Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18

18,813 views

Published on

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17 ve 18 @BGASecurity

Published in: Education

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18

  1. 1. @BGASecurity - 2014- BEYAZ ŞAPKALI HACKER EĞİTİMİ BÖLÜMLER XVI – XVII - XVIII
  2. 2. @BGASecurity BGA Bilgi Güvenliği A.Ş BGA Security Hakkında Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir. Gerçekleştirdiği vizyoner danışmanlık projeleri ve nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır. ARGE EĞİTİM MSSP PENTEST SOME / SOC SECOPS BGA | Hakkında
  3. 3. @BGASecurity Web Sunucularına Yönelik DDOS Saldırıları BÖLÜM - XVI
  4. 4. BGA | CEH @BGASecurity HTTP’e Giriş  HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim protokolüdür.  Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık kullanılan protokoldür.(%96 civarında)  Transport katmanında TCP kullanır
  5. 5. BGA | CEH @BGASecurity HTTP Nasıl Çalışır?  Http istemci-sunucu mantığıyla çalışır  Önce TCP bağlantısı açılır, kullanıcı istek(HTTP isteği) gönderir sunucu da buna uygun cevap döner ve TCP bağlantısı kapatılır.  Her HTTP isteği için bir TCP bağlantısı gerekir.
  6. 6. BGA | CEH @BGASecurity Web Uygulama Bileşenleri  Kullanıcı  Web sunucu yazılımı  Web uygulama programlama dili  Veritabanı  ...
  7. 7. BGA | CEH @BGASecurity HTTP İstek ve Cevapları  Web’in çalışma mantığı istek ve cevaplardan oluşur, istekler ve bunlara dönülecek cevaplar farklıdır.  Bu konuda detay için HTTP RFC’si 2616 incelenebilir.  HTTP isteklerinden önce mutlaka 3’lü el sıkışma tamamlanmalıdır!
  8. 8. BGA | CEH @BGASecurity HTTP GET Paket Boyutu Ortalama 100-400 byte
  9. 9. BGA | CEH @BGASecurity HTTP İstek Ve Cevapları
  10. 10. BGA | CEH @BGASecurity HTTP ve TCP ilişkisi  HTTP TCP kullanan bir protokoldür.  Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır.  Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir ▪ 3 adet TCP bağlantı başlangıcı ▪ 4 adet TCP bağlantı koparılması ▪ 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri  HTTP’nin performansı TCP’e bağlıdır
  11. 11. BGA | CEH @BGASecurity HTTP ve TCP İlişkisi  Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir  ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir  Ciddi performans sorunu vardır
  12. 12. BGA | CEH @BGASecurity HTTP Performansı İçin Ek Özellikler  KeepAlive ve Pipelining özellikleri eklenmiştir  HTTP/1.1 de her iki özellik de kullanılabilir  Hem sunucu hem de istemci bu özellikleri desteklemeli
  13. 13. BGA | CEH @BGASecurity HTTP KeepAlive  HTTP KeepAlive(persistent connection)  HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
  14. 14. BGA | CEH @BGASecurity HTTP Pipelining  Pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir  Genellikle Keep Alive kavramıyla karıştırılır fakat birbirlerinden farklı kavramlardır.  Klasik http bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir  Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı olarak gönderilebilir
  15. 15. BGA | CEH @BGASecurity Pipelining+KeepAlive Pipelining ve KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz, tek bir TCP bağlantısı içerisinden eşzamanlı yüzlerce HTTP isteği gönderilebilir
  16. 16. BGA | CEH @BGASecurity Web Sunuculara Yönelik DOS Saldırıları Web sunucularına yönelik DOS/DDOS saldırılarında amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır.
