Ddos nedir? Ddos 'un hedefi nedir? Ddos atakları nasıl önlenir? Syn flood,dns flood, udp flood,http flood nasıl önlenir?

1. Ddos Saldırıları ve
Korunma Yöntemleri
Hasen
DDOS Eğitim
27.1.2016

2. Hakkımda
• Siber Güvenlik
• Savunma: IDS, IPS, FW, WAF,DLP,SIEM,RMS, PKI, Anti Malware,
Anti Ddos vb..
• Saldırı: Pentesting, Ddos
• 12 sene Siber Güvenlik saha tecrübesi
• 2,5 sene Telekom operatöründe Anti Ddos proje koordinatörü
• CIP Alert: Kritik altyapı programında Araştırmacı

3. Program
• 10:00: CIP Alert ve Tanışma
• 10:15: TCP/IP ve Ddos.
• 11:00: Ara
• 11:15: Ddos atak çeşitleri
• 12:00: Öğlen Arası
-------------------------------
• 13:15: Ddos’tan Korunma Yöntemleri
• 14:00: Ara
• 14:15: Anti-Ddos Kurulum Senaryoları
• 15:00: Ara
• 15:15: Ddos Test uygulamaları ve Lab örnekleri
• 16:00: Bitiş

4. Bitcoin
• Bitcoin tüccar firmalarından bir tanesine gelen Ddos saldırısı
• Ddos ile şantaj yapıldı
• 10gbps
• İlk talep 1 bitcoin
• İkinci talep 2 bitcoin
• ….
• Son teklif ½ bitcoin

5. Rutgers
• Rutger Universitesi
• 3-4 yıldır belli aralarla gelen Ddos saldırıları sonucunda
ödevlerde gecikmeler, online sınıf aktivitelerin yapılamaması
gibi aksaklıklar öğrenimi ciddi derecede sekteye uğrattı
• Universite yönetimi bir siber güvenlik firmasına 3 milyon dolar
ödeyerek sorunu çözmeye çalıştı
• Harcamalara rağmen ddos saldırısı ve etkileri devam etmekte
ve okulun kayıt ücretleri artmış durumda.
• Sonuç: Rutger itibarının düşmesi ve kayıt ücretlerinin artması.
• +Mutsuz öğrenciler de cabası

6. ODTU ve Banka saldırıları
• Türk kritik altyapısı. Nic.tr
• 10 gün sürekli saldırı
• İlk gün yaşanan sıkıntı
• Toparlanma
• Banka saldırıları
• Sonuç: Her ne kadar çok yansıtılmasa da,

7. BBC
• 602 gbps- REKOR DDOS
• Chargen yansıtma ve yükseltme saldırısı
• AWS zafiyeti
• AWS bulut sunucuların saldırıda kullanılması
• Saldırı boyunca sitede sıkıntı devam etti
• Akamai CDN çaresi.

8. Ukrayna
• 23 Aralık 2015
• Elektrik kesintisi
• Black Energy 3 zararlısı
• Trafodaki devre kesiciler uzaktan harekete geçirildi
• 800.000 kişi elektriksiz kaldı
• Saldırganlar aynı anda şikayetlerin ulaşmaması için santralin
telefon santraline Ddos saldırısı düzenlediler.

9. DOS/DDOS nedir

10. Botnet• Lethic , Cutwail, Grum (spam), Flashback (Mac), Zeus (banka),
Spyeye (banka) vb..

11. Botnet builder(10$)

12. BOTNET’ler
• Botnet herders tarafıdan kontrol edilirler.
• Kontrol yolu: Mirc, http(s), şimdilerde Tor
• Aşılama yontemleri: Wordpress, Joomla vb., eski windows
sistemler en kolay hedeftir.
Ama şimdilerde datacenter olması ozellikle tercih ediliyor (surekli
bağlantı, kapasiteli donanım, yedeklilik ve sıçrama potansiyeli)

13. HOIC

14. LOIC

16. Örnek DDOS atakları
• BBC Ddos atakları 602 gbps.
• Talk Talk atağı
• Çin - Bitcoin firması
• Spamhaus (DNS Amplification) 300gbps.
• Brobot (Amerikan Finansal kurumları)
• Çin’in bitmeyen atakları
• Rusya: Yeraltı DDOS çeteleri
• DNS/NTP Amplification, Chargen amplification, Syn reflection

