"DDoS Saldırıları ve Korunma Yolları ile E-posta ve ATM Güvenliği" hakkında hazırladığımız eğitim sunumudur. Baskı 2013-2014

1. @BGASecurity
Dos/DDoS Saldırıları ve Korunma Yolları
E-posta ve ATM Güvenliği
2013-2014

2. @BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
BGA | Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS

3. @BGASecurity
Eğitim Hakkında BGA | Dos/DDoS
v Internet’in yaygın kullanımından itibaren önemini hiç yitirmemiş ve kesin çözümü bulunamayan
en sıkıntılı problemlerden biri DoS/DDoS saldırılarının teorik ve pratik yönden incelenmesi,
gereken önlemlerin alınması.
v E-posta ve ATM Güvenliği hakkında pratik bilgiler.

4. @BGASecurity
Eğitim Ders Planı BGA | Dos/DDoS
Ø I. Gün
Ø Temel Kavramlar, DoS/DDoS Saldırı Çeşitleri ve Araçları
Ø Türkiye Ve Dünyadan DDoS Saldırı Örnekleri
Ø TCP Flood DDoS Saldırıları
Ø Web Sunuculara Yönelik DDoS Saldırıları
Ø II.Gün
Ø DDoS Saldırı Analizi
Ø DDoS Engelleme Ürünleri
Ø DNS Güvenliği
Ø III.Gün
Ø DNS flood ddos saldırıları.
Ø Mail güvenliği ve ATM güvenliği

5. @BGASecurity
DDos Saldırıları ve
Korunma Yöntemleri

6. @BGASecurity
Amaç ve Hedefler BGA | Dos/DDoS
v DoS/DDoS hakkında yanlış/eksik bilinen konuların düzeltilmesi
v DDoS saldırıları hakkında güncel istatistiklerin ve tehlikelerin öğrenilmesi
v DDoS saldırısı karşısında analiz ve engelleme için reçete sunulabilmesi
v Açık kod yazılımlar kullanılarak DDoS testlerinin yapılması
v Açık kod yazılımlar kullanılarak DDoS saldırılarının engellenmesi için gerekli sistem altyapısının kurulması.

7. @BGASecurity
Türkiye 2010 Yılı Siber Tehdit Sıralaması
Siber Tehditler
BGA | Dos/DDoS

8. @BGASecurity
Eğitim İçeriği BGA | Dos/DDoS
v Temel TCP/IP güvenliği bilgisi
v Temel kavramlar, DoS/DDoS saldırıları ve çeşitleri
v Türkiye ve dünyadan DDoS saldırı istatistikleri
v Yerel ve kablosuz ağlarda “DoS”
v Syn Flood DDoS saldırıları
v Web sunuculara yönelik DDoS saldırıları
v UDP Flood saldırıları
v Dns kullanılarak yapılan DDoS saldırıları
v Uygulamaya özel DoS saldırıları
v DDoS saldırı analizi ve araçları
v DDoS engelleme ürünleri
v Alternatif DDoS engelleme yöntemleri
v OpenBSd Packet Filter DDoS koruma sistemi
v Güncel DDoS kaynakları

9. @BGASecurity
DDoS-BotNet Çalışma Grubu BGA | Dos/DDoS
• DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve bu konudaki gelişmeleri paylaşmak amacıyla
2010 yılında kurulmuştur.
Ø E-posta listesi ve çalışma grubu olarak faaliyet göstermektedir.
• E-posta listesi hakkında https://www.bgasecurity.com/bga-community/ddos-botnet-e-posta-listesi/
adresinden bilgi alabilirsiniz.
Ø Sadece kurumsal katılıma açıktır.

10. @BGASecurity
DDoS İçin Gerekli
Temel TCP/IP Bilgisi

11. @BGASecurity
Amaç BGA | Dos/DDoS
“Yerel ağlarda, kablosuz ağlarda ve internette DoS/DDoS
saldırılarının anlaşılabilmesi için gerekli temel bilginin aktarılması”

12. @BGASecurity
Neden TCP/IP Bilgisi BGA | Dos/DDoS
v Günümüzde içerisinde Ağ(network) kelimesi geçen her şeyin temeli TCP/IP’dir.
v TCP/IP detayları ne kadar iyi bilinirse network güvenliği ve network işlemleri o kadar kolay anlaşılabilir.
v TCP/IP bilgisi olmadan yönetilen network/güvenlik sistemleri her zaman bilinmeyen saldırılara açıktır.
v DDoS saldırıları ve engelleme yöntemleri tamamen TCP/IP bilgisine dayanır.
v TCP/IP bilmeden yönetilecek ağ güvenliği sistemleri alfabeyi iyi bilmeden yabancı dil konuşmak gibidir.
v Sadece kalıplaşmış işler yapılabilir.

13. @BGASecurity
MAC Adresi BGA | Dos/DDoS
• Layer 2 için iletişim adresleri
• Yerel ağlarda iletişim MAC adresleri üzerinden gerçekleşir
• 48 bitlik adreslerdir
• 1 byte=8bit
• İlk üç byte üretilen firmayı gösterir.
• Kolaylıkla değiştirilebilir
Firma Bilgisi
Sizin mac
adresiniz hangi
firmaya ait?

14. @BGASecurity
Address Resolution Protocol(ARP) BGA | Dos/DDoS
v Yerel ağlarda iki hostun birbiri ile anlaşabilmesi için kullanılan protokoldür.(RFC 826)
v İki host birbiri ile iletişime geçmeden önce birbirlerinin IP adreslerini bilmek zorundadır.
Ø IP adresini bilenlerin iletişime geçebilmesi için MAC adreslerini edinme zorunluluğu vardır.
v TCP/IP İletişiminde en önemli(?) protokoldür.
v Ipv6 ‘da ARP yerine benzeri işlevi yerine getiren Neighbor Discovery Protocol (NDP) geliyor.
v ARP iki işlemli bir süreçtir.
Ø ARP Request
Ø ARP Reply
v Gratious ARP Paketleri

15. @BGASecurity
ARP Çalışma Mantığı BGA | Dos/DDoS

16. @BGASecurity
ARP Request BGA | Dos/DDoS
ARP REPLY (Broadcast)

17. @BGASecurity
ARP Reply BGA | Dos/DDoS
ARP REPLY (Unicast)

18. @BGASecurity
ARP Cache BGA | Dos/DDoS
• ARP unutkan bir protokol olduğu için işletim sistemleri arp kayıtlarını bir müddet saklar(30 - 60
saniye vs)
• Arp kayıtları dinamik veya statik olabilir.
• Yanlış ARP kaydı girilmesi DoS’a sebep olabilir.

19. @BGASecurity
ARP DOS BGA | Dos/DDoS
• Kurban Olarak bir Host/Network Seçilir.
• Gateway IP Adresi Öğrenilir.
• Kurban sisteme bozuk ARP-REPLY paketleri gönderilir.
• Gateway 00:00:00:00:02:01 adresinde
• Kurban ile Gateway arasında tüm iletişim durur!
• Kurban aynı ağdaki arkadaşlarıyla konuşabilirken diğer ağlara, internete erişimi kesilmiş olur

20. @BGASecurity
Nemesis ile ARP Dos Denemesi BGA | Dos/DDoS
#nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.6 -H 00:01:02:03:04:05 -M 00:1B:38:C3:D3:A0
ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4beta3 (Build 22)
[MAC] 00:01:02:03:04:05 > 00:1B:38:C3:D3:A0
[Ethernet type] ARP (0x0806)
[Protocol addr:IP] 10.2.0.1 > 10.2.0.6
[Hardware addr:MAC] 00:01:02:03:04:05 > 00:1B:38:C3:D3:A0
[ARP opcode] Reply
[ARP hardware fmt] Ethernet (1)
[ARP proto format] IP (0x0800)
[ARP protocol len] 6
[ARP hardware len] 4
Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

21. @BGASecurity
MAC Flooding BGA | Dos/DDoS
• Amaç switch mantığını bozup sistemin bir hub gibi çalışmaya zorlamak.
• Switch Cam Table (Port-Mac Bilgilerini Tutar)
• Etherflood ve Macoff yazılımları kullanılabilir.

22. @BGASecurity
Macoff ile MAC Flooding BGA | Dos/DDoS

23. @BGASecurity
Internet Protocol BGA | Dos/DDoS
• Internetin Temel Yapıtaşı
• Güncel IP sürümü:v4
• Yakın gelecekteki IP sürümü:v6
• Ağlar arası yönlendirme işlemini yapar.
• Hata kontrol mekanizması yoktur.
• Gönderici ve Alıcı arasında bir kimlik doğrulama işlemi yoktur.
• DDoS açısından IP spoofing en ciddi problemdir.

24. @BGASecurity
TCP/IP Protokol Ailesi ve IP BGA | Dos/DDoS

25. @BGASecurity
IP Başlık Bilgisi BGA | Dos/DDoS

26. @BGASecurity
IP Adresi BGA | Dos/DDoS
• Layer 3 için adres bilgisi
• Routing kavramının temeli
• 32 bit
• Unicast IP adresleri
• Multicast IP adresleri
• Broadcast IP adresleri

27. @BGASecurity
IP Adresi-II BGA | Dos/DDoS
• Internet servis sağlayıcılar tarafından atanır.
• Kendi isteğinize göre bir IP adresi belirleyip internete çıkamazsınız!
• Internette IP adresleri tektir(uniq)
• NAT arkasındaki sistemler aynı ip adresine sahip olabilirler ama internete çıkarken tek bir ip
adresine sahip olmak gerekir.

28. @BGASecurity
IP Spoofing BGA | Dos/DDoS
• Ne anlama gelir?
• Hedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme.
• Genellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir.
• Günümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak çalışması
imkansızdır.
• Proxy üzerinden ip değiştirme ip spoofing değildir
• Ücretsiz proxy hizmetleri üzerinden paket gönderimi

29. @BGASecurity
IP Spoofing-II BGA | Dos/DDoS
• IP korumasız, onaysız bir protokoldür.
• İstenilen IP adresi ile hedef sistemlere paket gönderilebilir.
• IP spoofing
• Daha üst katmandaki uygulamalar IP spoofing engellemek için ek önlemler almak zorundadır.
• TCP için random ISN numaraları vs
• Hangi uygulamarda yapılabilir.
• OSI’e göre 7. katmandaki protokollerde IP spoofing teoride mümkündür
• Pratikte imkansıza yakındır.

30. @BGASecurity
Hping Spoof Örneği BGA | Dos/DDoS
• Hping:TCP/IP paket üreteci
• İstenilen türde paket üretmeye yarar.
• Stateless paketler üretebilir(SMTP bağlantısı kuramaz, sadece SYN paketi vs gönderebilir)
• Hping –a parametresi kullanılarak gönderilecek paketlerin istenilen bir IP adresinden çıkması
sağlanabilir.
# hping -S -p 80 -a www.microsoft.com www.linux.com
HPING www.linux.com (bge0 140.211.167.55): S set, 40 headers + 0 data bytes
^C
--- www.linux.com hping statistic ---
3 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

31. @BGASecurity
ICMP BGA | Dos/DDoS
• IP Katmanında temel görevi hata bildirmek olan bağımsız bir protokol.
• UDP/TCP gibi port numaraları yoktur.
• Port numaralarına benzeyen protokolün kendine özgü Code, Type alanları vardır.
• ICMP Paketinin amacını bu alanlar belirler.
• Ping, traceroute vs.

32. @BGASecurity
ICMP-II BGA | Dos/DDoS
• İletimden sorumlu protokol olan IP’nin hata bildirme yeteneği yoktur.
• IP Katmanında temel görevi hata bildirmek olan bağımsız bir protokol.
• UDP/TCP gibi port numaraları yoktur.
• Port numaralarına benzeyen protokolün kendine özgü Code, Type alanları vardır.
• ICMP Paketinin amacını bu alanlar belirler.
• Ping, traceroute vs.

33. @BGASecurity
ICMP Başlığı BGA | Dos/DDoS
ICMP paketi
ICMP Başlığı

34. @BGASecurity
ICMP Flood(Smurf) BGA | Dos/DDoS

35. @BGASecurity
ICMP Smurf Saldırısı
ÖRNEK
BGA | Dos/DDoS
• Hping kullanarak smurf saldırısı oluşturma
• hping3 --icmp -C 8 -K 0 -a 172.26.27.22 172.26.27.255 -d 1000
• 172.26.27.0 ağındaki tüm makineler 1000 bytelık icmp replay paketlerini kurban makineye
(172.26.27.22) göndereceklerdir.

36. @BGASecurity
Gerçek ICMP Flood BGA | Dos/DDoS

37. @BGASecurity
Smurf Saldırısı Analizi BGA | Dos/DDoS
• Smurf saldırısı günümüzde çalışmaz. Neden?
• Linux sistemler(diğer işletim sistemleri de) broadcaste gelen ICMP isteklerine cevap vermezler.
• ICMP smurf saldırısının gerçekleşmesi için broadcaste gelen icmp paketlerine cevap verilmesi gerekir
• Linux için ICMP broadcaste cevap verme
• # sysctl net.ipv4.icmp_echo_ignore_broadcasts=0
net.ipv4.icmp_echo_ignore_broadcasts = 0

38. @BGASecurity
UDP(User Datagram Protocol) BGA | Dos/DDoS
• Gönder ve UNUT!
• Connectionless
• Sıra numarası kavramı yok
• Handshake yok
• Onay mekanizması yok
• Akış kontrolü yok.
• Hata kurtarma mekanizması yok!
• Zaman aşımı ve gelen cevaplara göre çalışır.
• Broadcast çalışabilir.
• IP spoofing için ek bir önlem yoktur

39. @BGASecurity
TCP/IP Protokol Ailesinde UDP BGA | Dos/DDoS

40. @BGASecurity
Neden UDP BGA | Dos/DDoS
• Bu kadar işlevsiz ise neden kullanılır?
• Hızlıdır.
• İletişimin başlaması için handshake gerekmez
• Onay paketleri yoktur.
• Kaynak tüketimi daha azdır.
• Sıra numarası/Onay takibi yok.
• Gerekli tüm mekanizmalar protokolü kullanan uygulama tarafından kontrol edilmeli.

