DDoS Saldırıları İnterneti Durdurmak için Siber Savaş Aracı OLDU !

sidar2000 · 28-08-2011, 22:44

arkladaşlar, lütfen yazının tamamını okuyun,
yazı güzel ve ayrıntılıdır,
ve makaleyi yazanda,
çok önemli ve uzman bir kişidir

.

DARPA (Amerikan Savunma Bakanlığı İleri Araştırmalar Merkezi) projesi olarak, 1966 yılında olası bir nükleer savaş sonrası askeri birliklerin haberleşmesi amacıyla oluşturulan ve daha sonra üniversiteler ve günümüz de tüm dünyada kullanıma sunulan, ağlar arası ağ projesi “İnternet” ilk çıkış amacına adeta geri bildirimde bulurcasına, saldırı ve savunma amacıyla kullanılır hale geliyor.

Bumerang etkisi diyebileceğimiz bu olay, ağlar arası ağın (İnternetin) ulaştığı her yere aslında, saldırının da ulaşmasını sağlıyor.

İnterneti durdurmak için yapılan saldırılar, aslında OSI modelindeki 7 katmanı hedef alıyor.

Günümüzde, bilgisayarların giremediği kamu ve özel sektör kurumu kalmamış gibi. Askeri tesisler, kamu kaynakları, ülkelerin en önemli yönetim merkezleri hep bilgisayarlar ile ağlar arası ağ “İnternet” ile bağlı.

Ağlar arası ağdan (İnternet) gelecek saldırılar karşısında, savunma yapabilmek için, ağda dolaşan verilerin içeriğiyle saldırıları sezmek ve önlemek mümkün.

Günümüz de İnterneti taşıyan ve haberleşmeyi sağlayan Transfer Control Protocol (TCP) ve Internet Protokolü (IP), UDP, ICMP, HTTP , SMTP çok önemlidir.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=500386

İnternet ve web hizmetlerine erişimi durdurmak isteyen saldırganların TCP/IP, SYN, ACK, FIN, RST, vb. bayraklarıyla ve protokol parametreleriyle oynaması yeterlidir.

Saldırıları, taşırma, yük arttırma, kapasite dışına çıkarma ve yanıltarak askıda bırakma olarak özetleyebiliriz.

Bu olayı somutlaştırmak için günlük yaşamda kullandığımız telefon kulubelerini ve santralleri örnek vermek yeterli olur.

Bir telefon kulubesinde bulunan rehber kitapçığı veya sarı sayfaları günümüz DNS hizmeti gibi düşünebiliriz. Telefon etmek için kulubedeki ahizeyi de, İnternet gezgini gibi düşünelim. Kulubede sıraya giren kişileri de, günümüz web siteine girmek isteyen bilgisayarlar olarak düşünelim.

Eğer telefon rehberinde aradığımız numarayı aynı anda binlerce kişi farklı kulubelerden ararsa o telefon numarasına kimse ulaşamaz ve şehirler arası telefon santrali kilitlenip hizmet veremez.

Telefonda ki kişiyle, başka birininin sesini taklit ederek konuşarak, aslında İnternette protokol bulandırma saldırısı yapmış gibi oluruz.

Görüşmeyi normalin dışında uzatarak, kulübe dışında sıra bekleyenlerin konuşmasını engellemiş oluruz. Bu da TCP parametreleriyle oynayarak protokolün askıda kalmasını sağlamak gibi olur. Eğer binlerce kişi aynı anda şehirde ki tüm telefonlardan bunu yaparsa sistem erişilemez olur.

İşte İnterneti durdurma ve erişilemez hale getirme saldırılarıda buna benzer mantık içerir.

Şehirdeki binlerce kişinin telefon kulubelerinden aynı anda aramasını, DDoS için kullanılan, halen İnternet üzerinden satışı yapılan zombi ve botnetlere benzetebilirsiniz.

Telefon rehberinden veya sarı sayfalardan birinin yırtılması, karalanması ve yerine yeni numara yazılmasınada, İnternette ele geçirilen root DNS'ler olarak düşüne biliriz.

Son bir benzetmeden sonra konunun teknik yönü ve tehlikenin büyüklüğünü açıklamakta fayda var.

Doğada yaşanan sel sırasında tüm sedlerin taşması ve yıkılması, karşısında çaresiz kalma halinin bir benzeri de İnternette DDos saldırılarıyla yapılan TCP SYN, ACK, FIN ve HTTP GET seli nedeniyle, sunucuların işlemci yükü, bellek kapasitesi, aynı anda açılan oturum sayısı, web sitesi erişimi ve İnternet bant genişliğini vb. taşırma şeklinde görülür.

