1. Bu site çerez kullanmaktadır. Siteyi kullanmaya devam etmeniz halinde çerez kullanımı ile ilgili site koşullarını kabul etmiş sayılırsınız. Daha Fazlasını Öğren.
  2. Forum İllegal Uyarısı Forum kuralları gereği forumda video ve illagal paylaşım yapmak yasaktır.Program Arşivimizde ise kısıtlanmış sürüm yada dağıtımı serbest olan (trial - freeware) yazılımlar yayınlayınız..Aksi takdirde mesajlarınız silinecektir..

İnterneti Durdurmak için Siber Savaş Aracı olarak DDoS Saldırıları

Konusu 'Güncel Haberler' forumundadır ve uydudoktoru tarafından 6 Ocak 2012 başlatılmıştır.

  1. uydudoktoru
    Offline

    uydudoktoru Aktif Üye Yönetici Yönetici

    Katılım:
    13 Haziran 2009
    Mesajlar:
    2.142
    Ödül Puanları:
    38
    DARPA (Amerikan Savunma Bakanlığı İleri Araştırmalar Merkezi) projesi olarak, 1966 yılında olası bir nükleer savaş sonrası askeri birliklerin haberleşmesi amacıyla oluşturulan ve daha sonra üniversiteler ve günümüz de tüm dünyada kullanıma sunulan, ağlar arası ağ projesi “İnternet” ilk çıkış amacına adeta geri bildirimde bulurcasına, saldırı ve savunma amacıyla kullanılır hale geliyor.
    Bumerang etkisi diyebileceğimiz bu olay, ağlar arası ağın (İnternetin) ulaştığı her yere aslında, saldırının da ulaşmasını sağlıyor.
    İnterneti durdurmak için yapılan saldırılar, aslında OSI modelindeki 7 katmanı hedef alıyor.
    Günümüzde, bilgisayarların giremediği kamu ve özel sektör kurumu kalmamış gibi. Askeri tesisler, kamu kaynakları, ülkelerin en önemli yönetim merkezleri hep bilgisayarlar ile ağlar arası ağ “İnternet” ile bağlı.
    Ağlar arası ağdan (İnternet) gelecek saldırılar karşısında, savunma yapabilmek için, ağda dolaşan verilerin içeriğiyle saldırıları sezmek ve önlemek mümkün.
    Günümüz de İnterneti taşıyan ve haberleşmeyi sağlayan Transfer Control Protocol (TCP) ve Internet Protokolü (IP), UDP, ICMP, HTTP , SMTP çok önemlidir.
    İnternet ve web hizmetlerine erişimi durdurmak isteyen saldırganların TCP/IP, SYN, ACK, FIN, RST, vb. bayraklarıyla ve protokol parametreleriyle oynaması yeterlidir.
    Saldırıları, taşırma, yük arttırma, kapasite dışına çıkarma ve yanıltarak askıda bırakma olarak özetleyebiliriz.
    Bu olayı somutlaştırmak için günlük yaşamda kullandığımız telefon kulubelerini ve santralleri örnek vermek yeterli olur.
    Bir telefon kulubesinde bulunan rehber kitapçığı veya sarı sayfaları günümüz DNS hizmeti gibi düşünebiliriz. Telefon etmek için kulubedeki ahizeyi de, İnternet gezgini gibi düşünelim. Kulubede sıraya giren kişileri de, günümüz web siteine girmek isteyen bilgisayarlar olarak düşünelim.
    Eğer telefon rehberinde aradığımız numarayı aynı anda binlerce kişi farklı kulubelerden ararsa o telefon numarasına kimse ulaşamaz ve şehirler arası telefon santrali kilitlenip hizmet veremez.
    Telefonda ki kişiyle, başka birininin sesini taklit ederek konuşarak, aslında İnternette protokol bulandırma saldırısı yapmış gibi oluruz.
    Görüşmeyi normalin dışında uzatarak, kulübe dışında sıra bekleyenlerin konuşmasını engellemiş oluruz. Bu da TCP parametreleriyle oynayarak protokolün askıda kalmasını sağlamak gibi olur. Eğer binlerce kişi aynı anda şehirde ki tüm telefonlardan bunu yaparsa sistem erişilemez olur.
    İşte İnterneti durdurma ve erişilemez hale getirme saldırılarıda buna benzer mantık içerir.
    Şehirdeki binlerce kişinin telefon kulubelerinden aynı anda aramasını, DDoS için kullanılan, halen İnternet üzerinden satışı yapılan zombi ve botnetlere benzetebilirsiniz.
    Telefon rehberinden veya sarı sayfalardan birinin yırtılması, karalanması ve yerine yeni numara yazılmasınada, İnternette ele geçirilen root DNS'ler olarak düşüne biliriz.
    Son bir benzetmeden sonra konunun teknik yönü ve tehlikenin büyüklüğünü açıklamakta fayda var.
    Doğada yaşanan sel sırasında tüm sedlerin taşması ve yıkılması, karşısında çaresiz kalma halinin bir benzeri de İnternette DDos saldırılarıyla yapılan TCP SYN, ACK, FIN ve HTTP GET seli nedeniyle, sunucuların işlemci yükü, bellek kapasitesi, aynı anda açılan oturum sayısı, web sitesi erişimi ve İnternet bant genişliğini vb. taşırma şeklinde görülür.
    İnternet hizmetini durdurmak ve erişimi engelemek isteyenler için, DoS ve DDoS saldırıları kadar kolay ve yıkıcı etkisi olan başka bir saldırı türü yoktur.
    Basit bir HTTP erişimiyle web sitesine erişmek için 10 tane TCP paketi gidip gelmektedir. (3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri ).
    Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir.
    Bunu da hesaplarsak sayfanın açılması için, ortalama 50 X 10 = 500 TCP paketinin gidip gelmesi gerekir.
