Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Oğuz YILMAZ - Örnek Olay İncelemeleri ile Derin İnceleme Gerektiren DDoS Saldırıları

2,987 views

Published on

Siber Güvenlik Konferansı'14 Oğuz YILMAZ Sunumu

Published in: Technology
  • Be the first to comment

Oğuz YILMAZ - Örnek Olay İncelemeleri ile Derin İnceleme Gerektiren DDoS Saldırıları

  1. 1. Örnek Olay İncelemeleri ile Derin DDOS İnceleme
  2. 2. 2 Outline •Labris Networks •L7 Attacks •Botnets •Traditional method and its drawbacks •ISP Level Solutions •Firewall /IPS UTM drawbacks •Server & Application Vulnerabilities •What do we offer? •HARPP’s Attack Decision Mechanism
  3. 3. 4 06.11.2014 www.labrisnetworks.com 4 Product & Services MNG LOG Database Updates Firmware Updates Technical Support Network Security Trainings Database Updates Firmware Updates Technical Support Specific DDoS Trainings DDoS Mitigation Consultancy DDoS CERT Service
  4. 4. 5 Konvansiyonel Koruma Önlemlerinin Önünde: + DDoS Özel Yüksek Performanslı Donanım + Sanal Zeka ile Anormallik Tespiti (CWAI) + Uygulama Eklentileri ile uygulama özel koruma + DoS/DDoS özel IPS + IP itibar ağları + Delil toplama ve damgalama
  5. 5. L7 DDoS Saldırıları
  6. 6. 7 L7 DDoS Saldırıları •TCP ise gerçek IP trafiğidir. •Tam bağlantı kurulmuştur. •Yükseltme karakteri vardır. •Saldırganı doğru tespit ettiğinizde engelleme kolaydır. •Bugün, DoS/DDoS saldırılarının yaklaşık %60’ı L7 saldırılardır. •Bu oran gittikçe yükselmektedir.
  7. 7. 8 L7 DDoS Saldırıları •Sık karşılaşılan saldırı çeşitleri •HTTP GET/POST Floods •Application Exploit attacks •DNS Floods •NTP Floods •HTTP Slow Post •HTTP Slowloris
  8. 8. L7 HTTP ve DDoS Tespit Problemleri
  9. 9. 10 L7 HTTP ve DDoS Tespit Problemleri •Bu saldırıların elbette L3 yansımaları var. L3 yansımaları ile engellemek kısmen mümkün. Ancak yüksek false-positive oranı ile. Örnek: "www.test.com": { "count": 8, "rate": 0.8, "uri": { "/ProductHandler.ashx?hCase=CampaignProducts&CampaignID=11237&GenderCategoryID= undefined&CCId=-1&CategoryID=-1&Size=-1&MainCategory=-1&OrderBy=like": 1, "/ProductHandler.ashx?hCase=CampaignProducts&CampaignID=11237&GenderCategoryID=- 1&CCId=-1&CategoryID=-1&Size=-1&MainCategory=-1&OrderBy=like": 7 } } Tamamen masum bir istek. Sadece bir sayfadaki farklı eticaret ürünlerini istiyor. Özellikle mobil uygulamalarda çoklu istek durumu da oluşabiliyor.
  10. 10. 11 L7 HTTP ve DDoS Tespit Problemleri •Günümüzde HTTP artık kaba sığmamaya başladı. •Program ve uygulamaların cihaz üzerinde olmayan, buluttan erişilen veri üzerinden çalışmaları genel yöntem haline geliyor. •Web teknolojileri yüksek interaktivite sağlıyor. «İste gelsin» değil, «zaten devamlı geliyor». Request/Response değil, Stream. •API'ler buna göre tasarlanıyor. •REST & AJAX •Tüm bunlar HTTP ile taşınıyor. Ama her bir HTTP isteği kendi içinde yavaşlığı da getiriyor.
  11. 11. 12 L7 HTTP ve DDoS Tespit Problemleri
  12. 12. 13 L7 HTTP ve DDoS Tespit Problemleri •Ortalama bir web sayfasında yüklenmesi gereken ortalama içerik sayısı: 50 •Tarayıcılar 50 nesneyi aynı anda istemiyor. Ancak tek tek de istemiyor. Paralel bağlantılar açıyor. •Her bir bağlantı yüksek RTT olarak yavaşlığa sebep oluyor.
  13. 13. 14 L7 HTTP ve DDoS Tespit Problemleri •Bu nedenle bazı çözümler bulundu ve uygulanıyor. •Pipelining Artık HTTP için L3’te bakılınca çok bağlantı görmek zorunda değiliz.
  14. 14. 15 L7 HTTP ve DDoS Tespit Problemleri •SPDY & HTTP/2 Multiplexed stream Stream önceliklendirme Stateful HTTP başlık sıkıştırma L3’teki yansıma tamamen farklı.
  15. 15. 16 L7 HTTP ve DDoS Tespit Problemleri •NAT edilmiş ve edilmemiş trafiğin birlikte geldiği düşünüldüğünde de eşik değeri bazlı L3 yöntemleri ve hatta eşik değeri bazlı L7 yöntemleri büyük sorunlara gebedir. Tek PC NAT/CGNAT 3 GET/s 100 GET/s 200 gerçek tekil PC
  16. 16. 17 L7 HTTP ve DDoS Tespit Problemleri •Detaylı inceleme de aldatıcı olabilir. /index.php?id=4348583 /index.php?id=1249584 /index.php?id=6747637 /index.php?id=2874656 /index.php?id=5657576 /index.php?id=0954767 Bu şekilde bir istek, akılsız bir detaylı inceleme motorunda farklı istekler gibi algılanabilir. Halbuki paket boyutu ve URL değiştirme amaçlı bir saldırı tekniğidir.
