ddos engelleme | Complexity is the enemy of Security

İstanbul DDoS Saldırıları, Korunma Yolları ve BotNet Sorunu Etkinliği

Huzeyfe ONAL — Wed, 06 Apr 2011 17:22:07 +0000

T.C. SANAYİ VE TİCARET BAKANLIĞI sponsorluğunda 14 Nisan 2011 tarihinde İstanbul TOBB Plaza’da düzenlenecek olan “DDoS Saldırıları, Korunma Yolları ve BotNet Sorunu” etkinliğine konuya meraklı tüm bilişim sektörü çalışanları davetlidir.

Etkinlik hakkında bilgi almak ve kayıt olmak için http://www.bga.com.tr/istanbul-ddos-saldirilari-korunma-yollari-ve-botnet-sorunu-etkinligi/ adresini ziyaret edebilirsiniz.

The post İstanbul DDoS Saldırıları, Korunma Yolları ve BotNet Sorunu Etkinliği first appeared on Complexity is the enemy of Security.

Arbor DDoS Testleri

Huzeyfe ONAL — Wed, 28 Jul 2010 07:11:23 +0000

Çalıştığım şirket için yüksek kapasiteli (~10Gbps) DDoS engelleme sistemi arayışımız vardı. Yaklaşık 7-8 aydır piyasadaki ürünleri test ediyordum. Son olarak geçtiğimiz ay ArborNetworks’ün DDoS engelleme ürününü detaylı test etme fırsatı buldum. Bu yazı testleri nasıl gerçekleştirdiğimiz ve sonuçlarına yönelik kısa bir değerlendirmeyi içermektedir.

Üst not: Test sonuçları kötü çıkmış olsaydı muhtemelen bu yazıyı yayınlamayacaktım. Zira daha önce aynı ürünü Türkiye’de test etmiştim ve iki dakika içerisinde sistem dağılmıştı, sonradan anlaşıldı ki ürünü yapılandıran arkadaşlar sistemi iyi tanımıyormuş.

Aşağıda okuyacaklarınız ürünün ana geliştiricilerinin çalıştığı ofiste tüm mühendis ve geliştiricilerinin de müdahil olduğu bir ortamda gerçekleştirilmiştir.(Hatta geliştiricilerden birisi de Türkiye’den bir arkadaşmış, onu da öğrenmiş olduk)

Özet: Arbor’ın DDoS engelleme çözümü test ettiğim ürünler arasında “DDoS engelleme konusunda” en başarılısı çıktı. Ve benim de bu piyasadaki gönül rahatlığıyla önerebildiğim nadir ürünlerden birisi oldu.

Test amacı: 3-4 Gb DDoS ataklarına karşı sistemlere herhangi bir yük bindirmeden çalışabilecek ve ek bir müdahele gerektirmeden devreye girip, normal bağlantıları engellemeden çalışabilecek (false positive=~0), yönetimi kolay, raporlaması sağlıklı çalışan bir sistem arayışı.

Test ortamı:

Yukarıdaki basit çizim dış taraftan bakıldığında test ortamının basit görüntüsü. Asıl test ortamı çok daha karışık tasarlanmıştı.

Testler 3 adet Linux sistem kullanılarak gerçekleştirildi. Her bir Linux sistem Gigabit ethernet kartına sahip ve ortalama 800Mbps trafik üretebilecek şekilde yapılandırılmıştı.

Kullanılan araçlar: Hping, Netstress V.09, isic, juno ve çeşitli perl scriptleri

Gerçekleştirilen testler:Internet ortamında en sık rastlanan flood saldırılarının tamamaı denenmiştir. Test ortamı internete açık olmadığı için bazı saldırı testleri gerçek ortamda denenmek üzere ertelenmiştir.

Test sonuçları ve yorumlar: Tasarlanan test süredi 5 gün olmasına rağmen 3.5 gün gibi kısa bir sürede tüm testler başarıyla tamamlandı. Testlerin ilk iki günü sistemin yapılandırılması ve genel aksaklıklarla geçti, bu da ürünün yapılandırılmasının aslında ürün kabiliyetleri kadar önemli olduğunu göstermeye yetmişti. İki güne kadar yapılan testlerde en ilginç zaman dilimi 1Gb basılan trafiğin sisteme ulaştığında 5Gbps’e yükseldiğini görmekti. Basit bir yapılandırma hatası normal trafiğin bile DoS’a dönüşmesini sağlayabiliyor.