  17. 17. BGA | CEH @BGASecurity Web Sunuculara Yönelik DOS/DDoS Saldırıları-II Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur; kaba kuvvet saldırıları (Flood) tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler
  18. 18. BGA | CEH @BGASecurity GET/POST Flood Saldırıları  Synflood için önlem alınan yerlere karşı denenir  Daha çok web sunucunun limitlerini zorlayarak sayfanın ulaşılamaz olmasını sağlar  Önlemesi Synflood’a göre daha kolaydır  HTTP için IP spoofing “pratik olarak” imkansızdır.  Rate limiting kullanılarak rahatlıkla önlenebilir  False positive durumu  #ab –n 100000 –c 5000 http://www.google.com/
  19. 19. BGA | CEH @BGASecurity Kaba Kuvvet (Flood) Saldırıları  Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır.  Literatürde adı “GET Flood”, “POST Flood” olarak geçen bu saldırılar iki şekilde yapılabilir.  Tek bir bilgisayardan  Botnet sistemlerden(binlerce farklı bilgisayar)
  20. 20. BGA | CEH @BGASecurity HTTP Üzerinden DOS
  21. 21. BGA | CEH @BGASecurity HTTP GET Flood Saldırıları  Hedef sisteme binlerce HTTP GET paketi gönderilir  HTTP GET Flood yaparken tek bir kaynaktan gönderilecek paket sayısı sınırlıdır  IP spoofing yapılamaz  BotNet kullanılmadan yapılan saldırılar etkili olmaz  Küçük sistemlere karşı etkili olabilir
  22. 22. BGA | CEH @BGASecurity HTTP Flood Test Araçları  Netstress  Ab  Siege  DOSHTTP  Skipfish  ....
  23. 23. BGA | CEH @BGASecurity Ab (Apache Benchmark)  POST Flood  #ab -c 100 -p post1.txt -T application/x-www-form- urlencoded -n 10000 -r - q http://blog.lifeoverip.net/searcme.php  GET Flood  #ab -c 100 -n 10000 http://blog.lifeoverip.net/searcme.php
  24. 24. BGA | CEH @BGASecurity HTTP GET Flood Saldırıları-II
  25. 25. BGA | CEH @BGASecurity Tasarımsal/Yazılımsal DoS Saldırıları  Kullanılan web sunucu yazılımında ya da programlama dilinde çıkan DoS zaafiyetleri  Apache slowloris  PHP “multipart/form-data” denial of service)  Nginx DoS  Captcha kullanılmayan formlar
  26. 26. BGA | CEH @BGASecurity DOS/DDOS Saldırılarından Korunma Yöntemleri  Web sunuculara yönelik DOS/DDOS saldırılarından korunma diğer DOS/DDOS yöntemlerine göre daha zordur(synflood, udp flood, smurf vs).  HTTP Flood saldırıları Firewall/IPS gibi sistemler üzerinden engellenebilir fakat gerçek kullanıcıları da engelleme riski yüksektir  Bot üzerinden gelen saldırılarda gerçek kullanıcıyla saldırganı ayırd etmek çok zordur
  27. 27. BGA | CEH @BGASecurity Web Sunucu Yapılandırması  İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler kullanılmalı Loadbalancer, reverse Proxy kullanımı (Nginx gibi)  Web sunucunun desteklediği dos koruma modülleri kullanılabilir (Apache Mod_dosevasive)
  28. 28. BGA | CEH @BGASecurity Firewall/IPS Üzerinden Ek Ayarlar  Firewall/IPS ile belirli bir kaynaktan gelebilecek max. İstek/paket sayısı sınırlandırılmalı( rate limiting kullanımı)  HTTP isteklerini gönderecek IP adresleri sahte olamayacağı için rate limiting işlemi sağlıklı çalışacaktır  Eğer HTTP flood saldırısı Keep alive özelliğini kullanıyorsa Firewall HTTP istekleri içerisine bakmadığı için bunu engelleyemez  Tek bir TCP bağlantısı içerisinden 100 adet HTTP paketi geçirme
