DDoS Saldırıları ve Korunma Yolları Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr
Konuşmacı Hakkında Huzeyfe ÖNAL Bilgi Güvenliği Danışmanı (iş hayatı) Bilgi Güvenliği AKADEMİSİ(www.bga.com.tr) Ağ Güvenliği Araştırmacısı (gerçek hayat) Kıdemli DDoS Uzmanı Blogger www.lifeoverip.net
Neden DDoS a Özel Bir Etkinlik? Güvenliğin en önemli bileşeni=availability Gün geçtikce önemi artan bir konu Tehdit sıralamasında en üstlerde En büyük eksiklik temel ağ bilgisi Tecrübesizlik Varolan ürünleri doğru yapılandıramama Ürünlere sihirbaz gözüyle bakma
Ajanda DoS/DDoS hakkında genel terim ve tanımlar DDoS saldırıları hakkında hatalı bilgiler ve düzeltmeler DDoS saldırı çeşitleri Zombi, botnet oluşturma araç ve yöntemleri Türkiye ve dünyadan DDoS saldırı örnekleri Teknik detay ve uygulamalar ikinci kısımda
Hatalı bilgi Standart Güvenlik Bileşenleri En güvenli sistem fişi çekilmiş sistemdir! Confidentiality Confidentiality Integrity Integrity Availability Availability
Başlamadan Önce... Gelen DDOS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok! DDOS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez! Gürcistan DDOS saldırısı 200-800 Mbps arası
DOS DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi. DOS saldırılarında kaynak yüzlerce, binlerce farklı sistem değildir. Bazı saldırılar özünde DoS, sonuçlarına göre DDoS tur DDoS görünümlü DoS Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi DoS saldırılarını engelleme kolaydır
DDoS DDOS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme Binlerce, yüzbinlerce sistem kullanılarak gerçekleştirilir. Genellikle sahte IP adresleri kullanılır BotNet ler kullanılır Saldırgan kendini gizler Engellemesi zordur!
DOS/DDoS Hakkında Yanlış Bilinenler Bizim Firewall tek başına DDoS u engeller Bizim IPS tek başına DOS/DDoS u engeller Linux DDoS a karşı dayanıklıdır Biz de DDoS engelleme ürünü var, korunuyoruz! Yapılandırılmış mı? Test edilmiş mi? Donanım tabanlı firewallar DDoS u engeller Bizde antivirüs programı var Sistemlerimize kötücül yazılım bulaşmaz! DOS/DDOS Engellenemez
DDoS Hakkında Yanlış Bilinenler DDoS saldırıları sizin trafiğinizden daha yüksek boyutta olduğu için engellenemez. Yapılan çalışmalar DDoS saldırılarının çok küçük bir bölümünün bandwith şişirme yöntemiyle gerçekleştirğini ortaya koymaktadır.
DDoS Saldırılarında Amaç Sistemlere sızma girişimi değildir!! Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak Web sitelerinin, E-postaların, telefon Sistemlerinin, bankacılık sistemlerinin çalışmaması
Niye Yapılır? Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir Ya benimsin ya... Politik sebepler Ülkeler arası anlaşmazlıklarda(gürcistan, Estonya, İsrail...) Ticari sebepler Rakip firma, Google da üstte çıkma Can sıkıntısı & karizma amaçlı Bahis amaçlı(forumlarda)
Neden Kaynaklanır? DOS/DDOS Yazılım-BUG Protokol Tasarım Eksikliği Bind Cisco TCP Syn flood
DoS Sadece Internette Mi Geçerlidir? DoS bir saldırı şeklidir ve ağ kavramının geçerli olduğu her ortamda gerçekleştirilebilir. Temel sebep protokol tasarımlarının günümüze hitap etmemesi DoS saldırıları: Yerel ağlarda gerçekleştirilebilir Kablosuz ağlarda gerçekleştirilebilir Internet üzerinden gerçekleştirilebilir
Yerel Ağlarda DoS Tehlikesi Yerel ağlarda zorunlu kullanıma sahip ARP protokolünün doğasında bulunan zaafiyetler kullanılarak tek paketle tüm ağ işlevsiz kılınabilir. Yerel ağdaki tüm sistemlere gateway sistemin MAC adresi hatalı olarak bildirilirse Tüm sistemler gatewaye ulaşmak isterken paketleri boşa gider. #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.255 -H 00:01:02:03:04:05 -M FF:FF:FF:FF:FF:FF
Kablosuz Ağlarda DoS Tehlikesi Kablosuz ağlarda kullanılan güncel protokollerde ağda WEP/WPA/WPA2 kullanılmasına bakmaksızın- DoS mümkündür AccessPoint den geliyormuş gibi tüm bağlı istemcilere de-auth paketleri gönderilir.
