arbor se berk ankara
DESCRIPTION
güncelTRANSCRIPT
![Page 2: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/2.jpg)
DDoS Nedir ?
![Page 3: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/3.jpg)
DDoS Nasıl Çalışır ?
Bot Master
C&C Sunucusu
C&C Sunucusu
BOT BOT BOT BOT BOT BOT BOT BOT
HEDEF
Zombi
![Page 4: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/4.jpg)
Botlar ve Botnetler
Botnet 100.000’den fazla bot içerebilir
Bir web sayfasını offline yapmanın bedeli
1 saat : 10 USD Tüm gün: 70 USD 1 hafta : 400 USD
Atak için neden Bot kullanılır? -Ucuz -Pratik olarak takip edilmesi ve bulunması nerdeyse olanaksız -Atak sonrasında botları temizlemek ve kurtulmaya çalışma derdi yok.
![Page 5: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/5.jpg)
DDoS Kimin Umrunda
400 bin liralık çökertme! THY'nin 6 saat fişinin çekilmesi büyük zarara yol açtı. THY saldıranları tespit ederse dava açacak
THY 6 saatte 400 bin lira zarar etti
CNNTurk: ‘’Anonymous TİB'e saldırdı’’
İçişleri Bakanlığı da saldırı altında!
![Page 6: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/6.jpg)
DDoS Kimin Umrunda
Her Kurum DDoS Saldırılarının Hedefi Olabilir!
Finans Sektörü & Online Bankacılık
Sağlık Sektörü
Online Ticaret & Oyunlar
Kamu & Kamu kuruluşları
Eğitim Online Hizmetler& Siteler
![Page 7: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/7.jpg)
DDoS Kimin Umrunda
DDoS Atak Örnekleri: Finans Sektörü Hedef Kurumlar: -Global Bankalar -Kredi Kartı Kuruluşları -Para Transfer Kuruluşları -Borsa ile ilgili hizmetler
Motivasyon: -Pazar Manipülasyonu -Hacktivizm -Protesto
![Page 8: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/8.jpg)
DDoS Kimin Umrunda
DDoS Atak Örnekleri: Kamu Sektörü Hedef Kurumlar: -Devlet ve devlet kurumları -Partiler veya Politikacılar -Kamu sektoru web sayfaları
Motivasyon: -Siber-Savaş -Hacktivizm -Protesto -Politik kazanç
![Page 9: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/9.jpg)
Arbor Kimdir – DDoS Hakkında Ne Bilir? Tüm dünyada Arbor müşterisi olan Tier 1 Servise Sağlayıcıların oranı
Arbor ürünü kurulu ülke sayısı
Arbor Atlas Güvenlik İstihbarat Sistemi tarafından denetlenen trafik Global Internet trafiğinin %25’i.
12 Arbor’ın DDoS güvenliği ve ağ denetimi alanında hizmet verdiği yıl
Arbor’ı portfoyünde bulunduran Danaher’in 2011 cirosu
2011 yılı Infonetics Pazar Araştırması sonucuna göre DDoS pazarında %70 pay sahipliği ile Lider.
![Page 10: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/10.jpg)
Arbor Kimdir – DDoS Hakkında Ne Bilir?
En Büyük Ataklar - Gbps
Worldwide infrastructure security report, 7th edition: - Atakların %13’ü 10 Gbps’ın üzerinde - Atakların %40’ı 1 Gbps’ın üzerinde - 35 Mpps – raporlanan en yuksek pps değeri
![Page 11: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/11.jpg)
Volümetrik/Hacimsel Ataklar
![Page 12: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/12.jpg)
Uygulama Katmanı – Akıllı Ataklar
Uygulama katmanındaki açıklara yönelik bir saldırıdır. Genellikle Switch veya Routerlar etkilenmez çünkü yanlızca belirli bir uygulama ve servis içindir. Hedeflediği servisi çökertmek amaçlıdır. (HTTP,HTTPS,DNS, vb.) Örnek: Slowloris,DNS atack,vb
![Page 13: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/13.jpg)
Neden Firewall ve IDS/IPS’ler DDoS’a Karşı Savunmasız
• İzin verilen her oturum FW’un state tablosuna yazılır.
• FW kuralları her oturumu ayrı değerlendirir yani DDoS gerçekleşirken haberi olmaz. – Üzerinde DDoS koruması olan FW’lar var fakat atak yapan kişiler oturumları
kapatmayarak FW state tablosundan silinmeden istedikleri gibi geçebiliyorlar.
• En iyi ihtimalle, FW yanlızca kendisini DDoS saldırısından koruyabilir. Arkasındaki serverları kouryamazlar.
![Page 14: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/14.jpg)
Peki NextGeneration FW’lar
• Geleneksel FW’lardan daha da fazla savunmasızdırlar.
• Geleneksel FW’lara göre daha fazla state tablosunu doldururlar çünkü yanlızca IP header bilgisi değil, uygulama kontrol bilgilerinide tutmak zorundalar
• Full Packet Inspection özelliği için stateful/durumsal bir şekilde hem giden hem de gelen paketleri incelemeleri gerekirve bu işlem çok yuksek miktarda işlemci gücü demektir.
