![100-1000 Mb ile neler yapılabilir?
• Saldırı Tipine göre
– SYNFlood olursa
• [100 Mb 200.000 pps]
• [1Gb 2.000.000 pps]
– UDP flood olursa
• [100Mb 400.000pps]
• [1Gb 4.000.000 pps]
– GET Flood olursa
• [100Mb 32.000 pps]
• [1Gb 320.000 pps]](https://image.slidesharecdn.com/opensource-ddos-engelleme-131023063033-phpapp02/85/Ozgur-yazilimlarla-DDOS-Engelleme-19-320.jpg)
Özgür yazılımlarla DDOS Engelleme
- 1. Özgür Yazılımlarla DDOS Saldırılarını Engelleme Huzeyfe ÖNAL huzeyfe@lifeoverip.net http://www.guvenlikegitimleri.com
- 2. Ben Kimim? • Bilgi güvenliği Uzmanı(iş hayatı) • Ağ güvenliği araştırmacısı(gerçek hayat) • Özgür yazılım destekcisi – Hayatını özgür yazılımdan kazanan şanslı insanlardan! • Kıdemli DDOS uzmanı ☺ • Güvenlik eğitmeni – www.guvenlikegitimleri.com • Günlükcü! – www.lifeoverip.net
- 3. Neden DDOS Sunumu? • Gün geçtikce önemi artan bir konu • Tehdit sıralamasında en üstlerde – En büyük eksiklik temel TCP/IP bilgisi – Tecrübesizlik • DDOS ürünleri çok pahalı • DDOS ürünleri -eğer onları iyi yapılandırmazsanızişe yaramaz. • Özgür yazılımlarla engellenebilecek DDOS saldırılarını analiz etme ve önlem alma...
- 4. Ajanda • Genel tanım ve istatistikler • DOS/DDOS Saldırı Çeşitleri ve Teknik altyapı • DOS/DDOS Saldırılarını Özgür yazılımlarla analiz etme ve engelleme – OpenBSD Packet Filter kullanımı – Snort & Ormon & tcpdump kullanımı
- 5. Bilinmesi gerekenler... • Gelen DDOS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok! • DDOS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez! Gürcistan DDOS saldırısı 200-800 Mbps arası
- 6. Terimler • • • • • • • IP Spoofing DOS DDOS SYN, FIN, ACK, PUSH ... BotNet Flood RBN(Russian Business Network)
- 9. Gerçek Hayattan DDOS Örnekleri Karşılaştığım saldırıların “en” leri... En uzun DDOS saldırısı: 4 gün En yüksek kapasiteli saldırı 2.5 Gb En komik DOS saldırısı: 2Mb ile 1Gb’lik hattı indirme • En etkili DOS saldırısı :Bind DOS • • • •
- 10. Kimler Neden Yapar? • Ev kullanıcıları (ADSL vs) – Küçük sitelere HTTP GET Flood şeklinde – Genelde tehlikesizdirler • Hackerlar/Profesyoneller – Botnet oluştururken sadece son kullanıcılardan değil, sunucu sistemlerden faydalanırlar – Bir sunucu ~1000 istemci gücünde trafik üretebilir – Özellikle Linux sunuculardaki güvenlik açıklıkları çok kullanılır • Ellerinde sağlam kaynaklar vardır – Bazıları bu kaynakları satar(RBN) – Günlük 10 Gb atak 300 $ vs
- 11. Ne kadar zordur?
- 12. DOS/DDOS Çeşitleri • Bandwidth şişirme – Udp flood, icmp flood (diğer tüm tipler) • Kaynak tüketimi(Firewall, server) – Synflood, ACK/FIN flood, GET/POST Flood, udp flood • Programsal hata – Bind DOS • Protokol istismarı – DNS amplification DOS • Spoof edilmiş IP kullanılmış mı ?....
- 13. DDOS-1:Bandwidth Şişirme • Önlemenin yolu yoktur – Sürahi bardak ilişkisi • ISP seviyesinde engellenebilir... • L7 protokolleri kullanılarak yapılan DDOS’larda saldırı trafiği çeşitli yöntemlerle ~6’da birine düşürülebilir – HTTP GET flood 400 Byte – IP Engelleme sonrası sadece syn 60 byte
- 14. DDOS-II:Ağ/güvenlik cihazlarını yorma • Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme • Session bilgisi tutan ağ/güvenlik Cihazlarının kapasitesi sınırlıdır
- 15. Biraz TCP/IP bilgisi… • Saldırılarda kullanılan paket çeşitleri ve boyutları
- 16. TCP SYN Paketi Ortalama 60 byte Gönderilen her SYN paketi için hedef sistem ACK-SYN paketi üretecektir.
