SlideShare a Scribd company logo
1 of 53
DOS, DDOS AtaklarıveKorunmaYöntemleri Huzeyfe ÖNAL huzeyfe@lifeoverip.net http://www.lifeoverip.net
Ben kimim? Kıdemli Ağ Güvenliği Araştırmacısı Pentester Güvenlik Eğitmeni http://www.guvenlikegitimleri.com Blog yazarı http://blog.lifeoverip.net Kıdemli DOS/DDOS Uzmanı 
Ajanda Genel Kavramlar DOS saldırılarında Neden, nasıl, amaç, kim soruları ve cevapları DOS/DDOSDDOS Çeşitleri Protokollere göre DOS/DDOS çeşitleri Korunma Yöntemleri
Genel Kavramlar DOS(Denial Of Service) DDOS(Distributed Denial Of Service) Zombi BotNet(Robot Networks) IP Spoofing FastFlux networks DOS/DDOS
DOS ? DDOS DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi DDOS(Distrubuted Denial of Service ) DOS saldırısının yüzlerce, binlerce farklı sistemden yapılması Genellikle spoof edilmiş ip adresleri ve zombiler kullanılır
Zombi & Botnet Zombi: Emir kulu Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler Temel sebebi: Windows yamalarının eksikliği BotNet – roBOTNETworks Zombilerden oluşan sanal yıkım orduları Internette satışı yapılmakta
BotNet Satın Alma
FastFlux Networks Domain isimlerinin düşük TTL kullanılarak binlerce farklı IP adresi üzerinden sunulması Untraceable Filmi
FastFlux Networks-Örnek
DOS hakkında yanlış bilinenler Bizim Firewall DOS’u engelliyor Bizim IPS DOS/DDOS’u engelliyor... Linux DOS’a karşı dayanıklıdır Biz de DDOS engelleme ürünü var Donanım tabanlı firewallar DOS’u engeller Bizde antivirüs programı var DOS/DDOS Engellenemez
Amaç? Sistemlere sızma girişimi değildir!! Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak Web sitelerinin , E-postaların, telefon sistemlerinin çalışmaması
Kim/kimler yapar? Hacker grupları Devletler Sıradan kullanıcılar
Niye yapılır? Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir Politik sebeplerden Ticari sebeplerle Can sıkıntısı & karizma amaçlı Bahis amaçlı(forumlarda)
Neden kaynaklanır?
DDOS Sonuçları
Antivirüs Programları korur mu?
Dünyadan DOS/DDOS Örnekleri
Dünyadan DDOS Örnekleri
Dünyadan DDOS Örnekleri
Dünyadan DOS Örnekleri
Türkiye’den DDOS Örnekleri
Türkiye’den DDOS Örnekleri
Türkiye’den DDOS Örnekleri
DOS/DDOS Çeşitleri Amaca göre DDOS Çeşitleri Bandwith tüketimi Kaynak tüketimi(CPU, RAM, disk vs) Yapılış şekline göre DOS/DDOS çeşitleri ARP, Wireless IP ICMP TCP UDP DHCP/SMTP/HTTP/HTTPS/DNS
Eski yöntemler:Smurf atağı 1 ICMP Echo Req /UDPSRC=Kurban DST:  Broadcast ICMP Echo Reply/ icmp dest. unreachableDST:  Kurban ICMP ve UDP Paketleri Broadcast olarak gönderilebilir gateway Kurban DoSKaynağı Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)
Günümüzde tercih edilen yöntemler SYN Flood HTTP Get / Flood UDP Flood DNS DOS Amplification DOS saldırıları BGP Protokolü kullanarak DOS Şifreleme-Deşifreleme DOS saldırıları
SYN Flood Saldırıları Normal TCP İşleyişi 1)Kaynak Ayır 2)Cevap gelene dekBekle Oturum Kuruldu
