DEMO Berk Benli - Bilgi Güvenliği Danışmanı Email: berk.benli@inforte.com.tr
DDoS Nedir?
DDoS Nasıl Çalışır? Bot Master C&C Sunucusu C&C Sunucusu BOT BOT BOT BOT BOT BOT BOT BOT Zombi HEDEF
Botlar ve Botnetler Botnet 100.000 den fazla bot içerebilir Atak için neden Bot kullanılır? -Ucuz -Pratik olarak takip edilmesi ve bulunması nerdeyse olanaksız -Atak sonrasında botları temizlemek ve kurtulmaya çalışma derdi yok. Bir web sayfasını offline yapmanın bedeli 1 saat : 10 USD Tüm gün: 70 USD 1 hafta : 400 USD
DDoS Kimin Umrunda CNNTurk: Anonymous TİB'e saldırdı 400 bin liralık çökertme! THY'nin 6 saat fişinin çekilmesi büyük zarara yol açtı. THY saldıranları tespit ederse dava açacak İçişleri Bakanlığı da saldırı altında! THY 6 saatte 400 bin lira zarar etti
DDoS Kimin Umrunda Her Kurum DDoS Saldırılarının Hedefi Olabilir! Finans Sektörü & Online Bankacılık Sağlık Sektörü Online Ticaret & Oyunlar Kamu & Kamu kuruluşları Eğitim Online Hizmetler& Siteler
DDoS Kimin Umrunda DDoS Atak Örnekleri: Finans Sektörü Hedef Kurumlar: -Global Bankalar -Kredi Kartı Kuruluşları -Para Transfer Kuruluşları -Borsa ile ilgili hizmetler Motivasyon: -Pazar Manipülasyonu -Hacktivizm -Protesto
DDoS Kimin Umrunda DDoS Atak Örnekleri: Kamu Sektörü Hedef Kurumlar: -Devlet ve devlet kurumları -Partiler veya Politikacılar -Kamu sektoru web sayfaları Motivasyon: -Siber-Savaş -Hacktivizm -Protesto -Politik kazanç
Arbor Kimdir DDoS Hakkında Ne Bilir? Tüm dünyada Arbor müşterisi olan Tier 1 Servise Sağlayıcıların oranı Arbor ürünü kurulu ülke sayısı Arbor Atlas Güvenlik İstihbarat Sistemi tarafından denetlenen trafik 12 Global Internet trafiğinin %25 i. Arbor ın DDoS güvenliği ve ağ denetimi alanında hizmet verdiği yıl 2011 yılı Infonetics Pazar Araştırması sonucuna göre DDoS pazarında %70 pay sahipliği ile Lider. Arbor ı portfoyünde bulunduran Danaher in 2011 cirosu
Arbor Kimdir DDoS Hakkında Ne Bilir? En Büyük Ataklar - Gbps Worldwide infrastructure security report, 7 th edition: - Atakların %13 ü 10 Gbps ın üzerinde - Atakların %40 ı 1 Gbps ın üzerinde - 35 Mpps raporlanan en yuksek pps değeri
Volümetrik/Hacimsel Ataklar
Uygulama Katmanı Akıllı Ataklar Uygulama katmanındaki açıklara yönelik bir saldırıdır. Genellikle Switch veya Routerlar etkilenmez çünkü yanlızca belirli bir uygulama ve servis içindir. Hedeflediği servisi çökertmek amaçlıdır. (HTTP,HTTPS,DNS, vb.) Örnek: Slowloris,DNS atack,vb
Neden Firewall ve IDS/IPS ler DDoS a Karşı Savunmasız İzin verilen her oturum FW un state tablosuna yazılır. FW kuralları her oturumu ayrı değerlendirir yani DDoS gerçekleşirken haberi olmaz. Üzerinde DDoS koruması olan FW lar var fakat atak yapan kişiler oturumları kapatmayarak FW state tablosundan silinmeden istedikleri gibi geçebiliyorlar. En iyi ihtimalle, FW yanlızca kendisini DDoS saldırısından koruyabilir. Arkasındaki serverları kouryamazlar.
