DOS(Denial Of Service) = sistemleri çalışamaz halegetirmek için yapılan saldırı tipi.• DOS saldırılarında kaynak yüzlerce, binlerce farklısistem değildir.• Bazı saldırılar özünde DoS, sonuçlarına göreDDoS’tur– DDoS görünümlü DoS– Tek bir sistemden yapılan spoof edilmiş IP kullanılan SYNflood saldırıları gibi• DoS saldırılarını engelleme kolaydır

DDOS(Distrubuted Denial of Service ) =DağıtıkServis Engelleme• Binlerce, yüzbinlerce sistem kullanılarakgerçekleştirilir.• Genellikle sahte IP adresleri kullanılır• BotNet’ler kullanılır• Saldırgan kendini gizler• Engellemesi zordur!

Bizim Firewall tek başına DDoS’u engeller• Bizim IPS tek başına DOS/DDoS’u engeller• Linux DDoS’a karşı dayanıklıdır• Biz de DDoS engelleme ürünü var, korunuyoruz!– Yapılandırılmış mı? Test edilmiş mi?• Donanım tabanlı firewallar DDoS’u engeller• Bizde antivirüs programı var– Sistemlerimize kötücül yazılım bulaşmaz!• DOS/DDOS Engellenemez

DDoS saldırıları sizin trafiğinizden daha yüksekboyutta olduğu için engellenemez.• Yapılan çalışmalar DDoS saldırılarının çok küçükbir bölümünün bandwith şişirme yöntemiylegerçekleştirğini ortaya koymaktadır

Sistemlere sızma girişimi değildir!!• Bilgisayar sistemlerini ve bunlara ulaşımyollarını işlevsiz kılmak• Web sitelerinin ,E-postaların, telefonSistemlerinin, bankacılıksistemlerinin çalışmaması

Niye Yapılır?
Sistemde güvenlik açığı bulunamazsa zarar vermeamaçlı yapılabilir– Ya benimsin ya ...• Politik sebepler– Ülkeler arası anlaşmazlıklarda(Gürcistan, Estonya,İsrail...)• Ticari sebepler– Rakip firma, Google’da üstte çıkma• Can sıkıntısı & karizma amaçlı– Bahis amaçlı(forumlarda)

DoS Sadece Internette Mi Geçerlidir?
DoS bir saldırı şeklidir ve ağ kavramının geçerliolduğu her ortamda gerçekleştirilebilir.• Temel sebep protokol tasarımlarının günümüzehitap etmemesi• DoS saldırıları:– Yerel ağlarda gerçekleştirilebilir– Kablosuz ağlarda gerçekleştirilebilir– Internet üzerinden gerçekleştirilebilir

Yerel Ağlarda DoS Tehlikesi
Yerel ağlarda zorunlu kullanıma sahip ARPprotokolünün doğasında bulunan zaafiyetlerkullanılarak tek paketle tüm ağ işlevsiz kılınabilir.• Yerel ağdaki tüm sistemlere gateway sistemin MACadresi hatalı olarak bildirilirse– Tüm sistemler gatewaye ulaşmak isterken paketleri boşagider.• #nemesis arp -d eth0 -r -v -S 10.2.0.1 -D 10.2.0.255-H 00:01:02:03:04:05 -M FF:FF:FF:FF:FF:FF

Kablosuz Ağlarda DoS Tehlikesi
• Kablosuz ağlarda kullanılan güncelprotokollerde –ağda WEP/WPA/WPA2kullanılmasına bakmaksızın- DoS mümkündür• AccessPoint’den geliyormuş gibi tüm bağlıistemcilere de-auth paketleri gönderilir.

(ro)BOTNET(works)
Zombi(roBOT)lerdan oluşan yıkım orduları!• Her an emir almaya hazır sanal askerlerden oluşur• Uzaktan yönetilebilirler– Sahibi adına istenen bilgileri çalar, saldırı düzenler• Hiyerarşik yapıda değildir– Genelde tek bir yönetici/komutan olur• Internet üzerinde çeşitli amaçlar için satılmaktadı

Nasıl Yönetilir?
P2P, IRC, WEB, Twitter

Türkiye’den Güncel Örnek
Haziran ayında çok kullanılan blog/portalyazılımının Türkçe sayfası hacklendi• Hackerlar sisteme sızıp bir sonraki blog sürümüneuzaktan yönetim amaçlı kod eklediler• İlgili siteden portal yazılımını indiren herkes aynıanda sistemlerini hackerların yönetimine teslimetmiş oldu– Bu hacking olayını engelleyecek herhangi bir güvenlikcihazı yok

Dünyadan Güncel Örnek
Tüm dünyadakiwordpresskullanıcılarını tekseferde nasıl elegeçiririz?– “WP kodları içerisineyerleştirilecek ekkodlarla”– Wordpress indiripkuran, güncelleyenherkes zombi olur!