    Köleleştirilmiş (zombi ) bilgisayarlar ve aynı anda saldıran robot ağlar (botnet) sayesinde, açılan oturum sayısının, milyonları bulduğu sahte HTTP GET-POST isteklerinin işlendiği DDoS hezimeti daha iyi anlaşılır sanırım.
    Tüm bunlar için gerekli zombi ve botnet hizmetini yine İnternetten, örneğin RBN, Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi web sitelerinden (Russian Business Network) satılmaktadır.
    DDoS saldırılarının tarihine kısaca bakarsak: Alıntı "Bâkır EMRE, Uzman Araştırmacı-TUBİTAK-UEKAE"
    Bilinen ilk DDoS saldırısı (win32/prettypark), Minnesota Üniversitesi öğrencileri tarafından 1999 yılında gerçekleştirildi.
    • 2000 yılında, CNN, Yahoo, EBay, Datek gibi siteleri hedef alan ve Trinoo, TFN, StachleDraht, TFN2K gibi araçlar kullanılarak gerçekleştirildi.
    • 2002 – Kök DNS sunucularını hedef alan DDoS atağı gerçekleştirildi.
    • 2007 – Kök DNS sunucularını hedef alan 2. DDoS saldırıları
    • 2007 – Estonya siber saldırıları
    • 2008 – Gürcistan siber saldırıları
    • 2010 – Wikileaks, Mavi Marmara, TİB, BTK, TÜBİTAK
    • 2011 – PlayStation,SONY Nintendo şirketleri hedef alındı.
    • 2011 – Anonymous saldırıları (Malezya, Türkiye, Paypal, Mastercard vb.)
    Http pipelining işlemi kullanan sitelerde KeepAlive özelliği kullanılarak istekler birleştirilse de, saldırgan başka bir TCP bağrağı ve protokol parametresiyle DDOS saldırılarına devam edebilir.
    DoS ve DDoS, genelde başlangıç düzeyindeki acemiler ile botnet ve zombileri kontrol eden çok iyi organize olmuş sanal saldırganlar, sosyal gruplar ve devletler tarafından düşük yoğunluklu gerçek savaş taktiği olarak siyasi ve ticari olarak tercih edilir.
    Halen günümüzde DDoS saldırılarına karşı, savunma için 0 çözüm bulunamamıştır. Ancak çok iyi ağ analizi ve IP trafiğine ilişkin sonuçların veri madenciliği çalışmasıyla, TCP/IP ve diğer protokolere ait parametrelerin kontrollü olarak değişitrilmesiyle, saldırılara karşı savunma gücü kazanmak mümkündür.
    Ağ trafinin TAP cihazlarıyla dinlenmesi, loglanması, paketlerin kaydedilmesi ve doğru analizi, savunma için kritik önemde değer taşımaktadır. Çoğu açık kaynak kodlu, Tcpstat, tcpdstat, tcptrace tcpdump, ourmon, argus, urlsnarf, snort, aguri, cut, grep, awk, wc yazılımlarıyla ve IPS için kullandığımız çözümlerle paket anormliklerini de iyi analiz edebiliriz.
    Eğer DDos saldırısı uygulama seviyesi bir protocol kullanılarak gerçekleştirildiyse (HTTP GET Flood ) sadece paket başlık bilgilerini kaydetmek yeterli olmaz, tüm protocol bilgilerini (+payload) kaydetmek gerekir.
    Saldırı SYN flood, ACK flood, UDP flood gibi sadece paket başlık bilgilerini kullanarak gerçekleştirilmişse payload bilgisinin kaydedilmesi gerekmeyecektir. Saldırı yapılan sistemleri karşılayan güvenlik duvarı-firewall haricinde başka bir yerde paket toplamak, sistem verimliği ve hızı için çok önemlidir.
    Örnek verirsek, fazla oturum açarak ağ erişimini engeleyen saldırılar için, İnternet erişimi için bant genişliğini arttırmak ve web sunucuları yük dengeleme sistemiyle çalışacak şekilde konumlandırmak önemlidir. Sunuculara, uygulamalara ve ağ erişim cihazlarına stres testi yapmak olası saldırıları karşılamak için sahip olduğunuz sistemin dayanma sınırlarını bilmenizi sağlayabilir.
    • Web sunucusu yazılımında performans iyileştirmeleri yapılmalıdır.
    • İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek yük dengeleyici sistemler (Loadbalancer) ve reverseProxy (Nginx) kullanılmalıdır.
    • Firewall/IPS ile belirli bir kaynaktan gelebilecek en fazla istek ve paket sayısı sınırlandırılmalıdır.
    • Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse (User-Agent, Refererer vb.) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir, ama bunun normal kullanıcıları da etkileyeceği bilinmelidir.
    • Web sunucunun desteklediği dos koruma modülleri kullanılabilir. (Örnek, Apache Mod_dosevasive) İyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir.
    Ancak DOS koruma modülleri kullanırken dikkat edilmesi gereken önemli noktalar vardır. DOS saldırısının geldiği kullanıcılara HTTP 403 cevabı dönmek yerine, doğrudan saldırı yapanları IPtables(APF) ile bloklayarak, gereksiz yere sunucu kaynaklarını tüketmemiş oluruz.
    TCP SYN, ACK, GET seli gibi saldırılarda, gelen paket içeriğini tcpdump ile kaydedip, tcpdstat ile PPS değeri analiziyle, ayıklanarak savunma için zaman kazanılabilir. Böylece saldırıyı yapan sahte ve gerçek IP adreslerinin, kaynağı, şiddeti ve coğrafi yeri gibi verileri belirlenebilir.
    Alıntı, "Huzeyfe Önal, Kıdemlı DDoS Uzmanı, Bilgi Güvenliği Akademisi, www.bga.com.tr "
    SYN Flood Saldırısı Analizi