Peki NextGeneration FW lar Geleneksel FW lardan daha da fazla savunmasızdırlar. Geleneksel FW lara göre daha fazla state tablosunu doldururlar çünkü yanlızca IP header bilgisi değil, uygulama kontrol bilgilerinide tutmak zorundalar Full Packet Inspection özelliği için stateful/durumsal bir şekilde hem giden hem de gelen paketleri incelemeleri gerekirve bu işlem çok yuksek miktarda işlemci gücü demektir. Yanlızca en çok bilinen ve kolay tespit edilebilen ataklara karşı etkilidirler. Örn SYN Flood, ICMP Flood. Yine FW lar gibi Yeni Nesil FW lar da DDoS a karşı sadece kendilerini koruyabilirler, arkadaki sunucuları değil.
Arbor ERİŞİLEBİLİRLİĞİ Korur! FW, NextFW ve IPS ler ile çoğu kurum verilerin gizliliği ve bütünlüğünü koruma altına almaya çalışıyor. Erişilebilirlik korunamadığı zaman güvenlik üçgeni tamamlanmamış olur. DDoS Bilgi Güvenliği Üçgeni
Atakları Doğru Yerde Engellemek ISP 1 Atak Temizleme Merkezi Peakflow SP/TMS Cloud Signaling DATA CENTER Servis Sağlayıcı Bulutunda DDoS Koruması ISP 2 ISP Firewall IPS Load Balancer ISP n Pravail APS Target Applications & Services Uygulama L7 DDoS Koruması 20
ATLAS Update: Turkey November 2012
The Worldwide Infrastructure Security Report Annual Survey 7 th Edition released last year, 8 th edition currently under preparation Comprehensive demographics 114 Respondents 54% Service Providers 15% Hosting/Datacenters Large Enterprises, Government, Education, etc. Truly global reach 41% EMEA 28% US and Canada 11% Latin America 20% APAC Technical focus 77% network, security, operations engineers, analysts or architects 23% management or executives www.arbornetworks.com/report
Large Attacks are Now Commonplace 13% of respondents report attacks above 10 Gbps 40% of respondents report attacks above 1 Gbps Largest pps attack reported is 35 Mpps
The Arbor ATLAS Initiative: Internet Trends 240+ ISPs sharing real-time data - > ATLAS Internet Trends Automated hourly export of data to Arbor server (HTTPS) File is anonymous, only tagged with User Specified Region, e.g. Europe Provider Type (self categorized), e.g. Tier 1 Data derived from Flow / BGP / SNMP correlation Arbor Peakflow SP product Correlates Sampled Flow / BGP in real-time Network / Router / Interface etc. Traffic Reporting Threat Detection (DDoS / infected subscribers) ATLAS currently monitoring a peak of 37.8 Tbps (peak) across all respondents. - A significant proportion of Internet traffic
ATLAS view of Turkey, Nov 11 Oct 12 DDoS against Turkey Identified attacks: 469 Largest: 46.78 Gbps, 54.143 Mpps Traffic flood, mix of protocols Turkey as source(*) of attacks 473 attacks identified Largest: 60.004 Gbps / 6.377 Mpps UDP flood / SYN flood (*) beware of address spoofing!
Size of attacks: Gbps < 5Gbps; 5,8% < 10Gbps; 1,5% < 20Gbps; 2,1% > 20Gbps; 0,4% < 2Gbps; 5,5% < 1Gbps; 84,6%
Size of attacks: Mpps < 2Mpps; 17,5% < 5Mpps; 6,2% < 10Mpps; 1,1% > 20Mpps; 0,4% < 1Mpps; 74,8%
Duration of attacks < 3h; 9,8% < 12h, 1.1% < 6h; 3,2% < 24h; 0,9% > 24h; 0,6% < 60'; 14,7% < 30'; 69,7%
Destination ports Out of 381 attacks identified (mainly) towards a single port, 64.6% targeted port 80 Out of the remaining 135 attacks, the most notable ports are: 6,0% 5,0% 4,0% 3,0% 2,0% 1,0% 0,0%
Global target ports (or: how it will change for you) Worldwide ATLAS statistics 2011 vs. Q1-Q3 2012 32% of attacks targeting port 80, identical to 2011 Percentage of attacks targeting port 53 up from 10.5% to 15.2% Broad spread of other ports. Ports 443 (1.9%) and 3074 (1.2%) are singled out for the first time 3074 = Xbox Live
DEMO DEMO
DEMO ddos.arbor.net atlas.arbor.net Teşekkürler berk.benli@gmail.com