17. DDOS Algılama
Atak öncesi
• Darknet
• Honeypot
Atak Sonrası
• Flow
• DPI

18. DDOS engelleme
• ACL (ODTÜ? olayı)
• BGP (Yük dağıtma ve offline ddos cihazına yönlendirme)
• Blackhole (Karadelik- no route yönlendirme)
• Mitigation devices (Inline, Offline)

19. Temel DDOS atakları
• İmza tabanlı (Teardrop, Land, Smurf, Nuke,Fraggle vb)
• Hacimli ataklar (geçerli ve geçersiz ataklar)
• Reflection (dns, syn)
• Slow veya uygulamayı hedef alan ataklar
• Connection atakları

20. Saldırı Protokolleri
• TCP/IP
• Other (GRE, ESP vb)
• IPv4
• IPv6
• Tcp,udp, icmp,
• Http, dns, VOIP vb.

21. IP Spoofing üzerine
• Ip Spoofing – Sahte Kaynak IP
Gönderilen paketleri gönderim aşamasında değiştirerek , farklı
kaynak IP ‘leri yerleştirme.
Çözüm alternatifleri:
• uRPF- Unicast reverse path forwarding.
Paketin kaynak IP’si router’da FIB tablosu ile kıyaslanır, aynı
rotada degilse paket düşürülür.
• Yetkilendirme (Kim O diye sorma)
• First packet drop ‘Atak anında ilk paketin düşürülmesi ,
sonrakilere izin verilmesi’ kullanımı

22. Saldırı Araçları
• Hping, nping, mz, isic
• Slowloris, httpflooder, Torshammer, jmeter, ab, httpDOS, R-U-
D-Y, pyloris vb.
• Scriptler (socket programming: Python, Perl vb)

23. İmza tabanlı saldırılar (Eski
ataklar)
• Land: kaynak/hedef aynı IP
• WinNuke: netbios win95
• Smurf: Kaynak IP, hedefe spoof edilir, icmp echo ve reply
• Fraggle: Smurf ile aynı: udp echo
• Teardrop: Win 95- fragmentation zaafiyeti
• Ping of death: icmp request >65k.

24. Hacimli saldırılar
Bant doldurma atakları
• Ağ atakları (syn, syn-ack, ack, udp flood vb)
• Uygulama Atakları (http, https, dns, voip vb)
• Botnet, HOIC, LOIC

25. Uygulama hedefli
• Slow attack (Apache)- slowloris, pyloris vb
• Slow Read- tcp window size
• RUDY- HTTP post
• XML dos
• SIP invite- multiple udp calls to overwhelm server..

26. Koruma Yöntemleri
• WL/BL (bütün protokoller)
• ACL (bütün protokoller)
• Parmakizi (udp, dns)
• Yetkilendirme (tcp, http, dns)
• Session yönetimi (dns, tcp)
• İstatistiksel Yöntemler
• Rate Limit

27. Syn flood ve Önleme
Attacker
ServerSyn
Syn
Syn
Syn
• En yaygın DDOS atağı
• Yetkilendirme ve WL. (Syn cookie ve syn proxy)
• Syn reflection faktörü
• Gerçek IP’den Syn flood geldiğinde: TCP ratio
mekanizması

28. Syn-Ack flood ve Önleme
Attacker
ServerSyn-Ack
Syn-Ack
Syn-Ack
Syn-Ack
• Session tablosuna bakılır.

29. Ack flood ve Önleme
Attacker
ServerAck
Ack
Ack
Ack
• Session tablosuna gore karar verilir

30. FIN/RST flood ve Önleme
Attacker
ServerFin/Rst
Fin/Rst
Fin/Rst
Fin/Rst
• Session tablosuna bakılır.

31. Udp Flood ve Önleme
Attacker
ServerUdp
Udp
Udp
Udp
• En etkili DDOS atağıdır.
• Payload ve header’a bakılır. (Parmakizi)
• Dest.port, source port, ttl, source/dest IP bakılır
• ACL
• Trafik limitleme

32. Icmp flood ve Önleme
Attacker
ServerIcmp
Icmp
Icmp
Icmp
• Payload ve header’a bakılır. (Parmakizi)
• Session kontrolü (sorgu, cevap)
• Rate limit
• ACL

33. TCP Connection flood ve
Önleme
• Low rate saldırısı (Bağlantı sayıları zamana göre incelenir- Bot tanıma
yöntemleri ile)
• TCP Null connection saldırısı(Handshake sonrası paket yollanmaması)
• Yeni bağlantılar
• Anlık bağlantılar

