Web ddos ve performans
2 likes1,597 views
Web Application Performance Tests and DDoS Attacks
Web ddos ve performans
- 1. Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri Barkın Kılıç @barknkilic barkin@barkin.info
- 2. localhost ~ $ id barkink ● Eski ve daimi sistem yöneticisi ● Linuxcu ● Pentester ● Eğitmen
- 3. Aj(an)da ● Kavramlar ( DoS/DDos Nedir) ● 5N1K (Ne? Ne zaman? Nerede? Nasıl? Neden? Kim?) ● DoS/DDoS çeşitleri ve HTTP ● Biraz İstatistik ● Biraz Medyada DoS ● Kullanılan araçlar (Hulk,Slowloris,Xerxes, Jmeter) ● Demo ● Sorular
- 4. What the...? ● DoS(Denial of Service) ● DDos(Distributed Denial Of Service) ● Zombi ● BotNet(Robot Networks) ● IP Sahteciliği
- 5. DOS ? DDOS • DOS(Denial Of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi • DDOS(Distrubuted Denial of Service ) DOS saldırısının yüzlerce, binlerce farklı sistemden yapılması • Genellikle spoof edilmiş ip adresleri ve zombiler kullanılır
- 6. Zombi & Botnet • Zombi: Emir kulu – Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler – Temel sebebi: Windows yamalarının eksikliği • BotNet – roBOTNETworks • Zombilerden oluşan sanal yıkım orduları • Internette satışı yapılmakta
- 7. DDoS Sonuçları ● Finansal Kayıp ● Prestij Kaybı ● Zaman Kaybı
- 8. Kim? ● Hacker? ● Devletler ● Sıradan kullanıcılar
- 9. BotNet C&C Yönetim arayüzü
- 10. BotNet C&C Arayüzü Ülkeler Dağılımı
- 11. DOS hakkında yanlış bilinenler ● Bizim Firewall DOS’u engelliyor ● Bizim IPS DOS/DDOS’u engelliyor... ● Linux DOS’a karşı dayanıklıdır ● Biz de DDOS engelleme ürünü var ● Donanım tabanlı firewallar DOS’u engeller ● Bizde antivirüs programı var ● DOS/DDOS Engellenemez
- 12. Ne zaman? İlk olarak Michal Zalewski ve Adrian Ilarion Ciobanu tarafından 2007'de bahsedildi. http://www.securityfocus. com/archive/1/456339/30/0/threaded 2009'da Robert "RSnake" Hansen tarafından geliştirilen Slowloris ile popülerleşti.
- 13. Neden? ● Sistemlere sızma değil ● Web sitelerinin çalışmaması ● Sistemlerin çalışmaz hale gelmesi
- 14. Neden? • Sistemde güvenlik açığı bulunamazsa zarar verme amaçlı yapılabilir • Politik sebeplerden • Ticari sebeplerle • Can sıkıntısı & karizma amaçlı
- 16. Nerde? 2011 DDoS Ülkeler
- 17. Eskiden DDoS Saldırıları Layer 4 Üzerine Yoğun Olurdu
- 18. ICMP Saldırıları ● Broadcast adresine gönderilen spoof edilmiş bir echo request paketi ile network'teki herkesin kurbana cevap dönmesi ve bu şekilde kurbanın bandwith kaynağını tüketme saldırısı ● Ping of Death, standart en fazla büyüklüğü aşılan(65535) bir paket ile karşı makinanın bu paketi birleştirirken yaşadığı sorun sebebi ile işletim sisteminin çakılması
- 20. Son Zamanlardaki Yöntemler ● SYN Flood ● HTTP Get / Flood ● UDP Flood ● DNS DOS ● Amplification DOS saldırıları
- 23. DNS Servisine Yapılan Saldırılar ● UDP protokolü ile çalışır, ip sahteciliği yapmak mümkündür ● Saldırıyı tespit etmek zordur. ● İnternetin kalbi olması sebebi ile internet kesintisi gibi algılanabilir. Sayfaya erişemiyorum gibi şikayetler olabilir, halbuki sayfa yada sunucu çalışmaktadır
- 24. Layer 4 Attacks ● Sunucu yada Network cihazlarında bant genişliği veya bağlantı limitlerini doldurarak yapılan saldırılar ● Layer 4 güvenlik çözümleri genelde bu saldırılara karşı başarılı oluyorlar.
- 25. Layer 7 DDoS Saldırıları ● Uygulama seviyesinde yapılan saldırılardır ● HTTP(S), SMTP, FTP, LDAP vs
- 26. Layer 7 Saldırıların Etkisi ● TCP ve UDP bağlantıları onarmal olmayan ve IPS/IDS leri kızdırmayacak şekilde. ● Normal uygulama talepleri gibi yapılan normal bir trafik olarak gözükmesi ● Daha az bağlantı ve paket gerektirmesi ve bunun yanında etkisinin yüksek olması
- 27. Layer 7 DDoS Web Saldırı Türleri ● Hatalı kodlanmış uygulamalar veya servis ayarları üzerinden servis dışı bırakma (Kendi ayağından vurmak) ● HTTP yada HTTPS zaafiyeti üzerine yoğunlaşacağız HTTP GET => Michal Zalewski, Adrian Ilarion Ciobanu, RSnake (Slowloris) HTTP POST => Wong Onn Chee
- 28. DDoS Örnekleri
- 29. DDoS Örnekleri
- 30. DDoS Örnekleri
- 31. DDoS Örnekleri
- 32. Bazı Tool (Araçlar) ● Kullandıkları teknikler bakımından farklılık gösteren ve amaca göre kullanabilecek farklı programlardan bahsedicem ● Kimler yazmış, ne şekilde kullanılır örnek vererek bahsedelim
- 33. HULK (HTTP Unbearable Load King)
- 34. Hulk ● http://www.sectorix.com/2012/05/17/hulk-web-server- dos-tool/ ● Barry Shteiman (Sectorix) ● User Agent değiştiriliyor devamlı ● Referer bilgisi değiştiriliyor ● Keep-Alive yakalamak ● no-cache ● URL sürekli eşsiz olması sağlanıyor
- 35. Hulk Demo
- 36. Xerxes ● th3j35t3r ● Kasım 2010'da Wikileaks, Amazon, Wikileaks ● Basic Authantication Header üzerinden sunucuda kaynak tüketmek üzerine çalışıyor ● http://www.airdemon.net/xerxes.txt
- 37. Xerxes Demo
- 38. Slowloris
- 39. Slowloris ● http://ha.ckers.org/slowloris/slowloris.pl ● Robert "Rsnake" Hansen ● 2009 Iran seçim protestosu zamanında popüler oldu. ● Bandwith kullanmıyor ● Http Get/Post üzerinden bağlantı açıp çok ağır birşekilde transfer yapıp kaynak tüketiyor.
- 40. Slowloris Demo
- 41. Apache Jmeter
- 42. Apache Jmeter ● Kompleks Load test amacı ile kullanılabiliyor (FTP,HTTP POST/GET LDAP vs) ● Mantıksal yapıda kullabiliyorsunuz (if else gibi) ● Java tabanlı ● Server client mantığı ile çalışabiliyor
- 44. Sorular?