1. DDoS Saldırıları ve Korunma
Yolları
Huzeyfe ÖNAL
Bilgi Güvenliği AKADEMİSİ
www.bga.com.tr
2. Konuşmacı Hakkında |Huzeyfe ÖNAL
• Bilgi Güvenliği Danışmanı (iş hayatı)
– Bilgi Güvenliği AKADEMİSİ(www.bga.com.tr)
• Ağ Güvenliği Araştırmacısı (gerçek hayat)
• Kıdemli DDoS Uzmanı
• Blogger
– www.lifeoverip.net
3. Neden DDoS’a Özel Bir Etkinlik?
• Güvenliğin en önemli bileşeni=Availability
• Gün geçtikce önemi artan bir konu
• Tehdit sıralamasında en üstlerde
– En büyük eksiklik temel ağ bilgisi
– Tecrübesizlik
– Varolan ürünleri doğru yapılandıramama
4. Ajanda
• DoS/DDoS hakkında genel terim ve tanımlar
• DDoS saldırıları hakkında hatalı bilgiler ve
düzeltmeler
• DDoS saldırı çeşitleri
• Zombi, botnet oluşturma araç ve yöntemleri
• Türkiye ve dünyadan DDoS saldırı örnekleri
• “Teknik detay ve uygulamalar ikinci kısımda”
5. Standart Güvenlik Bileşenleri
• Hatalı bilgi
– En güvenli sistem fişi çekilmiş sistemdir!
Confidentiality
Confidentiality
Integrity
Integrity
Availability
Availability
6. Başlamadan Önce...
• Gelen DDOS saldırısı sizin sahip olduğunuz
bantgenişliğinden fazlaysa yapılabilecek çok
şey yok!
• DDOS saldırılarının büyük çoğunluğu
bantgenişliği taşırma şeklinde gerçekleşmez!
Gürcistan DDOS saldırısı
200-800 Mbps arası
7. DOS
• DOS(Denial Of Service) = sistemleri çalışamaz hale
getirmek için yapılan saldırı tipi.
• DOS saldırılarında kaynak yüzlerce, binlerce farklı
sistem değildir.
• Bazı saldırılar özünde DoS, sonuçlarına göre
DDoS’tur
– DDoS görünümlü DoS
– Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN
flood saldırıları gibi
• DoS saldırılarını engelleme kolaydır
8. DDoS
• DDOS(Distrubuted Denial of Service ) =Dağıtık
Servis Engelleme
• Binlerce, yüzbinlerce sistem kullanılarak
gerçekleştirilir.
• Genellikle sahte IP adresleri kullanılır
• BotNet’ler kullanılır
• Saldırgan kendini gizler
• Engellemesi zordur!
9. DOS/DDoS Hakkında Yanlış Bilinenler
•
•
•
•
Bizim Firewall tek başına DDoS’u engeller
Bizim IPS tek başına DOS/DDoS’u engeller
Linux DDoS’a karşı dayanıklıdır
Biz de DDoS engelleme ürünü var, korunuyoruz!
– Yapılandırılmış mı? Test edilmiş mi?
• Donanım tabanlı firewallar DDoS’u engeller
• Bizde antivirüs programı var
– Sistemlerimize kötücül yazılım bulaşmaz!
• DOS/DDOS Engellenemez
10. DDoS Hakkında Yanlış Bilinenler
• DDoS saldırıları sizin trafiğinizden daha yüksek
boyutta olduğu için engellenemez.
• Yapılan çalışmalar DDoS saldırılarının çok küçük
bir bölümünün bandwith şişirme yöntemiyle
gerçekleştirğini ortaya koymaktadır.
11. DDoS Saldırılarında Amaç
• Sistemlere sızma girişimi değildir!!
• Bilgisayar sistemlerini ve bunlara ulaşım
yollarını işlevsiz kılmak
• Web sitelerinin ,
E-postaların, telefon
Sistemlerinin, bankacılık
sistemlerinin çalışmaması
12. Niye Yapılır?
• Sistemde güvenlik açığı bulunamazsa zarar verme
amaçlı yapılabilir
– Ya benimsin ya ...
• Politik sebepler
– Ülkeler arası anlaşmazlıklarda(Gürcistan, Estonya,
İsrail...)
• Ticari sebepler
– Rakip firma, Google’da üstte çıkma
• Can sıkıntısı & karizma amaçlı
– Bahis amaçlı(forumlarda)
14. DoS Sadece Internette Mi Geçerlidir?
• DoS bir saldırı şeklidir ve ağ kavramının geçerli
olduğu her ortamda gerçekleştirilebilir.