  29. 29. BGA | CEH @BGASecurity Snort ile HTTP Flood saldırıları Engelleme • Mantık basit: HTTP sunucuya gelebilecek HTTP isteklerini ip bazında sınırlama(TCP seviyesinde değil) • Her ip den anlık gelebilecek max HTTP GET/HEAD/POST isteği=100
  30. 30. BGA | CEH @BGASecurity HTTP Flood engelleme  OpenBSD Packet Filter pass in log(all) quick on $ext_if proto tcp to $web_server port {80 443} flags S/SA synproxy state (max-src-conn 1000, max-src-conn-rate 100/3, overload <ddos_host> flush global) table <ddos_host> persist file /etc/ddos block in quick log on $ext_if from <ddos_host>  False positive durumuna karşı her saat başı yasaklı ip listesini sıfırla!  Sayfa yoğunluğuna göre Kurallar düzenlenmeli
  31. 31. BGA | CEH @BGASecurity HTTP Get Flood Engelleme-II  Apache Loglarını inceleyen ve belirli bir değerin üzerinde istek gönderenleri iptables ile engelleyen bir script yazılabilir  Netstat ile establish olmuş bağlantılardan belirli değerin üzerindekileri engelleyen script yazılabilir  Apache dos engelleme modülleri kullanılabilir
  32. 32. BGA | CEH @BGASecurity Özel BotNet Yasaklama Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse(User-Agent, Refererer vs) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir User-Agent: Zeus Referrer:http://www.example.com
  33. 33. BGA | CEH @BGASecurity UDP  Basit bir protokoldür  Herhangi bir onay mekanizması yoktur  Onay gerektiren durumlarda üst seviye protokoller veya yazılım geliştiriciler önlem almak zorunda  Ip spoofing yapılabilir  Broadcast çalışabildiğinden olduğundan ciddi DoS saldırılarında kullanılabilir  RFC’e göre  Açık UDP portuna gelen isteklere cevap dönülmez  Kapalı UDP portuna gelen isteklere ICMP Port unrc. Mesajı döner
  34. 34. BGA | CEH @BGASecurity UDP İçin State Kavramı  Gerçek State durumu yoktur  TCP’deki gibi bayrak mekanizması yoktur  Firewall/IPS/DDoS sistemleri UDP bağlantısına ait state tutabilir  Kaynak ip adresi, kaynak port  Hedef ip adresi, hedef port  Zaman bilgileri kullanılır
  35. 35. BGA | CEH @BGASecurity RFC’e Göre UDP UDP Kapalı Port UDP Açık Port
  36. 36. BGA | CEH @BGASecurity UDP Paket Boyutu Ortalama 30 byte
  37. 37. BGA | CEH @BGASecurity UDP Flood Saldırıları  UDP stateless bir protokol, yönetimi zor!  Paket boyutları küçük, etkisi yüksek  Amaç UDP servislerini çökertmekten çok aradaki güvenlik cihazlarının kapasitesini zorlayıp cevap veremez hale getirmektir.  Zaman zaman DNS sunuculara yönelik de yapılır  Syncookie/synproxy gibi kolay bir çözümü yok!  Denenmiş, kanıtlanmış standart bir çözüm bulunmamaktadır.
  38. 38. BGA | CEH @BGASecurity UDP Flood Saldırıları-II  IP spoofing yapılabilir  hping –udp www.lifeoverip.net -p 53 -a www.teakolik.com  Paket boyutu ~ 30 byte  20Mb hat ile saniyede 90.000 pps üretilebilir. ▪ 20*1024*1024/8/30  UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye  Her gönderilen UDP paketi 60 saniye boyunca Firewall/IPS oturum kapasitesinde yer kaplayacaktır.