SYN Flood Bir SYN paketi ortalama 65 Byte 8Mb ADSL sahibi bir kullanıcı saniyede 16.000/4 SYN paketi üretebilir, 100 ADSL kullanıcısı? 120 saniye bekler
SYN Flood Koruma-1 Tcp timeout değerlerini düşürme
Syn Flood Koruma-II TCP servisleri önüne güvenlik duvarı koyma Syn cookies özelliği kullanma Syncache mekanizması Syn proxy mekanisması
SynCookie Mantığı Amaç: Kandırılmış ip adreslerinden gelen SYN paketleri için kaynak harcamamak Bunun için belirli zaman geçerli olacak cookiler üretilerek SQN olarak gönderilir. Dönen ACK cevapları(dönerse) tekrar cookie mantığıyla kontrol edilip kabul edilir. Dezavantajı:Yüklü SYN flood saldırılarında kriptografik işlemlerden dolayı CPU performans problemi.
SYN Cookie Alt etme Sunucu tarafında kullanılan syncookie özelliği istemci tarafında da kullanılarak sunucudaki syncookie özelliği işe yaramaz hale getirilebilir. Böylece istemci kendi tarafında state tutmaz, sunucu tarafında da 3’lü el sıkışma tamamlandığı için bağlantı açık kalır(uzuun süre) Sockstress, scanrand araçları
UDP Flood Saldırıları UDP=Connectionless bir protokol IP spoofing yapılabilir hping –udpwww.lifeoverip.net -p 53 -a www.microsoft.com Paket boyutu ~ 30 byte  20Mb hat ile saniyede 90.000 pps üretilebilir. 20*1024*1024/8/30 UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye...
UDP Flood saldırıları Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
UDP Flood Saldırılarından korunma Daha güçlü güvenlik duvarları Belirli ip adresinden gelecek istekleri sınırlama Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir(saldırı anında)
HTTP Üzerinden Yapılan DOS/DDOS HTTP(Hypertext Transfer Protocol) Web sayfalarını ziyaret ederken kullanılan protokol HTTP istek ve cevaplarıyla çalışır Web sunucuların belirli kapasitesi vardır Eş zamanlı 500 istek kabul et gibi Bir kullanıcı tek bilgisayardan eş zamanlı 500 istek yapabilir GET / HTTP/1.1 Host:www.lifeoverip.net HTTP 200
HTTP Çalışma Yapısı Garip bir protokol Bir sayfaya girmek için ortalama 50-60 istek gönderilir. Her istek ortalama 6 pakettir(syn, ack, fin) Bu istekler birbirinden bağımsızdır. 100 kişi aynı anda ana sayfaya girse toplamda 30.000 istek oluşur bu da sunucu tarafında performans sıkıntısı demektir. Performans sıkıntısına önlem: Keep Alive mekanizması
HTTP KeepAlive Sunucudan istenecek her isteğin ayrı bir TCP bağlantısı yerine tek bir TCP bağlantısı üzerinden gönderilmesi sağlanabilir.
HTTP Üzerinden DOS
Snort ile HTTP Flood saldırıları Engelleme ,[object Object]
Her ip den anlık gelebilecek max HTTP GET/HEAD/POST isteği=100,[object Object]
DNS Sunucularda çıkan buglar ve DOS Internetin %80 ISC Bind yazılımı kullanıyor Yıl 2009 ...
BIND Dynamic Update DoS ISC bind 2009 Temmuz Bu tarihe kadarki tüm bind sürümlerini etkileyen “basit” ama etkili bir araç Tek bir paketle Türkiye’nin internetini durdurma(!) Tüm büyük isp’ler bind kullanıyor Dns=udp=src.ip.spoof+bind bug %78 dns sunucu bu zaafiyete açık Sistem odalarında nazar boncuğu takılı
