DoS ve DDoS Saldırıları ve Korunma Yöntemleri

  • Published on
    17-Jun-2015

  • View
    4.130

  • Download
    3

Embed Size (px)

Transcript

<ul><li> 1. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi Konu:TCP Flood DDoS Saldrlar@2014 rnek Eitim Notu bilgi@bga.com.tr DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr</li></ul><p> 2. TCP Flood DDoS SaldrlarDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 3. TCP Flood TCP Flood: Hedef sisteme eitli TCP bayraklar set edilmi paketler gndermektir. TCP Bayraklar FIN, ACK, PUSH, SYN, RST, URG Ama hedef sistemin kapasitesini zorlama; Bant genilii kapasitesi Paket ileme kapasitesi Sahte ip adreslerinden gerekletirilebilir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 4. TCP Flood eitleriTCP Flood SYN FloodACK FloodFIN FloodDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 5. Etki Seviyesine Gre TCP Flood Saldrlar Gnmz iletim sistemleri ve a tabanl gvenlik sistemleri (Firewall/IPS/) statefull yapdadr. Stateful yap: Balant iin gelen ilk paket SYN olmal, gelen ilk paket SYN ise oturum kurulumunu balat ve bu oturuma ait dier paketlere de izin ver. Bir sisteme gnderilecek FIN, ACK, PUSH bayrakl paketler(SYN harici) hedef sistem tarafndan kabul edilmeyecektir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 6. Uygulama|TCP Bayraklar ve Oturum Hedef sisteme hping3 arac kullanlarak SYN bayrakl paket gnderimi, Hedef sistemde netstat ant komutuyla socket durumlar incelenerek etkisi grlmeli. Hedef sisteme hping3 arac kullanlarak FIN bayrakl paket gnderimi, Hedef sistemde netstat ant komutuyla socket durumlar incelenerek etkisi grlmeli. Hedef sisteme hping3 arac kullanlarak ACK bayrakl paket gnderimi, Hedef sistemde netstat ant komutuyla socket durumlar incelenerek etkisi grlmeli.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 7. Uygulama|Hping ile TCP Paketleri Oluturma SYN bayrakl TCP paketi oluturma Hping S p 80 192.168.1.1 192.168.1.1 ip adresinin 80 portuna SYN bayrakl TCP paketi gnderimi FIN bayrakl TCP paketi oluturma Hping F p 80 192.168.1.1 192.168.1.1 ip adresinin 80 portuna FINbayrakl TCP paketi gnderimi ACK bayrakl TCP paketi oluturma Hping A p 80 192.168.1.1 192.168.1.1 ip adresinin 80 portuna ACK bayrakl TCP paketi gnderimiDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 8. FIN Flood Saldrlar Hedef sisteme sahte ip adreslerinden FIN paketleri gnderme Hedef sistem nnde Firewall/IPS gibi statefull alan bir sistem varsa FIN paketlerine kar cevap dnmeyecektir. Veya RST paketi dnecektir.(ak port, kapal port seimine gre)DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 9. ACK Flood Saldrlar Hedef sisteme sahte ip adreslerinden ACK paketleri gnderme Hedef sistem nnde Firewall/IPS gibi statefull alan bir sistem varsa ACK paketlerine kar cevap dnmeyecektir. Veya RST paketi dnecektir.(ak port, kapal port seimine gre)DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 10. Syn Flood DDoS Saldrlar TCP flood saldrlarnda en etkili saldr tipidir. Hedef sistemin kaynaklarn tketmek amal gerekletirilir. Internet dnyasnda en sk gerekletirilen DDoS saldr tipidir. Gerekli nlemler alnmam ise 2Mb hat ile 100Mb hatta sahip olan sistemler devre d braklabilir. Saldr yapmas kadar korunmas da kolaydr. Genellikle sahte IP adresleri kullanlarak gerekletirilir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 11. Syn Flood Sorunu Kayna Problem: SYN paketini alan sistemin SYN-ACK paketi gnderdikten sonra paketi gnderenin gerek olup olmadn onaylamadan sistemden kaynak ayrmas. zm: Paketi gnderen IP adresinin gerek olduu belirlenmeden sistemden kaynak ayrlmamal! DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 12. SYN TCPe ait bir zelliktir 8 TCP bayrandan biri TCP oturumlarn balatmak iin kullanlan TCP bayra Sadece oturumun balang aamasnda grlr SYN paketleri veri tayamaz stisna durumlar anormallik olarak adlandrlr. Hping p 8 0-S localhost d 100 E data komutuyla SYN bayrakl TCP paketine veri tattrlabilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 13. TCP SYN Paketi Ortalama 60 byteGnderilen her SYN paketi iin hedef sistem ACK-SYN paketi retecektir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 14. TCP Handshake 3l el skma olarak da adlandrlr. CSSYNCListeningSYNS, ACKCStore dataWait ACKS Connected DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 15. TCP Handshake-II Handshake esnasnda sunucu tarafnda hangi bilgiler tutulur? TCP Control Block (TCB) tarafndan aadaki bilgileri tutulabilir. &gt; 280 