DEMO

Berk Benli - Bilgi Güvenliği Danışmanı Email: berk.benli@inforte.com.tr

DDoS Nedir ?

DDoS Nasıl Çalışır ?

Bot Master

C&C Sunucusu

C&C Sunucusu

BOT BOT BOT BOT BOT BOT BOT BOT

HEDEF

Zombi

Botlar ve Botnetler

Botnet 100.000’den fazla bot içerebilir

Bir web sayfasını offline yapmanın bedeli

1 saat : 10 USD Tüm gün: 70 USD 1 hafta : 400 USD

Atak için neden Bot kullanılır? -Ucuz -Pratik olarak takip edilmesi ve bulunması nerdeyse olanaksız -Atak sonrasında botları temizlemek ve kurtulmaya çalışma derdi yok.

DDoS Kimin Umrunda

400 bin liralık çökertme! THY'nin 6 saat fişinin çekilmesi büyük zarara yol açtı. THY saldıranları tespit ederse dava açacak

THY 6 saatte 400 bin lira zarar etti

CNNTurk: ‘’Anonymous TİB'e saldırdı’’

İçişleri Bakanlığı da saldırı altında!

DDoS Kimin Umrunda

Her Kurum DDoS Saldırılarının Hedefi Olabilir!

Finans Sektörü & Online Bankacılık

Sağlık Sektörü

Online Ticaret & Oyunlar

Kamu & Kamu kuruluşları

Eğitim Online Hizmetler& Siteler

DDoS Kimin Umrunda

DDoS Atak Örnekleri: Finans Sektörü Hedef Kurumlar: -Global Bankalar -Kredi Kartı Kuruluşları -Para Transfer Kuruluşları -Borsa ile ilgili hizmetler

Motivasyon: -Pazar Manipülasyonu -Hacktivizm -Protesto

DDoS Kimin Umrunda

DDoS Atak Örnekleri: Kamu Sektörü Hedef Kurumlar: -Devlet ve devlet kurumları -Partiler veya Politikacılar -Kamu sektoru web sayfaları

Motivasyon: -Siber-Savaş -Hacktivizm -Protesto -Politik kazanç

Arbor Kimdir – DDoS Hakkında Ne Bilir? Tüm dünyada Arbor müşterisi olan Tier 1 Servise Sağlayıcıların oranı

Arbor ürünü kurulu ülke sayısı

Arbor Atlas Güvenlik İstihbarat Sistemi tarafından denetlenen trafik Global Internet trafiğinin %25’i.

12 Arbor’ın DDoS güvenliği ve ağ denetimi alanında hizmet verdiği yıl

Arbor’ı portfoyünde bulunduran Danaher’in 2011 cirosu

2011 yılı Infonetics Pazar Araştırması sonucuna göre DDoS pazarında %70 pay sahipliği ile Lider.

Arbor Kimdir – DDoS Hakkında Ne Bilir?

En Büyük Ataklar - Gbps

Worldwide infrastructure security report, 7th edition: - Atakların %13’ü 10 Gbps’ın üzerinde - Atakların %40’ı 1 Gbps’ın üzerinde - 35 Mpps – raporlanan en yuksek pps değeri

Volümetrik/Hacimsel Ataklar

Uygulama Katmanı – Akıllı Ataklar

Uygulama katmanındaki açıklara yönelik bir saldırıdır. Genellikle Switch veya Routerlar etkilenmez çünkü yanlızca belirli bir uygulama ve servis içindir. Hedeflediği servisi çökertmek amaçlıdır. (HTTP,HTTPS,DNS, vb.) Örnek: Slowloris,DNS atack,vb

Neden Firewall ve IDS/IPS’ler DDoS’a Karşı Savunmasız

• İzin verilen her oturum FW’un state tablosuna yazılır.

• FW kuralları her oturumu ayrı değerlendirir yani DDoS gerçekleşirken haberi olmaz. – Üzerinde DDoS koruması olan FW’lar var fakat atak yapan kişiler oturumları

kapatmayarak FW state tablosundan silinmeden istedikleri gibi geçebiliyorlar.

• En iyi ihtimalle, FW yanlızca kendisini DDoS saldırısından koruyabilir. Arkasındaki serverları kouryamazlar.

Peki NextGeneration FW’lar

• Geleneksel FW’lardan daha da fazla savunmasızdırlar.

• Geleneksel FW’lara göre daha fazla state tablosunu doldururlar çünkü yanlızca IP header bilgisi değil, uygulama kontrol bilgilerinide tutmak zorundalar

• Full Packet Inspection özelliği için stateful/durumsal bir şekilde hem giden hem de gelen paketleri incelemeleri gerekirve bu işlem çok yuksek miktarda işlemci gücü demektir.