• Yanlızca en çok bilinen ve kolay tespit edilebilen ataklara karşı etkilidirler.
– Örn SYN Flood, ICMP Flood.
– Yine FW’lar gibi Yeni Nesil FW’lar da DDoS’a karşı sadece kendilerini koruyabilirler, arkadaki sunucuları değil.
![Page 15: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/15.jpg)
Arbor ERİŞİLEBİLİRLİĞİ Korur!
Bilgi Güvenliği Üçgeni
FW, NextFW ve IPS’ler ile çoğu kurum verilerin gizliliği ve bütünlüğünü koruma altına almaya çalışıyor. Erişilebilirlik korunamadığı zaman güvenlik üçgeni tamamlanmamış olur.
DDoS
![Page 16: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/16.jpg)
Atakları Doğru Yerde Engellemek
20
ISP 2
ISP 1
ISP n
ISP
Firewall IPS
Load Balancer
Target Applications &
Services
DATA CENTER
Peakflow
SP/TMS
Atak Temizleme Merkezi
Cloud Signaling
Servis Sağlayıcı
Bulutunda
DDoS Koruması
Uygulama– L7
DDoS Koruması
Pravail APS
![Page 17: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/17.jpg)
ATLAS Update: Turkey
November 2012
![Page 18: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/18.jpg)
The Worldwide Infrastructure Security Report
Annual Survey – 7th Edition released last year, 8th edition currently under preparation
Comprehensive demographics – 114 Respondents
– 54% Service Providers – 15% Hosting/Datacenters – Large Enterprises, Government, Education, etc.
– Truly global reach – 41% EMEA – 28% US and Canada – 11% Latin America – 20% APAC
– Technical focus – 77% network, security, operations engineers, analysts or architects – 23% management or executives
– www.arbornetworks.com/report
![Page 19: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/19.jpg)
Large Attacks are Now Commonplace
• 13% of respondents report attacks above 10 Gbps
• 40% of respondents report attacks above 1 Gbps
• Largest pps attack reported is 35 Mpps
![Page 20: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/20.jpg)
The Arbor ATLAS Initiative: Internet Trends
240+ ISPs sharing real-time data - > ATLAS Internet Trends – Automated hourly export of data to Arbor server (HTTPS) – File is anonymous, only tagged with
– User Specified Region, e.g. Europe – Provider Type (self categorized), e.g. Tier 1
Data derived from Flow / BGP / SNMP correlation – Arbor Peakflow SP product
– Correlates Sampled Flow / BGP in real-time – Network / Router / Interface etc. Traffic Reporting – Threat Detection (DDoS / infected subscribers)
ATLAS currently monitoring a peak of 37.8 Tbps (peak) across all
respondents.
- A significant proportion of Internet traffic
![Page 21: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/21.jpg)
ATLAS view of Turkey, Nov ‘11 – Oct ‘12
• DDoS against Turkey – Identified attacks: 469
– Largest: 46.78 Gbps, 54.143 Mpps • Traffic flood, mix of protocols
• Turkey as source(*) of attacks – 473 attacks identified
– Largest: 60.004 Gbps / 6.377 Mpps • UDP flood / SYN flood
– (*) beware of address spoofing!
![Page 22: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/22.jpg)
Size of attacks: Gbps
< 1Gbps; 84,6%
< 2Gbps; 5,5%
< 5Gbps; 5,8%
< 10Gbps; 1,5%
< 20Gbps; 2,1% > 20Gbps;
0,4%
![Page 23: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/23.jpg)
Size of attacks: Mpps
< 1Mpps; 74,8%
< 2Mpps; 17,5%
< 5Mpps; 6,2%
< 10Mpps; 1,1% > 20Mpps;
0,4%
![Page 24: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/24.jpg)
Duration of attacks
< 30'; 69,7%
< 60'; 14,7%
< 3h; 9,8%
< 6h; 3,2% < 24h; 0,9% > 24h; 0,6% < 12h, 1.1%
![Page 25: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/25.jpg)
Destination ports
• Out of 381 attacks identified (mainly) towards a single port, 64.6% targeted port 80
• Out of the remaining 135 attacks, the most notable ports are:
0,0%
1,0%
2,0%
3,0%
4,0%
5,0%
6,0%
![Page 26: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/26.jpg)
32% of attacks targeting port
80, identical to 2011
Percentage of attacks
targeting port 53 up from
10.5% to 15.2%
Global target ports (or: how it will change for you)
Worldwide ATLAS statistics 2011 vs. Q1-Q3 2012
Broad spread of ‘other’ ports.
Ports 443 (1.9%) and 3074 (1.2%)
are singled out for the first time
3074 = Xbox Live
![Page 27: Arbor Se Berk Ankara](https://reader033.vdocuments.net/reader033/viewer/2022052208/55cf9165550346f57b8d3912/html5/thumbnails/27.jpg)
DEMO
DEMO