DDoS Bileşenleri Kötü niyet C&C Kötü adamlar Zombi/ Botnet Malware
(ro)botnet(works) Zombi(roBOT)lerdan oluşan yıkım orduları! Her an emir almaya hazır sanal askerlerden oluşur Uzaktan yönetilebilirler Sahibi adına istenen bilgileri çalar, saldırı düzenler Hiyerarşik yapıda değildir Genelde tek bir yönetici/komutan olur Internet üzerinde çeşitli amaçlar için satılmaktadır
Nasıl Zombi Olunur?
Zombi Adımları
BotNet Kullanım Amaçları Yeraltı siber ekonomisinin en güçlü kazanç kapısı SPAM amaçlı kullanılır Google reklamlarından para kazanma amaçlı Google Adword de öne çıkma veya bir firmayı geri düşürme amaçlı kullanılabilir Anket manipülasyonu DDoS yapmak için kullanılabilir Bilgi çalma amaçlı kullanılabilir Yeni malware yayma amaçlı
BotNet ler Üzerinden Toplanan Kredi Kartları
BotNet Piyasası
Türkiye BotNet Piyasası Asıl piyasaya internet üzerinden ulaşmak pek mümkün değil. Türkiye dünya BotNet piyasasında önemli yere sahiptir.
P2P, IRC, WEB, Twitter Nasıl Yönetilir?
IRC Üzerinden BotNet Yönetimi
Türkiye den Güncel Örnek Haziran ayında çok kullanılan blog/portal yazılımının Türkçe sayfası hacklendi Hackerlar sisteme sızıp bir sonraki blog sürümüne uzaktan yönetim amaçlı kod eklediler İlgili siteden portal yazılımını indiren herkes aynı anda sistemlerini hackerların yönetimine teslim etmiş oldu Bu hacking olayını engelleyecek herhangi bir güvenlik cihazı yok.
Güncel Pasif BotNet Örneği(Türkiye)
Tüm dünyadaki wordpress kullanıcılarını tek seferde nasıl ele geçiririz? Dünyadan Güncel Örnek WP kodları içerisine yerleştirilecek ek kodlarla Wordpress indirip kuran, güncelleyen herkes zombi olur!
Nasıl Farkedilir? Garip trafik davranışları SPAM DDoS Belirli alan adlarına(botnet yönetim sistemleri) gönderilen istekler Zeus Tracker Suç amaçlı kullanılan botnet yönetim IP adreslerine yapılan bağlantılar Russian Business Network
Türkiye ve Dünyadan DDoS Örnekleri Dönem dönem DDoS saldırıları medyanın ilgi odağı olmaktadır 2000 li yıllarda Amazon, Ebay, Yahoo! Gibi sistemlere yönelik saldırılar sonrası 2007 Root DNS saldırıları 2008- Gürcistan, Estonya siber saldırıları 2010 Wikileaks, Mavi Marmara, Youtube protestosu!
I.H.H 2010 Mavi Marmara olayından sonra İsrail IP adreslerinden ciddi miktarda DDoS saldırısı Türkiye den misilleme Gönüllü DDoS saldırısı
İsrail, Türkiye IP Bloklarını Engelledi Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri ulaşılamaz duruma geldi. Kısa sürede Türkiye den gelen istekleri engelleyerek geçici çözüm bulundu Aynı yöntem Estonya tarafından da kullanılmıştı. Türkiye den yapılan bağlantı-başarısız Amerika dan yapılan bağlantı-başarılı
DDoS İle Youtube Protestosu TIB BTK Tubitak Ulaştırma Bakanlığı
Devlet Sistemlerine Yönelik Toplu DDoS
Dünyadan DOS/DDOS Örnekleri
Dünyadan DDOS Örnekleri Gürcistan
Dünyadan DDOS Örnekleri Estonya
Wikileaks DDoS Saldırıları Wikileaks olayının patlak vermesinden sonra çift taraflı DDoS saldırıları başladı Bir taraf Wikileaks.org sistemlerine yönelik saldırı başlattı Diğer taraf Wikileaks e kapılarını kapatan firmalara(paypal, Visa...) yönelik saldırı başlattı Gönüllü BotNet kurulumu konusunda ilk defa bu kadar yüksek seviyeye ulaşıldı! Gönüllü olarak botnete katılanların IP adresleri kayıt altına alındı.
