arbor se berk ankara
DESCRIPTION
güncelTRANSCRIPT
DEMO
Berk Benli - Bilgi Güvenliği Danışmanı Email: [email protected]
DDoS Nedir ?
DDoS Nasıl Çalışır ?
Bot Master
C&C Sunucusu
C&C Sunucusu
BOT BOT BOT BOT BOT BOT BOT BOT
HEDEF
Zombi
Botlar ve Botnetler
Botnet 100.000’den fazla bot içerebilir
Bir web sayfasını offline yapmanın bedeli
1 saat : 10 USD Tüm gün: 70 USD 1 hafta : 400 USD
Atak için neden Bot kullanılır? -Ucuz -Pratik olarak takip edilmesi ve bulunması nerdeyse olanaksız -Atak sonrasında botları temizlemek ve kurtulmaya çalışma derdi yok.
DDoS Kimin Umrunda
400 bin liralık çökertme! THY'nin 6 saat fişinin çekilmesi büyük zarara yol açtı. THY saldıranları tespit ederse dava açacak
THY 6 saatte 400 bin lira zarar etti
CNNTurk: ‘’Anonymous TİB'e saldırdı’’
İçişleri Bakanlığı da saldırı altında!
DDoS Kimin Umrunda
Her Kurum DDoS Saldırılarının Hedefi Olabilir!
Finans Sektörü & Online Bankacılık
Sağlık Sektörü
Online Ticaret & Oyunlar
Kamu & Kamu kuruluşları
Eğitim Online Hizmetler& Siteler
DDoS Kimin Umrunda
DDoS Atak Örnekleri: Finans Sektörü Hedef Kurumlar: -Global Bankalar -Kredi Kartı Kuruluşları -Para Transfer Kuruluşları -Borsa ile ilgili hizmetler
Motivasyon: -Pazar Manipülasyonu -Hacktivizm -Protesto
DDoS Kimin Umrunda
DDoS Atak Örnekleri: Kamu Sektörü Hedef Kurumlar: -Devlet ve devlet kurumları -Partiler veya Politikacılar -Kamu sektoru web sayfaları
Motivasyon: -Siber-Savaş -Hacktivizm -Protesto -Politik kazanç
Arbor Kimdir – DDoS Hakkında Ne Bilir? Tüm dünyada Arbor müşterisi olan Tier 1 Servise Sağlayıcıların oranı
Arbor ürünü kurulu ülke sayısı
Arbor Atlas Güvenlik İstihbarat Sistemi tarafından denetlenen trafik Global Internet trafiğinin %25’i.
12 Arbor’ın DDoS güvenliği ve ağ denetimi alanında hizmet verdiği yıl
Arbor’ı portfoyünde bulunduran Danaher’in 2011 cirosu
2011 yılı Infonetics Pazar Araştırması sonucuna göre DDoS pazarında %70 pay sahipliği ile Lider.
Arbor Kimdir – DDoS Hakkında Ne Bilir?
En Büyük Ataklar - Gbps
Worldwide infrastructure security report, 7th edition: - Atakların %13’ü 10 Gbps’ın üzerinde - Atakların %40’ı 1 Gbps’ın üzerinde - 35 Mpps – raporlanan en yuksek pps değeri
Volümetrik/Hacimsel Ataklar
Uygulama Katmanı – Akıllı Ataklar
Uygulama katmanındaki açıklara yönelik bir saldırıdır. Genellikle Switch veya Routerlar etkilenmez çünkü yanlızca belirli bir uygulama ve servis içindir. Hedeflediği servisi çökertmek amaçlıdır. (HTTP,HTTPS,DNS, vb.) Örnek: Slowloris,DNS atack,vb
Neden Firewall ve IDS/IPS’ler DDoS’a Karşı Savunmasız
• İzin verilen her oturum FW’un state tablosuna yazılır.
• FW kuralları her oturumu ayrı değerlendirir yani DDoS gerçekleşirken haberi olmaz. – Üzerinde DDoS koruması olan FW’lar var fakat atak yapan kişiler oturumları
kapatmayarak FW state tablosundan silinmeden istedikleri gibi geçebiliyorlar.
• En iyi ihtimalle, FW yanlızca kendisini DDoS saldırısından koruyabilir. Arkasındaki serverları kouryamazlar.
Peki NextGeneration FW’lar
• Geleneksel FW’lardan daha da fazla savunmasızdırlar.
