web ddos ve performans
TRANSCRIPT
Web Uygulamarına Yönelik DoS DDoS
Saldırıları ve Performans TestleriBarkın Kılıç@barknkilic
localhost ~ $ id barkink
● Eski ve daimi sistem yöneticisi
● Linuxcu
● Pentester
● Eğitmen
Aj(an)da
● Kavramlar ( DoS/DDos Nedir)● 5N1K (Ne? Ne zaman? Nerede? Nasıl?
Neden? Kim?)● DoS/DDoS çeşitleri ve HTTP ● Biraz İstatistik● Biraz Medyada DoS● Kullanılan araçlar (Hulk,Slowloris,Xerxes,
Jmeter)● Demo● Sorular
What the...?
● DoS(Denial of Service)
● DDos(Distributed Denial Of Service)
● Zombi
● BotNet(Robot Networks)
● IP Sahteciliği
DOS ? DDOS
• DOS(Denial Of Service) = sistemleri çalışamazhale getirmek için yapılan saldırı tipi• DDOS(Distrubuted Denial of Service ) DOSsaldırısının yüzlerce, binlerce farklı sistemdenyapılması• Genellikle spoof edilmiş ip adresleri vezombiler kullanılır
Zombi & Botnet
• Zombi: Emir kulu– Çeşitli açıklıklardan faydalanılarak sistemlerinesızılmış ve arka kapı yerleştirilmiş sistemler– Temel sebebi: Windows yamalarının eksikliği• BotNet – roBOTNETworks• Zombilerden oluşan sanal yıkım orduları• Internette satışı yapılmakta
DDoS Sonuçları
● Finansal Kayıp
● Prestij Kaybı
● Zaman Kaybı
Kim?
● Hacker?
● Devletler
● Sıradan kullanıcılar
BotNet C&C Yönetim arayüzü
BotNet C&C Arayüzü Ülkeler Dağılımı
DOS hakkında yanlış bilinenler
● Bizim Firewall DOS’u engelliyor● Bizim IPS DOS/DDOS’u engelliyor...● Linux DOS’a karşı dayanıklıdır● Biz de DDOS engelleme ürünü var● Donanım tabanlı firewallar DOS’u engeller● Bizde antivirüs programı var● DOS/DDOS Engellenemez
Ne zaman?
İlk olarak Michal Zalewski ve Adrian Ilarion Ciobanu tarafından 2007'de bahsedildi.
http://www.securityfocus.com/archive/1/456339/30/0/threaded
2009'da Robert "RSnake" Hansen tarafından geliştirilen Slowloris ile popülerleşti.
Neden?
● Sistemlere sızma değil
● Web sitelerinin çalışmaması
● Sistemlerin çalışmaz hale gelmesi
Neden?
• Sistemde güvenlik açığı bulunamazsa zararverme amaçlı yapılabilir
• Politik sebeplerden
• Ticari sebeplerle
• Can sıkıntısı & karizma amaçlı
2011 DDoS İstatistikleri
Nerde? 2011 DDoS Ülkeler
Eskiden DDoS Saldırıları Layer 4 Üzerine Yoğun Olurdu
ICMP Saldırıları
● Broadcast adresine gönderilen spoof edilmiş bir echo request paketi ile network'teki herkesin kurbana cevap dönmesi ve bu şekilde kurbanın bandwith kaynağını tüketme saldırısı
● Ping of Death, standart en fazla büyüklüğü aşılan(65535) bir paket ile karşı makinanın bu paketi birleştirirken yaşadığı sorun sebebi ile işletim sisteminin çakılması
Son Zamanlardaki Yöntemler
● SYN Flood
● HTTP Get / Flood
● UDP Flood
● DNS DOS
● Amplification DOS saldırıları
DNS Servisine Yapılan Saldırılar
● UDP protokolü ile çalışır, ip sahteciliği yapmak mümkündür
● Saldırıyı tespit etmek zordur.
● İnternetin kalbi olması sebebi ile internet kesintisi gibi algılanabilir. Sayfaya erişemiyorum gibi şikayetler olabilir, halbuki sayfa yada sunucu çalışmaktadır
Layer 4 Attacks
● Sunucu yada Network cihazlarında bant genişliği veya bağlantı limitlerini doldurarak yapılan saldırılar
● Layer 4 güvenlik çözümleri genelde bu saldırılara karşı başarılı oluyorlar.
Layer 7 DDoS Saldırıları
● Uygulama seviyesinde yapılan saldırılardır
● HTTP(S), SMTP, FTP, LDAP vs
Layer 7 Saldırıların Etkisi
● TCP ve UDP bağlantıları onarmal olmayan ve IPS/IDS leri kızdırmayacak şekilde.
● Normal uygulama talepleri gibi yapılan normal bir trafik olarak gözükmesi
● Daha az bağlantı ve paket gerektirmesi ve bunun yanında etkisinin yüksek olması
Layer 7 DDoS Web Saldırı Türleri
● Hatalı kodlanmış uygulamalar veya servis ayarları üzerinden servis dışı bırakma (Kendi ayağından vurmak)
● HTTP yada HTTPS zaafiyeti üzerine yoğunlaşacağız
HTTP GET => Michal Zalewski, Adrian IlarionCiobanu, RSnake (Slowloris)HTTP POST => Wong Onn Chee
DDoS Örnekleri
DDoS Örnekleri
DDoS Örnekleri
DDoS Örnekleri
Bazı Tool (Araçlar)
● Kullandıkları teknikler bakımından farklılık gösteren ve amaca göre kullanabilecek farklı programlardan bahsedicem
● Kimler yazmış, ne şekilde kullanılır örnek vererek bahsedelim
HULK(HTTP Unbearable Load King)
Hulk
● http://www.sectorix.com/2012/05/17/hulk-web-server-dos-tool/
● Barry Shteiman (Sectorix)● User Agent değiştiriliyor devamlı● Referer bilgisi değiştiriliyor● Keep-Alive yakalamak● no-cache ● URL sürekli eşsiz olması sağlanıyor
Hulk Demo
Xerxes
● th3j35t3r
● Kasım 2010'da Wikileaks, Amazon, Wikileaks
● Basic Authantication Header üzerinden sunucuda kaynak tüketmek üzerine çalışıyor
● http://www.airdemon.net/xerxes.txt
Xerxes Demo
Slowloris
Slowloris● http://ha.ckers.org/slowloris/slowloris.pl
● Robert "Rsnake" Hansen
● 2009 Iran seçim protestosu zamanında popüler oldu.
● Bandwith kullanmıyor
● Http Get/Post üzerinden bağlantı açıp çok ağır birşekilde transfer yapıp kaynak tüketiyor.
Slowloris Demo
Apache Jmeter
Apache Jmeter
● Kompleks Load test amacı ile kullanılabiliyor (FTP,HTTP POST/GET LDAP vs)
● Mantıksal yapıda kullabiliyorsunuz (if else gibi)
● Java tabanlı● Server client mantığı ile çalışabiliyor
Apache Jmeter Demo
Sorular?