İki gün sonunda Arbor mühendisleri,geliştiricileri devreye girerek test ortamındaki hataları tamamen düzelttiler. Bu saatten sonra yaptığımız tüm testleri başarıyla tamamlayan Arbor “helal olsun koçum” sertifikasını almaya hak kazandı:). Özellikle UDP ve DNS flood saldırılarına karşı geliştirdikleri özgün çözümler mühendisliğin(klasik bilgisayar vs mühendisliği kastedilmemiştir) nerelerde işe yarayabileceğini gösterme açısında oldukça ilginçti.

Eksiler: Sistemin HTTP GEt flood vs saldırılarda daha önceden bir eşik değeri belirleme zorunluluğu ürünün zayıf taraflarından. Bu işlemi trafiği belirli dönem dinleyerek kendisinin otomatik yapması(ki çok zor bir işlem, false positive düşmeden yapabilmek) beklerdim. Saldırı esnasında sisteme ait performans değerlerini göstermemesi ciddi bir eksiklik. Bununla birlikte Netflow destekli kullanıyorsanız sadece trafik başlıklarına göre işlem yapabiliyorsunuz(bu tip ürünlerin genel dezavantajı). Inline modda kullanacak olursanız paket başlıklarının ötesinde içeriğe göre de DDoS engelleme yapabiliyor.

Artılar: Yüksek trafiklerde paket kaçırmadan saldırıları engellemesi, normal trafiğe dokunmaması. BGP off-ramp çalışabilme özelliğiyle ISP’de konumlandırılarak trafiğin size daha ulaşmadan kaynağına en yakın yerde kesilmesi. Portspan, Inline çalışabilmesi.

Sonuç: Arbor alternatif ürünlere oranla daha basit bir yapıya sahip ve gücünü de bu basitlikten alıyor. Belirli tip saldırıları engelleme için eşik değerleri girdirilmesi gibi manuel müdaheleler dışında diğer tüm özellikleri otomatik olarak devreye girip sağlıklı çalışıyor. Firmanın sadece bu işe dedike olması da oldukça önemli. Fakat üründen daha önemli olan şey ürünün yapılandırılması ve ürünü yönetecek kişilerin bilgi seviyesi. Türkiye’de de bazı firmaların Arbor çözümü sattıklarını duyuyorum, bu konuda müşteri olacaklara tavsiyem mutlaka ve mutlaka alacakları hizmeti önceden test ettirmeleri. Testleri de satıcı firmadan bağımsız birilerine yaptırmaları.

Lab ortamımız:

Sınırları zorlamaya başlarken…

Tek bilgisayardan ~900Mbps trafik basarken:

The post Arbor DDoS Testleri first appeared on Complexity is the enemy of Security.

DDoS Saldırılarında Spoof Edilmiş IP Adresleri ve İstatistiksel DDoS Analiz Aracı:Aguri

Huzeyfe ONAL — Tue, 06 Jul 2010 10:38:55 +0000

Geliştirmeye çalıştığımız DoS/DDoS engelleme sisteminin daha efektif çalışması için üzerine uğraştığımız konuların başında IP authentication geliyor(SYN authentication, HTTP authentication gibi ek protokoller de eklenebilir). “IP authentication”dan kastımız saldırı anında hangi ip adreslerinin gerçek hangilerinin sahte(spoof edilmiş) olduklarını belirlemek ve ona göre önlem almak.

Piyasada bulunan birçok IPS/DDoS engelleme sisteminde IP authentication kısmı sağlıklı çalışmıyor, basit bir iki numarayla bu sistemler devre dışı bırakılabiliyor(bkz: Güvenlik sistemlerini atlatma). Eğer saldırı anında hangi ip adresi gerçek hangisi değil kesin olarak belirlenebilirse saldırılara karşı koruma almak o ölçüde kolaylaşır.

Transport katmanında TCP kullanan uygulamalarda Ip authentication işini yapabiliyoruz fakat UDP kullanan uygulamalarda o kadar kolay olmuyor. Tam yaptık dediğimiz anda denediğimiz alternatif bir saldırı yöntemi hevesimizi kursağımızda bırakıyor. IP adreslerinin gerçek olup olmadığını netleştirdikten sonraki adım gelen saldırılarda tek tek ip adresi saymak yerine aynı ip bloğundan belirli sayının üstünde trafik gelirse ve sistem zor durumdaysa tek tek ip adresi engellemek yerine komple CIDR engellemek daha az maliyetli olur mantığından yola çıkarak piyasada bu işi yapan örnekleri inceledik.