DNS  Amplification Saldırısı UDP üzerinden taşınan dns paketleri 512 byten büyük olamaz EDNS(RFC 2671) dns sorgularının cevapları 512 bytedan daha büyük olabilir 60 byte(dns isteği) gönderip cevap olarak  4000 byte alınabilir(cevap=56X istek) 10Mb bağlantıdan 10X65=650 Mbit trafik üretilebilir. Koruma: recursive dns sorguları ve edns desteği iyi ayarlanmalı
DNS Amplification DOS DNS İsteğiSRC: Kurban     (60 byte) EDNS Cevabı (4000 byte) DNS Amplification Saldırısı:     ( 65amplification ) DNSsunucu DOS Yapan Kurban DNSsunucu DNSsunucu DNSsunucu Internette herkese açık dns sunucu sayısı ~600,000
DNS sunuculara kaba kuvvet paket saldırısı Bir dosya içerisine 1 milyon farklı domain ismi yazılır. Paket üreticiler kullanılarak bu domainler hızlıca dns sunucuya spoofed edilmiş ip adreslerinden sorgu olarak gönderilir DNS sunucu iyi ayarlanmamışsa gerçek isteklere zaman ayıramaz
BGP Anonslarıyla DOS YouTube  IP= 208.65.152.0/22   ( 210 IP adresi) www.youtube.com  ->  208.65.153.238, 239.. Şubat 2008’de: Pakistan telekom youtube yasaklamak için 	208.65.153.0/24 aralığını anons etmeye başladı Spesifik prefixler daha önceliklidir(Routing karar mekanizmasında) Anons sonrası Internet youtube.com’u Pakistan Telekomda sanıyordu 2 saatliğine kesinti Önlemi?
DOS Saldırılarını Engelleme İlk şart: Sağlam TCP/IP bilgisi ISP ile yakın iletişim Sınır güvenliğinin ilk halkası routerlar üzerinde Src.port, src ip adresleri belirliyse Güvenlik duvarları/IPS’lerin özelliklerini bilme Bilinen ddos toollarının default özelliklerini öğrenip doğrudan bloklama Src.port=2043 gibi. Kendi sistemlerinizi test edin/ettirin.
DOS Çalışmaları Lab Kurulumu 24 portluk 100/1000 switch 3 adet laptop(Linux, Windows yüklü) Test cihazları(Firewall, IPS, Load balancer, Router) 1 Laptop+çeşitli araçlar; 600Mbit/s 750.000 pps TCP SYN 800.000 pps UDP
Packet Filter Firewall İle Engelleme Güçlü Firewall= 4GB ram=2.000.000 pps (SYN) Rate limiting Bir ip adresinden eş zamanlı açılacak bağlantı sayısı Bir ip adresinden toplamda açılabilecek bağlantı(SYN, ACK, RST vs) sayısı Kurallarda SYN Proxy kullanımı TCP/UDP/ICP timeout değerlerinin düşürülmesi HTTP Keepalive kullanılan sistemlerde HTTP Flood saldırılarına karşı koruma yapamaz!
Sonuç DOS/DDOS saldırıları internetin en temel sorunlarındandır TCP/IP protokolü yapısı iyi bilinirse saldırılar büyük oranda engellenebilir. Sadece protokollerin yapısı değil, DDOS’a karşı korunmak istenen network yapısının bilinmesi ve DDOS saldırıları düşünülerek tasarlanması gerekir
DDOS Eğitimleri http://www.guvenlikegitimleri.com
Sorularınız? Sunumu: http://www.lifeoverip.net/sunumlar/ddos.pdf adresinden indirebilirsiniz huzeyfe@lifeoverip.net adresinden iletişime geçebilirsiniz. Http://www.lifeoverip.net/netsec-listesi