Bize DDoS Yapılmaz Düşüncesi Dikkat çeken her sistem(sadece web sayfası değil) eğer koruma altında değilse her an DDoS saldırısıyla karşı karşıya kalabilir Yerli hackerlar henüz kurumsal sistemlere yönelik saldırılara başlamadı Genellikle hosting firmalarına yönelik ve e-ticaret sitelerine yönelik saldırılar görülmekte
DDoS Çeşitleri
En Sık Tercih Edilen DDoS Atak Tipleri
DOS/DDOS Çeşitleri Bandwidth şişirme Udp flood, icmp flood (diğer tüm tipler) Kaynak tüketimi(firewall, server) Synflood, ACK/FIN flood, GET/POST Flood, udp flood, Dns flood Programsal hata Bind DOS Protokol istismarı DNS amplification DOS Sahte IP kullanımı/ Gerçek IP kullanımı Uygulama seviyesi DDoS atakları
DDOS-I:Bandwidth Şişirme Önlemenin yolu yoktur Sürahi bardak ilişkisi ISP seviyesinde engellenebilir... L7 protokolleri kullanılarak yapılan DDOS larda saldırı trafiği çeşitli yöntemlerle ~6 da birine düşürülebilir HTTP GET flood 400 Byte IP Engelleme sonrası sadece syn paketi gelir(60 byte)
DDOS-II:Ağ/güvenlik Cihazlarını Yorma Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme Session bilgisi tutan ağ/güvenlik cihazlarının kapasitesi sınırlıdır Max session 10.000.000
Uygulama Seviyesi DDoS Atakları Son yıllarda tırmanışta Engellemesi diğer DDoS tiplerine oranla daha zor/kolay IP spoofing yapılamaz Engelleme için avantaj. Normal bağlantılardan ayırt etmek zorlaşıyor
DDoS Saldırılarında Eski yöntemler DDoS saldırıları en çok 2000 li yıllarda medyanın dikkatini çekmiştir Amazon Ebay Yahoo Root Dns saldırıları Günümüzdeki DDoS kaynaklarının çoğu eski tip DDoS ataklarını ve araçlarını anlatır Günümüzde eski tip yöntem, araç kullanan DDoS saldırılarına rastlamak çok zor
Smurf Teardrop Ping Of Death Land Attack Eski Yöntem DDoS Saldırıları
Smurf atağı ICMP ve UDP Paketleri Broadcast olarak gönderilebilir Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)
Smurf Atağı Artık Çalışmaz. Neden? Tüm router ve işletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez! root@seclabs:~# sysctl net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_echo_ignore_broadcasts = 1
Eski Araçlar...
Günümüzde Tercih Edilen Yöntemler Eski araçlar, eski yöntemler günümüzde çalışmaz! Yeni Yöntemler SYN Flood * HTTP Get /Post Flood * UDP Flood * DNS Flood Amplification DNS DDoS saldırıları BGP protokolü kullanarak DOS * lı saldırılar eskiden de yapılırdı.
Hping Yeni Araçlar Juno (eski ama eskimeyen araç) Netstress Günümüzde ciddi saldırılarda daha çok BotNet yazılımları kullanılır Zeus Botnet Yes Exploit System Russ Kill
BotNet Yönetim Ekranı
Türkiye DDoS Anket Çalışması
DDoS-BotNet Çalışma Grubu DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla 2010 yılında kurulmuştur. E-posta listesi ve çalışma grubu olarak faaliyet göstermektedir. http://www.lifeoverip.net/ddos-listesi/ adresinden üye olabilirsiniz. Sadece kurumsal katılıma açıktır.
NetSec Ağ Ve Bilgi Güvenliği Topluluğu Türkiye nin en geniş katılımlı bilgi güvenliği e-posta listesi ve topluluğu ~950 üye Ücretsiz üye olabilirsiniz. Güvenlik dünyasında yayınlanan önemli haberler, güvenlik yamaları ve birçok teknik konuda tartışma... Üyelik için http://www.lifeoverip.net/netsec-listesi/
Bilgi Güvenliği AKADEMİSİ