Ticari olarak bu mantığı iyi oturtmuş ama ip authentication işlevini yerine getiremeyen bir iki örnek inceledim, Aguri de bu işi pasif olarak yapan ve saldırı anında trafiğin karekteristiğini çıkarmaya yardımcı olan bir araç. Tam istediğimizi yapmıyor ama örnek alma açısından iyi bir yazılım. Açık kod sistemlerle DDoS analizi yapmak isteyenler için de kullanışlı bir araç.

[root@S-Guard17 ~]# aguri -i em0 -4 -s 50 -xds -t 30
packet filter: using device em0
bpf buffer size is …

%!AGURI-1.0
%%StartTime: Mon May 03 20:39:10 2010 (2010/05/03 20:39:10)
%%EndTime: Mon May 03 20:40:00 2010 (2010/05/03 20:40:00)
%AvgRate: 13.46Mbps
%201748 packets received by filter
%0 packets dropped by kernel

[src address] 84145213 (100.00%)
0.0.0.0/0       786034 (0.93%/100.00%)
78.160.0.0/11     4537009 (5.39%/5.39%)
84.0.0.0/6   2559991 (3.04%/3.04%)
88.224.0.0/11     3331406 (3.96%/3.96%)
93.187.207.182 4535276 (5.39%)
94.0.0.0/7 2568689 (3.05%/3.05%)
128.0.0.0/1    3315678 (3.94%/78.23%)
212.98.228.73   3659092 (4.35%)
212.98.228.246 50994825 (60.60%)
212.98.243.10   7857213 (9.34%)
%LRU hits: 99.76% (141206/141539) reclaimed: 158

[dst address] 84145213 (100.00%)
0.0.0.0/0       1976582 (2.35%/100.00%)
78.160.0.0/12     3974013 (4.72%/11.97%)
78.160.0.0/14    3342516 (3.97%/3.97%)
78.172.0.0/15   2754252 (3.27%/3.27%)
78.176.0.0/13    3124193 (3.71%/3.71%)
78.184.0.0/13    2617611 (3.11%/3.11%)
80.0.0.0/5   2914573 (3.46%/11.17%)
85.96.0.0/13     3472237 (4.13%/4.13%)
85.104.0.0/14    3015422 (3.58%/3.58%)
88.224.0.0/11     4336258 (5.15%/13.17%)
88.228.0.0/14    3148430 (3.74%/3.74%)
88.248.0.0/13    3598513 (4.28%/4.28%)
92.0.0.0/6   4815378 (5.72%/9.85%)
94.0.0.0/9 3475789 (4.13%/4.13%)
188.0.0.0/8 2663329 (3.17%/3.17%)
208.0.0.0/4   2653405 (3.15%/41.50%)
212.98.228.73   8786871 (10.44%)
212.98.228.246 18481471 (21.96%)
212.98.243.10   4994370 (5.94%)
%LRU hits: 99.81% (141266/141539) reclaimed: 38

The post DDoS Saldırılarında Spoof Edilmiş IP Adresleri ve İstatistiksel DDoS Analiz Aracı:Aguri first appeared on Complexity is the enemy of Security.

7 saat 7 dakika süren DDoS saldırısının analizi

Huzeyfe ONAL — Thu, 17 Jun 2010 18:26:06 +0000

Bugün sabah 05 itirabiyle Netsec listesi, Bilgi Güvenliği Akademisi ve Lifeoverip.net sunucuları(+aynı ağda bulunan kapı komşumuz ÇözümPark) ulaşılamaz durumdaydı. Önceleri yine kendini agresif bir yolla ispat etmeye çalışan birileri sandım ve pek önemsemeden kahvaltıya devam ettim sonra aynı ağdaki diğer müşterilerden de şikayet gelmeye başlayınca biraz inceleyeyim dedim ve 7 saat 7 dakika süren o tatsız süreç başlamış oldu:)

İnceleme sonuçları:

Her bir site farklı makinede olunca ve hepsi birden ulaşılamaz olunca öncelikle fiziksel bir sorun vardır diye ISP ile iletişime geçildi. Sonra ISP’den DDoS saldırısı yapıldığı bilgisi gelince bu bilgiyi teyit edecek bazı denemeler yapıldı(hping ile bazı portlara SYN paketleri gönderip cevap gelmesini beklemek gibi) ve fiziksel bir erişim problemi olmadığı onaylandı.

Bir sonraki adımda sistemin bantgenişliği arttırmak için için ISP ile tekrar iletişime geçildi. Biz bantgenişliğini arttırdıkça saldırının şiddeti de artıyordu. Bant genişliği arttırımı esnasında ben sırasıyla tüm sunucularımıza bağlanarak saldırının bize gelip gelmediğini kontrol etttim. Saldırı bizim IP adreslerine yönelik değildi.