More Related Content

What's hot

Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?BGA Cyber Security
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriBGA Cyber Security
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıBGA Cyber Security
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıBGA Cyber Security
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıBGA Cyber Security
 
Open source ddos engelleme
Open source ddos engellemeOpen source ddos engelleme
Open source ddos engellemerapsodi
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligiAlper Başaran
 
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"BGA Cyber Security
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriBGA Cyber Security
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriBGA Cyber Security
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizifangjiafu
 
Siber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoSSiber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoSBGA Cyber Security
 
ISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiBGA Cyber Security
 

What's hot (20)

Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
Çalıştay | DDoS Saldırıları Nasıl Gerçekleştirilir?
 
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma YöntemleriAdli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
Adli Bilişim Açısından DoS ve DDoS Saldırıları ve Korunma Yöntemleri
 
SynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma YollarıSynFlood DDOS Saldırıları ve Korunma Yolları
SynFlood DDOS Saldırıları ve Korunma Yolları
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS Ayarları
 
DOS DDOS TESTLERİ
DOS DDOS TESTLERİ DOS DDOS TESTLERİ
DOS DDOS TESTLERİ
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS Saldırıları
 
Open source ddos engelleme
Open source ddos engellemeOpen source ddos engelleme
Open source ddos engelleme
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligi
 
DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"DDOS ile Saldırı Gizleme "Smoke Screening"
DDOS ile Saldırı Gizleme "Smoke Screening"
 
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm ÖnerileriHosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
Hosting Firmalarına Yönelik DDoS Saldırıları ve Çözüm Önerileri
 
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve ÇeşitleriTemel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
Temel Kavramlar, DoS/DDoS Saldırıları ve Çeşitleri
 
LLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS PoisoningLLMNR ve NetBIOS Poisoning
LLMNR ve NetBIOS Poisoning
 
Ddos analizi
Ddos analiziDdos analizi
Ddos analizi
 
Siber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoSSiber Saldırı Aracı Olarak DDoS
Siber Saldırı Aracı Olarak DDoS
 
DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliği
 
ISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm SankiISTSEC 2013 - Bir Pentest Gördüm Sanki
ISTSEC 2013 - Bir Pentest Gördüm Sanki
 
Zmap Hack The Planet
Zmap Hack The PlanetZmap Hack The Planet
Zmap Hack The Planet
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
 
Nmap & Hping
Nmap & HpingNmap & Hping
Nmap & Hping
 
pfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim SunumupfSense 2.0 Eğitim Sunumu
pfSense 2.0 Eğitim Sunumu
 

Viewers also liked

Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECBGA Cyber Security
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugayFuat Ulugay, CISSP
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma  ve Alınacak DerslerGüvenlik Sistemlerini Atlatma  ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiDDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiBGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp  protokolu ve guvenlik zafiyetiArp  protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri BGA Cyber Security
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş  - Fuat UlugaySızma Testine Giriş  - Fuat Ulugay
Sızma Testine Giriş - Fuat UlugayFuat Ulugay, CISSP
 

Viewers also liked (20)

Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSECSosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
Sosyal Medyada Anonim Hesaplar Nasıl Tespit Edilir? - NETSEC
 
Pfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router EğitimiPfsense Firewall ve Router Eğitimi
Pfsense Firewall ve Router Eğitimi
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Web Uygulama Pentest Eğitimi
Web Uygulama Pentest EğitimiWeb Uygulama Pentest Eğitimi
Web Uygulama Pentest Eğitimi
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat Ulugay
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
 
Adli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta SistemiAdli Bilişim Açısından E-posta Sistemi
Adli Bilişim Açısından E-posta Sistemi
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
 
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikKablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma  ve Alınacak DerslerGüvenlik Sistemlerini Atlatma  ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM GüvenliğiDDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
DDoS Saldırıları ve Korunma Yöntemleri ile E-posta ve ATM Güvenliği
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Arp protokolu ve guvenlik zafiyeti
Arp  protokolu ve guvenlik zafiyetiArp  protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
 
