| DARPA (Amerikan Savunma Bakanlığı İleri Araştırmalar Merkezi) projesi olarak, 1966 yılında olası bir nükleer savaş sonrası askeri birliklerin haberleşmesi amacıyla oluşturulan ve daha sonra üniversiteler ve günümüz de tüm dünyada kullanıma sunulan, ağlar arası ağ projesi “İnternet” ilk çıkış amacına adeta geri bildirimde bulurcasına, saldırı ve savunma amacıyla kullanılır hale geliyor.
Bumerang etkisi diyebileceğimiz bu olay, ağlar arası ağın (internetin) ulaştığı her yere aslında, saldırının da ulaşmasını sağlıyor.
İnterneti durdurmak için yapılan saldırılar, aslında OSI modelindeki 7 katmanı hedef alıyor.
Günümüzde, bilgisayarların giremediği kamu ve özel sektör kurumu kalmamış gibi. Askeri tesisler, kamu kaynakları, ülkelerin en önemli yönetim merkezleri hep bilgisayarlar ile ağlar arası ağ “İnternet” ile bağlı.
Ağlar arası ağdan (internet) gelecek saldırılar karşısında, savunma yapabilmek için, ağda dolaşan verilerin içeriğiyle saldırıları sezmek ve önlemek mümkün. İnterneti taşıyan ve haberleşmeyi sağlayan Transfer Control Protocol (TCP) ve Internet Protokolü (IP), UDP, ICMP, HTTP , SMTP çok önemlidir.
İnternet ve web hizmetlerine erişimi durmak isteyen saldırganların TCP/IP, SYN, ACK, FIN, RST, vb. bayraklarıyla ve protokol parametreleriyle oynaması yeterlidir.
Saldırıları, taşırma, yük arttırma, kapasite dışına çıkarma ve yanıltarak askıda bırakma olarak özetleyebiliriz.
Bu olayı somutlamak için günlük yaşamda kullandığımız telefon kulubelerini ve santralleri örnek vermek yeterli olur.
Bir telefon kulubesinde bulunan rehber kitapçığı veya sarı sayfaları günümüz DNS hizmeti gibi düşünebiliriz. Telefon etmek için kulubedeki ahizeyi de, internet gezgini gibi düşünelim. Kulubede sıraya giren kişileri de, günümüz web siteine girmek isteyen bilgisayarlar olarak düşünelim.
Eğer telefon rehberin de aradığımız numarayı aynı anda binlerce kişi farklı kulubelerden ararsa o telefon numarasına kimse ulaşamaz ve şehirler arası telefon santrali kilitlenip hizmet veremez.
Telefon da ki kişiyle, başka birininin sesini taklit ederek konuşarak, aslında internette protokol bulandırma saldırısı yapmış gibi oluruz.
Görüşmeyi normalin dışında uzatarak, kulübe dışında sıra bekleyenlerin konuşmasını engellemiş oluruz. Bu da TCP parametreleriyle oynayarak protokolün askıda kalmasını sağlamak gibi olur. Eğer binlerce kişi aynı anda şehirde ki tüm telefonlardan bunu yaparsa sistem erişilemez olur.
İşte interneti durdurma ve erişilemez hale getirme saldırılarıda buna benzer mantık içerir.
Şehirdeki binlerce kişinin telefon kulubelerinden aynı an'da aramasını, DDoS için kullanılan, halen internet üzerinden satışı yapılan zombi ve botnetlere benzetebilirsiniz.
Telefon rehberinden veya sarı sayfalardan birini yırtması, karalaması ve yerine yeni numarayı yazmanısını da, internette ele geçirilen root DNS'ler olarak düşüne biliriz.
Son bir benzetmeden sonra konunun teknik yönü ve tehlikenin büyüklüğünü açıklamakta fayda var.
Doğada yaşanan sel sırasında tüm sedlerin taşması ve yıkılması, karşısında çaresiz kalma halinin bir benzeri de internette DDos saldırılarıyla yapılan TCP SYN, ACK, FIN ve HTTP GET seli nedeniyle, sunucuların işlemci yükü, bellek kapasitesi, aynı anda açılan oturum sayısı, web sitesi erişimi ve internet bant genişliğini vb. taşırma şeklinde görülür.