  39. 39. BGA | CEH @BGASecurity UDP Flood saldırıları-III  Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi  Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
  40. 40. BGA | CEH @BGASecurity Hping İle UDP Flood Saldırısı Gerçekleştirme UDP Flood DNS Sunucu cevap veremiyor
  41. 41. BGA | CEH @BGASecurity UDP Flood Korunma Yöntemleri  Genel geçer bir korunma yöntemi yoktur  Güçlü güvenlik duvarları tercih edilmeli  Router’lar üzerinden kullanılmayan UDP servislerini kapama  Kapalı UDP portları için cevap dönmeme  Belirli ip adresinden gelecek istekleri sınırlama  X saniyede Y’den fazla paket gönderen IP adresini karantinaya al  UDP timeout sürelerini değiştirme
  42. 42. BGA | CEH @BGASecurity UDP Flood Korunma Yöntemleri-II  Kapalı UDP portlarına cevap dönmeme  RFC’ye göre kapalı bir UDP portuna gelen isteğe ICMP Dest. Port Unreachable mesajı dönülür  Kapalı porta gelen her UDP paketi için ICMP mesajı dönmek Firewall/IPS sistemini yorar  Güvenlik sistemleri kapalı udp portlarından cevap vermeyecek şekilde yapılandırılmalıdır
  43. 43. BGA | CEH @BGASecurity UDP Flood Korunma Yöntemleri-III  Rate limiting kullanarak udp flood engelleme  Bir ip adresinden gelebilecek anlık/zamana bağlı UDP paket sayısını belirlemek ve eşik değerini aşan ip adreslerini belirli süreliğine engelleme yöntemidir.  UDP paketlerinde ip spoofing kontrolü yapılamayacağı için rate limiting kullanımı sıkıntı doğuracaktır.  Piyasadaki çoğu ürün UDP flood saldırılarını bu şekilde engellemektedir.
  44. 44. BGA | CEH @BGASecurity UDP Flood Korunma Yöntemleri-IV  DFAS(Drop first, Accept Second) yöntemi  Normal durumda UDP isteği gönderen bir host karşı sistemden cevap alamazsa ilk UDP paketini tekrar gönderir (retransmission)  DDoS engelleme sistemi gelen tüm udp paketlerini drop edip aynı ip adresinden ikinci udp paketi geldiğinde kabul et şeklinde yapılandırılabilir.  %99 udp saldırıları için geçerli bir çözüm olacaktır  Saldırgan sahte ip adreslerinden gönderilecek paketleri ayarlayabileceği için sahte iplerden birden fazla udp paketi göndererek bu korumayı aşabilir.
  45. 45. BGA | CEH @BGASecurity UDP Flood Korunma Yöntemleri-V  UDP timeout değerleri ile oynama  Bir UDP paketi güvenlik sisteminden izinli olarak geçtiğinde güvenlik sistemi belirli süreliğine bu UDP paketi için oturum bilgisi tutar.  Firewall’dan açık ama arka tarafta kapalı bir UDP portu varsa bu sisteme gönderilecek UDP istekleri için Firewall ortalama 60 saniye boyunca oturum bilgisi tutacaktır.  Firewall/IPS sistemleri üzerinden UDP timeout süreleri düşürülerek açıkta kalan udp oturumlarının hızlı kapatılması sağlanabilir
  46. 46. @BGASecurity DNS Servisine Yönelik DDOS Saldırıları BÖLÜM - XVII
  47. 47. BGA | CEH @BGASecurity Amaç  Hizmet veren DNS sunucuların işlevsiz kalması  DNS , internetin en önemli protokolüdür  DNS’in çalışmadığı bir internet düşünülemez!  DNS’den önce nasıl işliyordu?  DNS sunuculara yönelik DoS/DDoS saldırıları özel anlam taşımaktadır  Tek bir paketle milyonlarca insanın internetinin çalışmaması sağlanabilir
  48. 48. BGA | CEH @BGASecurity DNS Servisine yönelik DDOS Saldırıları  DNS UDP üzerinden çalışır= kandırılmaya müsait servis  DNS = Internet’in en zayıf halkası  E-posta hizmetleri  Web sayfalarının çalışması  İnternetim çalışmıyor şikayetinin baş kaynağı   DNS sunuculara yönelik DDOS saldırıları  DNS yazılımında çıkan buglar  ENDS kullanımı ile amplification saldırıları  DNS sunucuların kapasitelerini zorlama
  49. 49. BGA | CEH @BGASecurity DNS ve UDP  DNS, UDP tabanlı bir protokoldür  UDP tabalı sistemlerde ip spoofing kolaydır
  50. 50. BGA | CEH @BGASecurity DNS Sorgu Çeşitleri Dns Query IterativeRecursive
  51. 51. BGA | CEH @BGASecurity Recursive DNS Sorgular Recursive dns sunucu demek saldırılarda kötü amaçlı kullanılabilecek dns sunucu demektir.
