DEMO. Berk Benli - Bilgi Güvenliği Danışmanı. berk.benli@inforte.com.tr

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "DEMO. Berk Benli - Bilgi Güvenliği Danışmanı. Email: berk.benli@inforte.com.tr"

Selim Güvenç
8 yıl önce
İzleme sayısı:

1 DEMO Berk Benli - Bilgi Güvenliği Danışmanı berk.benli@inforte.com.tr

2 DDoS Nedir?

3 DDoS Nasıl Çalışır? Bot Master C&C Sunucusu C&C Sunucusu BOT BOT BOT BOT BOT BOT BOT BOT Zombi HEDEF

Botlar ve Botnetler Botnet 100.000 den fazla bot içerebilir Atak için neden Bot kullanılır?

4 Botlar ve Botnetler Botnet den fazla bot içerebilir Atak için neden Bot kullanılır? -Ucuz -Pratik olarak takip edilmesi ve bulunması nerdeyse olanaksız -Atak sonrasında botları temizlemek ve kurtulmaya çalışma derdi yok. Bir web sayfasını offline yapmanın bedeli 1 saat : 10 USD Tüm gün: 70 USD 1 hafta : 400 USD

-Ucuz -Pratik olarak takip edilmesi ve bulunması nerdeyse olanaksız -Atak

5 DDoS Kimin Umrunda CNNTurk: Anonymous TİB'e saldırdı 400 bin liralık çökertme! THY'nin 6 saat fişinin çekilmesi büyük zarara yol açtı. THY saldıranları tespit ederse dava açacak İçişleri Bakanlığı da saldırı altında! THY 6 saatte 400 bin lira zarar etti

6 DDoS Kimin Umrunda Her Kurum DDoS Saldırılarının Hedefi Olabilir! Finans Sektörü & Online Bankacılık Sağlık Sektörü Online Ticaret & Oyunlar Kamu & Kamu kuruluşları Eğitim Online Hizmetler& Siteler

7 DDoS Kimin Umrunda DDoS Atak Örnekleri: Finans Sektörü Hedef Kurumlar: -Global Bankalar -Kredi Kartı Kuruluşları -Para Transfer Kuruluşları -Borsa ile ilgili hizmetler Motivasyon: -Pazar Manipülasyonu -Hacktivizm -Protesto

Kuruluşları -Para Transfer Kuruluşları -Borsa ile

8 DDoS Kimin Umrunda DDoS Atak Örnekleri: Kamu Sektörü Hedef Kurumlar: -Devlet ve devlet kurumları -Partiler veya Politikacılar -Kamu sektoru web sayfaları Motivasyon: -Siber-Savaş -Hacktivizm -Protesto -Politik kazanç

veya Politikacılar -Kamu sektoru web sayfaları

Güvenlik İstihbarat Sistemi tarafından denetlenen trafik 12 Global Internet trafiğinin %25 i.

9 Arbor Kimdir DDoS Hakkında Ne Bilir? Tüm dünyada Arbor müşterisi olan Tier 1 Servise Sağlayıcıların oranı Arbor ürünü kurulu ülke sayısı Arbor Atlas Güvenlik İstihbarat Sistemi tarafından denetlenen trafik 12 Global Internet trafiğinin %25 i. Arbor ın DDoS güvenliği ve ağ denetimi alanında hizmet verdiği yıl 2011 yılı Infonetics Pazar Araştırması sonucuna göre DDoS pazarında %70 pay sahipliği ile Lider. Arbor ı portfoyünde bulunduran Danaher in 2011 cirosu

10 Arbor Kimdir DDoS Hakkında Ne Bilir? En Büyük Ataklar - Gbps Worldwide infrastructure security report, 7 th edition: - Atakların %13 ü 10 Gbps ın üzerinde - Atakların %40 ı 1 Gbps ın üzerinde - 35 Mpps raporlanan en yuksek pps değeri

11 Volümetrik/Hacimsel Ataklar

12 Uygulama Katmanı Akıllı Ataklar Uygulama katmanındaki açıklara yönelik bir saldırıdır. Genellikle Switch veya Routerlar etkilenmez çünkü yanlızca belirli bir uygulama ve servis içindir. Hedeflediği servisi çökertmek amaçlıdır. (HTTP,HTTPS,DNS, vb.) Örnek: Slowloris,DNS atack,vb

Genellikle Switch veya Routerlar etkilenmez çünkü yanlızca belirli

13 Neden Firewall ve IDS/IPS ler DDoS a Karşı Savunmasız İzin verilen her oturum FW un state tablosuna yazılır. FW kuralları her oturumu ayrı değerlendirir yani DDoS gerçekleşirken haberi olmaz. Üzerinde DDoS koruması olan FW lar var fakat atak yapan kişiler oturumları kapatmayarak FW state tablosundan silinmeden istedikleri gibi geçebiliyorlar. En iyi ihtimalle, FW yanlızca kendisini DDoS saldırısından koruyabilir. Arkasındaki serverları kouryamazlar.

