DDoS Saldırıları ve Korunma

Yolları
Huzeyfe ÖNAL
Bilgi Güvenliği AKADEMİSİ
www.bga.com.tr
 Konuşmacı Hakkında |Huzeyfe ÖNAL
• Bilgi Güvenliği Danışmanı (iş hayatı)
– Bilgi Güvenliği AKADEMİSİ(www.bga.com.tr)
• Ağ Güvenliği Araştırmacısı (gerçek hayat)
• Kıdemli DDoS Uzmanı
• Blogger
– www.lifeoverip.net
 Neden DDoS’a Özel Bir Etkinlik?

• Güvenliğin en önemli bileşeni=Availability

• Gün geçtikce önemi artan bir konu
• Tehdit sıralamasında en üstlerde
– En büyük eksiklik temel ağ bilgisi
– Tecrübesizlik
– Varolan ürünleri doğru yapılandıramama
– Ürünlere sihirbaz gözüyle bakma
 Ajanda
• DoS/DDoS hakkında genel terim ve tanımlar
• DDoS saldırıları hakkında hatalı bilgiler ve
düzeltmeler
• DDoS saldırı çeşitleri
• Zombi, botnet oluşturma araç ve yöntemleri
• Türkiye ve dünyadan DDoS saldırı örnekleri
• “Teknik detay ve uygulamalar ikinci kısımda”
 Standart Güvenlik Bileşenleri
• Hatalı bilgi
– En güvenli sistem fişi çekilmiş sistemdir!

Confidentiality
Confidentiality

Integrity
Integrity Availability
Availability
 Başlamadan Önce...
• Gelen DDOS saldırısı sizin sahip olduğunuz
bantgenişliğinden fazlaysa yapılabilecek çok
şey yok!
• DDOS saldırılarının büyük çoğunluğu
bantgenişliği taşırma şeklinde gerçekleşmez!

Gürcistan DDOS saldırısı

200-800 Mbps arası
 DOS
• DOS(Denial Of Service) = sistemleri çalışamaz hale
getirmek için yapılan saldırı tipi.
• DOS saldırılarında kaynak yüzlerce, binlerce farklı
sistem değildir.
• Bazı saldırılar özünde DoS, sonuçlarına göre
DDoS’tur
– DDoS görünümlü DoS
– Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYN
flood saldırıları gibi
• DoS saldırılarını engelleme kolaydır
 DDoS

• DDOS(Distrubuted Denial of Service ) =Dağıtık

Servis Engelleme
• Binlerce, yüzbinlerce sistem kullanılarak
gerçekleştirilir.
• Genellikle sahte IP adresleri kullanılır
• BotNet’ler kullanılır
• Saldırgan kendini gizler
• Engellemesi zordur!
 DOS/DDoS Hakkında Yanlış Bilinenler
• Bizim Firewall tek başına DDoS’u engeller
• Bizim IPS tek başına DOS/DDoS’u engeller
• Linux DDoS’a karşı dayanıklıdır
• Biz de DDoS engelleme ürünü var, korunuyoruz!
– Yapılandırılmış mı? Test edilmiş mi?
• Donanım tabanlı firewallar DDoS’u engeller
• Bizde antivirüs programı var
– Sistemlerimize kötücül yazılım bulaşmaz!

• DOS/DDOS Engellenemez
 DDoS Hakkında Yanlış Bilinenler

• DDoS saldırıları sizin trafiğinizden daha yüksek

boyutta olduğu için engellenemez.
• Yapılan çalışmalar DDoS saldırılarının çok küçük
bir bölümünün bandwith şişirme yöntemiyle
gerçekleştirğini ortaya koymaktadır.
 DDoS Saldırılarında Amaç

• Sistemlere sızma girişimi değildir!!