  52. 52. BGA | CEH @BGASecurity DNS’e Yönelik DDoS Saldırıları  Dns Flood Saldırıları  Amplified DNS DoS Saldırıları  DNS sunucu yazılımlarını hedef alan DoS Saldırıları
  53. 53. BGA | CEH @BGASecurity DnsFlood Saldırıları  DNS sunucuya apoof edilmiş random ip adreslerinden yüzbinlerde sahte(gerçekte olmayan) domain isimleri için istek gönderme  Her gelen istek için DNS sunucunun root dnslere gidip yorulması ve gerçek isteklere cevap verememesi sağlanmaya çalışılır  DNS sunucunun kapasitesini zorlama
  54. 54. BGA | CEH @BGASecurity DNS Flood Örneği
  55. 55. BGA | CEH @BGASecurity Dns Flood Engelleme  IP başına yapılacak sorgu sayısını belirleme  DNS sunucuları ağın dışında güçlü sistemlerde tutma  Kiralama  Dağıtık DNS sunucu kullanımı  DNS sunucularını genele açmama  Saldırı anında gelen DNS isteklerini UDP’den TCP’e çevirip SYN Cookie/proxy çalıştırma
  56. 56. BGA | CEH @BGASecurity Amplified DNS DoS Amaç: recursive dns sunuculara çeşitli paketler göndererek daha yüksek boyutlu cevaplar almak ve bu cevapları istenen bir IP Adresine yönlendirme
  57. 57. BGA | CEH @BGASecurity DNS Amplification Saldırısı  UDP üzerinden taşınan dns paketleri 512 byten büyük olamaz  EDNS(RFC 2671) dns sorgularının cevapları 512 bytedan daha büyük olabilir  60 byte(dns isteği) gönderip cevap olarak 4000 byte alınabilir(cevap=56X istek)  10Mb bağlantıdan 10X65=650 Mbit trafik üretilebilir.  Koruma: recursive dns sorguları ve edns desteği iyi ayarlanmalı
  58. 58. BGA | CEH @BGASecurity DNS Amplification DOS Internette herkese açık dns sunucu sayısı ~600,000 DNS sunucu DOSYapan Kurban DNS İsteği SRC: Kurban (60 byte) EDNS Cevabı (4000 byte) DNS Amplification Saldırısı: ( 65 amplification ) DNS sunucu DNS sunucu DNS sunucu
  59. 59. BGA | CEH @BGASecurity DNS Trafiğini Yükseltici Olarak Kullanma  Amplification saldırısı  Çarşıdan aldık bir byte eve geldik 10 byte...  Sahte DNS istekleriyle servis yorma  Saniyede 50.000 dns isteği ve olmayan domainler için...
  60. 60. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları-I  Bu saldırı tipinde gönderilen DNS isteğine dönecek cevabın kat kat fazla olması özelliğini kullanır.  Sisteme gönderilecek 50 byte’lık bir DNS isteğine 500 Byte~cevap döndüğü düşünülürse saldırgan elindeki bant genişliğinin 10 katı kadar saldırı trafiği oluşturabilir.