Web 2.0 Güvenliği
Web 2.0 GüvenliğiWeb 2.0 Güvenliği
Web 2.0 Güvenliği
 
Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri Gerçek Dünyadan Siber Saldırı Örnekleri
Gerçek Dünyadan Siber Saldırı Örnekleri
 
Sızma Testine Giriş - Fuat Ulugay
Sızma Testine Giriş  - Fuat UlugaySızma Testine Giriş  - Fuat Ulugay
Sızma Testine Giriş - Fuat Ulugay
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim Sunum
 

Similar to DDOS Saldırıları ve Korunma Yolları

Özgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeÖzgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeBGA Cyber Security
 
DDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS  - Dağıtık Hizmet Engelleme SaldırılarıDDoS  - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme SaldırılarıLostar
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsBGA Cyber Security
 
DDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma YollarıDDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma YollarıBGA Cyber Security
 
Siber Güvenlik 1. hafta
Siber Güvenlik 1. haftaSiber Güvenlik 1. hafta
Siber Güvenlik 1. haftaOnur Er
 
38263104760 hamza durak
38263104760 hamza durak38263104760 hamza durak
38263104760 hamza durakHamzaDurak1
 
Burcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişimBurcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişimBurcuAKKAYA2
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıVeli Anlama
 
Kampüs Ağlarında Aranan Kullanıcının Tespiti
Kampüs Ağlarında Aranan Kullanıcının TespitiKampüs Ağlarında Aranan Kullanıcının Tespiti
Kampüs Ağlarında Aranan Kullanıcının TespitiGökhan AKIN
 
Windows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi YenilikleriWindows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi YenilikleriMSHOWTO Bilisim Toplulugu
 
Windows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System YenilikleriWindows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System YenilikleriMustafa
 
Dağıtık Servis Dışı Bırakma Saldırıları
Dağıtık Servis Dışı Bırakma SaldırılarıDağıtık Servis Dışı Bırakma Saldırıları
Dağıtık Servis Dışı Bırakma SaldırılarıFerhat Ozgur Catak
 
Justin TV Canlı Video Yayınlama Alt Yapısı
Justin TV Canlı Video Yayınlama Alt YapısıJustin TV Canlı Video Yayınlama Alt Yapısı
Justin TV Canlı Video Yayınlama Alt YapısıMustafa Cantürk
 

Similar to DDOS Saldırıları ve Korunma Yolları (20)

Özgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeÖzgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS Engelleme
 
Web ddos ve performans
Web ddos ve performansWeb ddos ve performans
Web ddos ve performans
 
Dns güvenliği
Dns güvenliğiDns güvenliği
Dns güvenliği
 
DDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS  - Dağıtık Hizmet Engelleme SaldırılarıDDoS  - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme Saldırıları
 
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımWeb Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim Notlarım
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS Forensics
 
Hamza durak
Hamza durakHamza durak
Hamza durak
 
DDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma YollarıDDoS Saldırıları ve Korunma Yolları
DDoS Saldırıları ve Korunma Yolları
 
Siber Güvenlik 1. hafta
Siber Güvenlik 1. haftaSiber Güvenlik 1. hafta
Siber Güvenlik 1. hafta
 
Hamza durak
Hamza durakHamza durak
Hamza durak
 
38263104760 hamza durak
38263104760 hamza durak38263104760 hamza durak
38263104760 hamza durak
 
Burcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişimBurcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişim
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos Koruması
 
Kampüs Ağlarında Aranan Kullanıcının Tespiti
Kampüs Ağlarında Aranan Kullanıcının TespitiKampüs Ağlarında Aranan Kullanıcının Tespiti
Kampüs Ağlarında Aranan Kullanıcının Tespiti
 
Dns security
Dns securityDns security
Dns security
 
Windows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi YenilikleriWindows Server 2012 Network ve Dosya Sistemi Yenilikleri
Windows Server 2012 Network ve Dosya Sistemi Yenilikleri
 
Windows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System YenilikleriWindows Server 2012 Network ve File System Yenilikleri
Windows Server 2012 Network ve File System Yenilikleri
 