• Bilgisayar sistemlerini ve bunlara ulaşım
yollarını işlevsiz kılmak
• Web sitelerinin ,
E-postaların, telefon
Sistemlerinin, bankacılık
sistemlerinin çalışmaması
 Niye Yapılır?
• Sistemde güvenlik açığı bulunamazsa zarar verme
amaçlı yapılabilir
– Ya benimsin ya ...
• Politik sebepler
– Ülkeler arası anlaşmazlıklarda(Gürcistan, Estonya,
İsrail...)
• Ticari sebepler
– Rakip firma, Google’da üstte çıkma
• Can sıkıntısı & karizma amaçlı
– Bahis amaçlı(forumlarda)
 Neden Kaynaklanır?

DOS/DDOS

Protokol
Yazılım-BUG Tasarım
Eksikliği

Bind Cisco TCP Syn flood

 DoS Sadece Internette Mi Geçerlidir?
• DoS bir saldırı şeklidir ve ağ kavramının geçerli
olduğu her ortamda gerçekleştirilebilir.
• Temel sebep protokol tasarımlarının günümüze
hitap etmemesi
• DoS saldırıları:
– Yerel ağlarda gerçekleştirilebilir
– Kablosuz ağlarda gerçekleştirilebilir
– Internet üzerinden gerçekleştirilebilir
 Yerel Ağlarda DoS Tehlikesi
• Yerel ağlarda zorunlu kullanıma sahip ARP
protokolünün doğasında bulunan zaafiyetler
kullanılarak tek paketle tüm ağ işlevsiz kılınabilir.
• Yerel ağdaki tüm sistemlere gateway sistemin MAC
adresi hatalı olarak bildirilirse
– Tüm sistemler gatewaye ulaşmak isterken paketleri boşa
gider.
• #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.255
-H 00:01:02:03:04:05 -M FF:FF:FF:FF:FF:FF
 Kablosuz Ağlarda DoS Tehlikesi
• Kablosuz ağlarda kullanılan güncel
protokollerde –ağda WEP/WPA/WPA2
kullanılmasına bakmaksızın- DoS mümkündür
• AccessPoint’den geliyormuş gibi tüm bağlı
istemcilere de-auth paketleri gönderilir.
 DDoS Bileşenleri

Kötü niyet

Kötü
C&C adamlar

Zombi/
Malware
Botnet
 (ro)BOTNET(works)

• Zombi(roBOT)lerdan oluşan yıkım orduları!

• Her an emir almaya hazır sanal askerlerden oluşur
• Uzaktan yönetilebilirler
– Sahibi adına istenen bilgileri çalar, saldırı düzenler
• Hiyerarşik yapıda değildir
– Genelde tek bir yönetici/komutan olur
• Internet üzerinde çeşitli amaçlar için satılmaktadır
Nasıl Zombi Olunur?
Zombi Adımları
 BotNet Kullanım Amaçları
• Yeraltı siber ekonomisinin en
güçlü kazanç kapısı
– SPAM amaçlı kullanılır
– Google reklamlarından para
kazanma amaçlı
– Google Adword’de öne çıkma
veya bir firmayı geri düşürme
amaçlı kullanılabilir
– Anket manipülasyonu 
– DDoS yapmak için kullanılabilir
– Bilgi çalma amaçlı kullanılabilir
– Yeni malware yayma amaçlı
BotNet’ler Üzerinden Toplanan Kredi Kartları
BotNet Piyasası
 Türkiye BotNet Piyasası

Asıl piyasaya
internet
üzerinden
ulaşmak pek
mümkün değil.

Türkiye dünya
BotNet
piyasasında
önemli yere
sahiptir.
 Nasıl Yönetilir?
• P2P, IRC, WEB, Twitter
IRC Üzerinden BotNet Yönetimi
 Türkiye’den Güncel Örnek
• Haziran ayında çok kullanılan blog/portal
yazılımının Türkçe sayfası hacklendi
• Hackerlar sisteme sızıp bir sonraki blog sürümüne
uzaktan yönetim amaçlı kod eklediler
• İlgili siteden portal yazılımını indiren herkes aynı
anda sistemlerini hackerların yönetimine teslim
etmiş oldu
– Bu hacking olayını engelleyecek herhangi bir güvenlik
cihazı yok.
Güncel Pasif BotNet Örneği(Türkiye)
 Dünyadan Güncel Örnek
• Tüm dünyadaki
wordpress
kullanıcılarını tek
seferde nasıl ele
geçiririz?
– “WP kodları içerisine
yerleştirilecek ek
kodlarla”
– Wordpress indirip
kuran, güncelleyen
herkes zombi olur!
 Nasıl Farkedilir?