- 17. UDP Paket Boyutu Ortalama 30 byte
- 18. HTTP GET Paket Boyutu Ortalama 100-400 byte
- 19. 100-1000 Mb ile neler yapılabilir? • Saldırı Tipine göre – SYNFlood olursa • [100 Mb 200.000 pps] • [1Gb 2.000.000 pps] – UDP flood olursa • [100Mb 400.000pps] • [1Gb 4.000.000 pps] – GET Flood olursa • [100Mb 32.000 pps] • [1Gb 320.000 pps]
- 21. Günümüz “Enterprise Security” Ürünleri • Saldırganın silahlarını ve gücünü gördük, buna karşılık güvenlik dünyasının ürettiği savunma sistemlerinin özelliklerine ve güçlerine bakalım • Firewall/IPS sistemleri DDOS saldırılarına karşılık kadar dayanıklı…. – Gelebilecek itirazlar: Firewall/IPS sistemleri DDOS engelleme amaçlı değildir(!)
- 26. TippingPoint 10Gb IPS Limitleri
- 27. DDOS-III:Programlama Hatası:ISC Bind Tek paketle DNS sunucuyu durdurma saldırısı %85 DNS sunucusu ISC Bind
- 28. DDOS-IV:Protokol İstismarı(DNS DOS) • Amplification saldırısı – Çarşıdan aldık bir byte eve geldik 10 byte... • Sahte DNS istekleriyle servis yorma – Saniyede 50.000 dns isteği ve olmayan domainler için...
- 29. Saldırı Çeşitleri ve Korunma Yolları Saldırıyı Anlama Önlem alma Analiz için paket kaydı
- 30. DDOS Saldırı Analizi • Saldırı olduğunu nasıl anlarız? – Sistemimiz açılmıyordur, çalışmıyordur ☺ • Saldırı yapan bulunabilir mi? • Saldırının tipini nasıl anlarız – Tcpdump, awk, sort, uniq – Ourmon anormallik tespit sistemi
- 31. MRTG/RRD Grafikleri Normal Trafik DDOS 1. Gün DDOS 2.Gün
- 32. Synflood saldırıları • Hedef sisteme spoof edilmiş milyonlarca ip adresinden SYN istekleri göndermek yoluyla kapasitesini zorlama* • Eğer önlem alınmamışsa gelen her SYN bayraklı TCP paketine ACK+SYN dönülecek ve sistemde bu pakete ait bir oturum kaydı açılacaktır • #hping –S –p 80 –flood … • *kaynaklar kısmında saldırı detaylarını anlatan dökümanlara referans verilmiştir
- 34. Syn Flood Engelleme • Synflood engelleme standartı:Syncookie/SynProxy • Linux sistemlerde Syncookie ile yapılabilir – Syncookie STATE tutmaz, state tablosunu kullanmaz • OpenBSD PF Synproxy – En esnek çözüm: ip, port, paket özelliklerine göre aktif edebilme ya da kapatabilme özelliği – pass in log(all) quick on $ext_if proto tcp to $web_servers port {80 443} flags S/SA synproxy state – (((Loglama sıkıntı çıkarabilir)))
- 35. SynFlood Engelleme-II • TCP timeout değerleriyle oynama – Default değerler yüksektir... – Saldırı anında dinamik olarak bu değerlerin 1/10’a düşürülmesi saldırı etkisini azaltacaktır. • Linux için sysctl ile (manuel) • OpenBSD PF için – set timeout {tcp.first 10, tcp.opening 10 tcp.closing 33, tcp.finwait 10, tcp.closed 20} gibi... Ya da • Packet Filter adaptive timeout özelliği! – State tablosu dolmaya başladıkca timeout değerlerini otomatik azalt!
- 36. SynFlood engelleme-III • Rate limiting(bir ip adresinden 500’den fazla istek geldiyse engellenecekler listesine ekle ve o ip adresine ait oturum tablosunu boşalt) • OpenBSD Packet Filter – ... flags S/SA synproxy state (max-src-conn 500, maxsrc-conn-rate 100/1, overload <ddos_host> flush global) • Linux iptables modülleri – -m limit vs
- 37. SynFlood engelleme-IV • Beyaz liste, kara liste uygulaması – Daha önce state oluşturmuş, legal trafik geçirmiş ip adresleri • Ülkelerin IP bloklarına göre erişim izni verme – Saldırı anında sadece Türkiye IP’lerine erişim açma (((IP spoofing kullanıldığı için çoğu zaman işe yaramaz))) • DNS round-robin & TTL değerleriyle oynayarak engelleme
- 38. Linux Syncookie dezavantajları • Donanım iyiyse yeterli koruma sağlar – Syncookie CPU’ya yüklendiği için CPU %100’lere vurabilir – Ethernet kartının üreteceği IRQ’lar sistemi zora sokabilir • Sadece kendisine syncookie koruması sağlar • 1/0 . Aç - kapa özelliğindedir, çeşitli uygulamalarda SYNcookie sıkıntı çıkartabilir. Bir port/host için kapama özelliği yoktur
- 39. PF SynProxy Dezavantajları • SynProxy=State=Ram gereksinimi • State tablosu ciddi saldırılarda çok çabuk dolar – 100Mb~=200.000 SYN=200.000 State • 40 saniyede 8.000.000 state = ~5GB ram ... – Tcp timeout değerlerini olabildiğince düşürmek bir çözüm olabilir • Timeout süresi 5 saniye olursa ? (((Genel Çözüm: Stateless SynProxy çözümü)))
- 40. Rate limiting dezavantajları • Akıllı saldırganın en sevdiği koruma yöntemidir☺ • Neden ?