İnternet hizmetini durdurmak ve erişimi engelemek isteyenler için, DoS ve DDoS saldırıları kadar kolay ve yıkıcı etkisi olan başka bir saldırı türü yoktur.

Basit bir HTTP erişimiyle web sitesine erişmek için 10 tane TCP paketi gidip gelmektedir. (3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri ).

Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir.

Bunu da hesaplarsak sayfanın açılması için, ortalama 50 X 10 = 500 TCP paketinin gidip gelmesi gerekir.

Köleleştirilmiş (zombi ) bilgisayarlar ve aynı anda saldıran robot ağlar (botnet) sayesinde, açılan oturum sayısının, milyonları bulduğu sahte HTTP GET-POST isteklerinin işlendiği DDoS hezimeti daha iyi anlaşılır sanırım.

Tüm bunlar için gerekli zombi ve botnet hizmetini yine İnternetten, örneğin RBN, Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi web sitelerinden (Russian Business Network) satılmaktadır.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=500386

DDoS saldırılarının tarihine kısaca bakarsak: Alıntı "Bâkır EMRE, Uzman Araştırmacı-TUBİTAK-UEKAE"

Bilinen ilk DDoS saldırısı (win32/prettypark), Minnesota Üniversitesi öğrencileri tarafından 1999 yılında gerçekleştirildi.

*

2000 yılında, CNN, Yahoo, EBay, Datek gibi siteleri hedef alan ve Trinoo, TFN, StachleDraht, TFN2K gibi araçlar kullanılarak gerçekleştirildi.
*

2002 – Kök DNS sunucularını hedef alan DDoS atağı gerçekleştirildi.
*

2007 – Kök DNS sunucularını hedef alan 2. DDoS saldırıları
*

2007 – Estonya siber saldırıları
*

2008 – Gürcistan siber saldırıları
*

2010 – Wikileaks, Mavi Marmara, TİB, BTK, TÜBİTAK
*

2011 – PlayStation,SONY Nintendo şirketleri hedef alındı.
*

2011 – Anonymous saldırıları (Malezya, Türkiye, Paypal, Mastercard vb.)

Http pipelining işlemi kullanan sitelerde KeepAlive özelliği kullanılarak istekler birleştirilse de, saldırgan başka bir TCP bağrağı ve protokol parametresiyle DDOS saldırılarına devam edebilir.

DoS ve DDoS, genelde başlangıç düzeyindeki acemiler ile botnet ve zombileri kontrol eden çok iyi organize olmuş sanal saldırganlar, sosyal gruplar ve devletler tarafından düşük yoğunluklu gerçek savaş taktiği olarak siyasi ve ticari olarak tercih edilir.

Halen günümüzde DDoS saldırılarına karşı, savunma için %100 çözüm bulunamamıştır. Ancak çok iyi ağ analizi ve IP trafiğine ilişkin sonuçların veri madenciliği çalışmasıyla, TCP/IP ve diğer protokolere ait parametrelerin kontrollü olarak değişitrilmesiyle, saldırılara karşı savunma gücü kazanmak mümkündür.

Ağ trafinin TAP cihazlarıyla dinlenmesi, loglanması, paketlerin kaydedilmesi ve doğru analizi, savunma için kritik önemde değer taşımaktadır. Çoğu açık kaynak kodlu, Tcpstat, tcpdstat, tcptrace tcpdump, ourmon, argus, urlsnarf, snort, aguri, cut, grep, awk, wc yazılımlarıyla ve IPS için kullandığımız çözümlerle paket anormliklerini de iyi analiz edebiliriz.

Eğer DDos saldırısı uygulama seviyesi bir protocol kullanılarak gerçekleştirildiyse (HTTP GET Flood ) sadece paket başlık bilgilerini kaydetmek yeterli olmaz, tüm protocol bilgilerini (+payload) kaydetmek gerekir.

Saldırı SYN flood, ACK flood, UDP flood gibi sadece paket başlık bilgilerini kullanarak gerçekleştirilmişse payload bilgisinin kaydedilmesi gerekmeyecektir. Saldırı yapılan sistemleri karşılayan güvenlik duvarı-firewall haricinde başka bir yerde paket toplamak, sistem verimliği ve hızı için çok önemlidir.