• Geleneksel FW’lara göre daha fazla state tablosunu doldururlar çünkü yanlızca IP header bilgisi değil, uygulama kontrol bilgilerinide tutmak zorundalar
• Full Packet Inspection özelliği için stateful/durumsal bir şekilde hem giden hem de gelen paketleri incelemeleri gerekirve bu işlem çok yuksek miktarda işlemci gücü demektir.
• Yanlızca en çok bilinen ve kolay tespit edilebilen ataklara karşı etkilidirler.
– Örn SYN Flood, ICMP Flood.
– Yine FW’lar gibi Yeni Nesil FW’lar da DDoS’a karşı sadece kendilerini koruyabilirler, arkadaki sunucuları değil.
Arbor ERİŞİLEBİLİRLİĞİ Korur!
Bilgi Güvenliği Üçgeni
FW, NextFW ve IPS’ler ile çoğu kurum verilerin gizliliği ve bütünlüğünü koruma altına almaya çalışıyor. Erişilebilirlik korunamadığı zaman güvenlik üçgeni tamamlanmamış olur.
DDoS
Atakları Doğru Yerde Engellemek
20
ISP 2
ISP 1
ISP n
ISP
Firewall IPS
Load Balancer
Target Applications &
Services
DATA CENTER
Peakflow
SP/TMS
Atak Temizleme Merkezi
Cloud Signaling
Servis Sağlayıcı
Bulutunda
DDoS Koruması
Uygulama– L7
DDoS Koruması
Pravail APS
ATLAS Update: Turkey
November 2012
The Worldwide Infrastructure Security Report
Annual Survey – 7th Edition released last year, 8th edition currently under preparation
Comprehensive demographics – 114 Respondents
– 54% Service Providers – 15% Hosting/Datacenters – Large Enterprises, Government, Education, etc.
– Truly global reach – 41% EMEA – 28% US and Canada – 11% Latin America – 20% APAC
– Technical focus – 77% network, security, operations engineers, analysts or architects – 23% management or executives
– www.arbornetworks.com/report
Large Attacks are Now Commonplace
• 13% of respondents report attacks above 10 Gbps
• 40% of respondents report attacks above 1 Gbps
• Largest pps attack reported is 35 Mpps
The Arbor ATLAS Initiative: Internet Trends
240+ ISPs sharing real-time data - > ATLAS Internet Trends – Automated hourly export of data to Arbor server (HTTPS) – File is anonymous, only tagged with
– User Specified Region, e.g. Europe – Provider Type (self categorized), e.g. Tier 1
Data derived from Flow / BGP / SNMP correlation – Arbor Peakflow SP product
– Correlates Sampled Flow / BGP in real-time – Network / Router / Interface etc. Traffic Reporting – Threat Detection (DDoS / infected subscribers)
ATLAS currently monitoring a peak of 37.8 Tbps (peak) across all
respondents.
- A significant proportion of Internet traffic
ATLAS view of Turkey, Nov ‘11 – Oct ‘12
• DDoS against Turkey – Identified attacks: 469
– Largest: 46.78 Gbps, 54.143 Mpps • Traffic flood, mix of protocols
• Turkey as source(*) of attacks – 473 attacks identified
– Largest: 60.004 Gbps / 6.377 Mpps • UDP flood / SYN flood
– (*) beware of address spoofing!
Size of attacks: Gbps
< 1Gbps; 84,6%
< 2Gbps; 5,5%
< 5Gbps; 5,8%
< 10Gbps; 1,5%
< 20Gbps; 2,1% > 20Gbps;
0,4%
Size of attacks: Mpps
< 1Mpps; 74,8%
< 2Mpps; 17,5%
< 5Mpps; 6,2%
< 10Mpps; 1,1% > 20Mpps;
0,4%
Duration of attacks
< 30'; 69,7%
< 60'; 14,7%
< 3h; 9,8%
< 6h; 3,2% < 24h; 0,9% > 24h; 0,6% < 12h, 1.1%
Destination ports
• Out of 381 attacks identified (mainly) towards a single port, 64.6% targeted port 80
• Out of the remaining 135 attacks, the most notable ports are:
0,0%
1,0%
2,0%
3,0%
4,0%
5,0%
6,0%
32% of attacks targeting port
80, identical to 2011
Percentage of attacks
targeting port 53 up from
10.5% to 15.2%
Global target ports (or: how it will change for you)
Worldwide ATLAS statistics 2011 vs. Q1-Q3 2012
Broad spread of ‘other’ ports.
Ports 443 (1.9%) and 3074 (1.2%)
are singled out for the first time
3074 = Xbox Live
DEMO
DEMO
DEMO
Teşekkürler ddos.arbor.net atlas.arbor.net [email protected]