byte FlowID, timer info, Sequence number, flow control status, out-of-band data, MSS, .. Half-open TCB verileri zaman amna kadar tutulur Kaynak yeterli deilse yeni balant kabul edilmeyecektir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 16. TCP Balantsnda SYN Paketleri Normal TCP balants sreci1)Kaynak Ayr 2)Cevap gelene dekBekleOturum Kuruldu DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 17. SYN Flood Saldrsnda SYN Paketleri120 saniye bekler Bir SYN paketi ortalama 65 Byte 8Mb hat sahibi bir kullanc saniyede 16.000 SYN paketi retebilir. Hat kapasitesinde upload hz nemlidir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 18. SynFlood Hedef sisteme kapasitesinin zerinde SYN paketi gndererek yeni paket alamamasn salamaktr. En sk yaplan DDoS saldr tipidir. lk olarak 1994 ylnda Firewalls and Internet Security kitabnda teorik olarak bahsi gemitir. lk Synflood DDoS saldrs 1996 ylnda gerekletirilmitir. 2011 ylnda henz bu saldrya %100 engel olacak standart bir zm gelitirilememitir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 19. Nasl Gerekletirilir? Syn Flood saldrs basitce ak bir porta hedef sistemin kapasitesinden fazla gnderilecek SYN paketleriyle gerekletirilir. Buradaki kapasite tanm nemlidir. Teknik olarak bu kapasiteye Backlog Queue denilmektedir. letim sistemlerinde Backlog queue deeri deitirilebilir. Arttrlabilir, azaltlabilir Saldry yapan kendini gizlemek iin gerek IP adresi kullanmaz.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 20. Backlog Queue Kavram(Kapasite) letim sistemleri ald her SYN paketine karlk l el skmann tamamlanaca ana kadar bellekten bir alan kullanrlar. Bu alan TCB olarak adlandrlr. Bu alanlarn toplam backlog queue olarak adlandrlr. Baka bir ifadeyle iletim sisteminin half-open olarak ne kadar balant tutabileceini backlog queue veriyaps belirler. Linux sistemlerde backlog queue deeri sysctl komutuyla deitirilebilir. Sysctl a|grep backlog DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 21. Syn Flood DurumuDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 22. Syn Flood Ne Kadar Kolaydr? Tahmin edildiinden daha ok! rnek: Backlog queue deeri 1000 olan sisteme 1000 adet SYN paketi gndererek servis veremez duruma getirilebilir. 1000 adet SYN paketi=1000*60byte=60.000 byte=468Kpbs Bu deer gnmzde ou ADSL kullancsnn sahip olduu hat kapasitesine yakndr. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 23. SynFlood Backscatter Tehlikesi SYN Flood saldrlarnda sahte IP kullanlrsa saldr yaplan sistemden geriye doru binlerce SYN+ACK paketi dnecektir. Bu da ayr bir saldr olarak alglanabilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 24. Syn Flood Aralar Netstress Juno Hping Windows tabanl aralar BotNet ynetim sistemleriDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 25. SynFlood rnei Ama:Hedef sisteme tamamlanmam binlerce TCP SYN paketi gnderip servis verememesinin salanmas Kullanlan ara: HpingDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 26. Syn Flood:Gerek IP Adresleri Kullanarak Gerek ip adresinden gerekletirilecek syn flood saldrlar: Tek bir ip adresinden Rahatlkla engellenebilir. Botnete dahil tm ip adreslerindenDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 27. Gerek IP Syn Flood Analizi Gerek ip adresleri kullanlarak gerekletirilecek SYN flood saldrsnn etki seviyesi dk olacaktr. Neden? Gnderilen her gerek SYN paketi sonras gelecek SYN/ACK cevabna iletim sistemi kzarak(kendisi gndermedi, zel bir ara kullanlarak gnderildi SYN paketi) RST paketi dnecektir. Syn flood yaplan sistemde RST paketi alndnda oturum tablosundan ilgili ip adresine ait balantlar silinecektir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 28. Syn Flood:Sahte IP Adresleri Kullanarak Kaynak IP adresi seilen makine aksa gelen SYN+ACK paketine RST cevab dnecektir. Ciddi saldrlarda kaynak ip adresleri canl olmayan sistemler seilmeli!DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 29. Sahte IP le SynFlood Analizi Kaynak ip adresi 5.5.5.5 yaplarak gnderilen SYN paketi iin iletim sistemi belirli bir sre SYN/ACK paketi gndererek kar taraftan ACK paketi bekleyecektir. Saldrgan: Hping p 80 S hedef_ip c 1 a 5.5.5.5 Masum: Netstat ant|grep 5.5.5.5DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 30. Random Sahte IP Adresi Kullanarak Syn FloodDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 31. SynFlood DDoS Saldrlar Nasl Anlalr? Temel mantk: Normalin zerinden SYN paketi geliyorsa veya normalin zerinde SYN_RECV durumu