DDoS Saldırıları ve KorunmaYolları

Huzeyfe ÖNAL

Bilgi Güvenliği AKADEMİSİ

www.bga.com.tr

Konuşmacı Hakkında |Huzeyfe ÖNAL

• Bilgi Güvenliği Danışmanı (iş hayatı)

– Bilgi Güvenliği AKADEMİSİ(www.bga.com.tr)

• Ağ Güvenliği Araştırmacısı (gerçek hayat)

• Kıdemli DDoS Uzmanı

• Blogger

– www.lifeoverip.net

Neden DDoS’a Özel Bir Etkinlik?

• Güvenliğin en önemli bileşeni=Availability

• Gün geçtikce önemi artan bir konu

• Tehdit sıralamasında en üstlerde

– En büyük eksiklik temel ağ bilgisi

– Tecrübesizlik

– Varolan ürünleri doğru yapılandıramama

Ajanda

• DoS/DDoS hakkında genel terim ve tanımlar

• DDoS saldırıları hakkında hatalı bilgiler ve düzeltmeler

• DDoS saldırı çeşitleri

• Zombi, botnet oluşturma araç ve yöntemleri

• Türkiye ve dünyadan DDoS saldırı örnekleri

• “Teknik detay ve uygulamalar ikinci kısımda”

Standart Güvenlik Bileşenleri

• Hatalı bilgi

– En güvenli sistem fişi çekilmiş sistemdir!

Confidentiality

AvailabilityIntegrity

Confidentiality

Integrity Availability

Başlamadan Önce...

• Gelen DDOS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok!

• DDOS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez!

Gürcistan DDOS saldırısı 200-800 Mbps arası

DOS

• DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi.

• DOS saldırılarında kaynak yüzlerce, binlerce farklı sistem değildir.

• Bazı saldırılar özünde DoS, sonuçlarına göre DDoS’tur

– DDoS görünümlü DoS

– Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi

• DoS saldırılarını engelleme kolaydır

DDoS

• DDOS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme

• Binlerce, yüzbinlerce sistem kullanılarak gerçekleştirilir.

• Genellikle sahte IP adresleri kullanılır

• BotNet’ler kullanılır

• Saldırgan kendini gizler

• Engellemesi zordur!

DOS/DDoS Hakkında Yanlış Bilinenler

• Bizim Firewall tek başına DDoS’u engeller

• Bizim IPS tek başına DOS/DDoS’u engeller

• Linux DDoS’a karşı dayanıklıdır

• Biz de DDoS engelleme ürünü var, korunuyoruz!– Yapılandırılmış mı? Test edilmiş mi?

• Donanım tabanlı firewallar DDoS’u engeller

• Bizde antivirüs programı var– Sistemlerimize kötücül yazılım bulaşmaz!

• DOS/DDOS Engellenemez

DDoS Hakkında Yanlış Bilinenler

• DDoS saldırıları sizin trafiğinizden daha yüksek boyutta olduğu için engellenemez.

• Yapılan çalışmalar DDoS saldırılarının çok küçük bir bölümünün bandwith şişirme yöntemiyle gerçekleştirğini ortaya koymaktadır.

DDoS Saldırılarında Amaç

• Sistemlere sızma girişimi değildir!!

• Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak

• Web sitelerinin ,

E-postaların, telefon

Sistemlerinin, bankacılık

sistemlerinin çalışmaması

Niye Yapılır?

• Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir

– Ya benimsin ya ...

• Politik sebepler

– Ülkeler arası anlaşmazlıklarda(Gürcistan, Estonya, İsrail...)

• Ticari sebepler

– Rakip firma, Google’da üstte çıkma

• Can sıkıntısı & karizma amaçlı

– Bahis amaçlı(forumlarda)

Neden Kaynaklanır?

DOS/DDOS

Yazılım-BUG

Bind Cisco

Protokol Tasarım Eksikliği

TCP Syn flood

DoS Sadece Internette Mi Geçerlidir?

• DoS bir saldırı şeklidir ve ağ kavramının geçerli olduğu her ortamda gerçekleştirilebilir.

• Temel sebep protokol tasarımlarının günümüze hitap etmemesi

• DoS saldırıları:

– Yerel ağlarda gerçekleştirilebilir

– Kablosuz ağlarda gerçekleştirilebilir

– Internet üzerinden gerçekleştirilebilir

Yerel Ağlarda DoS Tehlikesi

• Yerel ağlarda zorunlu kullanıma sahip ARP protokolünün doğasında bulunan zaafiyetler kullanılarak tek paketle tüm ağ işlevsiz kılınabilir.