İnternet hizmetini durdurmak ve erişimi engelemek isteyenler için, DoS ve DDoS saldırıları kadar kolay ve yıkıcı etkisi olan başka bir saldırı türü yoktur.
Basit bir HTTP erişimiyle web sitesine erişmek için 10 tane TCP paketi gidip gelmektedir. (3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri).
Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir.
Bunu da hesaplarsak sayfanın açılması için, ortalama 50 X 10 = 500 TCP paketinin gidip gelmesi gerekir.
Köleleştirilmiş (zombi) bilgisayarlar ve aynı anda saldıran robot ağlar (botnet) sayesinde, açılan oturum sayısının, milyonları bulduğu sahte HTTP GET-POST isteklerinin işlendiği DDoS hezimeti daha iyi anlaşılır sanırım.
Tüm bunlar için gerekli zombi ve botnet hizmetini yine internetten, örneğin RBN, Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi web sitelerinden (Russian Business Network) satılmaktadır.
DDoS saldırılarının tarihine kısaca bakarsak, (alıntı=>Bâkır EMRE, Uzman Araştırmacı-TUBİTAK-UEKAE)
Bilinen ilk DDoS saldırısı (win32/prettypark), Minnesota Üniversitesi öğrencileri tarafından 1999 yılında gerçekleştirildi.
•2000 yılında, CNN, Yahoo, EBay, Datek gibi siteleri hedef alan ve Trinoo, TFN, StachleDraht, TFN2K gibi araçlar kullanılarak gerçekleştirildi.
• 2002 – Kök DNS sunucularını hedef alan DDoS atağı gerçekleştirildi.
• 2007 – Kök DNS sunucularını hedef alan 2. DDoS saldırıları
• 2007 – Estonya siber saldırıları
• 2008 – Gürcistan siber saldırıları
• 2010 – Wikileaks, Mavi Marmara, TİB, BTK, TÜBİTAK
• 2011 – PlayStation,SONY Nintendo şirketleri hedef alındı.
• 2011 – Anonymous saldırıları (Malezya, Türkiye, Paypal, Mastercard vb.)
Http pipelining işlemi kullanan sitelerde KeepAlive özelliği kullanılarak istekler birleştirilse de, saldırgan başka bir TCP bağrağı ve protokol parametresiyle DDOS saldırılarına devam edebilir.
DoS ve DDoS, genelde başlangıç düzeyindeki acemiler ile botnet ve zombileri kontrol eden çok iyi organize olmuş sanal saldırganlar, sosyal gruplar ve devletler tarafından düşük yoğunluklu gerçek savaş taktiği olarak siyasi ve ticari olarak tercih edilir.
Halen günümüzde DDoS saldırılarına karşı, savunma için %100 çözüm bulunamamıştır. Ancak çok iyi ağ analizi ve IP trafiğine ilişkin sonuçların veri madenciliği çalışmasıyla, TCP/IP ve diğer protokolere ait parametrelerin kontrollü olarak değişitrilmesiyle, saldırılara karşı savunma gücü kazanmak mümkündür.
Ağ trafinin TAP cihazlarıyla dinlenmesi, loglanması, paketlerin kaydedilmesi ve doğru analizi, savunma için kritik önemde değer taşımaktadır. Çoğu açık kaynak kodlu, Tcpstat, tcpdstat, tcptrace tcpdump, ourmon, argus, urlsnarf, snort, aguri, cut, grep, awk, wc yazılımlarıyla ve IPS için kullandığımız çözümlerle paket anormliklerini de iyi analiz edebiliriz.
Eğer DDos saldırısı uygulama seviyesi bir protocol kullanılarak gerçekleştirildiyse (HTTP GET Flood ) sadece paket başlık bilgilerini kaydetmek yeterli olmaz, tüm protocol bilgileri(+payload) kaydetmek gerekir.
Saldırı SYN flood, ACK flood, UDP flood gibi sadece paket başlık bilgilerini kullanarak gerçekleştirilmişse payload bilgisinin kaydedilmesi gerekmeyecektir. Saldırı yapılan sistemleri karşılayan güvenlik duvarı-firewall haricinde başka bir yerde paket toplamak, sistem verimliği ve hızı için çok önemlidir.