• Garip trafik davranışları

– SPAM
– DDoS
• Belirli alan adlarına(BotNet yönetim
sistemleri) gönderilen istekler
– Zeus Tracker
• Suç amaçlı kullanılan botnet yönetim IP
adreslerine yapılan bağlantılar
– Russian Business Network
 Türkiye ve Dünyadan DDoS Örnekleri
• Dönem dönem DDoS saldırıları medyanın ilgi odağı
olmaktadır
• 2000’li yıllarda Amazon, Ebay, Yahoo! Gibi
sistemlere yönelik saldırılar sonrası
• 2007 Root DNS saldırıları
• 2008- Gürcistan, Estonya siber saldırıları
• 2010 Wikileaks, Mavi Marmara, Youtube
protestosu!
 I.H.H
• 2010 Mavi Marmara olayından sonra
• İsrail IP adreslerinden ciddi miktarda DDoS saldırısı

• Türkiye’den misilleme
– Gönüllü DDoS saldırısı
 İsrail, Türkiye IP Bloklarını Engelledi
•Gönüllü saldırıların başlamasıyla birlikte İsrail hükümet siteleri
ulaşılamaz duruma geldi.
•Kısa sürede Türkiye’den gelen istekleri engelleyerek geçici
çözüm bulundu
•Aynı yöntem Estonya tarafından da kullanılmıştı.

Türkiye’den yapılan
bağlantı-başarısız

Amerika’dan yapılan
bağlantı-başarılı
 DDoS İle Youtube Protestosu
• TIB
• BTK
• Tubitak
• Ulaştırma Bakanlığı
Devlet Sistemlerine Yönelik Toplu DDoS
Dünyadan DOS/DDOS Örnekleri
Dünyadan DDOS Örnekleri|Gürcistan
Dünyadan DDOS Örnekleri|Estonya
 Wikileaks DDoS Saldırıları
• Wikileaks olayının patlak vermesinden sonra çift
taraflı DDoS saldırıları başladı
– Bir taraf Wikileaks.org sistemlerine yönelik saldırı
başlattı
– Diğer taraf Wikileaks’e kapılarını kapatan
firmalara(Paypal, Visa...) yönelik saldırı başlattı