Örnek verirsek, fazla oturum açarak ağ erişimini engeleyen saldırılar için, İnternet erişimi için bant genişliğini arttırmak ve web sunucuları yük dengeleme sistemiyle çalışacak şekilde konumlandırmak önemlidir. Sunuculara, uygulamalara ve ağ erişim cihazlarına stres testi yapmak olası saldırıları karşılamak için sahip olduğunuz sistemin dayanma sınırlarını bilmenizi sağlayabilir.

*

Web sunucusu yazılımında performans iyileştirmeleri yapılmalıdır.
*

İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek yük dengeleyici sistemler (Loadbalancer) ve reverseProxy (Nginx) kullanılmalıdır.
*

Firewall/IPS ile belirli bir kaynaktan gelebilecek en fazla istek ve paket sayısı sınırlandırılmalıdır.
*

Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse (User-Agent, Refererer vb.) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir, ama bunun normal kullanıcıları da etkileyeceği bilinmelidir.
*

Web sunucunun desteklediği dos koruma modülleri kullanılabilir. (Örnek, Apache Mod_dosevasive) İyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir.

Ancak DOS koruma modülleri kullanırken dikkat edilmesi gereken önemli noktalar vardır. DOS saldırısının geldiği kullanıcılara HTTP 403 cevabı dönmek yerine, doğrudan saldırı yapanları IPtables(APF) ile bloklayarak, gereksiz yere sunucu kaynaklarını tüketmemiş oluruz.

TCP SYN, ACK, GET seli gibi saldırılarda, gelen paket içeriğini tcpdump ile kaydedip, tcpdstat ile PPS değeri analiziyle, ayıklanarak savunma için zaman kazanılabilir. Böylece saldırıyı yapan sahte ve gerçek IP adreslerinin, kaynağı, şiddeti ve coğrafi yeri gibi verileri belirlenebilir.

Alıntı, "Huzeyfe Önal, Kıdemlı DDoS Uzmanı, Bilgi Güvenliği Akademisi, www.bga.com.tr "
SYN Flood Saldırısı Analizi

Tcpdump ile trafik içerisinde sadece SYN bayrağı taşıyan paketler ayıklanabilir.

Sadece SYN bayraklı paketleri yakalama

Kod:

    # tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’

    22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags [s], seq 2861145144, win 65535, options

    [mss 1460,sackOK,eol], length 0

    22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags [s], seq 539301671, win 65535, options

    [mss 1460,sackOK,eol], length 0

ACK Flood Analizi

Tcpdump kullanarak ACK bayraklı paketleri ayıklama

Kod:


	Kod:
	# tcpdump -i bce1 -n ‘tcp*13+ & 16 != 0′

FIN Flood Analizi

Tcpdump kullanarak FIN bayraklı paketleri ayıklama

Kod:

# tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80

tcp*13+ demek TCP başlığındaki 13.byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değere TCP ait RFC 'lerden bakılabilir.

HTTP GET Flood Saldırısı

TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler.

Kod:

#tcpdump -n -r ddos3.pcap tcp port 80 and \( tcp[20:2] = 18225 \)

    # tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80

Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=500386
UDP Flood Saldırıları

*IP spoofing yapılabilir

*hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com

*Paket boyutu ~ 30 byte

*hat ile saniyede 90.000 pps üretilebilir. 20*1024*1024/8/30

* UDP bağlantısının kapatılması için gerekli ortalama süre 60 saniye.

*Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi

*Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde

UDP Flood Saldırılarından korunma

* Daha güçlü güvenlik duvarları

*Belirli ip adresinden gelecek istekleri sınırlama

* Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir. (saldırı anında)

Sonuç

DoS ve DDoS saldırıları karşısında, TCP bayrakları ve diğer protokolerin parametrelerini kontrollü olarak değiştirmek ve gözlemek, savunmayı güçlendirecek en önemli tedbirdir.

RFC protokol gereklerini bilmek ve uzmanlık düzeyinde TCP/IP bilgisi gereklidir.

Paket analizi ve ağ trağini gözlemlemek saldırıyı anlamak, yorumlamak ve savunmayı geliştirmek için gereklidir. Açık kaynak kodlu geliştirilen birçok ücretsiz uygulama, bize bu konuda ihtiyacımız olan araçları sağlayabilir.

Cenk Ceylan, Turkish Forensic / GÖKTÜRK BT Ltd.
den yaznın tamamı alıntıdır...

