Siber Tehdit ve Savaş Aracı Olarak DDoS 2012 Ankara - Uygulama Katmanı DoS-DDoS Saldırıları

Transcript

1. TÜBİTAK Siber Tehdit ve Savaş Aracı Olarak DDoS Uygulama Katmanı

   DoS/DDoS Saldırıları - HTTP Bâkır EMRE Siber Güvenlik Enstitüsü 3 Ekim 2012 TÜBİTAK, Ankara TÜBİTAK

2. TÜBİTAK Günlük Gazetelere Manşet Saldırı •  Önceleri  sadece  güvenlik  ille

    alakalı  haberler   yayınlayan  sitelerde  yer  alırdı   •  Ar6k  günlük  gazeteler  de  bile  yer  alıyor  

3. TÜBİTAK Servis olarak DDoS sunmak! h"p://ddos.arbornetworks.com/2012/02/ddos-­‐tools/  

4. TÜBİTAK DDoS servislerine ulaşmak çok kolay

5. TÜBİTAK Güncel DDoS Örneği

6. TÜBİTAK Güncel DDoS Örneği

7. TÜBİTAK 3-4 Katman flood –  Aşırı oranda sahte paket gönderilerek

   altyapıdaki bütün cihazların (GD, STS ve sunucu) paket işlemesinin önüne geçilir hat doygunluğa ulaşır TCP/UDP/ICMP/IGMP seli gibi Internet Hedef Sunucu Switch Router GD STS UDP  port  443   Paket   işleyemez   CPU!!!   Paket   işleyemez   CPU!!!   Paket   işleyemez   CPU!!!  

8. TÜBİTAK 7. Katman DDoS saldırıları •  Uygulama katmanı –  Gerçek

   IP adresler kullanılarak, uygulama sunucusunun performans kısıtlarını hedef alır Ø  HTTP GET Ø  HTTP POST Ø  DNS query flood Ø  Düşük oranlı/sürekli paket ile DoS, Ø  Slowloris, HTTP POST DoS vs Internet Hedef Sunucu Switch Router GD STS HTTP:  GET  /   HTTP  istek/saniye   HTTP:  200  OK   HTTP:  503  Service  Unavailable  

9. TÜBİTAK Uygulama Katmanı DDoS tipleri

10. TÜBİTAK HTTP DDoS çeşitleri

11. TÜBİTAK Hacktivizm Araçları •  Low Orbit Ion Canon Türevleri – LOIC

    – HOIC – JSLOIC – GOIC

12. TÜBİTAK Bantgenişliği kullanmadan DDoS •  slowloris •  Slow HTTP Post

    •  Slow Read

13. TÜBİTAK Slow HTTP Post Content-Length=10,000 Content-Length=6,000 RAILgun IPS/WAF imzası oluşturulabilir.

14. TÜBİTAK HTTP DDoS Araçları Kullanılan araçlardaki varsayılan •  Content Length,

    •  Accept Charset, •  Accept Language gibi parametrelere göre IPS/WAF imzası oluşturmak

15. TÜBİTAK Uygulama Katmanı DDoS önleme Klasik Yaklaşım •  Sabit eşik

    değeri kullanma –  Belirlenen eşiğin altında saldırı gelirse (false-negative) –  Normalin üzerinde ağ trafiği geldiğinde bloklar! (false- positive) HTTP istek / saniye Saldırı var eşik Anlık değer Anlık değer Saldırı yok

16. TÜBİTAK Uygulama Katmanı DDoS Önlemede Yeni Yaklaşım •  Ağ karakteristiğine

    göre adaptif eşik değerleri! – Birden fazla parametre •  HTTP isteği / content-type dağılımı – HTTP challenge/response mekanizması •  HTTP, HTML, Javascript ve Flash player gibi gerçek tarayıcıda olması gereken yapılara göre cockie set edip göndermek ve client’e http mesaj kodlarından birine yönlendirmek •  Bu yapılara sahip olmayan sadece DDoS uygulamalarından gelen istekleri bloklamak

17. TÜBİTAK 7. Katman DDoS Saldırı! Anormal HTTP isteği oranı Oran

    Y X Z Saldırı seviyesi Saldırı Şüpheli alan Normal Anormal content-type dağılımı [%]

18. TÜBİTAK Sunucuya anlık yüklenme Saldırı Yok! Oran Y X Z

    Saldırı derecesi Saldırı Şüpheli Normal Anormal SYN paketi oranı Normal TCP bayrağı dağılımı [%]

19. TÜBİTAK Vekil sunucuları DDoS aracı olarak kullanma •  barrelroll Web

    sunucuya Proxy’lerden gelen isteklerde erişimi kapatmak

20. TÜBİTAK Tor ağını DDoS için kullanma •  pyloris

21. TÜBİTAK Tor Çıkış IP’leri

22. TÜBİTAK Açık Kaynak DDoS test Uygulamaları - I

23. TÜBİTAK Açık Kaynak DDoS test Uygulamaları - II

24. TÜBİTAK Açık Kaynak DDoS test Uygulaması!! phpshell’I DDoS önleme uygulaması

    diye göstermek!

25. TÜBİTAK phpshell’i DDoS engel

26. TÜBİTAK Sonuç •  Uygulama katmanındaki saldırılar daha karmaşık hale gelmektedir.

    – En az bantgenişliği harcayarak sunucu servis dışı kalabilmektedir. •  Darboğazı oluşturacak tasarımlardan kaçınmak gerekir! – Web sitedeki bütün verileri DB’de tutmak! •  Sitenin statiğinin hazırda durması. •  Başkası sisteminizi test etmeden… (klişe)

27. TÜBİTAK Teşekkürler…