• Temel sebep protokol tasarımlarının günümüze
hitap etmemesi
• DoS saldırıları:
– Yerel ağlarda gerçekleştirilebilir
– Kablosuz ağlarda gerçekleştirilebilir
– Internet üzerinden gerçekleştirilebilir
15. Yerel Ağlarda DoS Tehlikesi
• Yerel ağlarda zorunlu kullanıma sahip ARP
protokolünün doğasında bulunan zaafiyetler
kullanılarak tek paketle tüm ağ işlevsiz kılınabilir.
• Yerel ağdaki tüm sistemlere gateway sistemin MAC
adresi hatalı olarak bildirilirse
– Tüm sistemler gatewaye ulaşmak isterken paketleri boşa
gider.
• #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.255
-H 00:01:02:03:04:05 -M FF:FF:FF:FF:FF:FF
16. Kablosuz Ağlarda DoS Tehlikesi
• Kablosuz ağlarda kullanılan güncel
protokollerde –ağda WEP/WPA/WPA2
kullanılmasına bakmaksızın- DoS mümkündür
• AccessPoint’den geliyormuş gibi tüm bağlı
istemcilere de-auth paketleri gönderilir.
18. (ro)BOTNET(works)
• Zombi(roBOT)lerdan oluşan yıkım orduları!
• Her an emir almaya hazır sanal askerlerden oluşur
• Uzaktan yönetilebilirler
– Sahibi adına istenen bilgileri çalar, saldırı düzenler
• Hiyerarşik yapıda değildir
– Genelde tek bir yönetici/komutan olur
• Internet üzerinde çeşitli amaçlar için satılmaktadır
21. BotNet Kullanım Amaçları
• Yeraltı siber ekonomisinin en
güçlü kazanç kapısı
– SPAM amaçlı kullanılır
– Google reklamlarından para
kazanma amaçlı
– Google Adword’de öne çıkma
veya bir firmayı geri düşürme
amaçlı kullanılabilir
– Anket manipülasyonu
– DDoS yapmak için kullanılabilir
– Bilgi çalma amaçlı kullanılabilir
– Yeni malware yayma amaçlı
27. Türkiye’den Güncel Örnek
• Haziran ayında çok kullanılan blog/portal
yazılımının Türkçe sayfası hacklendi
• Hackerlar sisteme sızıp bir sonraki blog sürümüne
uzaktan yönetim amaçlı kod eklediler
• İlgili siteden portal yazılımını indiren herkes aynı
anda sistemlerini hackerların yönetimine teslim
etmiş oldu
– Bu hacking olayını engelleyecek herhangi bir güvenlik
cihazı yok.
29. Nasıl Farkedilir?
• Garip trafik davranışları
– SPAM
– DDoS
• Belirli alan adlarına(BotNet yönetim
sistemleri) gönderilen istekler
– Zeus Tracker
• Suç amaçlı kullanılan botnet yönetim IP
adreslerine yapılan bağlantılar
– Russian Business Network
30. Türkiye ve Dünyadan DDoS Örnekleri
• Dönem dönem DDoS saldırıları medyanın ilgi odağı
olmaktadır
• 2000’li yıllarda Amazon, Ebay, Yahoo! Gibi
sistemlere yönelik saldırılar sonrası
• 2007 Root DNS saldırıları
• 2008- Gürcistan, Estonya siber saldırıları
• 2010 Wikileaks, Mavi Marmara, Youtube
protestosu!
31. I.H.H
• 2010 Mavi Marmara olayından sonra
• İsrail IP adreslerinden ciddi miktarda DDoS saldırısı
• Türkiye’den misilleme
– Gönüllü DDoS saldırısı
32. İsrail, Türkiye IP Bloklarını Engelledi
•Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri
ulaşılamaz duruma geldi.
•Kısa sürede Türkiye’den gelen istekleri engelleyerek geçici
çözüm bulundu
•Aynı yöntem Estonya tarafından da kullanılmıştı.
Türkiye’den yapılan
bağlantı-başarısız
Amerika’dan yapılan
bağlantı-başarılı
38. Wikileaks DDoS Saldırıları
• Wikileaks olayının patlak vermesinden sonra çift
taraflı DDoS saldırıları başladı
– Bir taraf Wikileaks.org sistemlerine yönelik saldırı
başlattı
– Diğer taraf Wikileaks’e kapılarını kapatan
firmalara(Paypal, Visa...) yönelik saldırı başlattı
• Gönüllü BotNet kurulumu konusunda ilk defa bu
kadar yüksek seviyeye ulaşıldı!