Dağıtık Servis Dışı Bırakma Saldırıları
Dağıtık Servis Dışı Bırakma SaldırılarıDağıtık Servis Dışı Bırakma Saldırıları
Dağıtık Servis Dışı Bırakma Saldırıları
 
Justin TV Canlı Video Yayınlama Alt Yapısı
Justin TV Canlı Video Yayınlama Alt YapısıJustin TV Canlı Video Yayınlama Alt Yapısı
Justin TV Canlı Video Yayınlama Alt Yapısı
 

DDOS Saldırıları ve Korunma Yolları

  • 1. DOS, DDOS AtaklarıveKorunmaYöntemleri Huzeyfe ÖNAL huzeyfe@lifeoverip.net http://www.lifeoverip.net
  • 2. Ben kimim? Kıdemli Ağ Güvenliği Araştırmacısı Pentester Güvenlik Eğitmeni http://www.guvenlikegitimleri.com Blog yazarı http://blog.lifeoverip.net Kıdemli DOS/DDOS Uzmanı 
  • 3. Ajanda Genel Kavramlar DOS saldırılarında Neden, nasıl, amaç, kim soruları ve cevapları DOS/DDOSDDOS Çeşitleri Protokollere göre DOS/DDOS çeşitleri Korunma Yöntemleri
  • 4. Genel Kavramlar DOS(Denial Of Service) DDOS(Distributed Denial Of Service) Zombi BotNet(Robot Networks) IP Spoofing FastFlux networks DOS/DDOS
  • 5. DOS ? DDOS DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi DDOS(Distrubuted Denial of Service ) DOS saldırısının yüzlerce, binlerce farklı sistemden yapılması Genellikle spoof edilmiş ip adresleri ve zombiler kullanılır
  • 6. Zombi & Botnet Zombi: Emir kulu Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler Temel sebebi: Windows yamalarının eksikliği BotNet – roBOTNETworks Zombilerden oluşan sanal yıkım orduları Internette satışı yapılmakta
  • 8. FastFlux Networks Domain isimlerinin düşük TTL kullanılarak binlerce farklı IP adresi üzerinden sunulması Untraceable Filmi
  • 10. DOS hakkında yanlış bilinenler Bizim Firewall DOS’u engelliyor Bizim IPS DOS/DDOS’u engelliyor... Linux DOS’a karşı dayanıklıdır Biz de DDOS engelleme ürünü var Donanım tabanlı firewallar DOS’u engeller Bizde antivirüs programı var DOS/DDOS Engellenemez
  • 11. Amaç? Sistemlere sızma girişimi değildir!! Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak Web sitelerinin , E-postaların, telefon sistemlerinin çalışmaması
  • 12. Kim/kimler yapar? Hacker grupları Devletler Sıradan kullanıcılar
  • 13. Niye yapılır? Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir Politik sebeplerden Ticari sebeplerle Can sıkıntısı & karizma amaçlı Bahis amaçlı(forumlarda)
  • 24. DOS/DDOS Çeşitleri Amaca göre DDOS Çeşitleri Bandwith tüketimi Kaynak tüketimi(CPU, RAM, disk vs) Yapılış şekline göre DOS/DDOS çeşitleri ARP, Wireless IP ICMP TCP UDP DHCP/SMTP/HTTP/HTTPS/DNS
  • 25. Eski yöntemler:Smurf atağı 1 ICMP Echo Req /UDPSRC=Kurban DST: Broadcast ICMP Echo Reply/ icmp dest. unreachableDST: Kurban ICMP ve UDP Paketleri Broadcast olarak gönderilebilir gateway Kurban DoSKaynağı Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)
  • 26. Günümüzde tercih edilen yöntemler SYN Flood HTTP Get / Flood UDP Flood DNS DOS Amplification DOS saldırıları BGP Protokolü kullanarak DOS Şifreleme-Deşifreleme DOS saldırıları