Örnek verirsek, fazla oturum açarak ağ erişimini engeleyen saldırılar için, internet erişimi için bant genişliğini arttırmak ve web sunucuları yük dengeleme sistemiyle çalışacak şekilde konumlandırmak önemlidir. Sunuculara, uygulamalara ve ağ erişim cihazlarına stres testi yapmak olası saldırıları karşılamak için sahip olduğunuz sistemin dayanma sınırlarını bilmenizi sağlayabilir.
• Web sunucusu yazılımında performans iyileştirmeleri yapılmalıdır.
• İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek yük dengeleyici sistemler (Loadbalancer) ve reverseProxy (Nginx) kullanılmalıdır.
• Firewall/IPS ile belirli bir kaynaktan gelebilecek en fazla istek ve paket sayısı sınırlandırılmalıdır.
• Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse (User-Agent, Refererer vb.) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir, ama bunun normal kullanıcıları da etkileyeceği bilinmelidir.
• Web sunucunun desteklediği dos koruma modülleri kullanılabilir. (Örnek, Apache Mod_dosevasive) Iyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir.
Ancak DOS koruma modülleri kullanırken dikkat edilmesi gereken önemli noktalar vardır. DOS saldırısın geldiği kullanıcılara HTTP 403 cevabı dönmek yerine, doğrudan saldırı yapanları IPtables(APF) ile bloklayarak, gereksiz yere sunucu kaynaklarını tüketmemiş oluruz.
TCP SYN, ACK, GET seli gibi saldırılarda, gelen paket içeriğini tcpdump ile kaydedip, tcpdstat ile PPS değeri analiziyle, ayıklanarak savunma için zaman kazanılabilir. Böylece saldırıyı yapan sahte ve gerçek IP adreslerinin, kaynağı, şiddeti ve coğrafi yeri gibi verileri belirlenebilir.
Alıntı, "Huzeyfe Önal, Kıdemlı DDoS Uzmanı, Bilgi Güvenliği Akademisi, BİLGİ GÜVENLİĞİ AKADEMİSİ "
SYN Flood Saldırısı Analizi
Tcpdump ile trafik içerisinde sadece SYN bayrağı taşıyan paketler ayıklanabilir.
Sadece SYN bayraklı paketleri yakalama
# tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’
22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags, seq 2861145144, win 65535, options
[mss 1460,sackOK,eol], length 0
22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags, seq 539301671, win 65535, options
[mss 1460,sackOK,eol], length 0
ACK Flood Analizi
Tcpdump kullanarak ACK bayraklı paketleri ayıklama
# tcpdump -i bce1 -n ‘tcp*13+ & 16 != 0′
FIN Flood Analizi
Tcpdump kullanarak FIN bayraklı paketleri ayıklama
# tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80
tcp*13+ demek TCP başlığındaki 13.byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değere TCP ait RFC 'lerden bakılabilir.
HTTP GET Flood Saldırısı
TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken
parametreler.
#tcpdump -n -r ddos3.pcap tcp port 80 and \( tcp[20:2] = 18225 \)
# tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80
UDP Flood Saldırıları
– IP spoofing yapılabilir
– hping –udp bilgi güvenliği, bilişim güvenliği, ethical hacking, beyaz şapkalı hacker, network pentest, ddos, siber güvenlik konularında ahkam kesen bir blog | Complexity is the enemy of security -p 53 -a Microsoft Corporation: Software, Smartphones, Online, Games, Cloud Computing, IT Business Technology, Downloads
– Paket boyutu ~ 30 byte
– 20Mb hat ile saniyede 90.000 pps üretilebilir. 20*1024*1024/8/30
– UDP bağlantısının kapatılması için gerekli ortalama süre 60 saniye.
• Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi
• Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
UDP Flood Saldırılarından korunma
• Daha güçlü güvenlik duvarları
• Belirli ip adresinden gelecek istekleri sınırlama
•Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir(saldırı anında)
Sonuç, DoS ve DDoS saldırıları karşısında, TCP bayrakları ve diğer protokolerin parametrelerini kontrollü olarak değiştirmek ve gözlemek, savunmayı güçlendirecek en önemli tedbirdir.
RFC protokol gereklerini bilmek ve uzmanlık düzeyinde TCP/IP bilgisi gereklidir.
Paket analizi ve ağ trağini gözlemlemek saldırıyı anlamak, yorumlamak ve savunmayı geliştirmek için gereklidir. Açık kaynak kodlu geliştirilen birçok ücretsiz uygulama, bize bu konuda ihtiyacımız olan araçları sağlayabilir.