• Yerel ağdaki tüm sistemlere gateway sistemin MAC adresi hatalı olarak bildirilirse

– Tüm sistemler gatewaye ulaşmak isterken paketleri boşa gider.

• #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.255 -H 00:01:02:03:04:05 -M FF:FF:FF:FF:FF:FF

Kablosuz Ağlarda DoS Tehlikesi

• Kablosuz ağlarda kullanılan güncel protokollerde –ağda WEP/WPA/WPA2 kullanılmasına bakmaksızın- DoS mümkündür

• AccessPoint’den geliyormuş gibi tüm bağlı istemcilere de-auth paketleri gönderilir.

DDoS Bileşenleri

Kötü niyet

Kötü adamlar

MalwareZombi/Botnet

C&C

(ro)BOTNET(works)

• Zombi(roBOT)lerdan oluşan yıkım orduları!

• Her an emir almaya hazır sanal askerlerden oluşur

• Uzaktan yönetilebilirler

– Sahibi adına istenen bilgileri çalar, saldırı düzenler

• Hiyerarşik yapıda değildir

– Genelde tek bir yönetici/komutan olur

• Internet üzerinde çeşitli amaçlar için satılmaktadır

Nasıl Zombi Olunur?

Zombi Adımları

BotNet Kullanım Amaçları

• Yeraltı siber ekonomisinin en güçlü kazanç kapısı– SPAM amaçlı kullanılır

– Google reklamlarından para kazanma amaçlı

– Google Adword’de öne çıkma veya bir firmayı geri düşürme amaçlı kullanılabilir

– Anket manipülasyonu

– DDoS yapmak için kullanılabilir

– Bilgi çalma amaçlı kullanılabilir

– Yeni malware yayma amaçlı

BotNet’ler Üzerinden Toplanan Kredi Kartları

BotNet Piyasası

Türkiye BotNet Piyasası

Asıl piyasaya internet üzerinden ulaşmak pek mümkün değil.

Türkiye dünya BotNet piyasasında önemli yere sahiptir.

Nasıl Yönetilir?

• P2P, IRC, WEB, Twitter

IRC Üzerinden BotNet Yönetimi

Türkiye’den Güncel Örnek

• Haziran ayında çok kullanılan blog/portal yazılımının Türkçe sayfası hacklendi

• Hackerlar sisteme sızıp bir sonraki blog sürümüne uzaktan yönetim amaçlı kod eklediler

• İlgili siteden portal yazılımını indiren herkes aynı anda sistemlerini hackerların yönetimine teslim etmiş oldu

– Bu hacking olayını engelleyecek herhangi bir güvenlik cihazı yok.

Güncel Pasif BotNet Örneği(Türkiye)

Nasıl Farkedilir?

• Garip trafik davranışları– SPAM

– DDoS

• Belirli alan adlarına(BotNet yönetim sistemleri) gönderilen istekler– Zeus Tracker

• Suç amaçlı kullanılan botnet yönetim IP adreslerine yapılan bağlantılar– Russian Business Network

Türkiye ve Dünyadan DDoS Örnekleri

• Dönem dönem DDoS saldırıları medyanın ilgi odağı olmaktadır

• 2000’li yıllarda Amazon, Ebay, Yahoo! Gibi sistemlere yönelik saldırılar sonrası

• 2007 Root DNS saldırıları

• 2008- Gürcistan, Estonya siber saldırıları

• 2010 Wikileaks, Mavi Marmara, Youtube protestosu!

I.H.H

• 2010 Mavi Marmara olayından sonra• İsrail IP adreslerinden ciddi miktarda DDoS saldırısı

• Türkiye’den misilleme– Gönüllü DDoS saldırısı

İsrail, Türkiye IP Bloklarını Engelledi

Türkiye’den yapılan bağlantı-başarısız

Amerika’dan yapılan bağlantı-başarılı

•Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri ulaşılamaz duruma geldi.•Kısa sürede Türkiye’den gelen istekleri engelleyerek geçici çözüm bulundu•Aynı yöntem Estonya tarafından da kullanılmıştı.

Youtube Protestosu

• TIB

• BTK

• Tubitak

• Ulaştırma Bakanlığı

Devlet Sistemlerine Yönelik Toplu DDoS

Dünyadan DOS/DDOS Örnekleri

Dünyadan DDOS Örnekleri|Gürcistan

Dünyadan DDOS Örnekleri|Estonya

Wikileaks DDoS Saldırıları

• Wikileaks olayının patlak vermesinden sonra çift taraflı DDoS saldırıları başladı– Bir taraf Wikileaks.org sistemlerine yönelik saldırı

başlattı

– Diğer taraf Wikileaks’e kapılarını kapatan firmalara(Paypal, Visa...) yönelik saldırı başlattı

• Gönüllü BotNet kurulumu konusunda ilk defa bu kadar yüksek seviyeye ulaşıldı!– Gönüllü olarak botnete katılanların IP adresleri kayıt

altına alındı.