  • 27. SYN Flood Saldırıları Normal TCP İşleyişi 1)Kaynak Ayır 2)Cevap gelene dekBekle Oturum Kuruldu
  • 28. SYN Flood Bir SYN paketi ortalama 65 Byte 8Mb ADSL sahibi bir kullanıcı saniyede 16.000/4 SYN paketi üretebilir, 100 ADSL kullanıcısı? 120 saniye bekler
  • 29. SYN Flood Koruma-1 Tcp timeout değerlerini düşürme
  • 30. Syn Flood Koruma-II TCP servisleri önüne güvenlik duvarı koyma Syn cookies özelliği kullanma Syncache mekanizması Syn proxy mekanisması
  • 31. SynCookie Mantığı Amaç: Kandırılmış ip adreslerinden gelen SYN paketleri için kaynak harcamamak Bunun için belirli zaman geçerli olacak cookiler üretilerek SQN olarak gönderilir. Dönen ACK cevapları(dönerse) tekrar cookie mantığıyla kontrol edilip kabul edilir. Dezavantajı:Yüklü SYN flood saldırılarında kriptografik işlemlerden dolayı CPU performans problemi.
  • 32. SYN Cookie Alt etme Sunucu tarafında kullanılan syncookie özelliği istemci tarafında da kullanılarak sunucudaki syncookie özelliği işe yaramaz hale getirilebilir. Böylece istemci kendi tarafında state tutmaz, sunucu tarafında da 3’lü el sıkışma tamamlandığı için bağlantı açık kalır(uzuun süre) Sockstress, scanrand araçları
  • 33. UDP Flood Saldırıları UDP=Connectionless bir protokol IP spoofing yapılabilir hping –udpwww.lifeoverip.net -p 53 -a www.microsoft.com Paket boyutu ~ 30 byte 20Mb hat ile saniyede 90.000 pps üretilebilir. 20*1024*1024/8/30 UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye...
  • 34. UDP Flood saldırıları Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
  • 35. UDP Flood Saldırılarından korunma Daha güçlü güvenlik duvarları Belirli ip adresinden gelecek istekleri sınırlama Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir(saldırı anında)
  • 36. HTTP Üzerinden Yapılan DOS/DDOS HTTP(Hypertext Transfer Protocol) Web sayfalarını ziyaret ederken kullanılan protokol HTTP istek ve cevaplarıyla çalışır Web sunucuların belirli kapasitesi vardır Eş zamanlı 500 istek kabul et gibi Bir kullanıcı tek bilgisayardan eş zamanlı 500 istek yapabilir GET / HTTP/1.1 Host:www.lifeoverip.net HTTP 200
  • 37. HTTP Çalışma Yapısı Garip bir protokol Bir sayfaya girmek için ortalama 50-60 istek gönderilir. Her istek ortalama 6 pakettir(syn, ack, fin) Bu istekler birbirinden bağımsızdır. 100 kişi aynı anda ana sayfaya girse toplamda 30.000 istek oluşur bu da sunucu tarafında performans sıkıntısı demektir. Performans sıkıntısına önlem: Keep Alive mekanizması
  • 38. HTTP KeepAlive Sunucudan istenecek her isteğin ayrı bir TCP bağlantısı yerine tek bir TCP bağlantısı üzerinden gönderilmesi sağlanabilir.
  • 40.
  • 41.
  • 42. DNS Sunucularda çıkan buglar ve DOS Internetin %80 ISC Bind yazılımı kullanıyor Yıl 2009 ...
  • 43. BIND Dynamic Update DoS ISC bind 2009 Temmuz Bu tarihe kadarki tüm bind sürümlerini etkileyen “basit” ama etkili bir araç Tek bir paketle Türkiye’nin internetini durdurma(!) Tüm büyük isp’ler bind kullanıyor Dns=udp=src.ip.spoof+bind bug %78 dns sunucu bu zaafiyete açık Sistem odalarında nazar boncuğu takılı