Kaynakça:

[1] Bakır Emre, Dağıtık Servis Dışı Bırakma (DDoS) Saldırıları ve Korunma Yöntemleri,

http://www.bilgiguvenligi.gov.tr/dokuman-yukle/6.-kamu-kurumlari-bilgi-teknolojileri-guv.-konf./b-kir-emre-ddos/download.html

[2] Huzeyfe Önal, DDoS Saldırı Analizi, DoS-DDoS Saldırıları ve Korunma Yöntemleri, Siber Saldırı Aracı olarak DDoS,

Özgür Yazılımlarla DDOS Saldırılarını Engelleme, SynFlood DDOS Saldırıları, Web Sunuculara Yönelik DOS/DDOS Saldırıları,

http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf

http://www.bga.com.tr/calismalar/siber_savas_ddos.pdf

http://seminer.linux.org.tr/wp-content/uploads/opensource-ddos-engelleme_020420102.pdf

http://www.bga.com.tr/calismalar/synflood.pdf

http://blog.lifeoverip.net/2009/12/27/web-sunuculara-yonelik-dosddos-saldirilari/

[3] Inanc Ilgin, HTTP-GET DDoS Atak Engelleme,

http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/http-get-ddos-atak-engelleme.html

[4] Mehmet Kara, Botnetlerle Mücadelede Dünyadaki ve Türkiye'deki Durum,

http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/botnetlerle-mucadelede-dunyadaki-ve-turkiyedeki-durum.html

[5] Cenk Ceylan, Terminating the Internet or DDoS attacks as a Cyber War tool, Hakin9-IT Security Magazine Starterkit, Agust 2011

mfa135 · 03-09-2011, 23:59

teşekkürler

HackerKont · 18-09-2011, 20:46

Teşekkürler güzel anlatım.

-CyberFox- · 23-09-2011, 14:33

Döküman güzel

BLade58 · 23-09-2011, 17:43

Güzel paylaşım uğraşılsa işler gibime geliyor

mrmuho_kinG · 25-09-2011, 15:59

Teşekkürler Güzel anlattim

juneeci · 26-09-2011, 10:32

Bu doğru çözüm, bu bilgi paylaşımı için teşekkürler

Doqqs · 16-10-2011, 23:24

Paylaşım için teşekkürler.

haldizweb · 24-10-2011, 13:55

bak bu acıklama cook ısıme yaradı 100 bıt ıle saldırı gelıyordu aralıklı sagolun

ozan_ronal · 24-10-2011, 14:37

peki önlem almak için ne yapmak lazım ?
çok basit çok fazla sorgulama yapan ip'e ban atılır soun ortadan kalkar

savasalp · 03-11-2011, 16:54

paylaşımın süper ama bir konuda yardımcı olursanız sevinirim ddos saldırısı için kodun neresine sitenin ismini veya ipsini yazıyoz veya bu saldırıyı yaparken bu kodları ne ile kaydediyoz ve nasıl çalıştırıyoz yardımlarınızı bekliyorum videolu anlatım olursa daha iyi kavrarım şimdiden tşkler