- 41. ACK, FIN, PUSH Flood Saldırıları • SynFlood’a karşı önlem alınan sistemlerde denenir. • Hedef sisteme ACK, FIN, PUSH bayraklı TCP paketleri göndererek güvenlik cihazlarının kapasitesiniz zorlama • Diğer saldırı tiplerine göre engellemesi oldukça kolaydır • Etki düzeyi düşüktür
- 42. ACK,FIN,PUSH Saldırıları Engelleme • Gelen ilk paketin SYN paketi olma zorunluluğu, oturum kurulmamış paketleri düşürme • OpenBSD Packet Filter – scrub all • Linux – İptables kurallar ☺
- 43. UDP Flood Saldırıları • UDP stateless bir protokol, yönetimi zor! • Paket boyutları küçük, etkisi yüksek • Amaç UDP servislerini çökertmekten çok aradaki güvenlik cihazlarının kapasitesini zorlayıp cevap veremez hale getirmektir. • Zaman zaman DNS sunuculara yönelik de yapılır • Syncookie/synproxy gibi kolay bir çözümü yok! – Denenmiş, kanıtlanmış çözümü yok ☺
- 44. UDP Flood Engelleme • UDP servisi yoksa Router üzerinden ACL ile komple protokolü engelleme • Linux için – Udp timeout sürelerini kısaltma – Rate limiting kullanımı(spoofed ip kullanılmıyorsa) • OpenBSD Packet Filter – UDP için state tutabilir(yalancı state) – Timeout değerleri kullanılarak udp sessionlarının çabucak kapatılması sağlanabilir – Probability özelliği kullanılabilir (((block in proto udp probability 50% )))
- 45. GET/POST Flood Saldırıları • Synflood için önlem alınan yerlere karşı denenir • Daha çok web sunucunun limitlerini zorlayarak sayfanın ulaşılamaz olmasını sağlar • Önlemesi Synflood’a göre daha kolaydır – HTTP için IP spoofing “pratik olarak” imkansızdır. • Rate limiting kullanılarak rahatlıkla önlenebilir • False positive durumu • #ab –n 100000 –c 5000 http://www.google.com/
- 47. HTTP Flood engelleme • OpenBSD Packet Filter pass in log(all) quick on $ext_if proto tcp to $web_server port {80 443} flags S/SA synproxy state (max-src-conn 1000, max-src-conn-rate 100/3, overload <ddos_host> flush global) table <ddos_host> persist file /etc/ddos block in quick log on $ext_if from <ddos_host> • False positive durumuna karşı her saat başı yasaklı ip listesini sıfırla! • Sayfa yoğunluğuna göre Kurallar düzenlenmeli
- 48. HTTP Get Flood Engelleme-II • Apache Loglarını inceleyen ve belirli bir değerin üzerinde istek gönderenleri iptables ile engelleyen bir script yazılabilir • Netstat ile establish olmuş bağlantılardan belirli değerin üzerindekileri engelleyen script yazılabilir • Apache dos engelleme modülleri kullanılabilir
- 49. Uygulama Seviyesi DOS Engelleme • Bazı HTTP Flood saldırıları HTTP Keepalive kullanır – Bir TCP bağlantısı içerisinden yüzlerce HTTP isteği gönderme • Firewall ile engellemek(Firewall sadece TCP seviyesinde müdahele ediyor paketlere)kolay değil • Snort imzaları kullanılabilir, yazılabilir – Trafiğin içerisinde yakalanacak ortak bir değer(useragent vs)
- 50. BotNet Engelleme • Botnete üye olan makineler merkezden yönetilirler • Merkez sistemleri engelleme çoğu zaman saldırıları azaltmada işe yarayacaktır ve sizin ağınızdan DDOS yapılmasını engelleyecektir.
- 51. Ağınızdan DDOS Yapılmasını Engelleme • DDOS saldırılarında belirleyici iki temel etken: – IP spoofing – Bir ip adresinden anormal seviyede trafik gönderimi • IP spoofing engelleme(ağınızdan dışarı doğru) – URPF(Unicast Reverse Path Forwarding) – block in from urpf-failed to any (OpenBSD PF) • Ip başına anormallik tespiti – Ourmon, Packet Filter rate limit • Netflow/pfflowd
- 52. DDOS Testleri Gerçekleştirme • Başkaları yapmadan siz kendi sistemlerinizi test edin • Test için gerekli araçlar – Hping, nmap, nping, isic, ab çeşitli perl scriptleri • Linux kurulu bir iki laptop ve Ggabit switch
- 53. DDOS Eğitimi http://www.guvenlikegitimleri.com/new/egitimler/ddos-saldiri-tipleri
- 54. Kaynaklar • SynFlood DDOS Saldırıları ve Korunma Yolları • Web Sunuculara Yönelik DOS/DDOS Saldırıları • http://www.ankasec.org/arsiv/ankasec09/DOSDD OSAtaklariveKorunmaYontemleri.pdf • OpenBSD PF FAQ • Arbor Networks • http://www.shadowserver.org/wiki/
- 55. Teşekkürler...