34. TCP Retransmission attack

35. SIP flood

36. SIP Invite Flood

37. SIP flood engelleme yöntemleri
• Trafik limitleme
• Kaynak IP limitleme
• Parmakizi

38. Http(s) get/post flood
Attacker
ServerSyn
HTTP get
Ack
HTTP get
HTTP get
HTTP get

39. Http Ddos Tanıma ve Engelleme
yöntemleri
• Yetkilendirme (Http redirection)
• SSL Ddos (Crypto el sıkışma mesajlarının artması durumunda
engellenmesi gerekir)
• Captcha
• Parmakizi

40. Örnek: Http get atağı

41. DNS flood
• Authoritative DNS mi, cache DNS mi?

42. DNS-devam
• Dns Cache poisoning atağı
• Dns reflection atağı
• Dns sorgu/cevap atakları

43. DNS sorgu/cevap atakları
SP DNS
1. abc.google.com IP’si nedir?
2. abc.google.com IP’si nedir?
Saldırgan
3. IP= XXX.XXX.XXX =news.google.com
DNS Reply Flood
Saldırgan

44. DNS cache poison
SP DNS
1. abc.google.com IP’si nedir?
2. abc.google.com IP’si nedir?
Saldırgan
3. abc.google.com= x.x.x.x
DNS Reply
Saldırgan
• Cache DNS sunuculardaki domain’e ait
IP bilgisi sahtesi ile değiştirilmeye
çalışılır.
• Saldırgan sorgu numarasını doğru
tahmin edebilmelidir.
DNS Reply

45. DNS reflection
Open DNS
resolvers
1. isc.org IP’si nedir?
2. isc.org IP’si nedir?
Saldırgan
DNS Reply
• Saldırgan , kurbanın IP adresini kaynak IP
olarak kullanır ve sorguyu bilinen tüm
recursive dns sunucularına gönderir.
• Sorgu isteğini alan binlerce resolver,
cevabı kurbana döner ve kurban DDOS
olur.
DNS Reply
DNS
authority
Kurban

46. DNS Atakları
• Sonuç: DNS atakları en kapsamlı , en az çabayla en çok sonuç
elde edilebilen-kendini çoğaltabilen önemli ataklardır.
Günümüzde yaygın olarak kullanılmakta ve ilerde devam
edeceği anlaşılmaktadır.
• DNS hem uygulama seviyesi zaafiyetleri hem de staless
protokol olan udp uzerinden hizmet verdigi icin DDOS
ataklarına karşı zayıflıkları fazladır.

47. DNS atakları engelleme yöntemleri
• Session kontrolu (Çift yönlü trafikte): Anti - Reply flood
• DNS proxy, caching
• Tcp Yetkilendirme
• İlk paket düşürme
• Domain adı limitleme
• Trafik limitleme

48. Etkili bir Anti-DDOS yöntemi:
Parmakizi
• Paketin header veya payload incelenerek parmakizi tesbiti
yapılabilir.

49. Ddos Özet
• Saldırıyı yapmak çok kolay
• Yakalanmak neredeyse imkansız
• Etkisi oldukça büyük
• Saldırı yöntemleri oldukça geniş
• Her uygulama ve servisin ayrı Ddos açıklıkları mevcut.
• ...ve saldırı araçları bedava.

50. 2.Bölüm
• DDOS Engelleme Sistemleri
• Özellikler
• Fonksiyonlar
• Çalışma prensibi

51. Özellikler
• Neden IPS değil, sadece Anti-DDOS
• İmza veritabanı işe yaramaz
• IPS ile aynı seviyede koruma mantıklı değil. Trafiğin yoğunluğu üst
ağlarda korumayı gerekli kılmaktadır. -Clean pipe- (Sapı samanı
ayırma)
• Trafik öğrenme ve ddos algılama gereksinimi

52. Anti Ddos Fonksiyonlar
• Flood saldırılarına karşı koruma
• Sahte IP’lere karşı koruma
• Temiz ve kirli trafiği ayırma
• Arkadaki sunucuları rahatlatma (Savunma ve trafik limitleme)
• Trafiği kesinlikle geciktirmeme
• Layer 3-7 katmanlı koruma
• Ipv4 ve Ipv6
• Tcp, udp, icmp ve diğer tüm mesaj protokollerini tanıma
• Uygulama tanıma özelliği
• Botnet algılama
• IP Reputation yöntemi