41. @BGASecurity
UDP Başlığı BGA | Dos/DDoS
• Basit bir protokoldür.
• 8 Byte başlık bilgisine sahiptir
• Kaynak Port: (CB84)16 or 52100
• Hedef Port: (000D)16 or 13.
• UDP Paket boyutu: 28 byte(001C)16
• Payload=28-8(başlık kısmı=20 Byte
Hexedecimal UDP Başlığı

42. @BGASecurity
UDP Başlığı-II BGA | Dos/DDoS
• Source Port:
• Destination Port
• Checksum: Hedefe ulaşan UDP paketinin sağlıklı ulaşıp ulaşmadığının kontrolü
• Basit hash mantığı
• UDP paket boyutu: Tüm baket boyut bilgisi(başlık+payload)

43. @BGASecurity
UDP Oturumu BGA | Dos/DDoS
• UDP stateless olduğuna göre Firewall, IPS nasıl state(oturum) tutar?
• Zamana bağlı , ve port numaralarına bağlı
• TCP’de sıra numarası-onay numarası vardır UDP’de bu tip özellikler yoktur. Bu sebeple UDP
oturumu tam bir oturum olarak görülmez.

44. @BGASecurity
UDP Paketi Oluşturma BGA | Dos/DDoS
• #hping –udp
• #nemesis udp help

45. @BGASecurity
TCP(Transmission Control Protocol) BGA | Dos/DDoS
• Transport katmanı, taşıyıcısı IP
• “Güvenilir” bir protokol.
• Arkadaşı UDP’ye göre oldukça yavaş.
• Çoğunluk protokol TCP kullanır.
• Smtp, ftp, ssh, telnet, http, pop
• IP spoofing için ek önlem alınmıştır.
• Günümüzde DDoS saldırılarında en sık tercih edilen protokol

46. @BGASecurity
TCP/IP’de TCP’nin Konumu BGA | Dos/DDoS

47. @BGASecurity
TCP Başlık Bilgisi BGA | Dos/DDoS
TCP Paketi
TCP Başlığı

48. @BGASecurity
TCP/UDP Farkını Anlama BGA | Dos/DDoS
• Netcat kullanarak
• TCP üzerinden 8 byte veri transferi
• UDP üzerinden 8 byte veri transferi
• Nc –l 99
• Nc –l –u 99

49. @BGASecurity
Initil Sequence Number (ISN) BGA | Dos/DDoS
• 32-bit’dir.
• 3’lü el sıkışmada ilk SYN paketinde ve ikinci SYN paketinde kullanılır.
• Bu değerin tahmin edilebilir olması TCP hijacking saldırılarına yol açabilir.
• Günümüz işletim sistemlerinde bu değer tahmin edilemeyecek* şekilde üretilir.
• *Tahmin edilmesi güçleştirilmiş random değerler.
• TCP’de IP spoofing yapılamamasının sebebi

50. @BGASecurity
TCP Bağlantılarda Bayraklar BGA | Dos/DDoS
• TCP bağlantıları bayraklarla (flags) yürütülür.
• Bayraklar TCP bağlantılarında durum belirleme konumuna sahiptir.
• Bağlantının başlaması, veri transferi, onay mekanizması ve bağlantının sonlandırılması
işlemleri tamamen bayraklar aracılığı ile gerçekleşir.
• (SYN, ACK, FIN, PUSH, RST, URG bayrak çeşitleridir)

51. @BGASecurity
TCP Bayrakları BGA | Dos/DDoS
SYN ACK PUSH RST FIN URG
6 + (2) çeşittir.

52. @BGASecurity
Wireshark’da TCP Bayrakları BGA | Dos/DDoS

53. @BGASecurity
İletişim Başlangıcı BGA | Dos/DDoS
• Tüm iletişim Bayraklar aracılığı ile kontrol edilir.
• Bağlantı Bağlatma=3 lü el sıkışma (3 way handshaking)
SYN
SYN+ACK
ACK

54. @BGASecurity
Data Aktarımı
KONTROL
BGA | Dos/DDoS
TCP paket no 100 ve içerisinde 20 byte var
Tamamdır 120’yi aldım, 121’den başla
Bu TCP paketi 121 ve içerisinde 50 byte var
• Aktarılan her veri parçası için onay gerekir.
• Onay ACK bayrakları ile gerçekleşir.
• Data aktarımı PUSH bayrakları ile.

55. @BGASecurity
Bağlantı Sonlandırma
NORMAL
BGA | Dos/DDoS
• Bağlantı sonlandırma için her iki taraf da FIN ve ACK paketleri göndermelidir.
• Bir taraf bu paketlerden birini eksik gönderirse bağlantı askıda kalabilir
• Close_wait, fin_wait durumları
FIN
ACK
ACK
FIN

56. @BGASecurity
Bağlantı Sonlandırma
ANİ
BGA | Dos/DDoS
RST
RST bayraklı paket gönderilerek bağlantı aniden kapatılabilir.

57. @BGASecurity
TCP Bağlantı Durumları BGA | Dos/DDoS
• TCP oturumlarının her anı bayraklar tarafından kontrol edilir.
• Kullanılan bayrakların durumuna göre oturumun aşamaları farklı adlarla isimlendirilir.
• TCP bağlantıları Linux/UNIX ve Windows sistemlerde netstat komutuyla incelenebilir.
• TCP’ye ait bazı oturum durumları
• CLOSE_WAIT, CLOSED, ESTABLISHED, FIN_WAIT_1, FIN_WAIT_2, LAST_ACK, LISTEN,
SYN_RECEIVED, SYN_SEND ve TIME_WAIT

58. @BGASecurity
TCP State Diyagram BGA | Dos/DDoS

59. @BGASecurity
Netstat ile Bağlantı Durumları İzleme BGA | Dos/DDoS

60. @BGASecurity
Oturum Başlatma BGA | Dos/DDoS
• Hizmet veren bir TCP portu açıksa kendisine gelen SYN paketine karşılık olarak ACK+SYN paketi
döner.
• Dönen paketlerden ACK(onay paketi), SYN ise hizmet veren tarafın istek başlatma paketidir.
• Port kapalıysa RST döner, SYNflood saldırısının başarılı olabilmesi için portun açık ve dinlemede
(LISTEN mod)olması gerekir.

61. @BGASecurity
Oturum Başlatma-II BGA | Dos/DDoS

62. @BGASecurity
SYN Paketi Boyutu BGA | Dos/DDoS
• Ortalama bir TCP başlığı 60 byte, buna dönen SYN + ACK cevabı da 60 byte civarı olacaktır.
• Yapılandırılışına göre SYN paketini alan sistem son ACK paketini alana kadar 5-6 kere SYN+ACK
paketini tekrar gönderir.
• Bu da ortalama 3 dakika sürer.

63. @BGASecurity
TCB BGA | Dos/DDoS
• LISTEN durumunda olan bir TCP portuna SYN paketi geldiğinde SYN_RECEIVED durumuna geçer ve
son ACK paketi gelene kadar verileri bir veri yapısında tutar.
• Bu veri yapısı TCB (Transmission Control Block) olarak adlandırılır.
• İşletim sistemlerine göre TCB değeri değişkenlik gösterse de ortalama olarak sistemden 280-1300
byte arası bellek kullanır (Üçlü el sıkışma tamamlanana kadar bir SYN paketininin sistemden
kullandığı bellek miktarı)
• İşletim sistemleri gelecek fazla isteklerden kaynaklanacak bellek yetmezliğini önleme amaçlı
TCB’lerin tutacağı max bellek miktarını sınırlandırırlar.

64. @BGASecurity
Oturum Başlangıcı Socket Durumları BGA | Dos/DDoS

65. @BGASecurity
TCP Oturum Sonlandırma BGA | Dos/DDoS
• Oturum sonlandırma her iki tarafında anlaşması sonucu tamamlanır.
• Taraflardan birinin ilgili bayraklı paketi göndermemesi, geç göndermesi bağlantının sağlıklı olarak
sonlanmasına engel olur.

66. @BGASecurity
TCP Oturum Sonlandırma-II BGA | Dos/DDoS

67. @BGASecurity
Bağlantı Sonlandırma Socket Durumları BGA | Dos/DDoS

68. @BGASecurity
DHCP BGA | Dos/DDoS
• Dynamic Host Configuration Protocol(RFC 2131)
• DHCP ağdaki istemcilerin ağ ayarlarını otomatik almalarını sağlayan protokoldür.
• Otomatik Ağ Ayarları;
• IP Adresi
• Alt Ağ maskesi
• DNS sunucu
• Varsayılan Ağ geçidi
• Proxy adresi...
• UDP Tabanlı “broadcast” çalışan Protokol
• Hangi Portlardan Çalışır?

69. @BGASecurity
DHCP Nasıl Çalışır BGA | Dos/DDoS

70. @BGASecurity
DHCP Portları BGA | Dos/DDoS

71. @BGASecurity
DHCP Kullanılarak DoS Saldırısı Gerçekleştirme BGA | Dos/DDoS
• DHCP Discover mesajları gönderilerek DHCP sunucudan anlık ip adresi talebi yapılabilir.
• Saldırgan rastgele ürettiği binlerce MAC adresinden DHCP Discover mesajları göndererek ortamdaki
DHCP sunucudan DHCP offer bekler.
• DHCP offer sonrası DHCP sunucu DHCP Request gelene kadar ilgili ip adreslerini havuzdan çıkarır.
• Bu süre zarfında ortama bağlanan istemciler yeni ip adresi (ağ ayarlarını ) alamaz
• Literatürde “DHCP Kaynak Tüketimi” saldırısı olarak geçer

72. @BGASecurity
DHCP Kaynak Tüketim Saldırısı BGA | Dos/DDoS

73. @BGASecurity
Yersinia ile DHCP Starvation Saldırısı BGA | Dos/DDoS
Yersinia, çeşitli L2 saldırılar gerçekleştirmek üzere tasarlanmış bir uygulamadır.

74. @BGASecurity
DNS BGA | Dos/DDoS
• Internet dünyasında isim-ip çözümlemesi için kullanılır(A ve PTR Kayıtları)
• E-postaların ulaşım adreslerini belirler(MX kayıtları)
• Internet’de en çok ihtiyaç duyulan protokol
• Ipv6 ile vazgeçilmez olacak
• Son yıllarda DDoS saldırılarının en büyük hedeflerinden

75. @BGASecurity
DNS Hiyerarşisi BGA | Dos/DDoS
Root(.)
org
net edu com uk tr
metuitukocaeliistanbulmardin
ciscs
huzeyfe

76. @BGASecurity
DNS Nasıl Çalışır BGA | Dos/DDoS
www.lifeoverip.net IPAdresi Nedir?
www.lifeoverip.net IP 91.93.119.80
DNS Sunucu
UDP Port 53
DNS Sunucu

77. @BGASecurity
DNS Nasıl Çalışır?
DETAY
BGA | Dos/DDoS

78. @BGASecurity
DNS ve TCP İlişkisi BGA | Dos/DDoS
DNS UDP tabanlı bir protokoldür. 512 Byte üzerindeki cevaplar için TCP kullanılır

79. @BGASecurity
DNS Sorgu Çeşitleri BGA | Dos/DDoS
Sorgu
Çeşitleri
IterativeRecursive

80. @BGASecurity
Recursive Query BGA | Dos/DDoS
• İstemcinin DNS sunucuya gönderdiği sorgu tipidir
• İstemci DNS sunucuya erişmek istediği sisteme ait
sorguyu gönderir ve net bir cevap bekler(olumlu ya da
olumsuz)
• DNS sunucu istemcinin sorgusunu alarak internette
farklı DNS sunuculara sorabilir veya doğrudan kendi
üzerindeki bilgilerden cevap verebilir

81. @BGASecurity
Iterative Query BGA | Dos/DDoS
DNS sunucuların kendi aralarında gerçekleştirdiği sorgu tipi İstemcinin istediği alan adının cevabını
bulana kadar DNS sunucu uğraşır. Cevabı bulduktan sonra istemciye cevap döner ve bulduğu cevabı
sonraki sorgular için ön belleğinde saklar.

82. @BGASecurity
DNS Cache BGA | Dos/DDoS
• DNS cevapları sorgulayan taraflar tarafından belirli süreliğine hatırlanmak üzere kaydedilir.
• TTL( değeri alan adının sahibi tarafından belirlenir.
• TTL değerinin düşük olması
• Daha sık DNS sorgusu gerektirir.
• DNS sunucuyu yorar.
• TTL değerinin yüksek olması
• Daha az DNS sorgusu gerektirir, dns sunucuyu fazla yormaz.
• IP adresine ulaşılamayan durumlarda veya ip değişikliği durumlarında sisteme erişim sağlanmaz.
• Olumsuz cevaplar da kaydedilir.
• Olmayan domainlere yapılacak sorgulamalarda zaman kaybı olmasın diye
• DDoS saldırılarında oldukça faydalı olabilir.
• Nasıl?

83. @BGASecurity
DNS TTL Süresi
ÖRNEK
BGA | Dos/DDoS
Genellikle bu değer 3 gün civarı olarak belirlenir.

84. @BGASecurity
Ethernet Kartlarında Filtreleme BGA | Dos/DDoS
• Gelen donanım adresine göre ethernet kartları çeşitli filtreler uygular.
• Paket
• Makinenin kendi donanım adresine(MAC) geliyor olabilir
• Broadcast’e gönderiliş olabilir
• Multicast bir adrese gönderilmiş olabilir.
• Promiscious mod

85. @BGASecurity
PROMISCIOUS BGA | Dos/DDoS
To xx:xx:xx:xx:xx:xx
Pass
NIC 00:11:22:33:44:55
Promiscious -> Gelen paketin ne olduğuna bakmadan kabul edildiği durum.

