62. @BGASecurity
BGA | Real WorldTTL Değerlerinden Firewall Keşfi
• IP başlığındaki TTL değeri bir paketin yaşam süresini belirler.
• Bir paket L3 routing işlemi yapan bir cihaza rastgeldiğinde TTL değeri bir düşürülür.
• Farklı sistemler farklı TTL değerlerine sahip olabilir.
• Mesela Linux sistemler paket oluştururken TTL değerini 64 yaparak gönderir
• Microsoft Windows ise 128 değerini kullanır.
118. @BGASecurity
BGA | Real WorldHTTPS Baglantıları Üzerinden Atlatma
• Sayfaların https üzerinden gezilmesi
Ø Url bazli yasaklama yapanlar geçilir
Ø Genellikle firmalarda 80. port proxy üzerinden çıkacak şekilde yapılandırılır(veya transparan proxy çalışır) 443. port doğrudan internete çıkar
• SSL üzerinden sadece domain ismi alınabilir(engelleme için), HTTP connect metodu kullanılarak.
130. @BGASecurity
BGA | Real WorldDDoS
• DDOS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme
• Sonuçları DoS saldırı tipine göre daha etkilidir
• Binlerce, yüz binlerce köle(zombi) sistem kullanılarak gerçekleştirilir
• Genellikle sahte IP adresleri kullanılır
• BotNet’ler kullanılır
• Saldırgan kendini gizler
157. @BGASecurity
BGA | Real WorldSYN
• TCP’e ait bir özelliktir
Ø 8 TCP bayrağından biri
• TCP oturumlarını başlatmak için kullanılan TCP bayrağı
• Sadece oturumun başlangıç aşamasında görülür
• SYN paketleri veri taşıyamaz
Ø İstisna durumlar anormallik olarak adlandırılır
Ø Hping –p 8 0-S localhost –d 100 –E data komutuyla SYN bayraklı TCP paketine veri taşıttırılabilir.
167. @BGASecurity
BGA | Real WorldUDP Flood Saldırıları-II
• IP spoofing yapılabilir
Ø hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com
Ø Paket boyutu ~ 30 byte
Ø 20Mb hat ile saniyede 90.000 pps üretilebilir.
v 20*1024*1024/8/30
• UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye
• Her gönderilen UDP paketi 60 saniye boyunca Firewall/IPS oturum kapasitesinde yer kaplayacaktır.
188. @BGASecurity
BGA | Real WorldDDOS Saldırı Analizi
• DDoS saldırılarında dikkate alınması gereken iki temel husus vardır.
Ø İlki saldırıyı engelleme
Ø ikincisi saldırının kim tarafından ne şiddetde ve hangi yöntemler, araçlar kullanılarak yapıldığınının
belirlenmesidir.
• Analiz kısmı genellikle unutulur fakat en az engelleme kadar önemlidir
Ø Aynı saldırı tekrar ederse nasıl engelleme yapılacağı konusunda yol haritası çıkarılmış olmalı
191. @BGASecurity
BGA | Real WorldSaldırı Analizinde Cevabı Aranan Sorular
• Gerçekten bir DDoS saldırısı var mı?
• Varsa nasıl anlaşılır?
• DDoS saldırısının tipi nedir?
• DDoS saldırısının şiddeti nedir?
• Saldırı ne kadar sürmüş?
• DDoS saldırısında gerçek IP adresleri mi spoofed IP adresler mi kullanılmış?
• DDoS saldırısı hangi ülke/ülkelerden geliyor?
192. @BGASecurity
BGA | Real WorldDDoS Saldırılarında Delil Toplama
• DDoS saldırılarında sonradan incelenmek üzere paketler kaydedilmelidir.
• Kydedilen trafik miktarına bağlı olarak ciddi sistemlere(CPU, RAM, Disk alanı bakımından) ihtiyaç olabilir.
• Paket kaydetme işlemi kesinlikle aktif cihazlar tarafından (IPS, DDoS engelleme Sistemi, Firewall)
yapılmamalıdır.
• Tüm paket detayları kaydedilmelidir!
Ø Tcpdump –s0
193. @BGASecurity
BGA | Real WorldPaket Kaydetme
• Paket kaydetme için Linux/FreeBSD üzerinde tcpdump en uygun seçenektir.
• Windows üzerinde Wireshark ya da windump tercih edilebilir
• 10 Gb ortamlarda klasik libpcap yerine alternatif kütüphaneler tercih edilmelidir.
Ø FreeBSD Ringmap
Ø Linux PF_RING
196. @BGASecurity
BGA | Real WorldSaldırı Kaynağını Belirleme
• DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır.
• Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak kendilerini saklamaları ve
bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır.
• Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu
rahatlıkla anlaşılabilir.