Geliştirmeye çalıştığımız DoS/DDoS engelleme sisteminin daha efektif çalışması için üzerine uğraştığımız konuların başında IP authentication geliyor(SYN authentication, HTTP authentication gibi ek protokoller de eklenebilir). “IP authentication”dan kastımız saldırı anında hangi ip adreslerinin gerçek hangilerinin sahte(spoof edilmiş) olduklarını belirlemek ve ona göre önlem almak.

Piyasada bulunan birçok IPS/DDoS engelleme sisteminde IP authentication kısmı sağlıklı çalışmıyor, basit bir iki numarayla bu sistemler devre dışı bırakılabiliyor(bkz: Güvenlik sistemlerini atlatma). Eğer saldırı anında hangi ip adresi gerçek hangisi değil kesin olarak belirlenebilirse saldırılara karşı koruma almak o ölçüde kolaylaşır.

Transport katmanında TCP kullanan uygulamalarda Ip authentication işini yapabiliyoruz fakat UDP kullanan uygulamalarda o kadar kolay olmuyor. Tam yaptık dediğimiz anda denediğimiz alternatif bir saldırı yöntemi hevesimizi kursağımızda bırakıyor. IP adreslerinin gerçek olup olmadığını netleştirdikten sonraki adım gelen saldırılarda tek tek ip adresi saymak yerine aynı ip bloğundan belirli sayının üstünde trafik gelirse ve sistem zor durumdaysa tek tek ip adresi engellemek yerine komple CIDR engellemek daha az maliyetli olur mantığından yola çıkarak piyasada bu işi yapan örnekleri inceledik.

Ticari olarak bu mantığı iyi oturtmuş ama ip authentication işlevini yerine getiremeyen bir iki örnek inceledim, Aguri de bu işi pasif olarak yapan ve saldırı anında trafiğin karekteristiğini çıkarmaya yardımcı olan bir araç. Tam istediğimizi yapmıyor ama örnek alma açısından iyi bir yazılım. Açık kod sistemlerle DDoS analizi yapmak isteyenler için de kullanışlı bir araç.

[root@S-Guard17 ~]#  aguri -i em0 -4 -s 50 -xds -t 30
packet filter: using device em0
bpf buffer size is …

%!AGURI-1.0
%%StartTime: Mon May 03 20:39:10 2010 (2010/05/03 20:39:10)
%%EndTime:   Mon May 03 20:40:00 2010 (2010/05/03 20:40:00)
%AvgRate: 13.46Mbps
%201748 packets received by filter
%0 packets dropped by kernel

[src address] 84145213 (100.00%)
0.0.0.0/0       786034 (0.93%/100.00%)
78.160.0.0/11     4537009 (5.39%/5.39%)
84.0.0.0/6   2559991 (3.04%/3.04%)
88.224.0.0/11     3331406 (3.96%/3.96%)
93.187.207.182  4535276 (5.39%)
94.0.0.0/7  2568689 (3.05%/3.05%)
128.0.0.0/1    3315678 (3.94%/78.23%)
212.98.228.73   3659092 (4.35%)
212.98.228.246  50994825 (60.60%)
212.98.243.10   7857213 (9.34%)
%LRU hits: 99.76% (141206/141539)  reclaimed: 158

[dst address] 84145213 (100.00%)
0.0.0.0/0       1976582 (2.35%/100.00%)
78.160.0.0/12     3974013 (4.72%/11.97%)
78.160.0.0/14    3342516 (3.97%/3.97%)
78.172.0.0/15   2754252 (3.27%/3.27%)
78.176.0.0/13    3124193 (3.71%/3.71%)
78.184.0.0/13    2617611 (3.11%/3.11%)
80.0.0.0/5   2914573 (3.46%/11.17%)
85.96.0.0/13     3472237 (4.13%/4.13%)
85.104.0.0/14    3015422 (3.58%/3.58%)
88.224.0.0/11     4336258 (5.15%/13.17%)
88.228.0.0/14    3148430 (3.74%/3.74%)
88.248.0.0/13    3598513 (4.28%/4.28%)
92.0.0.0/6   4815378 (5.72%/9.85%)
94.0.0.0/9 3475789 (4.13%/4.13%)
188.0.0.0/8 2663329 (3.17%/3.17%)
208.0.0.0/4   2653405 (3.15%/41.50%)
212.98.228.73   8786871 (10.44%)
212.98.228.246  18481471 (21.96%)
212.98.243.10   4994370 (5.94%)
%LRU hits: 99.81% (141266/141539)  reclaimed: 38

The post DDoS Saldırılarında Spoof Edilmiş IP Adresleri ve İstatistiksel DDoS Analiz Aracı:Aguri first appeared on Complexity is the enemy of Security.