Bumerang etkisi diyebileceğimiz bu olay, ağlar arası ağın (internetin) ulaştığı her yere aslında, saldırının da ulaşmasını sağlıyor.
İnterneti durdurmak için yapılan saldırılar, aslında OSI modelindeki 7 katmanı hedef alıyor.
Günümüzde, bilgisayarların giremediği kamu ve özel sektör kurumu kalmamış gibi. Askeri tesisler, kamu kaynakları, ülkelerin en önemli yönetim merkezleri hep bilgisayarlar ile ağlar arası ağ “İnternet” ile bağlı.
Ağlar arası ağdan (internet) gelecek saldırılar karşısında, savunma yapabilmek için, ağda dolaşan verilerin içeriğiyle saldırıları sezmek ve önlemek mümkün. İnterneti taşıyan ve haberleşmeyi sağlayan Transfer Control Protocol (TCP) ve Internet Protokolü (IP), UDP, ICMP, HTTP , SMTP çok önemlidir.
İnternet ve web hizmetlerine erişimi durmak isteyen saldırganların TCP/IP, SYN, ACK, FIN, RST, vb. bayraklarıyla ve protokol parametreleriyle oynaması yeterlidir.
Saldırıları, taşırma, yük arttırma, kapasite dışına çıkarma ve yanıltarak askıda bırakma olarak özetleyebiliriz.
Bu olayı somutlamak için günlük yaşamda kullandığımız telefon kulubelerini ve santralleri örnek vermek yeterli olur.
Bir telefon kulubesinde bulunan rehber kitapçığı veya sarı sayfaları günümüz DNS hizmeti gibi düşünebiliriz. Telefon etmek için kulubedeki ahizeyi de, internet gezgini gibi düşünelim. Kulubede sıraya giren kişileri de, günümüz web siteine girmek isteyen bilgisayarlar olarak düşünelim.
Eğer telefon rehberin de aradığımız numarayı aynı anda binlerce kişi farklı kulubelerden ararsa o telefon numarasına kimse ulaşamaz ve şehirler arası telefon santrali kilitlenip hizmet veremez.
Telefon da ki kişiyle, başka birininin sesini taklit ederek konuşarak, aslında internette protokol bulandırma saldırısı yapmış gibi oluruz.
Görüşmeyi normalin dışında uzatarak, kulübe dışında sıra bekleyenlerin konuşmasını engellemiş oluruz. Bu da TCP parametreleriyle oynayarak protokolün askıda kalmasını sağlamak gibi olur. Eğer binlerce kişi aynı anda şehirde ki tüm telefonlardan bunu yaparsa sistem erişilemez olur.
İşte interneti durdurma ve erişilemez hale getirme saldırılarıda buna benzer mantık içerir.
Şehirdeki binlerce kişinin telefon kulubelerinden aynı an'da aramasını, DDoS için kullanılan, halen internet üzerinden satışı yapılan zombi ve botnetlere benzetebilirsiniz.
Telefon rehberinden veya sarı sayfalardan birini yırtması, karalaması ve yerine yeni numarayı yazmanısını da, internette ele geçirilen root DNS'ler olarak düşüne biliriz.
Son bir benzetmeden sonra konunun teknik yönü ve tehlikenin büyüklüğünü açıklamakta fayda var.
Doğada yaşanan sel sırasında tüm sedlerin taşması ve yıkılması, karşısında çaresiz kalma halinin bir benzeri de internette DDos saldırılarıyla yapılan TCP SYN, ACK, FIN ve HTTP GET seli nedeniyle, sunucuların işlemci yükü, bellek kapasitesi, aynı anda açılan oturum sayısı, web sitesi erişimi ve internet bant genişliğini vb. taşırma şeklinde görülür.
İnternet hizmetini durdurmak ve erişimi engelemek isteyenler için, DoS ve DDoS saldırıları kadar kolay ve yıkıcı etkisi olan başka bir saldırı türü yoktur.
Basit bir HTTP erişimiyle web sitesine erişmek için 10 tane TCP paketi gidip gelmektedir. (3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri).
Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir.
Bunu da hesaplarsak sayfanın açılması için, ortalama 50 X 10 = 500 TCP paketinin gidip gelmesi gerekir.