    Tcpdump ile trafik içerisinde sadece SYN bayrağı taşıyan paketler ayıklanabilir.
    Sadece SYN bayraklı paketleri yakalama
    # tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’
    22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags , seq 2861145144, win 65535, options
    [mss 1460,sackOK,eol], length 0
    22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags , seq 539301671, win 65535, options
    [mss 1460,sackOK,eol], length 0

    ACK Flood Analizi

    Tcpdump kullanarak ACK bayraklı paketleri ayıklama
    # tcpdump -i bce1 -n ‘tcp*13+ & 16 != 0′
    FIN Flood Analizi

    Tcpdump kullanarak FIN bayraklı paketleri ayıklama
    # tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80
    tcp*13+ demek TCP başlığındaki 13.byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değere TCP ait RFC 'lerden bakılabilir.
    HTTP GET Flood Saldırısı

    TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler.
    #tcpdump -n -r ddos3.pcap tcp port 80 and \( tcp[20:2] = 18225 \)
    # tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80
    UDP Flood Saldırıları

    • IP spoofing yapılabilir
    • hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com
    • Paket boyutu ~ 30 byte
    • 20Mb hat ile saniyede 90.000 pps üretilebilir. 20*1024*1024/8/30
    • UDP bağlantısının kapatılması için gerekli ortalama süre 60 saniye.
    • Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi
    • Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
    UDP Flood Saldırılarından korunma

    • Daha güçlü güvenlik duvarları
    • Belirli ip adresinden gelecek istekleri sınırlama
    • Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir. (saldırı anında)
    Sonuç

    DoS ve DDoS saldırıları karşısında, TCP bayrakları ve diğer protokolerin parametrelerini kontrollü olarak değiştirmek ve gözlemek, savunmayı güçlendirecek en önemli tedbirdir.
    RFC protokol gereklerini bilmek ve uzmanlık düzeyinde TCP/IP bilgisi gereklidir.
    Paket analizi ve ağ trağini gözlemlemek saldırıyı anlamak, yorumlamak ve savunmayı geliştirmek için gereklidir. Açık kaynak kodlu geliştirilen birçok ücretsiz uygulama, bize bu konuda ihtiyacımız olan araçları sağlayabilir.
    Kaynakça:

    [1] Bakır Emre, Dağıtık Servis Dışı Bırakma (DDoS) Saldırıları ve Korunma Yöntemleri,
    http://www.bilgiguvenligi.gov.tr/dokuman-yukle/6.-kamu-kurumlari-bilgi-teknolojileri-guv.-konf./b-kir-emre-ddos/download.html
    [2] Huzeyfe Önal, DDoS Saldırı Analizi, DoS-DDoS Saldırıları ve Korunma Yöntemleri, Siber Saldırı Aracı olarak DDoS,
    Özgür Yazılımlarla DDOS Saldırılarını Engelleme, SynFlood DDOS Saldırıları, Web Sunuculara Yönelik DOS/DDOS Saldırıları,
    http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf
    http://www.bga.com.tr/calismalar/siber_savas_ddos.pdf
    http://seminer.linux.org.tr/wp-content/uploads/opensource-ddos-engelleme_020420102.pdf
    http://www.bga.com.tr/calismalar/synflood.pdf
    http://blog.lifeoverip.net/2009/12/27/web-sunuculara-yonelik-dosddos-saldirilari/
    [3] Inanc Ilgin, HTTP-GET DDoS Atak Engelleme,
    http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/http-get-ddos-atak-engelleme.html
    [4] Mehmet Kara, Botnetlerle Mücadelede Dünyadaki ve Türkiye'deki Durum,
    http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/botnetlerle-mucadelede-dunyadaki-ve-turkiyedeki-durum.html
     

Sayfayı Paylaş