Nasıl Farkedilir?
Garip trafik davranışları– SPAM– DDoS• Belirli alan adlarına(BotNet yönetimsistemleri) gönderilen istekler– Zeus Tracker• Suç amaçlı kullanılan botnet yönetim IPadreslerine yapılan bağlantılar– Russian Business Network

Türkiye ve Dünyadan DDoS Örnekleri
Dönem dönem DDoS saldırıları medyanın ilgi odağıolmaktadır• 2000’li yıllarda Amazon, Ebay, Yahoo! Gibisistemlere yönelik saldırılar sonrası• 2007 Root DNS saldırıları• 2008- Gürcistan, Estonya siber saldırıları• 2010 Wikileaks, Mavi Marmara, Youtubeprotestosu!

Wikileaks DDoS Saldırıları
Wikileaks olayının patlak vermesinden sonra çifttaraflı DDoS saldırıları başladı– Bir taraf Wikileaks.org sistemlerine yönelik saldırıbaşlattı– Diğer taraf Wikileaks’e kapılarını kapatanfirmalara(Paypal, Visa...) yönelik saldırı başlattı• Gönüllü BotNet kurulumu konusunda ilk defa bukadar yüksek seviyeye ulaşıldı!– Gönüllü olarak botnete katılanların IP adresleri kayıtaltına alındı.

Bize DDoS Yapılmaz Düşüncesi
Dikkat çeken her sistem(sadece web sayfası değil)eğer koruma altında değilse her an DDoS saldırısıylakarşı karşıya kalabilir• Yerli hackerlar henüz kurumsal sistemlere yöneliksaldırılara başlamadı– Genellikle hosting firmalarına yönelik ve e-ticaretsitelerine yönelik saldırılar görülmekte

DOS/DDOS Çeşitleri
Bandwidth şişirme– Udp flood, icmp flood (diğer tüm tipler)• Kaynak tüketimi(Firewall, server)– Synflood, ACK/FIN flood, GET/POST Flood, udp flood, Dnsflood• Programsal hata– Bind DOS• Protokol istismarı– DNS amplification DOS• Sahte IP kullanımı/ Gerçek IP kullanımı• Uygulama seviyesi DDoS atakları

DDOS-I:Bandwidth Şişirme
Önlemenin yolu yoktur– Sürahi bardak ilişkisi• ISP seviyesinde engellenebilir...• L7 protokolleri kullanılarak yapılan DDOS’lardasaldırı trafiği çeşitli yöntemlerle ~6’da birinedüşürülebilir– HTTP GET flood 400 Byte– IP Engelleme sonrası sadece syn paketi gelir(60 byte)

DDOS-II:Ağ/güvenlik Cihazlarını Yorma
Amaç ağ-güvenlik sistemlerinin kapasitesinizorlama ve kaldıramayacakları kadar yükbindirme• Session bilgisi tutan ağ/güvenlikcihazlarının kapasitesi sınırlıdırMax session 10.000.000

Uygulama Seviyesi DDoS Atakları
Son yıllarda tırmanışta• Engellemesi diğer DDoS tiplerine oranla dahazor/kolay• IP spoofing yapılamaz– Engelleme için avantaj.• Normal bağlantılardanayırt etmek zorlaşıyor

DDoS Saldırılarında Eski yöntemler
DDoS saldırıları en çok 2000’li yıllarda medyanındikkatini çekmiştir– Amazon– Ebay– Yahoo– Root Dns saldırıları• Günümüzdeki DDoS kaynaklarının çoğu eski tipDDoS ataklarını ve araçlarını anlatır• Günümüzde eski tip yöntem, araç kullanan DDoSsaldırılarına rastlamak çok zor
Eski Yöntem DDoS Saldırıları
Smurf• Teardrop• Ping Of Death• Land Attack
Smurf Atağı Artık Çalışmaz. Neden ?
Tüm router ve işletim sistemleri default olarakbroadcaste gelen ICMP paketlerine cevap vermez!
Günümüzde Tercih Edilen Yöntemler
Eski araçlar, eski yöntemler günümüzde çalışmaz!• Yeni Yöntemler– SYN Flood *– HTTP Get /Post Flood *– UDP Flood *– DNS Flood– Amplification DNS DDoS saldırıları– BGP protokolü kullanarak DOS• * ‘lı saldırılar eskiden de yapılırdı.
Yeni Araçlar
Hping• Juno (eski ama eskimeyen araç)• Netstress • Günümüzde ciddi saldırılarda daha çok BotNetyazılımları kullanılır– Zeus Botnet– Yes Exploit System– Russ Kill