Köleleştirilmiş (zombi) bilgisayarlar ve aynı anda saldıran robot ağlar (botnet) sayesinde, açılan oturum sayısının, milyonları bulduğu sahte HTTP GET-POST isteklerinin işlendiği DDoS hezimeti daha iyi anlaşılır sanırım.
Tüm bunlar için gerekli zombi ve botnet hizmetini yine internetten, örneğin RBN, Pandex, Cutwail, Rustock, Donbot, Ozdok, Xarvester, Grum gibi web sitelerinden (Russian Business Network) satılmaktadır.
DDoS saldırılarının tarihine kısaca bakarsak, (alıntı=>Bâkır EMRE, Uzman Araştırmacı-TUBİTAK-UEKAE)
Bilinen ilk DDoS saldırısı (win32/prettypark), Minnesota Üniversitesi öğrencileri tarafından 1999 yılında gerçekleştirildi.
•2000 yılında, CNN, Yahoo, EBay, Datek gibi siteleri hedef alan ve Trinoo, TFN, StachleDraht, TFN2K gibi araçlar kullanılarak gerçekleştirildi.
• 2002 – Kök DNS sunucularını hedef alan DDoS atağı gerçekleştirildi.
• 2007 – Kök DNS sunucularını hedef alan 2. DDoS saldırıları
• 2007 – Estonya siber saldırıları
• 2008 – Gürcistan siber saldırıları
• 2010 – Wikileaks, Mavi Marmara, TİB, BTK, TÜBİTAK
• 2011 – PlayStation,SONY Nintendo şirketleri hedef alındı.
• 2011 – Anonymous saldırıları (Malezya, Türkiye, Paypal, Mastercard vb.)
Http pipelining işlemi kullanan sitelerde KeepAlive özelliği kullanılarak istekler birleştirilse de, saldırgan başka bir TCP bağrağı ve protokol parametresiyle DDOS saldırılarına devam edebilir.
DoS ve DDoS, genelde başlangıç düzeyindeki acemiler ile botnet ve zombileri kontrol eden çok iyi organize olmuş sanal saldırganlar, sosyal gruplar ve devletler tarafından düşük yoğunluklu gerçek savaş taktiği olarak siyasi ve ticari olarak tercih edilir.
Halen günümüzde DDoS saldırılarına karşı, savunma için %100 çözüm bulunamamıştır. Ancak çok iyi ağ analizi ve IP trafiğine ilişkin sonuçların veri madenciliği çalışmasıyla, TCP/IP ve diğer protokolere ait parametrelerin kontrollü olarak değişitrilmesiyle, saldırılara karşı savunma gücü kazanmak mümkündür.
Ağ trafinin TAP cihazlarıyla dinlenmesi, loglanması, paketlerin kaydedilmesi ve doğru analizi, savunma için kritik önemde değer taşımaktadır. Çoğu açık kaynak kodlu, Tcpstat, tcpdstat, tcptrace tcpdump, ourmon, argus, urlsnarf, snort, aguri, cut, grep, awk, wc yazılımlarıyla ve IPS için kullandığımız çözümlerle paket anormliklerini de iyi analiz edebiliriz.
Eğer DDos saldırısı uygulama seviyesi bir protocol kullanılarak gerçekleştirildiyse (HTTP GET Flood ) sadece paket başlık bilgilerini kaydetmek yeterli olmaz, tüm protocol bilgileri(+payload) kaydetmek gerekir.
Saldırı SYN flood, ACK flood, UDP flood gibi sadece paket başlık bilgilerini kullanarak gerçekleştirilmişse payload bilgisinin kaydedilmesi gerekmeyecektir. Saldırı yapılan sistemleri karşılayan güvenlik duvarı-firewall haricinde başka bir yerde paket toplamak, sistem verimliği ve hızı için çok önemlidir.
Örnek verirsek, fazla oturum açarak ağ erişimini engeleyen saldırılar için, internet erişimi için bant genişliğini arttırmak ve web sunucuları yük dengeleme sistemiyle çalışacak şekilde konumlandırmak önemlidir. Sunuculara, uygulamalara ve ağ erişim cihazlarına stres testi yapmak olası saldırıları karşılamak için sahip olduğunuz sistemin dayanma sınırlarını bilmenizi sağlayabilir.