53. Ddos algılama metodları
• Netflow (Layer 3-4)
• DPI (Layer 1-7)

54. Uygulanan Metodlar
Trafik Çoğaltma-Temizleme Modu
Örnek trafik toplama yoluyla temizleme Modu
Derin Paket Analizi Modu
1 2 3

55. ISP Ağı
MPLS / Internet
Trafik çoğaltma ile temizleme modu
(Statik)
Ddos Temizleme
Merkezi
Yönetim trafiği
Trafik ve saldırı logu
Yönetim
Kirli Trafik
Trafik çoğaltma ile temizleme (Statik)
Temiz Trafik

56. Örnek trafik toplama yoluyla temizleme
Netflow trafiği
Operatör Ağı
Internet/MPLS
Örnek trafik toplama yoluyla temizleme
Netflow Tesbit Merkezi
Ddos Temizleme
Merkezi
Yönetim
Temiz trafik
Yönetim trafiği
Trafik ve atak logu
Kirli trafik

57. Page57
Page 57
ISP Ağı
AS
Trafik Çoğaltma-Temizleme Modu
(Dinamik)
Atak Tesbit Sistemi
Temizleme Merkezi
Yönetim Merkezi
Trafik Çoğaltma ve Temizleme (Dinamik)
Temiz trafik
Yönetim trafiği
Kirli trafik
Çoğaltılmış trafik
Trafik ve atak logu

58. Page58
Page 58
Yük dengeli temizleme
Müşteri Ağı
Trust zoneDMZ
Web
Mail
… OA
FirewallFirewall
Anti Ddos
Yönetim
Inline
Switch Switch
Temiz trafik
Yönetim trafiği
Kirli trafik
Çoğaltılmış trafik
Trafik ve atak logu

59. Page59
Page 59
MPLS
Anti-DDoS Süreç Akışı
Temizleme Merkezi
Yönetim Merkezi
Ddos trafiği
geldiğinde
koruma
altındaki ağ
sorun
yaşayacaktır
2 Anormallik tesbiti
Atak durumu tesbit edildiginde
Ddos Yönetim Merkezi’ne
iletilir.
Trafik yönlendirme politikası
Temizleme merkezine iletilirBGP Anonsu ile
trafik yönü
değiştirilir
Temizleme
istatistikleri
Yönetim
merkezine
iletilir.
BGP
Tesbit Merkezi
Servis Alan Müşteri
Temizlenmiş trafik .
Mirrored/Optically Split Traffic
Management Traffic
Cleaning Logs
Traffic Logs
Capture Packets
Pre-Cleaning Traffic
Post-Cleaning Traffic
Trafik Çoğaltma-Temizleme Modu (Dinamik)

60. Netflow vs. DPI
• Trafik örnekleme (Sampling
ratio)
• 2 farklı sisteme hakim olma,
aradaki senkronizasyon
• Farklı sistem alarmları
• Sistemlerin birbirini
tanımaması
• Severity, recovery bilgilerinin
aktarılması gereksinimi(Birçok
yerden flow alma zorunluluğu)
• Eşik değerlerin iyi belirlenmesi
• Cihaz Maliyeti
• İşleme-CPU maliyeti
• Birden fazla müşterilerin aynı
koruma sistemlerine dahil
olma durumu
Netflow (Layer 3-4) DPI (Layer 1-7)

61. Inline vs. Offline koruma
• Session detection özelliği
• Derin Paket analizi vs. Netflow verisi ile yetinme
• Trafik aktarma kapasitesi (Offline da yüksek)
• Diğer müşteriler ve/veya atak almayan diğer hedef IP
adreslerinin etkilenmesi (Offline’da sözkonusu değil)
• Atak algılamada gecikme
• Atak önlemede gecikme
• Single point of failure
• Yedeklilik gereksinimi (Inline)
• BGP anonsları ile tüm şebekeyi olumsuz etkileyebilirsiniz

62. Layer 2 vs. Layer 3
konumlandırma
• Anti DDOS açısından bir fark bulunmuyor.
• Cihaza IP verme gereksinimi :BGP ve Netflow ile haberleşme
zorunluluğundan dolayı.
• Routing ozellikleri kullanılmayacaksa Layer 2.
• Genelde offline’da layer 3, ,inline’da layer 2 tercih edilir.