koruyucu24 · 29-01-2012, 20:19

güzel döküman tşkler

28-08-2011, 22:44	#1
sidar2000 Forum Ustası Kayıt Tarihi: Oct 2007 Üye numarası: #153443 Yer: ist. Mesaj sayısı: 8,072 Karma etkisi: 53013 Karma: 5300013	DDoS Saldırıları İnterneti Durdurmak için Siber Savaş Aracı OLDU ! arkladaşlar, lütfen yazının tamamını okuyun, yazı güzel ve ayrıntılıdır, ve makaleyi yazanda, çok önemli ve uzman bir kişidir . DARPA (Amerikan Savunma Bakanlığı İleri Araştırmalar Merkezi) projesi olarak, 1966 yılında olası bir nükleer savaş sonrası askeri birliklerin haberleşmesi amacıyla oluşturulan ve daha sonra üniversiteler ve günümüz de tüm dünyada kullanıma sunulan, ağlar arası ağ projesi “İnternet” ilk çıkış amacına adeta geri bildirimde bulurcasına, saldırı ve savunma amacıyla kullanılır hale geliyor. Bumerang etkisi diyebileceğimiz bu olay, ağlar arası ağın (İnternetin) ulaştığı her yere aslında, saldırının da ulaşmasını sağlıyor. İnterneti durdurmak için yapılan saldırılar, aslında OSI modelindeki 7 katmanı hedef alıyor. Günümüzde, bilgisayarların giremediği kamu ve özel sektör kurumu kalmamış gibi. Askeri tesisler, kamu kaynakları, ülkelerin en önemli yönetim merkezleri hep bilgisayarlar ile ağlar arası ağ “İnternet” ile bağlı. Ağlar arası ağdan (İnternet) gelecek saldırılar karşısında, savunma yapabilmek için, ağda dolaşan verilerin içeriğiyle saldırıları sezmek ve önlemek mümkün. Günümüz de İnterneti taşıyan ve haberleşmeyi sağlayan Transfer Control Protocol (TCP) ve Internet Protokolü (IP), UDP, ICMP, HTTP , SMTP çok önemlidir. Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=500386 İnternet ve web hizmetlerine erişimi durdurmak isteyen saldırganların TCP/IP, SYN, ACK, FIN, RST, vb. bayraklarıyla ve protokol parametreleriyle oynaması yeterlidir. Saldırıları, taşırma, yük arttırma, kapasite dışına çıkarma ve yanıltarak askıda bırakma olarak özetleyebiliriz. Bu olayı somutlaştırmak için günlük yaşamda kullandığımız telefon kulubelerini ve santralleri örnek vermek yeterli olur. Bir telefon kulubesinde bulunan rehber kitapçığı veya sarı sayfaları günümüz DNS hizmeti gibi düşünebiliriz. Telefon etmek için kulubedeki ahizeyi de, İnternet gezgini gibi düşünelim. Kulubede sıraya giren kişileri de, günümüz web siteine girmek isteyen bilgisayarlar olarak düşünelim. Eğer telefon rehberinde aradığımız numarayı aynı anda binlerce kişi farklı kulubelerden ararsa o telefon numarasına kimse ulaşamaz ve şehirler arası telefon santrali kilitlenip hizmet veremez. Telefonda ki kişiyle, başka birininin sesini taklit ederek konuşarak, aslında İnternette protokol bulandırma saldırısı yapmış gibi oluruz. Görüşmeyi normalin dışında uzatarak, kulübe dışında sıra bekleyenlerin konuşmasını engellemiş oluruz. Bu da TCP parametreleriyle oynayarak protokolün askıda kalmasını sağlamak gibi olur. Eğer binlerce kişi aynı anda şehirde ki tüm telefonlardan bunu yaparsa sistem erişilemez olur. İşte İnterneti durdurma ve erişilemez hale getirme saldırılarıda buna benzer mantık içerir. Şehirdeki binlerce kişinin telefon kulubelerinden aynı anda aramasını, DDoS için kullanılan, halen İnternet üzerinden satışı yapılan zombi ve botnetlere benzetebilirsiniz. Telefon rehberinden veya sarı sayfalardan birinin yırtılması, karalanması ve yerine yeni numara yazılmasınada, İnternette ele geçirilen root DNS'ler olarak düşüne biliriz. Son bir benzetmeden sonra konunun teknik yönü ve tehlikenin büyüklüğünü açıklamakta fayda var. Doğada yaşanan sel sırasında tüm sedlerin taşması ve yıkılması, karşısında çaresiz kalma halinin bir benzeri de İnternette DDos saldırılarıyla yapılan TCP SYN, ACK, FIN ve HTTP GET seli nedeniyle, sunucuların işlemci yükü, bellek kapasitesi, aynı anda açılan oturum sayısı, web sitesi erişimi ve İnternet bant genişliğini vb. taşırma şeklinde görülür. İnternet hizmetini durdurmak ve erişimi engelemek isteyenler için, DoS ve DDoS saldırıları kadar kolay ve yıkıcı etkisi olan başka bir saldırı türü yoktur. Basit bir HTTP erişimiyle web sitesine erişmek için 10 tane TCP paketi gidip gelmektedir. (3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri ). Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir. Bunu da hesaplarsak sayfanın açılması için, ortalama 50 X 10 = 500 TCP paketinin gidip gelmesi gerekir. Köleleştirilmiş (zombi ) bilgisayarlar ve aynı anda saldıran robot ağlar (botnet) sayesinde, açılan oturum sayısının, milyonları bulduğu sahte HTTP GET-POST isteklerinin işlendiği DDoS hezimeti daha iyi anlaşılır sanırım. Tüm bunlar için gerekli zombi ve botnet hizmetini yine İnternetten, örneğin RBN, Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi web sitelerinden (Russian Business Network) satılmaktadır. Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=500386 DDoS saldırılarının tarihine kısaca bakarsak: Alıntı "Bâkır EMRE, Uzman Araştırmacı-TUBİTAK-UEKAE" Bilinen ilk DDoS saldırısı (win32/prettypark), Minnesota Üniversitesi öğrencileri tarafından 1999 yılında gerçekleştirildi. * 2000 yılında, CNN, Yahoo, EBay, Datek gibi siteleri hedef alan ve Trinoo, TFN, StachleDraht, TFN2K gibi araçlar kullanılarak gerçekleştirildi. * 2002 – Kök DNS sunucularını hedef alan DDoS atağı gerçekleştirildi. * 2007 – Kök DNS sunucularını hedef alan 2. DDoS saldırıları * 2007 – Estonya siber saldırıları * 2008 – Gürcistan siber saldırıları * 2010 – Wikileaks, Mavi Marmara, TİB, BTK, TÜBİTAK * 2011 – PlayStation,SONY Nintendo şirketleri hedef alındı. * 2011 – Anonymous saldırıları (Malezya, Türkiye, Paypal, Mastercard vb.) Http pipelining işlemi kullanan sitelerde KeepAlive özelliği kullanılarak istekler birleştirilse de, saldırgan başka bir TCP bağrağı ve protokol parametresiyle DDOS saldırılarına devam edebilir. DoS ve DDoS, genelde başlangıç düzeyindeki acemiler ile botnet ve zombileri kontrol eden çok iyi organize olmuş sanal saldırganlar, sosyal gruplar ve devletler tarafından düşük yoğunluklu gerçek savaş taktiği olarak siyasi ve ticari olarak tercih edilir. Halen günümüzde DDoS saldırılarına karşı, savunma için %100 çözüm bulunamamıştır. Ancak çok iyi ağ analizi ve IP trafiğine ilişkin sonuçların veri madenciliği çalışmasıyla, TCP/IP ve diğer protokolere ait parametrelerin kontrollü olarak değişitrilmesiyle, saldırılara karşı savunma gücü kazanmak mümkündür. Ağ trafinin TAP cihazlarıyla dinlenmesi, loglanması, paketlerin kaydedilmesi ve doğru analizi, savunma için kritik önemde değer taşımaktadır. Çoğu açık kaynak kodlu, Tcpstat, tcpdstat, tcptrace tcpdump, ourmon, argus, urlsnarf, snort, aguri, cut, grep, awk, wc yazılımlarıyla ve IPS için kullandığımız çözümlerle paket anormliklerini de iyi analiz edebiliriz. Eğer DDos saldırısı uygulama seviyesi bir protocol kullanılarak gerçekleştirildiyse (HTTP GET Flood ) sadece paket başlık bilgilerini kaydetmek yeterli olmaz, tüm protocol bilgilerini (+payload) kaydetmek gerekir. Saldırı SYN flood, ACK flood, UDP flood gibi sadece paket başlık bilgilerini kullanarak gerçekleştirilmişse payload bilgisinin kaydedilmesi gerekmeyecektir. Saldırı yapılan sistemleri karşılayan güvenlik duvarı-firewall haricinde başka bir yerde paket toplamak, sistem verimliği ve hızı için çok önemlidir. Örnek verirsek, fazla oturum açarak ağ erişimini engeleyen saldırılar için, İnternet erişimi için bant genişliğini arttırmak ve web sunucuları yük dengeleme sistemiyle çalışacak şekilde konumlandırmak önemlidir. Sunuculara, uygulamalara ve ağ erişim cihazlarına stres testi yapmak olası saldırıları karşılamak için sahip olduğunuz sistemin dayanma sınırlarını bilmenizi sağlayabilir. * Web sunucusu yazılımında performans iyileştirmeleri yapılmalıdır. * İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek yük dengeleyici sistemler (Loadbalancer) ve reverseProxy (Nginx) kullanılmalıdır. * Firewall/IPS ile belirli bir kaynaktan gelebilecek en fazla istek ve paket sayısı sınırlandırılmalıdır. * Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse (User-Agent, Refererer vb.) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir, ama bunun normal kullanıcıları da etkileyeceği bilinmelidir. * Web sunucunun desteklediği dos koruma modülleri kullanılabilir. (Örnek, Apache Mod_dosevasive) İyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir. Ancak DOS koruma modülleri kullanırken dikkat edilmesi gereken önemli noktalar vardır. DOS saldırısının geldiği kullanıcılara HTTP 403 cevabı dönmek yerine, doğrudan saldırı yapanları IPtables(APF) ile bloklayarak, gereksiz yere sunucu kaynaklarını tüketmemiş oluruz. TCP SYN, ACK, GET seli gibi saldırılarda, gelen paket içeriğini tcpdump ile kaydedip, tcpdstat ile PPS değeri analiziyle, ayıklanarak savunma için zaman kazanılabilir. Böylece saldırıyı yapan sahte ve gerçek IP adreslerinin, kaynağı, şiddeti ve coğrafi yeri gibi verileri belirlenebilir. Alıntı, "Huzeyfe Önal, Kıdemlı DDoS Uzmanı, Bilgi Güvenliği Akademisi, www.bga.com.tr " SYN Flood Saldırısı Analizi Tcpdump ile trafik içerisinde sadece SYN bayrağı taşıyan paketler ayıklanabilir. Sadece SYN bayraklı paketleri yakalama Kod: # tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’ 22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags [s], seq 2861145144, win 65535, options [mss 1460,sackOK,eol], length 0 22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags [s], seq 539301671, win 65535, options [mss 1460,sackOK,eol], length 0 ACK Flood Analizi Tcpdump kullanarak ACK bayraklı paketleri ayıklama Kod: Kod: # tcpdump -i bce1 -n ‘tcp13+ & 16 != 0′ FIN Flood Analizi* Tcpdump kullanarak FIN bayraklı paketleri ayıklama Kod: # tcpdump -i bce1 -n ‘tcp13+ & 1 != 0′ and tcp port 80 tcp13+ demek TCP başlığındaki 13.byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değere TCP ait RFC 'lerden bakılabilir. HTTP GET Flood Saldırısı TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler. Kod: #tcpdump -n -r ddos3.pcap tcp port 80 and \( tcp[20:2] = 18225 \) # tcpdump -i bce1 -n ‘tcp13+ & 1 != 0′ and tcp port 80 Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=500386 UDP Flood Saldırıları IP spoofing yapılabilir hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com Paket boyutu ~ 30 byte hat ile saniyede 90.000 pps üretilebilir. 2010241024/8/30 UDP bağlantısının kapatılması için gerekli ortalama süre 60 saniye. Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde UDP Flood Saldırılarından korunma * Daha güçlü güvenlik duvarları Belirli ip adresinden gelecek istekleri sınırlama Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir. (saldırı anında) Sonuç DoS ve DDoS saldırıları karşısında, TCP bayrakları ve diğer protokolerin parametrelerini kontrollü olarak değiştirmek ve gözlemek, savunmayı güçlendirecek en önemli tedbirdir. RFC protokol gereklerini bilmek ve uzmanlık düzeyinde TCP/IP bilgisi gereklidir. Paket analizi ve ağ trağini gözlemlemek saldırıyı anlamak, yorumlamak ve savunmayı geliştirmek için gereklidir. Açık kaynak kodlu geliştirilen birçok ücretsiz uygulama, bize bu konuda ihtiyacımız olan araçları sağlayabilir. Cenk Ceylan, Turkish Forensic / GÖKTÜRK BT Ltd. den yaznın tamamı alıntıdır... Kaynakça: [1] Bakır Emre, Dağıtık Servis Dışı Bırakma (DDoS) Saldırıları ve Korunma Yöntemleri, http://www.bilgiguvenligi.gov.tr/dokuman-yukle/6.-kamu-kurumlari-bilgi-teknolojileri-guv.-konf./b-kir-emre-ddos/download.html [2] Huzeyfe Önal, DDoS Saldırı Analizi, DoS-DDoS Saldırıları ve Korunma Yöntemleri, Siber Saldırı Aracı olarak DDoS, Özgür Yazılımlarla DDOS Saldırılarını Engelleme, SynFlood DDOS Saldırıları, Web Sunuculara Yönelik DOS/DDOS Saldırıları, http://www.bga.com.tr/calismalar/ddos_ataklar_ve_korunma.pdf http://www.bga.com.tr/calismalar/siber_savas_ddos.pdf http://seminer.linux.org.tr/wp-content/uploads/opensource-ddos-engelleme_020420102.pdf http://www.bga.com.tr/calismalar/synflood.pdf http://blog.lifeoverip.net/2009/12/27/web-sunuculara-yonelik-dosddos-saldirilari/ [3] Inanc Ilgin, HTTP-GET DDoS Atak Engelleme, http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/http-get-ddos-atak-engelleme.html [4] Mehmet Kara, Botnetlerle Mücadelede Dünyadaki ve Türkiye'deki Durum, http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/botnetlerle-mucadelede-dunyadaki-ve-turkiyedeki-durum.html [5] Cenk Ceylan, Terminating the Internet or DDoS attacks as a Cyber War tool, Hakin9-IT Security Magazine Starterkit, Agust 2011