Sırasıyla diğer sistemler de kontrol edildi ama ortaya bilinen bir sistem çıkmadı…

Peki sorun neydi?

Ortalama trafiği 10Mb civarı olan sistemlerimize 70 Mb civarı atak gelince ve gelen 70Mb trafiğe(~200.000 PPS) benzeri miktarda yanıt dönmeye çalışılınca routerin bize bakan ayağındaki 100Mb sınırlaması aşılmış oldu ve biz tümden sistemlere ulaşamaz olduk. Bunun tek çaresi vardı, saldırı yapılan IP adresi hangisi ise o IP Adresini backbone’daki routerlardan karadeliğe yönlendirme.

Uzun uğraşlarımız sonrası hangi sisteme DDoS yapıldığını bulamadık(20-30 civarı IP adresinden bahsediyorum) ve son çare olarak Çözümpark’tan Hakan’la taksiye atlayıp ISP’e geldik. Kısa bir sürede saldırının hangi IP adresine yapıldığını bularak o IP adresini sanal dünyadan sildik ve DNS’de yeni IPler tanımladık.

Sıra geldi saldırı esnasında kaydettiğim trafik dosyasının incelenmesine. Trafik dosyasını incelediğimde hayal kırıklığına uğradım! Topu topu iki tane IP adresi UDP 80 portuna(sanırım saldırgan web sunucuya SYN flood yapmak istiyordu ama yanlışlıkla UDP 80’e göndermeye başladı trafiği) yüklü miktarda paket göndermeye çalışıyordu… Önce routerlardan ACL ile udp 80 e giden paketleri kapatalım dedim bunu yapamayacaklarını söylediklerinde ise ilgili ip adresini sanal dünyadan sildirdik ve sistemler tekrar ayağa kalktı…

Analiz aşaması

root@seclabs:~#tcpdump -n -r DDOS.pcap udp port 80|cut -f3 -d” “|cut -f1,2,3,4 -d”.”|sort -n|uniq -c>2

root@seclabs:~# more 2

….

2097867256364 91.121.135.187

307419089761 91.121.192.60

Hangi IP adreslerinden geldi?

Saldırı anında 1-2 dakikalık alınan paket kaydı sonucu

91.121.192.60

91.121.135.187

IP adreslerinin saldırıda kullanıldığını belirlendi. Iki IP adresinin de Fransa’daki OVH adlı ISP’e ait olduğu belirlenerek ilgili e-posta adreslerine saldırıyı anlatan ve şikayetçi olduğumuzu belirten uyarı maili gönderildi.

inetnum: 91.121.132.0 – 91.121.135.255

netname: OVH

descr: OVH SAS

descr: Dedicated Servers

descr: http://www.ovh.com

country: FR

Alınacak dersler

ISP seçiminde daha dikkatli olunacak:)
Tüm sistemler DDoS engelleme sisteminin arkasına alınacak yoksa aynı ağdaki bir makineye gelen trafik diğerlerinin de ulaşılmaz olmasına neden oluyor
ISP’deki bu darboğaz neden oluştu detaylı incelenerek tekrar oluşmasını engelleme
En kötü durum senaryosu için DNS’lerin yedeği yurtdışında tutulacak(bizim dnsler zaten bu şekilde ama çoğunluk müşteri tek bir yerde tutuyordu) ve TTL değerleri düşürülecek.
Saldırı basittir birazdan kesilir diye rahat davranılmayacak

Sonuç

7 saat 7 dakika süren bu sıkıntı sonrası şunu tekrar net olarak söyleyebilirim ki ne X, Y, Z ürünü ne de başka birşey, temel TCP/IP bilgisi ve bu bilgiyi pratiğe dökecek basit araçların bilinmesi herşeye bedeldir.

7 saat sonra artık saldırının kendi kendine kesilmeyeceğini düşünerek ISP’e gittiğimizde, Laptop’da Linux’u açıp incelemeye başlamamla birlikte 7 dakika içerisinde hangi sisteme saldırı yapıldığını bulundu ve sistem ayağa kaldırıldı.

Hala TCP/IP nedir ki, neden bu kadar önem veriyorsunuz diyenlere güzel bir cevap oldu:). TCP/IP herşeydir, iletişimin temelidir! Alfabeyi ne kadar iyi bilirseniz anlamanız, sorunları çözmeniz o kadar kolay olur.

The post 7 saat 7 dakika süren DDoS saldırısının analizi first appeared on Complexity is the enemy of Security.