86. @BGASecurity
Sniffing’e Açık Protokoller BGA | Dos/DDoS
• Sniffing’e açık:İçerisinde taşıdığı veri okunabilir,
şifrelenmemiş trafik
• Hemen hemen tüm protokoller
• Telnet, Rlogin
• HTTP/FTP
• SMTP/POP/IMAP
• Güvensiz Protokollerin güvenli kullanımı
• SSL Wrapper
• RDP’ye özel durum
Internette en sık kullanılan 10 port

87. @BGASecurity
Sniffer Yerleşimi BGA | Dos/DDoS
• Ağ ortamının özelliğine göre Snifferların yerleşimi değişmektedir.
• TAP kullanılan ortamlarda
• HUB’lı ortamlarda
• Switch kullanılan ağlarda(Port mirroring)

88. @BGASecurity
TAP BGA | Dos/DDoS
• TAP = Traffic Access Point
• Paket çoğullayıcı
• Donanımsal
• Sniffer/IDS Kullanımında yaygın

89. @BGASecurity
TAP Kullanımı BGA | Dos/DDoS
• En sık sniffer yerleşiminde tercih edilir.
• IDS(Saldırı Tespit Sistemi) için zorunluluk
• Trafik analizi, izleme amaçlı
• Compliance, DLD(Data Leakage Detection)
• SPAN işleminin sınırlı sayıda olması
• Network yöneticileri SPAN alır, güvenlikciler analiz yapacak yer bulamaz.
• Inline ya da pasif olabilir.

90. @BGASecurity
Trafik Analizinde TAP Kullanımı BGA | Dos/DDoS
Inline TAP Sistemi
Pasif TAP Sistemi

91. @BGASecurity
Trafik Analizinde SPAN Port Kullanımı BGA | Dos/DDoS
• Switched Port Analyzer (SPAN)
• Port mirroring(aynalama), port monitoring olarak da adlandırılır.
• Switch yapısının Hubdan farklı olmasından dolayı düşünülmüş bir teknoloji
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml

92. @BGASecurity
Sniffer Araçları BGA | Dos/DDoS
tcpdump windump
Wireshark Snort
Tshark

93. @BGASecurity
Sniffer Olarak Tcpdump BGA | Dos/DDoS
• UNIX Tabanlı popüler sniffer yazılımı
• Windows icin windump
• Libpcap tarafından alınan ham veriler tcpdump tarafından işlenerek okunabilir hale gelir.
• Tamamen ücretsiz bir yazılım.
• Sorun giderme , trafik analizi, hacking amaclı kullanılabilir.

94. @BGASecurity
Arabirim Seçimi BGA | Dos/DDoS

95. @BGASecurity
İsim Çözümleme BGA | Dos/DDoS

96. @BGASecurity
Yakalanan Paketleri Kaydetme BGA | Dos/DDoS
• Tcpdump'ın yakaladığı paketleri sonradan incelemek üzere dosyaya yazılabilir.
• Dosya formatı libpcap uyumludur.
• -w parametresi kullanılır.
• -c ile kaç adet paket yakalanacağı
• -C ile kaydedilen dosyaların ne büyüklükte olacağı belirlenebilir.

97. @BGASecurity
Eğitim Hakkında BGA | Dos/DDoS
-w ile kaydettğimiz paketleri okumak içinde -r parametresini kullanılır.

98. @BGASecurity
Paket Detaylarını Loglama BGA | Dos/DDoS
-v parametresi ile tcpump'dan biraz daha detaylı loglama yapmasını isteyebiliriz. Mesela bu
parametre ile tcpdump çıktılarını TTL ve ID değerleri ile birlikte edinebiliriz.

99. @BGASecurity
SYN Bayraklı TCP Paketlerini Yakalama BGA | Dos/DDoS
#tcpdump -n –i eth0 'tcp[13] == 2'

100. @BGASecurity
Sniffer Olarak Wireshark BGA | Dos/DDoS
• Eski adı Ethereal
• Açık kaynak kodlu Sniffer aracı
• Grafik arabirimli/ komut satırı
• Bilinen çoğu işletim sistemlerinde çalışır
• Bilinen tüm protokolleri destekler
• Yakalanan paketleri kaydedebilme
• Kaydedilmiş paketleri diskten okuma
• Protokol renklendirme

101. @BGASecurity
Wireshark Ekranı BGA | Dos/DDoS

102. @BGASecurity
Paket Yakalama Seçenekleri BGA | Dos/DDoS

103. @BGASecurity
Filtreler BGA | Dos/DDoS
Capture Filter
• Yakalanacak paketlere uygulanır.
• Tcpdump formatı ile aynıdır.
• Tcp port 22 and host vpn.lifeoverip.net
or icmp
• gibi
Display Filter
• Yakalanan paketler üzerinde analiz
yapılırken kullanılır.
• Farklı bir formata sahiptir.
• (Tcp.port eq 22) and (ip.addr eq
blabla...)
• Arabirimden filtre yazılabilir

104. @BGASecurity
Capture Filter BGA | Dos/DDoS
• Tcp port 21
• Tcp port 21 and tcp port 1982
• Tcp port 22 and host vpn.lifeoverip.net or icmp

105. @BGASecurity
Display Filter BGA | Dos/DDoS

106. @BGASecurity
Wireshark ile Sadece SYN Bayraklı Paketler BGA | Dos/DDoS

107. @BGASecurity
Trafik Çıktılarını Anonimleştirme BGA | Dos/DDoS
• Trafik dosyaları hangi özel bilgileri içerebilir?
• -IP adresleri
• -MAC adresleri ve buradan da kullanılan donanımların türleri (Intel, Vmware, Cisco, Juniper vs)
• -Paketin veri kısmında kaydedilmiş diğer veriler
• Özel bilgi içerek tüm bileşenler rastgele verilerle değiştirilerek trafik kayıtlarının anonimleştirilmesi
sağlanabilir.
• Trafik anonimleştirme için çeşitli araçlar vardır
• Bunlardan en esnek ve kolay kullanıma sahip olanı tcprewrite

108. @BGASecurity
Tcpwrite ile Trafik Anonimleştirme BGA | Dos/DDoS
root@seclabs:~# tcpdump -n -r kayit1.pcap
02:45:05.597166 IP 192.168.56.101.22 > 192.168.56.1.3199: P 368772774:368772906(132) ack 2254292994 win 8576
02:45:05.597704 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 132 win 64675
02:45:07.204945 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:07.807829 IP 192.168.56.1.3199 > 192.168.56.101.22: P 1:53(52) ack 132 win 64675
02:45:07.814418 IP 192.168.56.101.22 > 192.168.56.1.3199: P 132:184(52) ack 53 win 8576
02:45:07.954580 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:08.058572 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 184 win 64623
02:45:08.704682 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
Tcprewrite kullanarak hedef ve kaynak IP adreslerinin rastgele değişmesini sağlayalım.
root@seclabs:~# tcpdump -n -r kayit_random.pcap
02:45:05.597166 IP 214.92.41.183.22 > 214.92.41.191.3199: P 368772774:368772906(132) ack 2254292994 win 8576
02:45:05.597704 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 132 win 64675
02:45:07.204945 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:07.807829 IP 214.92.41.191.3199 > 214.92.41.183.22: P 1:53(52) ack 132 win 64675
02:45:07.814418 IP 214.92.41.183.22 > 214.92.41.191.3199: P 132:184(52) ack 53 win 8576
02:45:07.954580 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:08.058572 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 184 win 64623

109. @BGASecurity
Paket Boyutları BGA | Dos/DDoS
• DDoS saldırılarında paket boyutları çok önemlidir.
• Saldırganın ne kadar paket gönderebileceği, kurbanın ne kadar trafik kaldırabileceği paket boyutlarıyla
doğrudan orantılıdır.
• Genel geçer kural: paket boyutu küçüldükçe güvenlik sistemlerinin performansı düşer!
• Ortalama
• Bir TCP paketi 60 Byte
• Bir UDP paketi 40 Byte
• Bir HTTP paketi 400 Byte

110. @BGASecurity
100-1000 Mb ile Neler Yapılabilir BGA | Dos/DDoS
• Saldırı Tipine göre
• SYNFlood olursa
• [100 Mb 200.000 pps]
• [1Gb 2.000.000 pps]
• UDP flood olursa
• [100Mb 400.000pps]
• [1Gb 4.000.000 pps]
• GET Flood olursa
• [100Mb 32.000 pps]
• [1Gb 320.000 pps]
• 100Mb=100x1024Kb=100x1024x1024b=104857600bit
• 104857600bit/8=13107200byte/60=218.000 pps

111. @BGASecurity
Temel Kavramlar
Dos/DDoS Saldırı Çeşitleri ve Araçları

112. @BGASecurity
Bilgi Güvenliği Bileşenleri BGA | Dos/DDoS
(C.I.A)
Confidentiality
Integrity Avability

113. @BGASecurity
En Önemli Bileşen
AVAILABILITY
BGA | Dos/DDoS
Availability
Erişilebilirlik olmadan güvenlikten söz edilemez! En güvenli sistem fişi çekilmiş sistemdir!
Confidentiality
Integrity Avability

114. @BGASecurity
Bilinmesi Gerekenler BGA | Dos/DDoS
• Gelen DDoS saldırısı sizin sahip olduğunuz bantgenişliğinden fazlaysa yapılabilecek çok şey yok!
• DDoS saldırılarının büyük çoğunluğu bantgenişliği taşırma şeklinde gerçekleşmez!
• Bazı saldırı tiplerinde karşı tarafın gönderim hızı düşürülebilir
Gürcistan DDOS saldırısı 200-800
Mbps arası

115. @BGASecurity
Bant Genişliği Taşırma Oranı BGA | Dos/DDoS

116. @BGASecurity
Genel Kavramlar BGA | Dos/DDoS
DOS/DDOS
• DoS(Denial of Service)
• DDoS(Distributed Denial of Service)
• Zombi
• BotNet(Robot Networks)
• IP Spoofing
• FastFlux networks
• SYN, FIN, ACK, PUSH ...
• Flood
• RBN(Russian Business Network)

117. @BGASecurity
DoS BGA | Dos/DDoS
• DoS(Denial of Service) = sistemleri çalışamaz hale getirmek için yapılan saldırı tipi
• Sadece internet üzerinden gerçekleştirilmez
• Yerel ağlarda DoS
• Kablosuz ağlarda DoS
• Genellikle bir ya da birkaç farklı kaynaktan gerçekleştirilir
• Bazı saldırılar özünde DoS, sonuçlarına göre DDoS’tur
• Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN flood saldırıları gibi
• DoS saldırılarını engellemek DDoS saldırılarına göre daha kolaydır

118. @BGASecurity
DDoS BGA | Dos/DDoS
• DDoS(Distrubuted Denial of Service ) =Dağıtık Servis Engelleme
• Sonuçları DoS saldırı tipine göre daha etkilidir
• Binlerce, yüz binlerce köle(zombi) sistem kullanılarak gerçekleştirilir
• Genellikle sahte IP adresleri kullanılır
• BotNet’ler kullanılır
• Saldırgan kendini gizler

119. @BGASecurity
DrDoS BGA | Dos/DDoS
Bant genişliği yüksek olan sistemler reflektor olarak kullanılarak DDoS saldırısı gerçekleştirilebilir. Bu
saldırı tipine en iyi örnek Amplified DNS DoS saldırısıdır.

120. @BGASecurity
Malware BGA | Dos/DDoS
• Kötücül yazılım
• Bilişim sistemlerine yüklenerek sistemi kötü amaçlı kullanımını sağlayan yazılım türü
• Malware bulaşan sistem zombi haline dönüşerek sahibinin isteklerini yerine getirmek için çalışır
• Spam gönderimi, ddos saldırısı,
• reklam tıklamaları vs gibi amaçlarla
• kullanılırlar.

121. @BGASecurity
Exploit BGA | Dos/DDoS
• Bir zaafiyeti kötüye kullanarak sisteme izinsiz erişim yetkisi veren program/scriptlerdir
• Sistemlerdeki zaafiyetler exploit edilerek zararlı yazılımlar yüklenebilir
• Sistemlerdeki zaafiyetler exploit edilerek DoS yapılabilir

122. @BGASecurity
Zombi/(ro)BOT BGA | Dos/DDoS
• Zombi: Emir kulu
• Çeşitli açıklıklardan faydalanılarak sistemlerine sızılmış ve arka kapı yerleştirilmiş sistemler
• Temel sebebi: Windows yamalarının eksikliği
• roBOT = Uzaktan yönlendirilebilir sistemler
• Zombi
• Dünyada milyonlarca vardır.
• Internet üzerinde bazı illegal sitelerde BotNet satış işlemleri gerçekleştirilmektedir.

123. @BGASecurity
BotNet Satın Alma BGA | Dos/DDoS

124. @BGASecurity
Türkiye BotNet Piyasası BGA | Dos/DDoS
Asıl piyasaya internet
üzerinden ulaşmak pek
mümkün değil.
Türkiye dünya BotNet
piyasasında önemli yere
sahiptir.

125. @BGASecurity
Zombi Olmamak İçin Antivirüs Yeterlimidir? BGA | Dos/DDoS
• Internette satışa sunulan Exploit kitleri (Botnet oluşturma
araçları) için kullanılan sistemler antivirüs programları
tarafından tanınmaz.
• Antivirüs sistemleri güncel olmalı ama tek başlarına
yeterli değildir.

126. @BGASecurity
FUD(Fully Undetectable) BGA | Dos/DDoS
Geliştirilen kötücül yazılımların antivirüs
programları tarafından yakalanmaması
anlamına gelir.

127. @BGASecurity
(ro)BOTNET(works) BGA | Dos/DDoS
• Zombi ve roBOTlardan oluşan yıkım orduları!
• Uzaktan yönetilebilirler.
• Çeşitli amaçlarla kullanılırlar.
• Genellikle yaması geçilmemiş Windows sistemler ve güncel antivirüs
kullanmayan son kullanıcı bilgisayarlarından oluşur.
• Merkezi olarak yönetilirler.