• Gönüllü BotNet kurulumu konusunda ilk defa bu

kadar yüksek seviyeye ulaşıldı!
– Gönüllü olarak botnete katılanların IP adresleri kayıt
altına alındı.
 Bize DDoS Yapılmaz Düşüncesi
• Dikkat çeken her sistem(sadece web sayfası değil)
eğer koruma altında değilse her an DDoS saldırısıyla
karşı karşıya kalabilir
• Yerli hackerlar henüz kurumsal sistemlere yönelik
saldırılara başlamadı
– Genellikle hosting firmalarına yönelik ve e-ticaret
sitelerine yönelik saldırılar görülmekte
DDoS Çeşitleri
En Sık Tercih Edilen DDoS Atak Tipleri
 DOS/DDOS Çeşitleri
• Bandwidth şişirme
– Udp flood, icmp flood (diğer tüm tipler)
• Kaynak tüketimi(Firewall, server)
– Synflood, ACK/FIN flood, GET/POST Flood, udp flood, Dns
flood
• Programsal hata
– Bind DOS
• Protokol istismarı
– DNS amplification DOS
• Sahte IP kullanımı/ Gerçek IP kullanımı
• Uygulama seviyesi DDoS atakları
 DDOS-I:Bandwidth Şişirme
• Önlemenin yolu yoktur
– Sürahi bardak ilişkisi
• ISP seviyesinde engellenebilir...
• L7 protokolleri kullanılarak yapılan DDOS’larda
saldırı trafiği çeşitli yöntemlerle ~6’da birine
düşürülebilir
– HTTP GET flood 400 Byte
– IP Engelleme sonrası sadece syn paketi gelir(60 byte)
 DDOS-II:Ağ/güvenlik Cihazlarını Yorma
• Amaç ağ-güvenlik sistemlerinin kapasitesini
zorlama ve kaldıramayacakları kadar yük
bindirme
• Session bilgisi tutan ağ/güvenlik
cihazlarının kapasitesi sınırlıdır
Max session 10.000.000
 Uygulama Seviyesi DDoS Atakları
• Son yıllarda tırmanışta
• Engellemesi diğer DDoS tiplerine oranla daha
zor/kolay
• IP spoofing yapılamaz
– Engelleme için avantaj.
• Normal bağlantılardan
ayırt etmek zorlaşıyor
 DDoS Saldırılarında Eski yöntemler
• DDoS saldırıları en çok 2000’li yıllarda medyanın
dikkatini çekmiştir
– Amazon
– Ebay
– Yahoo
– Root Dns saldırıları
• Günümüzdeki DDoS kaynaklarının çoğu eski tip
DDoS ataklarını ve araçlarını anlatır
• Günümüzde eski tip yöntem, araç kullanan DDoS
saldırılarına rastlamak çok zor
 Eski Yöntem DDoS Saldırıları
• Smurf
• Teardrop
• Ping Of Death
• Land Attack
 Smurf atağı
ICMP ve UDP Paketleri Broadcast olarak gönderilebilir

Tek bir paket gönderilerek milyonlarca cevap dönülmesi sağlanabilir(di)

 Smurf Atağı Artık Çalışmaz. Neden ?
• Tüm router ve işletim sistemleri default olarak
broadcaste gelen ICMP paketlerine cevap vermez!

root@seclabs:~# sysctl
net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1
Eski Araçlar...
 Günümüzde Tercih Edilen Yöntemler
• Eski araçlar, eski yöntemler günümüzde çalışmaz!
• Yeni Yöntemler
– SYN Flood *
– HTTP Get /Post Flood *
– UDP Flood *
– DNS Flood
– Amplification DNS DDoS saldırıları
– BGP protokolü kullanarak DOS
• * ‘lı saldırılar eskiden de yapılırdı.
 Yeni Araçlar
• Hping
• Juno (eski ama eskimeyen araç)
• Netstress 
• Günümüzde ciddi saldırılarda daha çok BotNet
yazılımları kullanılır
– Zeus Botnet
– Yes Exploit System
– Russ Kill
BotNet Yönetim Ekranı
Türkiye DDoS Anket Çalışması
 DDoS-BotNet Çalışma Grubu

• DDoS&BotNet konusundaki bilinç düzeyini arttırmak ve

bu konudaki gelişmeleri paylaşmak amacıyla 2010
yılında kurulmuştur.
– E-posta listesi ve çalışma grubu olarak faaliyet
göstermektedir.

• http://www.lifeoverip.net/ddos-listesi/ adresinden üye

olabilirsiniz.
– Sadece kurumsal katılıma açıktır.
 NetSec Ağ Ve Bilgi Güvenliği Topluluğu
• Türkiye’nin en geniş katılımlı bilgi güvenliği e-posta
listesi ve topluluğu
– ~950 üye
• Ücretsiz üye olabilirsiniz.
• Güvenlik dünyasında yayınlanan önemli haberler,
güvenlik yamaları ve birçok teknik konuda
tartışma...
• Üyelik için
– http://www.lifeoverip.net/netsec-listesi/
Bilgi Güvenliği AKADEMİSİ