– Gönüllü olarak botnete katılanların IP adresleri kayıt
altına alındı.
39.
40. Bize DDoS Yapılmaz Düşüncesi
• Dikkat çeken her sistem(sadece web sayfası değil)
eğer koruma altında değilse her an DDoS saldırısıyla
karşı karşıya kalabilir
• Yerli hackerlar henüz kurumsal sistemlere yönelik
saldırılara başlamadı
– Genellikle hosting firmalarına yönelik ve e-ticaret
sitelerine yönelik saldırılar görülmekte
43. DOS/DDOS Çeşitleri
• Bandwidth şişirme
– Udp flood, icmp flood (diğer tüm tipler)
• Kaynak tüketimi(Firewall, server)
– Synflood, ACK/FIN flood, GET/POST Flood, udp flood, Dns
flood
• Programsal hata
– Bind DOS
• Protokol istismarı
– DNS amplification DOS
• Sahte IP kullanımı/ Gerçek IP kullanımı
• Uygulama seviyesi DDoS atakları
44. DDOS-I:Bandwidth Şişirme
• Önlemenin yolu yoktur
– Sürahi bardak ilişkisi
• ISP seviyesinde engellenebilir...
• L7 protokolleri kullanılarak yapılan DDOS’larda
saldırı trafiği çeşitli yöntemlerle ~6’da birine
düşürülebilir
– HTTP GET flood 400 Byte
– IP Engelleme sonrası sadece syn paketi gelir(60 byte)
45. DDOS-II:Ağ/güvenlik Cihazlarını Yorma
• Amaç ağ-güvenlik sistemlerinin kapasitesini
zorlama ve kaldıramayacakları kadar yük
bindirme
• Session bilgisi tutan ağ/güvenlik
cihazlarının kapasitesi sınırlıdır
46. Uygulama Seviyesi DDoS Atakları
• Son yıllarda tırmanışta
• Engellemesi diğer DDoS tiplerine oranla daha
zor/kolay
• IP spoofing yapılamaz
– Engelleme için avantaj.
• Normal bağlantılardan
ayırt etmek zorlaşıyor
47. DDoS Saldırılarında Eski yöntemler
• DDoS saldırıları en çok 2000’li yıllarda medyanın
dikkatini çekmiştir
– Amazon
– Ebay
– Yahoo
– Root Dns saldırıları
• Günümüzdeki DDoS kaynaklarının çoğu eski tip
DDoS ataklarını ve araçlarını anlatır
• Günümüzde eski tip yöntem, araç kullanan DDoS
saldırılarına rastlamak çok zor
48. Eski Yöntem DDoS Saldırıları
•
•
•
•
Smurf
Teardrop
Ping Of Death
Land Attack
49. Smurf atağı
ICMP ve UDP Paketleri Broadcast olarak gönderilebilir
Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)
50. Smurf Atağı Artık Çalışmaz. Neden ?
• Tüm router ve işletim sistemleri default olarak
broadcaste gelen ICMP paketlerine cevap vermez!
root@seclabs:~# sysctl
net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
52. Günümüzde Tercih Edilen Yöntemler
• Eski araçlar, eski yöntemler günümüzde çalışmaz!
• Yeni Yöntemler
– SYN Flood *
– HTTP Get /Post Flood *
– UDP Flood *
– DNS Flood
– Amplification DNS DDoS saldırıları
– BGP protokolü kullanarak DOS
• * ‘lı saldırılar eskiden de yapılırdı.
53. Yeni Araçlar
•
•
•
•
Hping
Juno (eski ama eskimeyen araç)
Netstress
Günümüzde ciddi saldırılarda daha çok BotNet
yazılımları kullanılır
– Zeus Botnet
– Yes Exploit System
– Russ Kill
56. DDoS-BotNet Çalışma Grubu
• DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve
bu konudaki gelişmeleri paylaşmak amacıyla 2010
yılında kurulmuştur.
– E-posta listesi ve çalışma grubu olarak faaliyet
göstermektedir.
• http://www.lifeoverip.net/ddos-listesi/ adresinden üye
olabilirsiniz.
– Sadece kurumsal katılıma açıktır.
57. NetSec Ağ Ve Bilgi Güvenliği Topluluğu
• Türkiye’nin en geniş katılımlı bilgi güvenliği e-posta
listesi ve topluluğu
– ~950 üye
• Ücretsiz üye olabilirsiniz.
• Güvenlik dünyasında yayınlanan önemli haberler,
güvenlik yamaları ve birçok teknik konuda
tartışma...
• Üyelik için
– http://www.lifeoverip.net/netsec-listesi/