128. @BGASecurity
BotNet Kullanım Amaçları BGA | Dos/DDoS
• Yeraltı siber ekonomisinin en güçlü kazanç kapısı
• SPAM amaçlı kullanılır
• Google reklamlarından para kazanma amaçlı
• Google Adword’de öne çıkma veya bir firmayı geri düşürme amaçlı kullanılabilir
• Anket manipülasyonu
• DDoS yapmak için kullanılabilir
• Bilgi çalma amaçlı kullanılabilir
• Yeni malware yayma amaçlı

129. @BGASecurity
BoNet’ler Üzerinden Toplanan Kredi Kartları BGA | Dos/DDoS

130. @BGASecurity
BotNet Yönetim Sistemleri BGA | Dos/DDoS
• 2007 yılına kadar BotNet sistemlerin yönetimi büyük çoğunlukla IRC üzerinden gerçekleştirilirdi.
• 2007 itibariyle IRC yerine HTTP, HTTPS, P2P üzerinden yönetilen BotNet’lere sık rastlanılmaktadır.
• IRC üzerinden yönetilen BotNet
kolaylıkla farkedilip devre dışı bırakılabilir.
Kurumsal şirketlerde IRC portuna erişim güvenlik sistemleri tarafından engellenmiştir.

131. @BGASecurity
IRC Üzerinden BotNet Yönetimi BGA | Dos/DDoS

132. @BGASecurity
Twitter’dan Yönetilen BotNet Örneği BGA | Dos/DDoS

133. @BGASecurity
BotNet Yönetim Ekranı
GUI
BGA | Dos/DDoS

134. @BGASecurity
Nasıl Farkedilir? BGA | Dos/DDoS
• Bir sistemin BotNet’e üye olduğu(zombi) nasıl anlaşılır?
• Anormal trafik davranışları
• SPAM
• DDoS
• Belirli DNS adreslerine gönderilen istekler
• Zeus Tracker
• Suç amaçlı kullanılan botnet yönetim IP adreslerine yapılan bağlantılar
• Russian Business Network

135. @BGASecurity
Eğitim Hakkında BGA | Dos/DDoS
• Sistemlere sızma girişimi değildir!
• Bilgisayar sistemlerini ve bunlara ulaşım yollarını işlevsiz kılmak
• Web sitelerinin, E-postaların, telefon sistemlerinin çalışmaması
• Para kazancı

136. @BGASecurity
DDoS Saldırılarına Kaynak Sebepler BGA | Dos/DDoS
• Sistemde güvenlik açığı bulunamazsa zarar verme
amaçlı yapılabilir.
• “Ya benimsin ya … “ misali
• Politik sebeplerden,
• Ticari sebeplerle,
• Can sıkıntısı & karizma amaçlı
• Bahis amaçlı (forumlarda)

137. @BGASecurity
Kim/Kimler Gerçekleştirir? BGA | Dos/DDoS
• Hacker grupları
• Devletler
• Sıradan kullanıcılar
• Ticari şirketler
• Canı sıkılan bilgisayar kurtları

138. @BGASecurity
DDoS Sonuçları BGA | Dos/DDoS
Finansal kayıplar
Prestij kaybı
Zaman kaybı

139. @BGASecurity
DoS/DDoS Çeşitleri BGA | Dos/DDoS
DOS/DDOS
Yazılım BUG
Bind Cisco
Protokol Tasarım
Hata
TCP Syn flood

140. @BGASecurity
DDoS Çeşitleri BGA | Dos/DDoS
DDOS
Bandwidth Doldurma Kaynak Tüketimi

141. @BGASecurity
DoS/DDoS Çeşitleri BGA | Dos/DDoS
• Bandwidth şişirme
• Udp flood, icmp flood (diğer tüm tipler)
• Kaynak tüketimi(Firewall, server)
• Synflood, ACK/FIN flood, GET/POST Flood, udp flood
• Programsal hata
• Bind DoS
• Protokol istismarı
• DNS amplification DoS
• Sahte IP kullanarak/ Gerçek IP kullanarak

142. @BGASecurity
DoS/DDoS Çeşitleri-II BGA | Dos/DDoS
• Her protokole özel DoS/DDoS saldırı yöntemi vardır
• ARP, Wireless
• IP
• İp flooding
• ICMP
• İcmp flooding, smurf
• TCP
• Syn flood, tcp null flood
• UDP
• Udp flood
• DHCP/SMTP/HTTP/HTTPS/DNS

143. @BGASecurity
DDoS Atak Tipleri
EN SIK TERCİH EDİLEN
BGA | Dos/DDoS

144. @BGASecurity
DDoS-1
BANDWITH ŞİŞİRME
BGA | Dos/DDoS
• Önlemenin yolu yoktur.
• Sürahi bardak ilişkisi
• ISP seviyesinde engellenebilir...
• L7 protokolleri kullanılarak yapılan DDOS’larda saldırı trafiği çeşitli yöntemlerle ~6’da birine
düşürülebilir.
• HTTP GET flood 400 Byte
• IP Engelleme sonrası sadece syn 60 byte

145. @BGASecurity
DDoS-II
AĞ/GÜVENLİK CİHAZLARINI YORMA
BGA | Dos/DDoS
• Amaç ağ-güvenlik sistemlerinin kapasitesini zorlama ve kaldıramayacakları kadar yük bindirme
• Oturum(Session) bilgisi tutan ağ/güvenlik
• Cihazlarının kapasitesi sınırlıdır

146. @BGASecurity
DDoS Atakları
UYGULAMA SEVİYESİ
BGA | Dos/DDoS
• Son yıllarda tırmanışta
• Engellemesi diğer DDoS tiplerine oranla daha zor/kolay
• IP spoofing yapılamaz
• Engelleme için avantaj.
• Normal bağlantılardan
• ayırt etmek zorlaşıyor

147. @BGASecurity
Uygulamaya Özel DoS BGA | Dos/DDoS
• Uygulamaya özel DoS saldırıları
• Programlama hatalarından kaynaklanır
• Güncelleme yaparak korunulabilir

148. @BGASecurity
Eski Yöntemler BGA | Dos/DDoS
• DDoS saldırıları en çok 2000’li yıllarda medyanın dikkatini çekmiştir
• Amazon
• Ebay
• Yahoo
• Root Dns saldırıları
• Günümüzdeki DDoS kaynaklarının çoğu eski tip DDoS ataklarını ve araçlarını anlatır.
• Günümüzde eski tip yöntem, araç kullanan DDoS saldırılarına rastlamak çok zordur.

149. @BGASecurity
Eski Yöntem DDoS Saldırıları BGA | Dos/DDoS
• Smurf
• Teardrop
• Ping Of Death
• Land Attack

150. @BGASecurity
Smurf Atağı BGA | Dos/DDoS
Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)
ICMP ve UDP Paketleri Broadcast olarak gönderilebilir

151. @BGASecurity
Smurf Atağı Artık Çalışmaz
NEDEN?
BGA | Dos/DDoS
root@seclabs:~# sysctl net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
Tüm router ve işletim sistemleri default olarak broadcaste gelen ICMP paketlerine cevap vermez!

152. @BGASecurity
Tear Drop BGA | Dos/DDoS
• Saldırgan parçalanmış paket gönderir ve paketlerin offset değerleriyle oynar
• Paketi alan hedef sistem birleştirme işlemini düzgün yapamadığı için reboot eder
• Günümüzde işlemez bir yöntemdir!
• Tüm işletim sistemleri gerekli yamaları çıkarmıştır

153. @BGASecurity
Land Attack BGA | Dos/DDoS
• Hedef sisteme kaynak IP ve hedef IP adresi aynı olan paketler(hedef sistemin IP adresi kayna,
hedef sistemin IP adresi hedef) gönderilerek sistemin çakılması sağlanır.
• Günümüzde çalışmaz!
• Tüm işletim sistemleri gerekli yamaları geçmiştir.

154. @BGASecurity
DDoS Amaçlı Kullanılan Eski Araçlar BGA | Dos/DDoS

155. @BGASecurity
Günümüzde Tercih Edilen Yöntemler BGA | Dos/DDoS
• Eski araçlarla gerçekleştirilecek DDoS saldırıları günümüzde çalışmaz!
• Yeni Yöntemler
• HTTP Get / Flood , DNS DoS, Dns Flood
• Amplification DOS saldırıları
• BGP Protokolü kullanarak DoS

156. @BGASecurity
Yeni Araçlar BGA | Dos/DDoS
• Hping
• Juno (eskiden de kullanılırdı)
• Netstress
• Daha çok BotNet yazılımları kullanılır
• Zeus Botnet
• Yes Exploit System
• Russ Kill

157. @BGASecurity
BotNet Örneği
ZEUS
BGA | Dos/DDoS

158. @BGASecurity
Türkiye ve Dünyadan
DDoS Saldırı Örnekleri

159. @BGASecurity
‘99’ – 10 Arası DDoS İstatistiği BGA | Dos/DDoS

160. @BGASecurity
DDoS Yakalama Yöntemleri BGA | Dos/DDoS

161. @BGASecurity
DDoS Engellem Yöntem Tercihi BGA | Dos/DDoS

162. @BGASecurity
BotNet Kullanım Alanları BGA | Dos/DDoS

163. @BGASecurity
En Sık Tercih Edilen DDoS Atak Tipleri BGA | Dos/DDoS

164. @BGASecurity
DDoS Trafik Seviyeleri BGA | Dos/DDoS

165. @BGASecurity
Ülkelere Göre BotNet Oranları BGA | Dos/DDoS
Türkiye’den DDOS Örnekleri

166. @BGASecurity
Türkiye’den DDoS Örnekleri
BAŞBAKANLIK&TÜBİTAK&BTK
BGA | Dos/DDoS

167. @BGASecurity
Türkiye’den DDoS Örnekleri
IHH
BGA | Dos/DDoS
• 2010 Mavi Marmara gemisi olayından sonra
• İsrail IP adreslerinden ciddi miktarda DDoS saldırısı
• Türkiye’den misilleme

168. @BGASecurity
İsrail, Türkiye IP Bloklarını Engelledi BGA | Dos/DDoS
Türkiye’den yapılan bağlantı-
başarısız
•Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri ulaşılamaz duruma geldi.
•Kısa sürede Türkiye’den gelen istekleri engelleyerek geçici çözüm bulundu
•Aynı yöntem Estonya tarafından da kullanılmıştı.

169. @BGASecurity
Lifeoverip.net & Çözümpark BGA | Dos/DDoS
• 7 saat 7 dakika
• UDP port 80
• UDP portu kapalıydı
• Geriye dönen ICMP port unreachable mesajları trafiği
iki kat arttırdı.
• Saldırı hedefi Loip& Çözümpark olmadığı halde aynı
çıkış noktasını paylaştığı için erişilemez oldu

170. @BGASecurity
Başbakanlık BGA | Dos/DDoS
Mavi Marmara olayları sırasında...

171. @BGASecurity
Youtube Protestosu BGA | Dos/DDoS
• TİB
• BTK
• Ulaştırma Bakanlığı sitelerine yönelik saldırılar
• Tübitak...

172. @BGASecurity
Devlet Sitelerine Yönelik Toplu DDoS BGA | Dos/DDoS

173. @BGASecurity
Dünyadan DoS/DDoS Örnekleri BGA | Dos/DDoS

174. @BGASecurity
Dünyadan DDoS Örnekleri BGA | Dos/DDoS

175. @BGASecurity
Dünyadan DDoS Örnekleri BGA | Dos/DDoS

176. @BGASecurity
Estonya BGA | Dos/DDoS
İki hafta sürdü ve hükumet siteleri ile ticari siteler saldırı aldı.

177. @BGASecurity
Estonya DDoS Scripti BGA | Dos/DDoS

178. @BGASecurity
Estonya Ddos Atağı Çeşitleri
ATLAS ‘07
BGA | Dos/DDoS
• Saldırı çeşitleri
• 115 ICMP flood, 4 TCP SYN floods
• Bandwidth:
• 12 farklı saldırı: 70-95 Mbps 10 saat
• Tüm saldırılar Estonya IP blokları haricinden geliyordu
• Estonya ne yaptı:
• Estonian ISPleri Estonya IP adresleri hariç diğer tüm ip adreslerini
engellediler(saldırı bitene kadar)

179. @BGASecurity
Wikileaks DDoS Saldırıları BGA | Dos/DDoS
• Wikileaks olayının patlak vermesinden sonra çift taraflı DDoS saldırıları başladı
• Bir taraf Wikileaks.org sistemlerine yönelik saldırı başlattı
• Diğer taraf Wikileaks’e kapılarını kapatan firmalara(Paypal, Visa...) yönelik saldırı başlattı
• Gönüllü BotNet kurulumu konusunda ilk defa bu kadar yüksek seviyeye ulaşıldı!
• Gönüllü olarak botnete katılanların IP adresleri kayıt altına alındı.

180. @BGASecurity
DDoS Saldırıları BGA | Dos/DDoS

181. @BGASecurity
Wordpress DDoS
2011
BGA | Dos/DDoS

182. @BGASecurity
Root DNS Sunucularına Yönelik DDoS BGA | Dos/DDoS
• Feb. 6, 2007:
• 13 Ana DNS sunucuya Botnet kullanarak DDoS yapıldı
• 2.5 saat sürdü
• DNS sunuculardan bazıları performans sıkıntısı yaşadığı için internet yavaşladı
• g-root (DoD), l-root (ICANN)
• 2002’de yapılan benzeri saldırı da 13 DNS sunucudan 9 tanesi devre dışı kalmıştı

183. @BGASecurity
Google DoS BGA | Dos/DDoS
• Firefox phishing/malware kouma özelliği:
§Browserlar kara listeyi Google’dan alırlar
• http://safebrowsing.clients.google.com/safebrowsing/gethash
§Bu liste zararlı url’lere ait hash değerlerini tutar
§Firefox bir URL’i açmadan bu listeyi sorgular
• 31 Ocak 2009 : Google listeye yanlışlıkla “/” ekledi
§55 dakika tüm siteler karalistede gözüktüğü için sorun yaşandı
§Sebep: insan hatası

184. @BGASecurity
Türkiye’de DDoS Engelleme BGA | Dos/DDoS

185. @BGASecurity
TCP Flood DDoS Saldırıları BGA | Dos/DDoS

186. @BGASecurity
TCP Flood BGA | Dos/DDoS
• TCP Flood: Hedef sisteme çeşitli TCP bayrakları set edilmiş paketler göndermek
• TCP Bayrakları
• FIN, ACK, PUSH, SYN, RST, URG …
• Amaç hedef sistemin kapasitesini zorlama
• Bant genişliği kapasitesi
• Paket işleme kapasitesi
• Sahte ip adreslerinden gerçekleştirilebilir

187. @BGASecurity
TCP Flood Çeşitleri BGA | Dos/DDoS
TCP Flood
SYN Flood ACK Flood FIN Flood

188. @BGASecurity
TCP Flood Saldırıları
ETKİ SEVİYESİNE GÖRE
BGA | Dos/DDoS
• Günümüz işletim sistemleri ve ağ tabanlı güvenlik sistemleri (Firewall/IPS/…) statefull yapıdadır
• Stateful yapı: Bağlantı için gelen ilk paket SYN olmalı, gelen ilk paket SYN ise oturum kurulumunu
başlat ve bu oturuma ait diğer paketlere de izin ver.
• Bir sisteme gönderilecek FIN, ACK, PUSH bayraklı paketler(SYN harici) hedef sistem tarafından
kabul edilmeyecektir.