• Yanlızca en çok bilinen ve kolay tespit edilebilen ataklara karşı etkilidirler.

– Örn SYN Flood, ICMP Flood.

– Yine FW’lar gibi Yeni Nesil FW’lar da DDoS’a karşı sadece kendilerini koruyabilirler, arkadaki sunucuları değil.

Arbor ERİŞİLEBİLİRLİĞİ Korur!

Bilgi Güvenliği Üçgeni

FW, NextFW ve IPS’ler ile çoğu kurum verilerin gizliliği ve bütünlüğünü koruma altına almaya çalışıyor. Erişilebilirlik korunamadığı zaman güvenlik üçgeni tamamlanmamış olur.

DDoS

Atakları Doğru Yerde Engellemek

20

ISP 2

ISP 1

ISP n

ISP

Firewall IPS

Load Balancer

Target Applications &

Services

DATA CENTER

Peakflow

SP/TMS

Atak Temizleme Merkezi

Cloud Signaling

Servis Sağlayıcı

Bulutunda

DDoS Koruması

Uygulama– L7

DDoS Koruması

Pravail APS

ATLAS Update: Turkey

November 2012

The Worldwide Infrastructure Security Report

Annual Survey – 7th Edition released last year, 8th edition currently under preparation

Comprehensive demographics – 114 Respondents

– 54% Service Providers – 15% Hosting/Datacenters – Large Enterprises, Government, Education, etc.

– Truly global reach – 41% EMEA – 28% US and Canada – 11% Latin America – 20% APAC

– Technical focus – 77% network, security, operations engineers, analysts or architects – 23% management or executives

– www.arbornetworks.com/report

Large Attacks are Now Commonplace

• 13% of respondents report attacks above 10 Gbps

• 40% of respondents report attacks above 1 Gbps

• Largest pps attack reported is 35 Mpps

The Arbor ATLAS Initiative: Internet Trends

240+ ISPs sharing real-time data - > ATLAS Internet Trends – Automated hourly export of data to Arbor server (HTTPS) – File is anonymous, only tagged with

– User Specified Region, e.g. Europe – Provider Type (self categorized), e.g. Tier 1

Data derived from Flow / BGP / SNMP correlation – Arbor Peakflow SP product

– Correlates Sampled Flow / BGP in real-time – Network / Router / Interface etc. Traffic Reporting – Threat Detection (DDoS / infected subscribers)

ATLAS currently monitoring a peak of 37.8 Tbps (peak) across all

respondents.

- A significant proportion of Internet traffic

ATLAS view of Turkey, Nov ‘11 – Oct ‘12

• DDoS against Turkey – Identified attacks: 469

– Largest: 46.78 Gbps, 54.143 Mpps • Traffic flood, mix of protocols

• Turkey as source(*) of attacks – 473 attacks identified

– Largest: 60.004 Gbps / 6.377 Mpps • UDP flood / SYN flood

– (*) beware of address spoofing!

Size of attacks: Gbps

< 1Gbps; 84,6%

< 2Gbps; 5,5%

< 5Gbps; 5,8%

< 10Gbps; 1,5%

< 20Gbps; 2,1% > 20Gbps;

0,4%

Size of attacks: Mpps

< 1Mpps; 74,8%

< 2Mpps; 17,5%

< 5Mpps; 6,2%

< 10Mpps; 1,1% > 20Mpps;

0,4%

Duration of attacks

< 30'; 69,7%

< 60'; 14,7%

< 3h; 9,8%

< 6h; 3,2% < 24h; 0,9% > 24h; 0,6% < 12h, 1.1%

Destination ports

• Out of 381 attacks identified (mainly) towards a single port, 64.6% targeted port 80

• Out of the remaining 135 attacks, the most notable ports are:

0,0%

1,0%

2,0%

3,0%

4,0%

5,0%

6,0%

32% of attacks targeting port

80, identical to 2011

Percentage of attacks

targeting port 53 up from

10.5% to 15.2%

Global target ports (or: how it will change for you)

Worldwide ATLAS statistics 2011 vs. Q1-Q3 2012

Broad spread of ‘other’ ports.

Ports 443 (1.9%) and 3074 (1.2%)

are singled out for the first time

3074 = Xbox Live

DEMO

DEMO

DEMO

Teşekkürler ddos.arbor.net atlas.arbor.net berk.benli@gmail.com