Bize DDoS Yapılmaz Düşüncesi

• Dikkat çeken her sistem(sadece web sayfası değil) eğer koruma altında değilse her an DDoS saldırısıyla karşı karşıya kalabilir

• Yerli hackerlar henüz kurumsal sistemlere yönelik saldırılara başlamadı

– Genellikle hosting firmalarına yönelik ve e-ticaret sitelerine yönelik saldırılar görülmekte

DDoS Çeşitleri

En Sık Tercih Edilen DDoS Atak Tipleri

DOS/DDOS Çeşitleri

• Bandwidth şişirme– Udp flood, icmp flood (diğer tüm tipler)

• Kaynak tüketimi(Firewall, server)– Synflood, ACK/FIN flood, GET/POST Flood, udp flood, Dns

flood

• Programsal hata– Bind DOS

• Protokol istismarı– DNS amplification DOS

• Sahte IP kullanımı/ Gerçek IP kullanımı

• Uygulama seviyesi DDoS atakları

DDOS-I:Bandwidth Şişirme

• Önlemenin yolu yoktur

– Sürahi bardak ilişkisi

• ISP seviyesinde engellenebilir...

• L7 protokolleri kullanılarak yapılan DDOS’larda saldırı trafiği çeşitli yöntemlerle ~6’da birine düşürülebilir

– HTTP GET flood 400 Byte

– IP Engelleme sonrası sadece syn paketi gelir(60 byte)

DDOS-II:Ağ/güvenlik Cihazlarını Yorma

• Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme

• Session bilgisi tutan ağ/güvenlik

cihazlarının kapasitesi sınırlıdır

Uygulama Seviyesi DDoS Atakları

• Son yıllarda tırmanışta

• Engellemesi diğer DDoS tiplerine oranla daha zor/kolay

• IP spoofing yapılamaz

– Engelleme için avantaj.

• Normal bağlantılardan

ayırt etmek zorlaşıyor

DDoS Saldırılarında Eski yöntemler

• DDoS saldırıları en çok 2000’li yıllarda medyanın dikkatini çekmiştir

– Amazon

– Ebay

– Yahoo

– Root Dns saldırıları

• Günümüzdeki DDoS kaynaklarının çoğu eski tip DDoS ataklarını ve araçlarını anlatır

• Günümüzde eski tip yöntem, araç kullanan DDoS saldırılarına rastlamak çok zor

Eski Yöntem DDoS Saldırıları

• Smurf

• Teardrop

• Ping Of Death

• Land Attack

Smurf atağı

Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)

ICMP ve UDP Paketleri Broadcast olarak gönderilebilir

Smurf Atağı Artık Çalışmaz. Neden ?

• Tüm router ve işletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez!

root@seclabs:~# sysctlnet.ipv4.icmp_echo_ignore_broadcastsnet.ipv4.icmp_echo_ignore_broadcasts = 1

Eski Araçlar...

Günümüzde Tercih Edilen Yöntemler

• Eski araçlar, eski yöntemler günümüzde çalışmaz!

• Yeni Yöntemler

– SYN Flood *

– HTTP Get /Post Flood *

– UDP Flood *

– DNS Flood

– Amplification DNS DDoS saldırıları

– BGP protokolü kullanarak DOS

• * ‘lı saldırılar eskiden de yapılırdı.

Yeni Araçlar

• Hping

• Juno (eski ama eskimeyen araç)

• Netstress

• Günümüzde ciddi saldırılarda daha çok BotNet yazılımları kullanılır

– Zeus Botnet

– Yes Exploit System

– Russ Kill

BotNet Yönetim Ekranı

Türkiye DDoS Anket Çalışması

DDoS-BotNet Çalışma Grubu

• DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla 2010 yılında kurulmuştur.– E-posta listesi ve çalışma grubu olarak faaliyet

göstermektedir.

• http://www.lifeoverip.net/ddos-listesi/ adresinden üye olabilirsiniz.– Sadece kurumsal katılıma açıktır.

NetSec Ağ Ve Bilgi Güvenliği Topluluğu

• Türkiye’nin en geniş katılımlı bilgi güvenliği e-posta listesi ve topluluğu

– ~950 üye

• Ücretsiz üye olabilirsiniz.

• Güvenlik dünyasında yayınlanan önemli haberler, güvenlik yamaları ve birçok teknik konuda tartışma...

• Üyelik için

– http://www.lifeoverip.net/netsec-listesi/

Bilgi Güvenliği AKADEMİSİ