189. @BGASecurity
TCP Bayrakları ve Oturum
UYGULAMA
BGA | Dos/DDoS
• Hedef sisteme hping3 aracı kullanılarak SYN bayraklı paket gönderimi
• Hedef sistemde netstat –ant komutuyla socket durumları incelenerek etkisi görülmeli
• Hedef sisteme hping3 aracı kullanılarak FIN bayraklı paket gönderimi
• Hedef sistemde netstat –ant komutuyla socket durumları incelenerek etkisi görülmeli
• Hedef sisteme hping3 aracı kullanılarak ACK bayraklı paket gönderimi
• Hedef sistemde netstat –ant komutuyla socket durumları incelenerek etkisi görülmeli

190. @BGASecurity
Hping ile TCP Paketleri Oluşturma
UYGULAMA
BGA | Dos/DDoS
• SYN bayraklı TCP paketi oluşturma
• Hping –S –p 80 192.168.1.1
• 192.168.1.1 ip adresinin 80 portuna SYN bayraklı TCP paketi gönderimi
• FIN bayraklı TCP paketi oluşturma
• Hping –F –p 80 192.168.1.1
• 192.168.1.1 ip adresinin 80 portuna FINbayraklı TCP paketi gönderimi
• ACK bayraklı TCP paketi oluşturma
• Hping –A –p 80 192.168.1.1
• 192.168.1.1 ip adresinin 80 portuna ACK bayraklı TCP paketi gönderimi

191. @BGASecurity
FIN Flood Saldırıları BGA | Dos/DDoS
• Hedef sisteme sahte ip adreslerinden FIN paketleri gönderme
• Hedef sistem önünde Firewall/IPS gibi statefull çalışan bir sistem varsa FIN paketlerine karşı cevap
dönmeyecektir
• Veya RST paketi dönecektir (açık port, kapalı port seçimine göre)

192. @BGASecurity
ACK Flood Saldırıları BGA | Dos/DDoS
• Hedef sisteme sahte ip adreslerinden ACK paketleri gönderme
• Hedef sistem önünde Firewall/IPS gibi statefull çalışan bir sistem varsa ACK paketlerine karşı
cevap dönmeyecektir
• Veya RST paketi dönecektir (açık port, kapalı port seçimine göre)

193. @BGASecurity
Syn Flood DDoS Saldırıları BGA | Dos/DDoS
• TCP flood saldırılarında en etkili saldırı tipidir
• Hedef sistemin kaynaklarını tüketmek amaçlı gerçekleştirilir
• Internet dünyasında en sık gerçekleştirilen DDoS saldırı tipi
• Gerekli önlemler alınmamışsa 2Mb hat ile 100Mb hatta sahip olan sistemler devre dışı bırakılabilir.
• Saldırı yapması kadar korunması da kolaydır.
• Genellikle sahte IP adresleri kullanılarak gerçekleştirilir.

194. @BGASecurity
Syn Flood Sorunu Kaynağı BGA | Dos/DDoS
• Problem:
• SYN paketini alan sistemin SYN-ACK paketi gönderdikten sonra paketi gönderenin gerçek olup
olmadığını onaylamadan sistemden kaynak ayırması.
• Çözüm:
• Paketi gönderen IP adresinin gerçek olduğu belirlenmeden sistemden kaynak ayırılmamalı!

195. @BGASecurity
SYN BGA | Dos/DDoS
• TCP’e ait bir özelliktir.
• 8 TCP bayrağından biri
• TCP oturumlarını başlatmak için kullanılan TCP bayrağı
• Sadece oturumun başlangıç aşamasında görülür
• SYN paketleri veri taşıyamaz
• İstisna durumlar anormallik olarak adlandırılır
• Hping –p 8 0-S localhost –d 100 –E data komutuyla SYN bayraklı TCP paketine veri taşıttırılabilir.

196. @BGASecurity
TCP SYN Paketi BGA | Dos/DDoS
Ortalama 60 byte
Gönderilen her SYN paketi için hedef sistem ACK-SYN paketi üretecektir.

197. @BGASecurity
TCP Handshake BGA | Dos/DDoS
SYNS, ACKC
ACKS
Listening
Store data
Wait
Connected
3’lü el sıkışma olarak da adlandırılır
SYNC

198. @BGASecurity
TCP Handshake-II BGA | Dos/DDoS
• Handshake esnasında sunucu tarafında hangi bilgiler tutulur?
• TCP Control Block (TCB) tarafından aşağıdaki bilgileri tutulabilir
• > 280 byte
• FlowID, timer info, Sequence number, flow control status, out-of-band data, MSS, ..
• Half-open TCB verileri zaman aşımına kadar tutulur
• Kaynak yeterli değilse yeni bağlantı kabul edilmeyecektir

199. @BGASecurity
TCP Bağlantısında SYN Paketleri BGA | Dos/DDoS
1)Kaynak Ayır
2)Cevap gelene dekBekle
Oturum Kuruldu

200. @BGASecurity
SYN Flood Saldırısında SYN Paketleri BGA | Dos/DDoS
120 saniye bekler
• Bir SYN paketi ortalama 65 Byte
• 8Mb hat sahibi bir kullanıcı saniyede 16.000 SYN paketi üretebilir.
• Hat kapasitesinde upload hızı önemlidir

201. @BGASecurity
SynFlood BGA | Dos/DDoS
• Hedef sisteme kapasitesinin üzerinde SYN paketi göndererek yeni paket alamamasını sağlamaktır
• En sık yapılan DDoS saldırı tipidir
• İlk olarak 1994 yılında “Firewalls and Internet Security “ kitabında teorik olarak bahsi geçmiştir
• İlk Synflood DDoS saldırısı 1996 yılında gerçekleştirilmiştir
• 2011 yılında henüz bu saldırıya %100 engel olacak standart bir çözüm geliştirilememiştir.

202. @BGASecurity
Nasıl Gerçekleştirilir? BGA | Dos/DDoS
• Syn Flood saldırısı basitce açık bir porta hedef sistemin kapasitesinden fazla gönderilecek SYN
paketleriyle gerçekleştirilir.
• Buradaki “kapasite” tanımı önemlidir.
• Teknik olarak bu kapasiteye Backlog Queue denilmektedir.
• İşletim sistemlerinde Backlog queue değeri değiştirilebilir
• Arttırılabilir, azaltılabilir
• Saldırıyı yapan kendini gizlemek için gerçek IP adresi kullanmaz

203. @BGASecurity
Backlog Queue Kavramı(Kapasite) BGA | Dos/DDoS
• İşletim sistemleri aldığı her SYN paketine karşılık üçlü el sıkışmanın tamamlanacağı ana kadar
bellekten bir alan kullanırlar
• Bu alan TCB olarak adlandırılır
• Bu alanların toplamı backlog queue olarak adlandırılır.
• Başka bir ifadeyle işletim sisteminin half-open olarak ne kadar bağlantı tutabileceğini backlog
queue veri yapısı belirler.
• Linux sistemlerde backlog queue değeri sysctl komutuyla değiştirilebilir
• Sysctl –a|grep backlog

204. @BGASecurity
Syn Flood Durumu BGA | Dos/DDoS

205. @BGASecurity
Syn Flood Ne Kadar Kolaydır? BGA | Dos/DDoS
• Tahmin edildiğinden daha çok!
• Örnek:
• Backlog queue değeri 1000 olan sisteme 1000 adet SYN paketi göndererek servis veremez
duruma getirilebilir.
• 1000 adet SYN paketi=1000*60byte=60.000 byte=468Kpbs
• Bu değer günümüzde çoğu ADSL kullanıcısının sahip olduğu hat kapasitesine yakındır.

206. @BGASecurity
SynFlood Backscatter Tehlikesi BGA | Dos/DDoS
• SYN Flood saldırılarında sahte IP kullanılırsa saldırı yapılan sistemden geriye doğru binlerce
SYN+ACK paketi dönecektir.
• Bu da ayrı bir saldırı olarak algılanabilir

207. @BGASecurity
Syn Flood Araçları BGA | Dos/DDoS
• Netstress
• Juno
• Hping
• Windows tabanlı araçlar
• BotNet yönetim sistemleri

208. @BGASecurity
SynFlood Örneği BGA | Dos/DDoS
• Amaç:Hedef sisteme tamamlanmamış binlerce TCP SYN paketi gönderip servis verememesinin
sağlanması
• Kullanılan araç: Hping

209. @BGASecurity
Syn Flood
GERÇEK IP ADRESİNDEN
BGA | Dos/DDoS
• Gerçek ip adresinden gerçekleştirilecek syn flood saldırıları:
• Tek bir ip adresinden
• Rahatlıkla engellenebilir
• Botnet’e dahil tüm ip adreslerinden

210. @BGASecurity
Gerçek IP SynFlood Analizi BGA | Dos/DDoS
• Gerçek ip adresleri kullanılarak gerçekleştirilecek SYN flood saldırısının etki seviyesi düşük
olacaktır.
• Neden?
• Gönderilen her gerçek SYN paketi sonrası gelecek SYN/ACK cevabına işletim sistemi
kızarak(kendisi göndermedi, özel bir araç kullanılarak gönderildi SYN paketi) RST paketi
dönecektir.
• Syn flood yapılan sistemde RST paketi alındığında oturum tablosundan ilgili ip adresine ait
bağlantılar silinecektir.

211. @BGASecurity
Syn Flood
SAHTE IP ADRESLERİ KULLANARAK
BGA | Dos/DDoS
Kaynak IP adresi seçilen makine açıksa gelen SYN+ACK paketine RST cevabı dönecektir.
Ciddi saldırılarda kaynak ip adresleri canlı olmayan sistemler seçilmeli!

212. @BGASecurity
Sahte IP ile SynFlood Analizi BGA | Dos/DDoS
• Kaynak ip adresi 5.5.5.5 yapılarak gönderilen SYN paketi için işletim sistemi belirli bir süre SYN/ACK
paketi göndererek karşı taraftan ACK paketi bekleyecektir.
• Saldırgan:
• Hping –p 80 –S hedef_ip –c 1 –a 5.5.5.5
• Masum:
• Netstat –ant|grep 5.5.5.5

213. @BGASecurity
SynFlood
RANDOM SAHTE IP ADRESİ KULLANARAK
BGA | Dos/DDoS

214. @BGASecurity
SynFlood DDoS Saldırıları Nasıl Anlaşılır? BGA | Dos/DDoS
• Temel mantık:
• Normalin üzerinden SYN paketi geliyorsa veya normalin üzerinde SYN_RECV durumu
gözüküyorsa SYN Flood olma ihtimali vardır.
• Linux/Windows sistemlerde netstat komutuyla SYN flood saldırısı anlaşılabilir.
• Linux için netstat komutu:
• Netstat –antgrep SYN_
• Windows için netstat komutu:
• Netstat –an –p tcp |find “SYN_RCVD”

215. @BGASecurity
Netstat ile SynFlood Belirleme BGA | Dos/DDoS

216. @BGASecurity
Netstat ile SynFlood Belirleme
WINDOWS
BGA | Dos/DDoS

217. @BGASecurity
Sahte Ip Kullanımının Dezavantajları BGA | Dos/DDoS
• Synflood saldırısında sahte IP adresleri kullanılırsa
• Her gönderilen SYN paketine karşılık hedef sistem sahte IP adreslerine SYN ACK paketi
dönecektir.
• Bu durumda sahte IP adreslerinin gerçek sahipleri sizden ACK flood saldırısı geliyormuş
zannedebilir
• Saldırgan belirli bir firmanın IP Adresinden geliyormuş gibi SynFlood Saldırısı gönderebilir

218. @BGASecurity
SynFlood Saldırılarını Engelleme BGA | Dos/DDoS
• Syn Flood Saldırısı gerçekleştirme çok kolaydır.
• Syn flood saldırılarını engellemek kolaydır.
• Syn flood saldırıları için tüm dünya iki temel çözümü kullanır
• Syn cookie
• Syn proxy
• Bu iki çözüm haricinde endüstri standartı haline gelmiş başka çözüm bulunmamaktadır
• Farklı adlandırmalar kullanılabilir (syn authentication gibi)

219. @BGASecurity
Klasik TCP Bağlantısı BGA | Dos/DDoS
• Normal TCP bağlantılarında gelen SYN bayraklı pakete karşılık ACK paketi ve SYN paketi gönderilir.
• Gönderilen ikinci(sunucunun gönderdiği) SYN paketinde ISN değeri random olarak atanır ve son
gelecek ACK paketindeki sıra numarasının bizim gönderdiğimizden bir fazla olması beklenir.
• Son paket gelene kadar da sistemden bu bağlantı için bir kaynak ayrılır (backlog queue)
• Eğer SYN paketine dönen ACK cevabı ilk Syn paketininin ISN+1 değilse paket kabul edilmez.