  61. 61. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları-II
  62. 62. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları-III Adım Adım DNS Amplification DoS Saldırısı 1.Adım: Saldırgan rekursif sorguya açık DNS sunucu bulur ve daha önce hazırladığı özel alan adını sorgulatır (Gerçek hayatta özel bir alan adı değil “.” sorgulanır.). Bu isteğin boyutu 50 Byte tutmaktadır. 2.Adım: Ara DNS sunucu kendi ön belleğinde olmayan bu isteği gidip ana DNS sunucuya sorar (50 Byte) 3.Adım: Ana DNS sunucu test.bga.com.tr için gerekli cevabı döner (500~byte)
  63. 63. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları Adım Adım DNS Amplification DoS Saldırısı-2 4. Adım: Ara DNS sunucu cevabo ön belleğine alarak bir kopyasını Saldırgana döner. Burada amaç ARA DNS sunucunun dönen 500 Byte’lık cevabı ön belleğe almasını sağlamaktır. 5.Adım: Test kullanıcısı (saldırganın kontrolünde) test.bga.com.tr alan adını sorgular ve cevabın cachede olup olmadığını anlamaya çalışır. 6.Adım: Ara DNS sunucu ön belleğinden 500 byte cevap döner
  64. 64. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları Adım Adım DNS Amplification DoS Saldırısı-3 7.Adım: Saldırgan Kurban’ın IP adresinden geliyormuş gibi sahte DNS paketleri gönderir. DNS paketleri test.bga.com.tr’i sorgulamaktadır (ortalama 100.000 dns q/s). Bu üretilen paketlerin Saldırgana maliyeti 100.000 X53 Byte 8.Adım: Ara DNS sunucu gelen her paket için 500 Byte’lık cevabı Kurban sistemlere dönmeye çalışacaktır. Böylece Ara DNS sunucu 100.000X500 Byte trafik üreterek saldırganın kendi trafiğinin 10 katı kadar çoğaltarak Kurban’a saldırıyor gözükecektir
  65. 65. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları Adım Adım DNS Amplification DoS Saldırısı-4
  66. 66. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları Adım Adım DNS Amplification DoS Saldırısı-4
  67. 67. BGA | CEH @BGASecurity Amplified DNS DoS Saldırıları Örnek DNS Amplification DoS Saldırısı DoS yapılacak Hedef Sistem: kurban.example.com (V) Aracı olarak kullanılacak DNS sunucu: dns-sunucu.example.com (A) Saldırgan ( C ) ./amfdns –a dns-sunucu.example.com –t A –q . –target kurban.example.com
  68. 68. BGA | CEH @BGASecurity DNS Sunucularda Çıkan Buglar ve DOS Yıl 2009 ... Tek paketle DNS sunucuyu durdurma saldırısı %85 DNS sunucusu ISC Bind
  69. 69. BGA | CEH @BGASecurity BIND Dynamic Update DoS  ISC bind 2009 Temmuz  Bu tarihe kadarki tüm bind sürümlerini etkileyen “basit” ama etkili bir araç  Tek bir paketle Türkiye’nin internetini durdurma(!)  Tüm büyük isp’ler bind kullanıyor  Dns=udp=src.ip.spoof+bind bug  %78 dns sunucu bu zaafiyete açık  Sistem odalarında nazar boncuğu takılı
  70. 70. BGA | CEH @BGASecurity BGP Anonslarıyla DOS  YouTube IP= 208.65.152.0/22 ( 210 IP adresi) www.youtube.com -> 208.65.153.238, 239..  Şubat 2008’de:  Pakistan telekom youtube yasaklamak için 208.65.153.0/24 aralığını anons etmeye başladı  Spesifik prefixler daha önceliklidir(Routing karar mekanizmasında)  Anons sonrası Internet youtube.com’u Pakistan Telekomda sanıyordu  2 saatliğine kesinti  Önlemi? 70
  71. 71. BGA | CEH @BGASecurity BGP Çalışma Mantığı
  72. 72. BGA | CEH @BGASecurity Mail Bombing Farklı SMTP sunucular kullanarak farklı gönderici adreslerinden tek bir adrese yönelik yoğun e-posta gönderimi. 72
