gstermektedir.

http://www.lifeoverip.net/ddos-listesi/adresinden ye olabilirsiniz. Sadece kurumsal katlma aktr.


http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/http://www.lifeoverip.net/ddos-listesi/

NetSec A Ve Bilgi Gvenlii Topluluu

Trkiyenin en geni katlml bilgi gvenlii e-posta listesi ve topluluu ~950 ye

cretsiz ye olabilirsiniz.

Gvenlik dnyasnda yaynlanan nemli haberler, gvenlik yamalar ve birok teknik konuda tartma...

yelik iin http://www.lifeoverip.net/netsec-listesi/


http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/http://blog.lifeoverip.net/netsec-listesi/

Bilgi Gvenlii AKADEMS


siber savas ddos

Documents