  • 44. DNS Amplification Saldırısı UDP üzerinden taşınan dns paketleri 512 byten büyük olamaz EDNS(RFC 2671) dns sorgularının cevapları 512 bytedan daha büyük olabilir 60 byte(dns isteği) gönderip cevap olarak 4000 byte alınabilir(cevap=56X istek) 10Mb bağlantıdan 10X65=650 Mbit trafik üretilebilir. Koruma: recursive dns sorguları ve edns desteği iyi ayarlanmalı
  • 45. DNS Amplification DOS DNS İsteğiSRC: Kurban (60 byte) EDNS Cevabı (4000 byte) DNS Amplification Saldırısı: ( 65amplification ) DNSsunucu DOS Yapan Kurban DNSsunucu DNSsunucu DNSsunucu Internette herkese açık dns sunucu sayısı ~600,000
  • 46. DNS sunuculara kaba kuvvet paket saldırısı Bir dosya içerisine 1 milyon farklı domain ismi yazılır. Paket üreticiler kullanılarak bu domainler hızlıca dns sunucuya spoofed edilmiş ip adreslerinden sorgu olarak gönderilir DNS sunucu iyi ayarlanmamışsa gerçek isteklere zaman ayıramaz
  • 47. BGP Anonslarıyla DOS YouTube IP= 208.65.152.0/22 ( 210 IP adresi) www.youtube.com -> 208.65.153.238, 239.. Şubat 2008’de: Pakistan telekom youtube yasaklamak için 208.65.153.0/24 aralığını anons etmeye başladı Spesifik prefixler daha önceliklidir(Routing karar mekanizmasında) Anons sonrası Internet youtube.com’u Pakistan Telekomda sanıyordu 2 saatliğine kesinti Önlemi?
  • 48. DOS Saldırılarını Engelleme İlk şart: Sağlam TCP/IP bilgisi ISP ile yakın iletişim Sınır güvenliğinin ilk halkası routerlar üzerinde Src.port, src ip adresleri belirliyse Güvenlik duvarları/IPS’lerin özelliklerini bilme Bilinen ddos toollarının default özelliklerini öğrenip doğrudan bloklama Src.port=2043 gibi. Kendi sistemlerinizi test edin/ettirin.
  • 49. DOS Çalışmaları Lab Kurulumu 24 portluk 100/1000 switch 3 adet laptop(Linux, Windows yüklü) Test cihazları(Firewall, IPS, Load balancer, Router) 1 Laptop+çeşitli araçlar; 600Mbit/s 750.000 pps TCP SYN 800.000 pps UDP
  • 50. Packet Filter Firewall İle Engelleme Güçlü Firewall= 4GB ram=2.000.000 pps (SYN) Rate limiting Bir ip adresinden eş zamanlı açılacak bağlantı sayısı Bir ip adresinden toplamda açılabilecek bağlantı(SYN, ACK, RST vs) sayısı Kurallarda SYN Proxy kullanımı TCP/UDP/ICP timeout değerlerinin düşürülmesi HTTP Keepalive kullanılan sistemlerde HTTP Flood saldırılarına karşı koruma yapamaz!
  • 51. Sonuç DOS/DDOS saldırıları internetin en temel sorunlarındandır TCP/IP protokolü yapısı iyi bilinirse saldırılar büyük oranda engellenebilir. Sadece protokollerin yapısı değil, DDOS’a karşı korunmak istenen network yapısının bilinmesi ve DDOS saldırıları düşünülerek tasarlanması gerekir
  • 53. Sorularınız? Sunumu: http://www.lifeoverip.net/sunumlar/ddos.pdf adresinden indirebilirsiniz huzeyfe@lifeoverip.net adresinden iletişime geçebilirsiniz. Http://www.lifeoverip.net/netsec-listesi