  73. 73. BGA | CEH @BGASecurity Mail Bomb Örnek 73
  74. 74. BGA | CEH @BGASecurity Mailbomb Örnek 74 Mail bomb yapan IP adresi
  75. 75. BGA | CEH @BGASecurity Yerel Kaynak Tüketimi 75
  76. 76. @BGASecurity Alternatif DDOS Engelleme Yöntemleri BÖLÜM - XVIII
  77. 77. BGA | CEH @BGASecurity Ülke Engelleme  Estonya örneği  Saldırı boyunca Estonya IP adresleri haricine internet kapatıldı  İsrail örneği  Mavi Marmara olayı süresince Türkiye IP blokları engellendi.  Akıllı saldırganların rahatlıkla Aşabileceği bir engelleme yöntemi
  78. 78. BGA | CEH @BGASecurity Router Üzerinden DDoS Engelleme
  79. 79. BGA | CEH @BGASecurity Router Üzerinden Juno Engelleme  Synflood saldırılarında en sık kullanılan araç  Source port numarası 1024 olan TCP paketlerini engelle  Source port numarası 3072 olan TCP paketlerini engelle
  80. 80. BGA | CEH @BGASecurity Ağınızdan DDOS Yapılmasını Engelleme  DDOS saldırılarında belirleyici iki temel etken:  IP spoofing  Bir ip adresinden anormal seviyede trafik gönderimi  IP spoofing engelleme(ağınızdan dışarı doğru)  URPF(Unicast Reverse Path Forwarding)  block in from urpf-failed to any (OpenBSD PF)  Ip başına anormallik tespiti  Ourmon, Packet Filter rate limit  Netflow/pfflowd
  81. 81. BGA | CEH @BGASecurity AntiSpoofing Özelliği (URPF)
  82. 82. BGA | CEH @BGASecurity BlackHole Routing  Saldırı yapılan sisteme gelen paketleri backbone routerdan null’a yönlendirme işlemi  Amaç hedef sistem zarar görürken başka sistemlerin zarar görmesini engelleme ip route add blackhole 192.168.32.128/32 ip route 192.168.0.0 255.255.0.0 Null0
  83. 83. BGA | CEH @BGASecurity DNS Kullanarak DDoS Engelleme www.lifeoverip.net 1400 IN A 91.93.119.87 www.lifeoverip.net 1400 IN A 91.93.119.80 www.lifeoverip.net 1400 IN A 91.93.119.81 www.lifeoverip.net 1400 IN A 91.93.119.85 www.lifeoverip.net 1400 IN A 91.93.119.86 TTL değeri 1400 saniye Round-robin DNS  Saldırı anında hangi IP Adresi hedef seçilmişse DNS’den o IP adresini anons etmeyi bırakmak lazım  Basit ama etkili bir yöntemdir  Saldırgan inat ettiyse bu yöntemi bypass edebilir  Nasıl ?
  84. 84. BGA | CEH @BGASecurity ISP’de Engelleme Eğer yapılan saldırı belirli kaynak IP adreslerinden yapılıyorsa ISP ile iletişime geçilerek ilgili IP Adresleri için access list yazılması sağlanabilir
  85. 85. BGA | CEH @BGASecurity BotNet Engelleme  Botnete üye olan makineler merkezden yönetilirler  Merkez sistemleri engelleme çoğu zaman saldırıları azaltmada işe yarayacaktır ve sizin ağınızdan DDOS yapılmasını engelleyecektir.
  86. 86. BGA | CEH @BGASecurity Zeus Tracker Zeus BotnEt’in kullandığı sistemlerin listesi engellenerek botnet’e dahil sistemlerin komut alması engellenir.
  87. 87. BGA | CEH @BGASecurity Kullanılmayan IP Bloklarını Engelleme 0.0.0.0/8 - Historical Broadcas 10.0.0.0/8 - RFC 1918 Private Network 127.0.0.0/8 - Loopback 169.254.0.0/16 - Link Local Networks 172.16.0.0/12 - RFC 1918 Private Network 192.0.2.0/24 -TEST-NET 192.168.0.0/16 - RFC 1918 Private Network 224.0.0.0/4 - Class D Multicast 240.0.0.0/5 - Class E Reserved 248.0.0.0/5 - Unallocated 255.255.255.255/32 - Broadcast
  88. 88. @BGASecurity Devamı için sonraki bölümlere geçiniz. bgasecurity.com | @bgasecurity

×