Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri Barkın Kılıç @barknkilic barkin@barkin.info
localhost ~ $ id barkink Eski ve daimi sistem yöneticisi Linuxcu Pentester Eğitmen
Aj(an)da Kavramlar ( DoS/DDos Nedir) 5N1K (Ne? Ne zaman? Nerede? Nasıl? Neden? Kim?) DoS/DDoS çeşitleri ve HTTP Biraz İstatistik Biraz Medyada DoS Kullanılan araçlar (Hulk,Slowloris,Xerxes, Jmeter) Demo Sorular
What the...? DoS(Denial of Service) DDos(Distributed Denial Of Service) Zombi BotNet(Robot Networks) IP Sahteciliği
DOS? DDOS DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi DDOS(Distrubuted Denial of Service ) DOS saldırısının yüzlerce, binlerce farklı sistemden yapılması Genellikle spoof edilmiş ip adresleri ve zombiler kullanılır
Zombi & Botnet Zombi: Emir kulu Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler Temel sebebi: Windows yamalarının eksikliği BotNet robotnetworks Zombilerden oluşan sanal yıkım orduları Internette satışı yapılmakta
DDoS Sonuçları Finansal Kayıp Prestij Kaybı Zaman Kaybı
Kim? Hacker? Devletler Sıradan kullanıcılar
BotNet C&C Yönetim arayüzü
BotNet C&C Arayüzü Ülkeler Dağılımı
DOS hakkında yanlış bilinenler Bizim Firewall DOS u engelliyor Bizim IPS DOS/DDOS u engelliyor... Linux DOS a karşı dayanıklıdır Biz de DDOS engelleme ürünü var Donanım tabanlı firewallar DOS u engeller Bizde antivirüs programı var DOS/DDOS Engellenemez
Ne zaman? İlk olarak Michal Zalewski ve Adrian Ilarion Ciobanu tarafından 2007'de bahsedildi. http://www.securityfocus. com/archive/1/456339/30/0/threaded 2009'da Robert "RSnake" Hansen tarafından geliştirilen Slowloris ile popülerleşti.
Neden? Sistemlere sızma değil Web sitelerinin çalışmaması Sistemlerin çalışmaz hale gelmesi
Neden? Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir Politik sebeplerden Ticari sebeplerle Can sıkıntısı & karizma amaçlı
2011 DDoS İstatistikleri
Nerde? 2011 DDoS Ülkeler
Eskiden DDoS Saldırıları Layer 4 Üzerine Yoğun Olurdu
ICMP Saldırıları Broadcast adresine gönderilen spoof edilmiş bir echo request paketi ile network'teki herkesin kurbana cevap dönmesi ve bu şekilde kurbanın bandwith kaynağını tüketme saldırısı Ping of Death, standart en fazla büyüklüğü aşılan(65535) bir paket ile karşı makinanın bu paketi birleştirirken yaşadığı sorun sebebi ile işletim sisteminin çakılması
Son Zamanlardaki Yöntemler SYN Flood HTTP Get / Flood UDP Flood DNS DOS Amplification DOS saldırıları
DNS Servisine Yapılan Saldırılar UDP protokolü ile çalışır, ip sahteciliği yapmak mümkündür Saldırıyı tespit etmek zordur. İnternetin kalbi olması sebebi ile internet kesintisi gibi algılanabilir. Sayfaya erişemiyorum gibi şikayetler olabilir, halbuki sayfa yada sunucu çalışmaktadır
Layer 4 Attacks Sunucu yada Network cihazlarında bant genişliği veya bağlantı limitlerini doldurarak yapılan saldırılar Layer 4 güvenlik çözümleri genelde bu saldırılara karşı başarılı oluyorlar.
Layer 7 DDoS Saldırıları Uygulama seviyesinde yapılan saldırılardır HTTP(S), SMTP, FTP, LDAP vs
Layer 7 Saldırıların Etkisi TCP ve UDP bağlantıları onarmal olmayan ve IPS/IDS leri kızdırmayacak şekilde. Normal uygulama talepleri gibi yapılan normal bir trafik olarak gözükmesi Daha az bağlantı ve paket gerektirmesi ve bunun yanında etkisinin yüksek olması
Layer 7 DDoS Web Saldırı Türleri Hatalı kodlanmış uygulamalar veya servis ayarları üzerinden servis dışı bırakma (Kendi ayağından vurmak) HTTP yada HTTPS zaafiyeti üzerine yoğunlaşacağız HTTP GET => Michal Zalewski, Adrian Ilarion Ciobanu, RSnake (Slowloris) HTTP POST => Wong Onn Chee
DDoS Örnekleri
DDoS Örnekleri
DDoS Örnekleri
DDoS Örnekleri
Bazı Tool (Araçlar) Kullandıkları teknikler bakımından farklılık gösteren ve amaca göre kullanabilecek farklı programlardan bahsedicem Kimler yazmış, ne şekilde kullanılır örnek vererek bahsedelim
HULK (HTTP Unbearable Load King)
Hulk http://www.sectorix.com/2012/05/17/hulk-web-serverdos-tool/ Barry Shteiman (Sectorix) User Agent değiştiriliyor devamlı Referer bilgisi değiştiriliyor Keep-Alive yakalamak no-cache URL sürekli eşsiz olması sağlanıyor
Hulk Demo
Xerxes th3j35t3r Kasım 2010'da Wikileaks, Amazon, Wikileaks Basic Authantication Header üzerinden sunucuda kaynak tüketmek üzerine çalışıyor http://www.airdemon.net/xerxes.txt
Xerxes Demo
Slowloris
Slowloris http://ha.ckers.org/slowloris/slowloris.pl Robert "Rsnake" Hansen 2009 Iran seçim protestosu zamanında popüler oldu. Bandwith kullanmıyor Http Get/Post üzerinden bağlantı açıp çok ağır birşekilde transfer yapıp kaynak tüketiyor.
Slowloris Demo
Apache Jmeter
Apache Jmeter Kompleks Load test amacı ile kullanılabiliyor (FTP,HTTP POST/GET LDAP vs) Mantıksal yapıda kullabiliyorsunuz (if else gibi) Java tabanlı Server client mantığı ile çalışabiliyor
Apache Jmeter Demo
Sorular?