  17. 17. 18 L7 HTTP ve DDoS Tespiti Katman 3 yansıması ile L7 saldırıları engellemek kabul edilemez false- positive’ler doğurur. Katman 7’de incelemek akıllı olmayı gerektirir.
  18. 18. 19 HTTP için Deep DDOS Inspection (DDI™) •L7 inceleme ile •NAT, Tek PC ayrımı •Protokol uygunluk kontrolü •URL farklılık kontrolü •URL ve HTTP başlıklarında Robot algılama •Bilinen saldırı araçlarının tanınması •POST içerik kontrolleri ile aldatma koruması yapılmaktadır.
  19. 19. 20 Protokol Özel Detaylı Raporlama
  20. 20. L7 NTP Sel Saldırıları
  21. 21. 22 NTP Saldırıları •NTP , UDP üzerinden çalışan eski bir protokoldür. •Kaynak IP kontrolü yok. •Protokol DDOS açısından sorunlu •monlist: ntp sunucu ona sorgu göndermiş son 600 sunucunun IP adresini listeler. •iostats: Sunucu istatistikleri •Yetkilendirme olmadan komut çalıştırabilme •Dünyada 400 Gbps saldırı gerçekleşti. (Cloudflare) •HARPP CERT 12 Gbps saldırı gördü ve göğüsledi.
  22. 22. 23 NTP Saldırıları # ntpdc –c monlist NTPIP İstek: 60 Byte Cevap: 50x-300x
  23. 23. 24 NTP Saldırıları
  24. 24. 25 NTP Saldırıları •L7 inceleme ile saldırı aracı olarak kullanılan açık NTP sunucu kolayca engellenebilir. (Monlist komut cevapları) Saldırıdan ve aracı olmaktan detaylı korunma bilgisi için http://www.harppddos.com/ntp-reflection-attack/
  25. 25. Oyun Dünyası ve DDoS
  26. 26. 27 Oyun Dünyası •Knightonline, Teamspeak, Counterstrike, Metin2 •Oyun pazarının %25'i MMO (Massively Multiplayer Online GameS) •Dünyadaki sektörün %2 'si Türkiye'de. •Türkiye oyun pazarı 810 Milyon TL. •Kanada GSYİH’nın %2 si oyun pazarı. •Oyun alanındaki geliştirmede güvenlik bilgisi ve güvenlik tasarımlı yazılım oldukça az. Connection flood vb yöntemlerle çok kolay şekilde oyunu indirmek mümkün. •Oyunların ayakta kalabildikleri limitler alışılagelen Connection Flood'lar için çok çok zayıf. •Oyun alanı rekabet ve bel altı saldırılar oldukça yaygın.
  27. 27. 28 Oyun Dünyası Örnek Oyun: Knight Online Örneğin: KO, 3 ayrı port kullanıyor. Örneğin, 12001, 12023, 12100. Bu portlara oyun istemcisi sırayla bağlanıyor. Oyunun aktif oynandığı porta ulaşılıyor. 12100 -> 12023 -> 1201 Her portun aynı anda açık bağlantı sayısı ve o bağlantıdaki paket frekansı farklı. 12001: 1-3 12023: 1 12100: 1-2 12001’de en az 80 saniyede bir paket bekleniyor. Bağlantı adetleri ve sunucu yazılım dirayeti çok sığ olan oyunu korumak için oyun karakterine göre hareket etmek şart.
  28. 28. 29 Oyun Dünyası HARPP Uygulama Koruma ekosistemi Harpp KO eklentisi, Harpp ekosisteminde ürüne eklenen eklentilerden sadece biri. Uygulamanın tüm port iletişim karakteristiğini ve veri frekans ve içeriğini kontrol ediyor. Örnek diğer eklentiler: Teamspeak SIP UDP Spoof Detection HTTP …
  29. 29. DDoS’ta Gelecek
  30. 30. 31 Gelecekte DDOS •Bugün: •30’dan fazla DDoS saldırı tipi (uygulama exploit’ler hariç) •Gelecek: •DDOS saldırılarında APT karakteri •L7’ye kayış •Gözden uzak yeni NTP’lerin keşfi •Gerçek Kullanıcı takliti ile sanal zekaları aldatma
  31. 31. 32 Mobile surpasses Fixed Mobile is Getting Faster Internet is becoming diversified ~ Security problems are becoming diversified Mobil Yükseliyor
  32. 32. 33 Mobil Bazlı DDoS 3G 1 Mbps per Thing 5G Gbps’s per Thing 4G 150 Mbps per Thing + Things (Trillions of)
  33. 33. HARPP
  34. 34. 35 HARPP’s Dashboard
  35. 35. 36 DDOS CERT Our Computer Emergency Response Team is ready when you need help!
  36. 36. 37 WORLDWIDE SECURITY MARKET GROWTH •The worldwide security technology and services market is forecast to reach $67.2 billion in 2013, up 8.7 percent from $61.8 billion in 2012. •The market is expected to grow to more than $86 billion in 2016. (Gartner, Inc.) NETWORK SECURITY MARKET GROWTH CLOUD-BASED SECURITY MARKET GROWTH Security (Growth & Threats)
  37. 37. İlginiz için teşekkürler Gelecek sorularınız için : oguz at labrisnetworks.com
  38. 38. 39 Labris Networks Headquarters T: +90 312 210 1491 info@labrisnetworks.com Labris Networks International Markets office Levent İstanbul Labris Networks CWL İstanbul Yıldız Teknik Üniversitesi UK Sales Office T: +44 7703 503242, eu-sales@labrisnetworks.com Eastern Europe Sales Offices – Prague&Warsaw T: +420 220 994 422, ee-sales@labrisnetworks.com Get in touch..

×