220. @BGASecurity
SynCookie Aktifken TCP Bağlantısı BGA | Dos/DDoS
• Syncookie aktif edilmiş bir sistemde gelen SYN paketi için sistemden bir kaynak ayrılmaz
• SYN paketine dönecek cevaptaki ISN numarası özel olarak hesaplanır
(kaynak.ip+kaynak.port+.hedef.ip+hedef.port+x değeri) ve hedefe gönderilir
• Hedef son paket olan ACK’i gönderdiğinde ISN hesaplama işlemi tekrarlanır ve eğer ISN numarası
uygunsa bağlantı kurulur
• Değilse bağlantı iptal edilir

221. @BGASecurity
Syn Cookie Adımları BGA | Dos/DDoS

222. @BGASecurity
Syn Cookie Ek Bilgiler BGA | Dos/DDoS
• Syncookie bazı sistemlerde belirli SYN paketi değerini aştıktan sonra devreye girer.
• Mesela saniyedeki SYN paketi sayısı
• SYN cookie de aradaki güvenlik sistemi SYN/ACK paketinde cookie cevabı döner. ,
• Bu cookie değeri ISN'dir.
• Cookie değeri nasıl hesaplanır
• MD5 hash (source address, port number, destination address, port number, ISN değeri (SYN
packet)
• Karşı taraftan gelecek ACK paketindeli onay numarası cookie+1 değilse paketi çöpe atar.
• cookie+1 ise oturum kurulur.

223. @BGASecurity
Syn Cookie Değeri BGA | Dos/DDoS

224. @BGASecurity
Syn Cookie-II BGA | Dos/DDoS
• Böylece spoof edilmiş binlerce ip adresinden gelen SYN paketleri için sistemde bellek
tüketilmemiş olacaktır ki bu da sistemin SYNflood saldırıları esnasında daha dayanıklı olmasını
sağlar.
• Syncookie mekanizması backlog queue kullanmadığı için sistem kaynaklarını daha az kullanır
• Syncookie aktif iken hazırlanan özel ISN numarası cookie olarak adlandırılır.

225. @BGASecurity
SynCookie Paketleri BGA | Dos/DDoS
Netstat kullanılarak Linux sistemlerde kaç adet syn cookie gönderildiği ve
buna dönüş yapan cevaplar edinilebilir.

226. @BGASecurity
SynCookie Dezavantajları BGA | Dos/DDoS
• Syncookie’de özel hazırlanacak ISN’ler için üretilen random değerler sistemde matematiksel işlem
gücü gerektirdiği için CPU harcar.
• Eğer saldırının boyutu yüksekse CPU performans problemlerinden dolayı sistem yine darboğaz
yaşar.
• DDoS Engelleme ürünleri(bazı IPS’ler de ) bu darboğazı aşmak için sistemde Syncookie özelliği
farklı CPU tarafından işletilir.

227. @BGASecurity
SynCookie Dezavantajları-II BGA | Dos/DDoS
• Syncookie özelliği sadece belirli bir sistem için açılamaz.
• Ya açıktır ya kapalı
• Bu özellik çeşitli IPS sistemlerinde probleme sebep olabilir.
• Syncookie uygulamalarından bazıları TCP seçeneklerini tutmadığı için bazı bağlantılarda sorun
yaşatabilir.

228. @BGASecurity
SynProxy BGA | Dos/DDoS
• SynProxy, adından da anlaşılacağı üzere SYN paketlerine karşı proxylik yapmaya yarayan bir
özelliktir.
• Güvenlik duvarlarında ve Syncookie’nin kullanımının sıkıntılı olduğu durumlarda rahatlıkla
kullanılabilir.
• Syncookie gibi arkasında korumaya aldığı sistemlere gelecek tüm SYN paketlerini karşılar ve üçlü
el sıkışma tamamlandıktan sonra paketleri koruduğu sistemlere yönlendirir.

229. @BGASecurity
SynProxy Mantığı BGA | Dos/DDoS
SynProxy
Web
site
SYN^30
SYN/ACK ^30
ACKs^5

230. @BGASecurity
SynProxy Dezavantajları BGA | Dos/DDoS
• Synproxy’de proxylik yapan makine state bilgisi tuttuğundan yoğun saldırılarda state tablosu
şişebilir.
• Synproxy ya hep açıktır ya da kapalı
• Belirli değerin üzerinde SYN paketi gelirse aktif et özelliği yoktur

231. @BGASecurity
SynFlood Koruma-I BGA | Dos/DDoS
Tcp timeout değerlerini düşürme

232. @BGASecurity
Syn Flood Engelleme BGA | Dos/DDoS
• Synflood engelleme standartı:Syncookie/SynProxy
• Linux sistemlerde Syncookie ile yapılabilir
• Syncookie STATE tutmaz, state tablosunu kullanmaz
• OpenBSD PF Synproxy
• En esnek çözüm: ip, port, paket özelliklerine göre aktif edebilme ya da kapatabilme özelliği
• pass in log (all) quick on $ext_if proto tcp to $web_servers port {80 443} flags S/SA synproxy
state
• (Loglama sıkıntı çıkarabilir)

233. @BGASecurity
SynFlood Engelleme-II BGA | Dos/DDoS
• TCP timeout değerleriyle oynama
Ø Default değerler yüksektir...
Ø Saldırı anında dinamik olarak bu değerlerin 1/10’a düşürülmesi saldırı etkisini azaltacaktır.
• Linux için sysctl ile (manuel)
• OpenBSD PF için
Ø set timeout {tcp.first 10, tcp.opening 10 tcp.closing 33, tcp.finwait 10, tcp.closed 20} gibi...
Ya da
• Packet Filter adaptive timeout özelliği!
• State tablosu dolmaya başladıkça timeout değerlerini otomatik azalt!

234. @BGASecurity
SynFlood Engelleme-III BGA | Dos/DDoS
• Rate limiting(bir ip adresinden 500’den fazla istek geldiyse engellenecekler listesine ekle ve o ip
adresine ait oturum tablosunu boşalt)
• OpenBSD Packet Filter
Ø ... flags S/SA synproxy state (max-src-conn 500, max-src-conn-rate 100/1, overload
<ddos_host> flush global)
• Linux iptables modülleri
Ø -m limit, recent vs

235. @BGASecurity
SynFlood Engelleme-IV BGA | Dos/DDoS
• Beyaz liste, kara liste uygulaması
Ø Daha önce state oluşturmuş, legal trafik geçirmiş ip adresleri
• Ülkelerin IP bloklarına göre erişim izni verme
Ø Saldırı anında sadece Türkiye IP’lerine erişim açma
• (IP spoofing kullanıldığı için çoğu zaman işe yaramaz)
• DNS round-robin & TTL değerleriyle oynayarak engelleme

236. @BGASecurity
Linux SynCookie Dezavantajları BGA | Dos/DDoS
• Donanım iyiyse yeterli koruma sağlar
Ø Syncookie CPU’ya yüklendiği için CPU %100’lere vurabilir
Ø Ethernet kartının üreteceği IRQ’lar sistemi zora sokabilir
• Sadece kendisine syncookie koruması sağlar
• 1/0 . Aç - kapa özelliğindedir, çeşitli uygulamalarda SYNcookie sıkıntı çıkartabilir.
• Bir port/host için kapama özelliği yoktur

237. @BGASecurity
SynProxy Dezavantajları BGA | Dos/DDoS
• SynProxy=State=Ram gereksinimi
• State tablosu ciddi saldırılarda çok çabuk dolar
Ø 100Mb~=200.000 SYN=200.000 State
Ø 40 saniyede 8.000.000 state = ~5GB ram ...
• Tcp timeout değerlerini olabildiğince düşürmek bir çözüm olabilir
Ø Timeout süresi 5 saniye olursa?
(Genel Çözüm: Stateless SynProxy çözümü)

238. @BGASecurity
Rate Limiting Dezavantajları BGA | Dos/DDoS
• Akıllı saldırganın en sevdiği koruma yöntemidir.
• Paket gönderen IP adresinin gerçek olup olmadığı belirlenmeden gerçekleştirilecek rate limiting
ciddi sıkıntılara sebep olabilir.
ØSaldırgan istediği IP adresini rate limiting yapan sisteme engellettirebilir.
• Nasıl belirlenir?
ØHedef sisteme belirli sayının üzerinde SYN paketi gönderilir.
ØBir müddet beklendikten sonra bağlantı kurulmaya çalışılır.
• Hedef sistem cevap dönmüyorsa rate limiting özelliği devreye girmiş ve paket gönderen tarafı
engellemiştir.

239. @BGASecurity
ACK, FIN, PUSH Flood Saldırıları BGA | Dos/DDoS
• SynFlood’a karşı önlem alınan sistemlerde denenir.
• Hedef sisteme ACK, FIN, PUSH bayraklı TCP paketleri göndererek güvenlik cihazlarının kapasitesini
zorlama
• Diğer saldırı tiplerine göre engellemesi oldukça kolaydır.
• Etki düzeyi düşüktür.

240. @BGASecurity
ACK, FIN, PUSH Saldırıları Engelleme BGA | Dos/DDoS
• Gelen ilk paketin SYN paketi olma zorunluluğu, oturum kurulmamış paketleri düşürme
• OpenBSD Packet Filter
• scrub all
• Linux
• iptables kuralları

241. @BGASecurity
Web Sunuculara
Yönelik DDoS Saldırıları

242. @BGASecurity
HTTP’e Giriş BGA | Dos/DDoS
• HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim
protokolüdür.
• Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık kullanılan (%96 civarında)
protokoldür.
• Transport katmanında TCP kullanır

243. @BGASecurity
HTTP Nasıl Çalışır? BGA | Dos/DDoS
• HTTP istemci-sunucu mantığıyla çalışır
Ø Önce TCP bağlantısı açılır, kullanıcı istek(HTTP isteği) gönderir sunucu da buna uygun cevap
döner ve TCP bağlantısı kapatılır.
• Her HTTP isteği için bir TCP bağlantısı gerekir.

244. @BGASecurity
Web Uygulama Bileşenleri BGA | Dos/DDoS
• Kullanıcı
• Web sunucu yazılımı
• Web uygulama programlama dili
• Veritabanı
• ...

245. @BGASecurity
HTTP İstek ve Cevapları BGA | Dos/DDoS
• Web’in çalışma mantığı istek ve cevaplardan oluşur, istekler ve bunlara dönülecek cevaplar
farklıdır.
• Bu konuda detay için HTTP RFC’si 2616 incelenebilir.
• HTTP isteklerinden önce mutlaka 3’lü el sıkışma tamamlanmalıdır!

246. @BGASecurity
HTTP GET Paket Boyutu BGA | Dos/DDoS
Ortalama 100-400 byte

247. @BGASecurity
HTTP İstek ve Cevapları BGA | Dos/DDoS

248. @BGASecurity
HTTP ve TCP İlişkisi BGA | Dos/DDoS
• HTTP TCP kullanan bir protokoldür.
Ø Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır.
Ø Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir
ü 3 adet TCP bağlantı başlangıcı
ü 4 adet TCP bağlantı koparılması
ü 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri
• HTTP’nin performansı TCP’e bağlıdır

249. @BGASecurity
HTTP ve TCP İlişkisi BGA | Dos/DDoS
• Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği
gönderilmektedir
Ø Ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir
• Ciddi performans sorunu vardır

250. @BGASecurity
HTTP Performansı İçin Ek Özellikler BGA | Dos/DDoS
• KeepAlive ve Pipelining özellikleri eklenmiştir.
• HTTP/1.1 de her iki özellik de kullanılabilir.
• Hem sunucu hem de istemci bu özellikleri desteklemeli

251. @BGASecurity
HTTP KeepAlive BGA | Dos/DDoS
• HTTP KeepAlive (persistent connection)
• HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP
bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.

252. @BGASecurity
HTTP Pipelining BGA | Dos/DDoS
• Pipelining HTTP isteklerinin eş zamanlı olarak gönderilmesi işlemidir
Ø Genellikle Keep Alive kavramıyla karıştırılır fakat birbirlerinden farklı kavramlardır.
• Klasik HTTP bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir,
cevabı beklenir.
• Pipelining kullanıldığında cevapları beklemeksizin birden fazla HTTP isteği eş zamanlı olarak
gönderilebilir

253. @BGASecurity
Pipelining+KeepAlive BGA | Dos/DDoS
Pipelining ve KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz,
tek bir TCP bağlantısı içerisinden eşzamanlı yüzlerce HTTP isteği gönderilebilir

254. @BGASecurity
Web Sunuculara Yönelik DoS Saldırıları BGA | Dos/DDoS
Web sunucularına yönelik DoS/DDoS saldırılarında amaç sayfanın işlevsiz kalması ve o sayfa
üzerinden verilen hizmetlerin kesintiye uğratılmasıdır.

255. @BGASecurity
Web Sunuculara Yönelik DoS/DDoS Saldırıları-II BGA | Dos/DDoS
• Web sunuculara yönelik yapılacak DoS saldırıları temelde iki türden oluşur;
Ø Kaba kuvvet saldırıları (Flood)
Ø Tasarımsal/yazılımsal eksikliklerden kaynaklanan zafiyetler

256. @BGASecurity
GET/POST Flood Saldırıları BGA | Dos/DDoS
• Synflood için önlem alınan yerlere karşı denenir.
• Daha çok web sunucunun limitlerini zorlayarak sayfanın ulaşılamaz olmasını sağlar.
• Önlemesi Synflood’a göre daha kolaydır
Ø HTTP için IP spoofing “pratik olarak” imkansızdır.
• Rate limiting kullanılarak rahatlıkla önlenebilir.
• False positive durumu
• #ab –n 100000 –c 5000 http://www.google.com/

257. @BGASecurity
Kaba Kuvvet(Flood) Saldırıları BGA | Dos/DDoS
• Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce istek
gönderilir ve sunucunun kapasitesi zorlanır.
• Literatürde adı “GET Flood”, “POST Flood” olarak geçen bu saldırılar iki şekilde yapılabilir.
Ø Tek bir bilgisayardan
Ø Botnet sistemlerden (binlerce farklı bilgisayar)

258. @BGASecurity
HTTP Üzerinden DoS BGA | Dos/DDoS

259. @BGASecurity
HTTP GET Flood Saldırıları BGA | Dos/DDoS
• Hedef sisteme binlerce HTTP GET paketi gönderilir.
• HTTP GET Flood yaparken tek bir kaynaktan gönderilecek paket sayısı sınırlıdır.
Ø IP spoofing yapılamaz.
• BotNet kullanılmadan yapılan saldırılar etkili olmaz.
Ø Küçük sistemlere karşı etkili olabilir.