• Web sunucusu yazılımında performans iyileştirmeleri yapılmalıdır.
• İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek yük dengeleyici sistemler (Loadbalancer) ve reverseProxy (Nginx) kullanılmalıdır.
• Firewall/IPS ile belirli bir kaynaktan gelebilecek en fazla istek ve paket sayısı sınırlandırılmalıdır.
• Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse (User-Agent, Refererer vb.) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir, ama bunun normal kullanıcıları da etkileyeceği bilinmelidir.
• Web sunucunun desteklediği dos koruma modülleri kullanılabilir. (Örnek, Apache Mod_dosevasive) Iyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir.
Ancak DOS koruma modülleri kullanırken dikkat edilmesi gereken önemli noktalar vardır. DOS saldırısın geldiği kullanıcılara HTTP 403 cevabı dönmek yerine, doğrudan saldırı yapanları IPtables(APF) ile bloklayarak, gereksiz yere sunucu kaynaklarını tüketmemiş oluruz.
TCP SYN, ACK, GET seli gibi saldırılarda, gelen paket içeriğini tcpdump ile kaydedip, tcpdstat ile PPS değeri analiziyle, ayıklanarak savunma için zaman kazanılabilir. Böylece saldırıyı yapan sahte ve gerçek IP adreslerinin, kaynağı, şiddeti ve coğrafi yeri gibi verileri belirlenebilir.
Alıntı, "Huzeyfe Önal, Kıdemlı DDoS Uzmanı, Bilgi Güvenliği Akademisi, BİLGİ GÜVENLİĞİ AKADEMİSİ "
SYN Flood Saldırısı Analizi
Tcpdump ile trafik içerisinde sadece SYN bayrağı taşıyan paketler ayıklanabilir.
Sadece SYN bayraklı paketleri yakalama
# tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’
22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags
[mss 1460,sackOK,eol], length 0
22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags
[mss 1460,sackOK,eol], length 0
ACK Flood Analizi
Tcpdump kullanarak ACK bayraklı paketleri ayıklama
# tcpdump -i bce1 -n ‘tcp*13+ & 16 != 0′
FIN Flood Analizi
Tcpdump kullanarak FIN bayraklı paketleri ayıklama
# tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80
tcp*13+ demek TCP başlığındaki 13.byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değere TCP ait RFC 'lerden bakılabilir.
HTTP GET Flood Saldırısı
TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken
parametreler.
#tcpdump -n -r ddos3.pcap tcp port 80 and \( tcp[20:2] = 18225 \)
# tcpdump -i bce1 -n ‘tcp*13+ & 1 != 0′ and tcp port 80
UDP Flood Saldırıları
– IP spoofing yapılabilir
– hping –udp bilgi güvenliği, bilişim güvenliği, ethical hacking, beyaz şapkalı hacker, network pentest, ddos, siber güvenlik konularında ahkam kesen bir blog | Complexity is the enemy of security -p 53 -a Microsoft Corporation: Software, Smartphones, Online, Games, Cloud Computing, IT Business Technology, Downloads
– Paket boyutu ~ 30 byte
– 20Mb hat ile saniyede 90.000 pps üretilebilir. 20*1024*1024/8/30
– UDP bağlantısının kapatılması için gerekli ortalama süre 60 saniye.
• Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye bekleme süresi
• Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde
UDP Flood Saldırılarından korunma
• Daha güçlü güvenlik duvarları
• Belirli ip adresinden gelecek istekleri sınırlama
•Timeout değerlerini düşürme 60 saniyeden 10 saniyeye düşürülebilir(saldırı anında)
Sonuç, DoS ve DDoS saldırıları karşısında, TCP bayrakları ve diğer protokolerin parametrelerini kontrollü olarak değiştirmek ve gözlemek, savunmayı güçlendirecek en önemli tedbirdir.
RFC protokol gereklerini bilmek ve uzmanlık düzeyinde TCP/IP bilgisi gereklidir.
Paket analizi ve ağ trağini gözlemlemek saldırıyı anlamak, yorumlamak ve savunmayı geliştirmek için gereklidir. Açık kaynak kodlu geliştirilen birçok ücretsiz uygulama, bize bu konuda ihtiyacımız olan araçları sağlayabilir.