gzkyorsa SYN Flood olma ihtimali vardr. Linux/Windows sistemlerde netstat komutuyla SYN flood saldrs anlalabilir. Linux iin netstat komutu: Netstat antgrep SYN_ Windows iin netstat komutu: Netstat an p tcp |find SYN_RCVDDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 32. Netstat ile SynFlood BelirlemeDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 33. Netstat le SynFlood Belirleme-WindowsDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 34. Sahte IP Kullanmnn Dezavantajlar Synflood saldrsnda sahte IP adresleri kullanlrsa Her gnderilen SYN paketine karlk hedef sistem sahte IP adreslerine SYN ACK paketi dnecektir. Bu durumda sahte IP adreslerinin gerek sahipleri sizden ACK flood saldrs geliyormu zannedebilir. Saldrgan belirli bir firmann IP Adresinden geliyormu gibi SynFlood Saldrs gnderebilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 35. SynFlood Saldrlarn Engelleme Syn Flood Saldrs gerekletirme ok kolaydr. Syn flood saldrlarn engellemek kolaydr. Syn flood saldrlar iin tm dnya iki temel zm kullanr: Syn cookie Syn proxy Bu iki zm haricinde endstri standart haline gelmi baka zm bulunmamaktadr. Farkl adlandrmalar kullanlabilir.(syn authentication gibi)DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 36. Klasik TCP Balants Normal TCP balantlarnda gelen SYN bayrakl pakete karlk ACK paketi ve SYN paketi gnderilir. Gnderilen ikinci(sunucunun gnderdii) SYN paketinde ISN deeri random olarak atanr ve son gelecek ACK paketindeki sra numarasnn bizim gnderdiimizden bir fazla olmas beklenir. Son paket gelene kadar da sistemden bu balant iin bir kaynak ayrlr.(backlog queue) Eer SYN paketine dnen ACK cevab ilk syn paketininin ISN+1 deilse paket kabul edilmez. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 37. SynCookie Aktifken TCP Balants Syncookie aktif edilmi bir sistemde gelen SYN paketi iin sistemden bir kaynak ayrlmaz. SYN paketine dnecek cevaptaki ISN numaras zel olarak hesaplanr (kaynak.ip+kaynak.port+.hedef.ip+hedef.port+x deeri) ve hedefe gnderilir. Hedef son paket olan ACKi gnderdiinde ISN hesaplama ilemi tekrarlanr ve eer ISN numaras uygunsa balant kurulur. Deilse balant iptal edilirDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 38. Syn Cookie AdmlarDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 39. Syn Cookie Ek Bilgiler Syncookie baz sistemlerde belirli SYN paketi deerini atktan sonra devreye girer. Mesela saniyedeki SYN paketi says SYN cookie de aradaki gvenlik sistemi SYN/ACK paketinde cookie cevab dner. Bu cookie deeri ISN'dir. Cookie deeri nasl hesaplanr MD5 hash (source address, port number, destination address, port number, ISN deeri(SYN packet)) Kar taraftan gelecek ACK paketindeli onay numaras cookie+1 deilse paketi pe atar. cookie+1 ise oturum kurulur.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 40. SYN Cookie DeeriDoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 41. Syn Cookie-II Bylece spoof edilmi binlerce ip adresinden gelen SYN paketleri iin sistemde bellek tketilmemi olacaktr ki bu da sistemin SYNflood saldrlar esnasnda daha dayankl olmasn salar. Syncookie mekanizmas backlog queue kullanmad iin sistem kaynaklarn daha az kullanr. Syncookie aktif iken hazrlanan zel ISN numaras cookie olarak adlandrlr. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 42. SynCookie Paketleri Netstat kullanlarak Linux sistemlerde ka adet syn cookie gnderildii ve buna dn yapan cevaplar edinilebilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 43. SynCookie Dezavantajlar Syncookiede zel hazrlanacak ISNler iin retilen random deerler sistemde matematiksel ilem gc gerektirdii iin CPU harcar. Eer saldrnn boyutu yksekse CPU performans problemlerinden dolay sistem yine darboaz yaar. DDOS Engelleme rnleri(baz IPSler de ) bu darboaz amak iin sistemde Syncookie zellii farkl CPU tarafndan iletilir. DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 44. SynCookie Dezavantajlar-II Syncookie zellii sadece belirli bir sistem iin alamaz. Ya aktr ya kapal Bu zellik eitli IPS sistemlerinde probleme sebep olabilir. Syncookie uygulamalarndan bazlar TCP seeneklerini tutmad iin baz balantlarda sorun yaatabilir.DoS/DDOS Saldrlar ve Korunma Yollar Eitimi 2014 |Bilgi Gvenlii AKADEMS | www.bga.com.tr 45. SYN Cookie Monsters SYN cookies ``present serious violation of TCP protocol.' Reality: SYN cookies are fully compliant with the TCP protocol. Every packet sent by a SYN-cookie server is something that could also have been sent by a non-S...</p>