260. @BGASecurity
HTTP Flood Test Araçları BGA | Dos/DDoS
• Netstress
• Ab
• Siege
• DOSHTTP
• Skipfish
• ....

261. @BGASecurity
Ab(ApacheBenchmark) BGA | Dos/DDoS
• POST Flood
Ø #ab -c 100 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -
q http://blog.lifeoverip.net/searcme.php
• GET Flood
Ø #ab -c 100 -n 10000 http://blog.lifeoverip.net/searcme.php

262. @BGASecurity
HTTP GET Flood Saldırıları-II BGA | Dos/DDoS

263. @BGASecurity
Tasarımsal/Yazılımsal DoS Saldırıları BGA | Dos/DDoS
• Kullanılan web sunucu yazılımında ya da programlama dilinde çıkan DoS zaafiyetleri
Ø Apache slowloris
Ø PHP “multipart/form-data” denial of service)
Ø Nginx DoS
Ø Captcha kullanılmayan formlar

264. @BGASecurity
DoS/DDoS Saldırılarından Korunma Yöntemleri BGA | Dos/DDoS
• Web sunuculara yönelik DoS/DDoS saldırılarından korunma diğer DoS/DDoS yöntemlerine göre
daha zordur(synflood, udp flood, smurf vs).
• HTTP Flood saldırıları Firewall/IPS gibi sistemler üzerinden engellenebilir fakat gerçek kullanıcıları
da engelleme riski yüksektir.
Ø Bot üzerinden gelen saldırılarda gerçek kullanıcıyla saldırganı ayırt etmek çok zordur.

265. @BGASecurity
Web Sunucu Yapılandırması BGA | Dos/DDoS
• İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler kullanılmalı
Loadbalancer, reverseProxy kullanımı (Nginx gibi)
• Web sunucunun desteklediği dos koruma modülleri kullanılabilir (Apache Mod_dosevasive)

266. @BGASecurity
Firewall/IPS Üzerinden Ek Ayarlar BGA | Dos/DDoS
• Firewall/IPS ile belirli bir kaynaktan gelebilecek max. İstek/paket sayısı sınırlandırılmalı( rate
limiting kullanımı)
• HTTP isteklerini gönderecek IP adresleri sahte olamayacağı için rate limiting işlemi sağlıklı
çalışacaktır
• Eğer HTTP flood saldırısı Keep alive özelliğini kullanıyorsa Firewall HTTP istekleri içerisine
bakmadığı için bunu engelleyemez
Ø Tek bir TCP bağlantısı içerisinden 100 adet HTTP paketi geçirme

267. @BGASecurity
Snort ile HTTP Flood Saldırıları Engelleme BGA | Dos/DDoS
•Mantık basit: HTTP sunucuya gelebilecek HTTP isteklerini ip bazında sınırlama(TCP seviyesinde değil)
•Her ip den anlık gelebilecek max HTTP GET/HEAD/POST isteği=100

268. @BGASecurity
HTTP Flood Engelleme BGA | Dos/DDoS
• OpenBSD Packet Filter
• pass in log(all) quick on $ext_if proto tcp to $web_server port {80 443} flags S/SA synproxy state
(max-src-conn 1000, max-src-conn-rate 100/3, overload <ddos_host> flush global)
• table <ddos_host> persist file /etc/ddos
• block in quick log on $ext_if from <ddos_host>
• False positive durumuna karşı her saat başı yasaklı ip listesini sıfırla!
• Sayfa yoğunluğuna göre
• Kurallar düzenlenmeli

269. @BGASecurity
HTTP Get Flood Engelleme-II BGA | Dos/DDoS
• Apache Loglarını inceleyen ve belirli bir değerin üzerinde istek gönderenleri iptables ile
engelleyen bir script yazılabilir.
• Netstat ile establish olmuş bağlantılardan belirli değerin üzerindekilaeri engelleyen script
yazılabilir.
• Apache dos engelleme modülleri kullanılabilir

270. @BGASecurity
Özel BotNet Yasaklama BGA | Dos/DDoS
• Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse(User-Agent, Refererer
vs) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir.
• User-Agent: Zeus
• Referrer: http://www.example.com

271. @BGASecurity
UDP Flood DDoS Saldırıları BGA | Dos/DDoS

272. @BGASecurity
UDP BGA | Dos/DDoS
• Basit bir protokoldür.
• Herhangi bir onay mekanizması yoktur.
• Onay gerektiren durumlarda üst seviye protokoller veya yazılım geliştiriciler önlem almak zorunda.
• Ip spoofing yapılabilir.
• Broadcast çalışabildiğinden olduğundan ciddi DoS saldırılarında kullanılabilir.
• RFC’e göre
Ø Açık UDP portuna gelen isteklere cevap dönülmez
Ø Kapalı UDP portuna gelen isteklere ICMP Port unrc. Mesajı döner

273. @BGASecurity
UDP İçin State Kavramı BGA | Dos/DDoS
• Gerçek State durumu yoktur.
• TCP’deki gibi bayrak mekanizması yoktur.
• Firewall/IPS/DDoS sistemleri UDP bağlantısına ait state tutabilir.
• Kaynak ip adresi, kaynak port
• Hedef ip adresi, hedef port
• Zaman bilgileri kullanılır

274. @BGASecurity
RFC’e Göre UDP BGA | Dos/DDoS
UDP Kapalı Port
UDPAçık Port

275. @BGASecurity
UDP Paket Boyutu BGA | Dos/DDoS
Ortalama 30 byte

276. @BGASecurity
UDP Flood Saldırıları BGA | Dos/DDoS
• UDP stateless bir protokol, yönetimi zor!
• Paket boyutları küçük, etkisi yüksek.
• Amaç UDP servislerini çökertmekten çok aradaki güvenlik cihazlarının kapasitesini zorlayıp cevap
veremez hale getirmektir.
• Zaman zaman DNS sunuculara yönelik de yapılır.
• Syncookie/Synproxy gibi kolay bir çözümü yok!
Ø Denenmiş, kanıtlanmış standart bir çözüm bulunmamaktadır.

277. @BGASecurity
UDP Flood Saldırıları-II BGA | Dos/DDoS
• IP spoofing yapılabilir.
Ø hping –udp www.lifeoverip.net -p 53 -a www.microsoft.com
Ø Paket boyutu ~ 30 byte
Ø 20Mb hat ile saniyede 90.000 pps üretilebilir.
ü 20*1024*1024/8/30
• UDP bağlantısının kapatılması için gerekli ortlama süre 60 saniye
• Her gönderilen UDP paketi 60 saniye boyunca Firewall/IPS oturum kapasitesinde yer kaplayacaktır.

278. @BGASecurity
UDP Flood Saldırıları-III BGA | Dos/DDoS
• Rastgele üretilmiş sahte ip adreslerinden saniyede 90.000 paket. Her paket için 60 saniye
bekleme süresi
• Piyasadaki çoğu Firewall/IPS ürününün kapasitesinin üzerinde

279. @BGASecurity
Hping ile UDP Flood Saldırısı Gerçekleştirme BGA | Dos/DDoS

280. @BGASecurity
UDP Flood Korunma Yöntemi BGA | Dos/DDoS
• Genel geçer bir korunma yöntemi yoktur.
• Güçlü güvenlik duvarları tercih edilmeli.
• Router’lar üzerinden kullanılmayan UDP servislerini kapama.
• Kapalı UDP portları için cevap dönmeme.
• Belirli ip adresinden gelecek istekleri sınırlama
Ø X saniyede Y’den fazla paket gönderen IP adresini karantinaya al
• UDP timeout sürelerini değiştirme

281. @BGASecurity
UDP Flood Korunma Yöntemleri-II BGA | Dos/DDoS
• Kapalı UDP portlarına cevap dönmeme
• RFC’ye göre kapalı bir UDP portuna gelen isteğe ICMP Dest. Port Unreachable mesajı dönülür
• Kapalı porta gelen her UDP paketi için ICMP mesajı dönmek Firewall/IPS sistemini yorar
• Güvenlik sistemleri kapalı udp portlarından cevap vermeyecek şekilde yapılandırılmalıdır

282. @BGASecurity
UDP Flood Korunma Yöntemleri-III BGA | Dos/DDoS
• Rate limiting kullanarak udp flood engelleme
• Bir ip adresinden gelebilecek anlık/zamana bağlı UDP paket sayısını belirlemek ve eşik değerini
aşan ip adreslerini belirli süreliğine engelleme yöntemidir.
• UDP paketlerinde ip spoofing kontrolü yapılamayacağı için rate limiting kullanımı sıkıntı
doğuracaktır.
• Piyasadaki çoğu ürün UDP flood saldırılarını bu şekilde engellemektedir.

283. @BGASecurity
UDP Flood Korunma Yöntemleri-IV BGA | Dos/DDoS
• DFAS(Drop first, Accept Second) yöntemi
• Normal durumda UDP isteği gönderen bir host karşı sistemden cevap alamazsa ilk UDP paketini
tekrar gönderir (retransmission)
• DDoS engelleme sistemi gelen tüm udp paketlerini drop edip aynı ip adresinden ikinci udp paketi
geldiğinde kabul et şeklinde yapılandırılabilir.
• %99 udp saldırıları için geçerli bir çözüm olacaktır.
• Saldırgan sahte ip adreslerinden gönderilecek paketleri ayarlayabileceği için sahte iplerden birden
fazla udp paketi göndererek bu korumayı aşabilir.

284. @BGASecurity
UDP Flood Korunma Yöntemleri-V BGA | Dos/DDoS
• UDP timeout değerleri ile oynama
• Bir UDP paketi güvenlik sisteminden izinli olarak geçtiğinde güvenlik sistemi belirli süreliğine bu
UDP paketi için oturum bilgisi tutar.
• Firewall’dan açık ama arka tarafta kapalı bir UDP portu varsa bu sisteme gönderilecek UDP
istekleri için Firewall ortalama 60 saniye boyunca oturum bilgisi tutacaktır.
• Firewall/IPS sistemleri üzerinden UDP timeout süreleri düşürülerek açıkta kalan udp
oturumlarının hızlı kapatılması sağlanabilir

285. @BGASecurity
DDoS Saldırı Analizi BGA | Dos/DDoS
• Saldırı olduğunu nasıl anlaşılır?
Ø Sistemimiz açılmıyordur, çalışmıyordur.
• Saldırı yapan bulunabilir mi?
• Saldırının tipini nasıl anlaşılır?
Ø Tcpdump, awk, sort, uniq
Ø Ourmon anormallik tespit sistemi

286. @BGASecurity
DDoS Saldırı Analizi BGA | Dos/DDoS
• DDoS saldırılarında dikkate alınması gereken iki temel husus vardır.
Ø İlki saldırıyı engelleme
Ø ikincisi saldırının kim tarafından ne şiddete ve hangi yöntemler, araçlar kullanılarak
yapıldığının belirlenmesidir.
• Analiz kısmı genellikle unutulur fakat en az engelleme kadar önemlidir
Ø Aynı saldırı tekrar ederse nasıl engelleme yapılacağı konusunda yol haritası çıkarılmış olmalı

287. @BGASecurity
DDoS Analizi İçin Gerekli Yapının Kurulması BGA | Dos/DDoS
• Amaç DDoS saldırılarında otomatik olarak devreye girip saldırıya ait delil olabilecek paketlerin kaydı.
• Saldırı anında paketler kaydedilirse saldırıya ait tüm detaylar istenildiği zaman öğrenilebilir.
• Paket kaydı hedef sistem üzerinde (Windows/Linux) veya ağ ortamında TAP/SPAN portu aracılığıyla
yapılabilir.
• Paket kaydında tcpdump, Wireshark kullanılabilir

288. @BGASecurity
DDoS Analizi İçin Gerekli Yapının Kurulması BGA | Dos/DDoS

289. @BGASecurity
Saldırı Analizinde Cevabı Aranan Sorular BGA | Dos/DDoS
• Gerçekten bir DDoS saldırısı var mı?
• Varsa nasıl anlaşılır?
• DDoS saldırısının tipi nedir?
• DDoS saldırısının şiddeti nedir?
• Saldırı ne kadar sürmüş?
• DDoS saldırısında gerçek IP adresleri mi spoofed IPadresleri mi kullanılmış?
• DDoS saldırısı hangi ülke/ülkelerden geliyor?

290. @BGASecurity
Saldırı Analizinde Kullanılan Araçlar BGA | Dos/DDoS
• Tcpstat
• Tcpdstat
• Tcptrace
• Tcpdump, Wireshark
• Ourmon,
• Argus
• Urlsnarf
• Snort
• Aguri
• Cut, grep, awk, wc gibi UNIX araçları

291. @BGASecurity
MRTG/RRD Grafikleri BGA | Dos/DDoS
Normal Trafik
DDOS 1. Gün
DDOS 2.Gün

292. @BGASecurity
İstatiksel Analiz BGA | Dos/DDoS

293. @BGASecurity
DDoS Saldırılarında Delil Toplama BGA | Dos/DDoS
• DDoS saldırılarında sonradan incelenmek üzere paketler kaydedilmelidir.
• Kaydedilen trafik miktarına bağlı olarak ciddi sistemlere(CPU, RAM, Disk alanı bakımından)
ihtiyaç olabilir.
• Paket kaydetme işlemi kesinlikle aktif cihazlar tarafından (IPS, DDoS engelleme Sistemi,
Firewall) yapılmamalıdır.
• Tüm paket detayları kaydedilmelidir!
Ø Tcpdump –s0

294. @BGASecurity
Paket Kaydetme BGA | Dos/DDoS
• Paket kaydetme için Linux/FreeBSD üzerinde tcpdump en uygun seçenektir.
• Windows üzerinde Wireshark ya da windump tercih edilebilir.
• 10 Gb ortamlarda klasik libpcap yerine alternatif kütüphaneler tercih edilmelidir.