Konu Araçları	Bu Konuda Ara
Printer Çıktısını Göster Sayfayı Emaille Yolla	Bu Konuda Ara: Gelişmiş Arama

Bu Konuda Aradığınızı Bulamadıysanız Şunlara Bakmanızı Öneririz
Konu	Konu Yazarı	Forum	Cevaplar	Son Mesaj
Eşya Listesi	Kalenderxyx	Metin2 Online	2	20-02-2012 15:39
Windows XP için TCP/IP ve NBT yapılandırma parametreleri	winxpeker	Networking	2	11-11-2011 03:46
Komünistleri durdurmak için saldırı başladı	lemmings	Siyaset	122	22-05-2010 16:44
Otistik oğlu için mucit oldu	+Zafer	Bilim ve Teknik	1	26-04-2010 22:19
CR Kurulumu	Stonkeep	IRC	8	18-12-2008 03:07

03-09-2011, 23:59	#2
mfa135 Hızlı Çırak Kayıt Tarihi: Jul 2008 Üye numarası: #242333 Yer: ank Mesaj sayısı: 74 Karma etkisi: 42 Karma: 3881	teşekkürler

18-09-2011, 20:46	#3
HackerKont 1st Class WarrioR Kayıt Tarihi: Sep 2011 Üye numarası: #561782 Mesaj sayısı: 16 Karma etkisi: 0 Karma: 10	Teşekkürler güzel anlatım.

23-09-2011, 14:33	#4
-CyberFox- Cool Çırak Kayıt Tarihi: Sep 2011 Üye numarası: #561576 Yer: ŞİmdilikDünya Mesaj sayısı: 47 Karma etkisi: 0 Karma: -1	Döküman güzel

23-09-2011, 17:43	#5
BLade58 Forum Kalfası Kayıt Tarihi: Feb 2010 Üye numarası: #427828 Yer: SivaS Mesaj sayısı: 1,965 Karma etkisi: 5444 Karma: 544056	Güzel paylaşım uğraşılsa işler gibime geliyor

25-09-2011, 15:59	#6
mrmuho_kinG Çırak Kayıt Tarihi: Sep 2011 Üye numarası: #562336 Yer: İstanbuL Mesaj sayısı: 1 Karma etkisi: 0 Karma: 10	Teşekkürler Güzel anlattim

26-09-2011, 10:32	#7
juneeci Çırak Kayıt Tarihi: Sep 2011 Üye numarası: #563291 Mesaj sayısı: 7 Karma etkisi: 0 Karma: 10	Bu doğru çözüm, bu bilgi paylaşımı için teşekkürler

16-10-2011, 23:24	#8
Doqqs Çırak Kayıt Tarihi: Aug 2010 Üye numarası: #476909 Mesaj sayısı: 22 Karma etkisi: 0 Karma: 10	Paylaşım için teşekkürler.

24-10-2011, 13:55	#9
haldizweb Çırak Kayıt Tarihi: Jun 2011 Üye numarası: #547028 Mesaj sayısı: 6 Karma etkisi: 0 Karma: 10	bak bu acıklama cook ısıme yaradı 100 bıt ıle saldırı gelıyordu aralıklı sagolun

24-10-2011, 14:37	#10
ozan_ronal Forum Kalfası Kayıt Tarihi: Nov 2008 Üye numarası: #281014 Yer: İzmir Mesaj sayısı: 1,985 Karma etkisi: 8091 Karma: 808617	peki önlem almak için ne yapmak lazım ? çok basit çok fazla sorgulama yapan ip'e ban atılır soun ortadan kalkar

03-11-2011, 16:54	#11
savasalp 1st Class WarrioR Kayıt Tarihi: Oct 2011 Üye numarası: #567345 Mesaj sayısı: 2 Karma etkisi: 0 Karma: 10	paylaşımın süper ama bir konuda yardımcı olursanız sevinirim ddos saldırısı için kodun neresine sitenin ismini veya ipsini yazıyoz veya bu saldırıyı yaparken bu kodları ne ile kaydediyoz ve nasıl çalıştırıyoz yardımlarınızı bekliyorum videolu anlatım olursa daha iyi kavrarım şimdiden tşkler

Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir)

29-01-2012, 20:19	#12
koruyucu24 Çırak Kayıt Tarihi: Aug 2011 Üye numarası: #558438 Mesaj sayısı: 9 Karma etkisi: 0 Karma: 10	güzel döküman tşkler