Üzerinde DDoS koruması olan FW lar var fakat atak yapan kişiler oturumları kapatmayarak FW state tablosundan

14 Peki NextGeneration FW lar Geleneksel FW lardan daha da fazla savunmasızdırlar. Geleneksel FW lara göre daha fazla state tablosunu doldururlar çünkü yanlızca IP header bilgisi değil, uygulama kontrol bilgilerinide tutmak zorundalar Full Packet Inspection özelliği için stateful/durumsal bir şekilde hem giden hem de gelen paketleri incelemeleri gerekirve bu işlem çok yuksek miktarda işlemci gücü demektir. Yanlızca en çok bilinen ve kolay tespit edilebilen ataklara karşı etkilidirler. Örn SYN Flood, ICMP Flood. Yine FW lar gibi Yeni Nesil FW lar da DDoS a karşı sadece kendilerini koruyabilirler, arkadaki sunucuları değil.

Packet Inspection özelliği için stateful/durumsal bir şekilde hem giden hem de gelen paketleri incelemeleri gerekirve bu işlem çok yuksek miktarda işlemci

15 Arbor ERİŞİLEBİLİRLİĞİ Korur! FW, NextFW ve IPS ler ile çoğu kurum verilerin gizliliği ve bütünlüğünü koruma altına almaya çalışıyor. Erişilebilirlik korunamadığı zaman güvenlik üçgeni tamamlanmamış olur. DDoS Bilgi Güvenliği Üçgeni

16 Atakları Doğru Yerde Engellemek ISP 1 Atak Temizleme Merkezi Peakflow SP/TMS Cloud Signaling DATA CENTER Servis Sağlayıcı Bulutunda DDoS Koruması ISP 2 ISP Firewall IPS Load Balancer ISP n Pravail APS Target Applications & Services Uygulama L7 DDoS Koruması 20

Bulutunda DDoS Koruması ISP 2 ISP Firewall IPS Load Balancer ISP

17 ATLAS Update: Turkey November 2012

18 The Worldwide Infrastructure Security Report Annual Survey 7 th Edition released last year, 8 th edition currently under preparation Comprehensive demographics 114 Respondents 54% Service Providers 15% Hosting/Datacenters Large Enterprises, Government, Education, etc. Truly global reach 41% EMEA 28% US and Canada 11% Latin America 20% APAC Technical focus 77% network, security, operations engineers, analysts or architects 23% management or executives

19 Large Attacks are Now Commonplace 13% of respondents report attacks above 10 Gbps 40% of respondents report attacks above 1 Gbps Largest pps attack reported is 35 Mpps

20 The Arbor ATLAS Initiative: Internet Trends 240+ ISPs sharing real-time data - > ATLAS Internet Trends Automated hourly export of data to Arbor server (HTTPS) File is anonymous, only tagged with User Specified Region, e.g. Europe Provider Type (self categorized), e.g. Tier 1 Data derived from Flow / BGP / SNMP correlation Arbor Peakflow SP product Correlates Sampled Flow / BGP in real-time Network / Router / Interface etc. Traffic Reporting Threat Detection (DDoS / infected subscribers) ATLAS currently monitoring a peak of 37.8 Tbps (peak) across all respondents. - A significant proportion of Internet traffic

21 ATLAS view of Turkey, Nov 11 Oct 12 DDoS against Turkey Identified attacks: 469 Largest: Gbps, Mpps Traffic flood, mix of protocols Turkey as source(*) of attacks 473 attacks identified Largest: Gbps / Mpps UDP flood / SYN flood (*) beware of address spoofing!

22 Size of attacks: Gbps < 5Gbps; 5,8% < 10Gbps; 1,5% < 20Gbps; 2,1% > 20Gbps; 0,4% < 2Gbps; 5,5% < 1Gbps; 84,6%

23 Size of attacks: Mpps < 2Mpps; 17,5% < 5Mpps; 6,2% < 10Mpps; 1,1% > 20Mpps; 0,4% < 1Mpps; 74,8%

24 Duration of attacks < 3h; 9,8% < 12h, 1.1% < 6h; 3,2% < 24h; 0,9% > 24h; 0,6% < 60'; 14,7% < 30'; 69,7%

25 Destination ports Out of 381 attacks identified (mainly) towards a single port, 64.6% targeted port 80 Out of the remaining 135 attacks, the most notable ports are: 6,0% 5,0% 4,0% 3,0% 2,0% 1,0% 0,0%

26 Global target ports (or: how it will change for you) Worldwide ATLAS statistics 2011 vs. Q1-Q % of attacks targeting port 80, identical to 2011 Percentage of attacks targeting port 53 up from 10.5% to 15.2% Broad spread of other ports. Ports 443 (1.9%) and 3074 (1.2%) are singled out for the first time 3074 = Xbox Live

27 DEMO DEMO

28 DEMO ddos.arbor.net atlas.arbor.net Teşekkürler

Benzer belgeler

ERİŞİM ENGELLEME DOS VE DDOS:

DoS nedir? ERİŞİM ENGELLEME DOS VE DDOS: Denial of service türkçesi erişim engelleme saldırısı olarak anlaşılmaktadır. Hedef bilgisayar ağının kaynaklarını kullanamayacak şekilde erişilmez kılınmasını