295. @BGASecurity
Tcpdump ile DDoS Paketlerini Kaydetme BGA | Dos/DDoS
• #tcpdump –n -w ddostest1.pcap –C 2000 –s0
Ø -n isim-ip çözümlemesi yapma
Ø -w ddostest1.pcap dosyasına kaydet
Ø Dosya boyutu 2GB olduktan sonra başka dosyaya yaz
Ø -s0 pakete ait başlık ve payload bilgilerini kaydet

296. @BGASecurity
DDoS Saldırı Tipi Belirleme BGA | Dos/DDoS
• Amaç yapılan saldırının tipini belirlemek
• Hangi protokol kullanılarak gerçekleştirilmiş
Ø TCP mi? UDP mi? ICMP mi?
• İlk olarak protokol belirlenmeli
• Protokol tipini belirlemek için tcpdstat aracı kullanılabilir
Ø tcpdstat -n ddos.pcap

297. @BGASecurity
Tcpdstat ile DDoS Tipini Belirleme BGA | Dos/DDoS
[2] tcp 529590 ( 98.59%) 178126550 ( 99.60%) 336.35
[3] smtp 238109 ( 44.33%) 14288975 ( 7.99%) 60.01

298. @BGASecurity
Tcpdstat BGA | Dos/DDoS

299. @BGASecurity
Saldırıda Kullanılan Protokol Bilgisi BGA | Dos/DDoS
• Belirlendikten sonraki aşama hangi ip adreslerinden saldırının yapıldığı
Ø Spoof ip kullanılmış mı sorusunun cevabı

300. @BGASecurity
SYN Flood Saldırısı Analizi BGA | Dos/DDoS
• # tcpdump –r ddos.pcap -n ‘tcp[tcpflags] & tcp-syn == tcp-syn’
• 22:04:22.809998 IP 91.3.119.80.59204 > 11.22.33.44.53: Flags , seq 2861145144, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:22.863997 IP 91.3.119.80.59135 > 82.8.86.175.25: Flags , seq 539301671, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:22.864007 IP 91.3.119.80.59205 > 11.22.33.44.53: Flags , seq 4202405882, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:23.033997 IP 91.3.119.80.64170 > 11.22.33.44.53: Flags , seq 1040357906, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:23.146001 IP 91.3.119.80.59170 > 11.22.33.44.53: Flags , seq 3560482792, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:23.164997 IP 91.3.119.80.59171 > 20.17.222.88.25: Flags , seq 1663706635, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:23.384994 IP 91.3.119.80.59136 > 11.22.33.44.53: Flags , seq 192522881, win 65535, options [mss 1460,sackOK,eol],
length 0
• 22:04:23.432994 IP 91.3.119.80.59137 > 11.22.33.44.53: Flags , seq 914731000, win 65535, options [mss 1460,sackOK,eol],
length 0
•

301. @BGASecurity
ACK Flood Analizi BGA | Dos/DDoS
• Tcpdump kullanarak ACK bayraklı paketleri ayıklama
• # tcpdump -i bce1 -n ‘tcp[13] & 16 != 0ʹ

302. @BGASecurity
FIN Flood Analizi BGA | Dos/DDoS
• Tcpdump kullanarak FIN bayraklı paketleri ayıklama
• # tcpdump -i bce1 -n ‘tcp[13] & 1 != 0ʹ and tcp port 80

303. @BGASecurity
HTTP GET Flood Saldırısı BGA | Dos/DDoS
• TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken
parametreler.
• #tcpdump -n -r ddos3.pcap tcp port 80 and ( tcp[20:2] = 18225 )
• Veya urlsnarf programıyla kaydedilen pcap dosyası okutularak hangi URL’in hangi ip adresleri
tarafından istendiği belirlenebilir.

304. @BGASecurity
Saldırının Şiddetini Belirleme BGA | Dos/DDoS
• Saldırının şiddetini iki şekilde tanımlayabiliriz
Ø Gelen trafiğin ne kadar bant genişliği harcadığı
Ø Gelen trafiğin PPS değeri
• PPS=Packet Per Second
• Tcpstat aracı kullanılarak trafik dosyaları üzerinde saldırının PPS değeri, ne kadar bantgenişliği
harcandığı bilgileri detaylı olarak belirlenebilir.

305. @BGASecurity
Tcpstat BGA | Dos/DDoS

306. @BGASecurity
Saldırı Kaynağını Belirleme BGA | Dos/DDoS
• DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın
bulunamamasıdır.
• Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak kendilerini
saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin
kullanılmasıdır.
• Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu
rahatlıkla anlaşılabilir.

307. @BGASecurity
Wireshark IP İzleme BGA | Dos/DDoS

308. @BGASecurity
Spoof IP Belirleme BGA | Dos/DDoS
• Saldırının gerçek IP adreslerinden mi Spoof edilmiş IP adreslerinden mi gerçekleştirildiği nasıl
belirlenebilir?
Ø Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing seçeneği aktif
kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir.
• Fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak
gerçekleştirildiği varsayılabilir.

309. @BGASecurity
Spoof IP Belirleme-II BGA | Dos/DDoS
Tek cümleyle özetleyecek olursak:
Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.

310. @BGASecurity
Saldırılarda Kullanılan Top 10 IP Adresi BGA | Dos/DDoS
Saldırıda en fazla paket gönderen 10 IP adresi aşadağıdaki script ile bulunabilir. Sol taraf IP adresi, sağ
taraf ise ilgili IP adresinden saldırı boyunca kaç adet paket gönderildiğidir.

311. @BGASecurity
GET Flood Saldırısında Kullanılan IP Adresleri BGA | Dos/DDoS
• HTTP GET flood saldırılarında IP spoofing yapmak mümkün değildir.
• Bir sistem HTTP isteği gönderebilmesi için öncelikli olarak 3lü el sıkışmasını tamamlaması
gerekmektedir.
• Günümüz işletim sistemi/ağ/güvenlik cihazlarında 3’lü el sıkışma esnasında TCP protokolünü
kandırarak IP spoofing yapmak mümkün gözükmemektedir.
• Dolayısıyla HTTP GET flood saldırıları analizinde saldırı yapan IP adresleri %99 gerçek IP adreslerdir.

312. @BGASecurity
HTTP Flood Yapan IP Adresleri BGA | Dos/DDoS

313. @BGASecurity
Saldırılarda Kullanılan IP Adresleri Hangi Ülkeden? BGA | Dos/DDoS

314. @BGASecurity
Ülke Bulma Scripti BGA | Dos/DDoS

315. @BGASecurity
DDoS Engelleme Ürünleri

316. @BGASecurity
Eğitim Hakkında BGA | Dos/DDoS
DDoS Engelleme Ürünleri
Tek İşi DDoS
Olan Ürünler
Firewall
ÜrünleriIPS Ürünleri

317. @BGASecurity
Engelleme Yöntemleri BGA | Dos/DDoS
• Genel engelleme yöntemleri
• SYN Flood için Syncookie/SynProxy
• UDP flood için rate limiting
• HTTP Get flood için rate limiting/session limiting
• ACK flood için scrubbing
• FIN flood için scrubbing
• ICMP flood için firewall özellikleri

318. @BGASecurity
Günümüz «Enterprise Security» Ürünleri BGA | Dos/DDoS
• Saldırganın silahlarını ve gücünü gördük, buna karşılık güvenlik dünyasının ürettiği savunma
sistemlerinin özelliklerine ve güçlerine bakalım.
• Firewall/IPS sistemleri DDoS saldırılarına nr kadar dayanıklı….
Ø Gelebilecek itirazlar: Firewall/IPS sistemleri DDOS engelleme amaçlı değildir(!)

319. @BGASecurity
Fortinet Firewall Limitleri BGA | Dos/DDoS

320. @BGASecurity
Netscreen Firewall Limitleri BGA | Dos/DDoS

321. @BGASecurity
Netscreen ISG Limitleri BGA | Dos/DDoS

322. @BGASecurity
Checkpoint Power-1 Limitleri BGA | Dos/DDoS

323. @BGASecurity
TippingPoint 10Gb IPS Limitleri BGA | Dos/DDoS

324. @BGASecurity
Güvenlik Duvarları ve DDoS Saldırıları BGA | Dos/DDoS
• Güvenlik duvarları DDoS saldırıları engelleme amaçlı düşünülmemiştir
Ø İstisnalar mevcuttur, Packet Filter gibi
• Genellikle izin ver, engelle, session tut gibi özelliklere sahiptir
Ø Bazı Firewallar syn cookie, syn proxy, rate limiting özelliklerine sahiptir
• Session tabloları sınırlıdır
Ø Max değer 10.000.000
• Donanım tabanlı olmayanlar ciddi saldırılar karşısında işe yaramaz

325. @BGASecurity
Linux Iptables BGA | Dos/DDoS
• Linux işletim sistemi syncookie özelliğine sahiptir.
Ø Fakat bu özellik sadece işletim sisteminin kendini korumak içindir.
Ø Linux iptables tarafından korunan sistemlere doğru syncookie özelliği yoktur.
• Rate limiting özelliği vardır fakat tasarım hatasına sahiptir!
• Ciddi saldırılar karşısında yetersizdir!
iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

326. @BGASecurity
Iptables ile Syn Saldırılarını Engelleme BGA | Dos/DDoS
• iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
• iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --
hitcount 8 --rttl --name SSH -j DROP

327. @BGASecurity
Iptables ile RateLimiting BGA | Dos/DDoS
Iptables limit özelliğinin test edilmesi

328. @BGASecurity
OpenBSD Packet Filter BGA | Dos/DDoS
• DDoS engelleme amaçlı geliştirilmiş güvenlik duvarı
• Her tür engelleme özelliği bulunmaktadır
Ø Syn proxy
Ø Rate limiting
Ø IP başına session limit, zaman limiti
Ø Sahte ip geçirmeme özelliği
Ø FIN,ACK,NULL Flood özellikleri
Ø Adaptive timeout özelliği
Ø ...
• 1 Gb’e kadar DDoS saldırılarında rahatlıkla kullanılabilir

329. @BGASecurity
CheckPoint BGA | Dos/DDoS
• En fazla tercih edilen Güvenlik duvarı yazılımı
• Donanım versiyonları da vardır fakat Intel tabanlıdır.
Ø İstisnalar mevcut olabilir.
• Eski tip DoS/DDoS saldırılarına karşı Smartdefense eklentisi kullanılabilir.
• Yeni tip DDoS saldırılarına karşı dayanıksızdır!
• Rate limiting özelliği vardır
Ø IP başına zamana bağlı paket geçirme

330. @BGASecurity
Ping of Death Koruması BGA | Dos/DDoS

331. @BGASecurity
Syn Flood Koruması BGA | Dos/DDoS

332. @BGASecurity
Rate Limiting Özelliği BGA | Dos/DDoS

333. @BGASecurity
Sahte IP Engelleme Koruması BGA | Dos/DDoS

334. @BGASecurity
Netscreen BGA | Dos/DDoS
• Donanım tabanlı güçlü sistemlerdir.
• Eski tip ve yeni ddos saldırılarına karşı çeşitli özellikler barındırmaktadır.
• IP spoofing koruma
• Syn cookie özelliği
• Udp flood, icmp flood özellikleri
• IP başına session, paket belirleme
• Kandırmaya açıktır!
Ø Spoof edilmiş ip adreslerinden UDP istekleri gelirse??

335. @BGASecurity
Netscreen SynCookie BGA | Dos/DDoS
DDoS korumasının etkili bir şekilde çalışabilmesi için öncelikle flows bölümünden
TCP SYN-Proxy SYN-Cookie nin aktif edilmesi gerekir.
Aksi halde aşağıda yapmış olduğumuz birçok ayar geçersiz olacaktır.

336. @BGASecurity
Netscreen DDoS Özellikleri BGA | Dos/DDoS

337. @BGASecurity
Fortinet BGA | Dos/DDoS
• Güçlü donanımsal güvenlik duvarlarından biri
• Pazar payı gün geçtikçe artmaktadır.
• Alternatif güvenlik duvarlarında bulunan özelliklerin çoğunu barındırır.
• Yeni sürümlerinde DDoS engelleme özellikleri de gelmektedir.
• Akıllı DDoS engelleme/Botnet keşif özellikleri yoktur.
• Eski ve yeni tip DDoS saldırılarını engelleyebilir.

338. @BGASecurity
Threshold & Action Kısmı BGA | Dos/DDoS

339. @BGASecurity
DDoS Policy Menüsü BGA | Dos/DDoS

340. @BGASecurity
IPS’ler ve DDoS Engelleme BGA | Dos/DDoS
• Güvenlik duvarlarına göre daha fazla seçenek sunarlar.
• Uygulama seviyesi DDoS saldırıları için özel imzalar yazılabilir
Ø HTTP Get Flood
Ø SMTP Flood gibi...

341. @BGASecurity
Snort ve DoS Saldırıları BGA | Dos/DDoS
• Snort DDoS saldırılarına karşı korumada yetersiz bir sistemdir
Ø Syncookie koruma özelliği yok
Ø Spoofed IP’lerden yapılan saldırılar karşısında performansı kötü
• Rate limiting yapılabilir
Ø Belirli bir IP’den gelen atakları durdurabilir
Ø Bot’ları engellemede kullanılabilir.
• Snort yerine bu iş için en ideal çözüm olan OpenBSD/FreeBSD Packet Filter kullanılabilir.

342. @BGASecurity
Snort ve DoS Saldırıları-II BGA | Dos/DDoS
• Eski tip DoS araçlarını tanır.
• RBN tanır.
• Kural yazılırsa GET flood , POSt Flood, DNS flood gibi uygulama seviyesi DDoS ataklarını
yakalayabilir, engelleyebilir.
• Synflood tanır ama engelleme modülü yok!
• Spoof edilmemiş IP adreslerinden gelen Synflood ataklarını engelleyebilir.
• Udp flood engelleyebilir.