BGA 2011 DDoS Pentest ve Analiz Raporu

BGA danışmanlık ekibinin 2011 yılı iş planları arasında  DDoS testleri, DDoS koruması ve saldırı analizi önemli yer tutmuştur. Bu yazıda  BGA danışmanlık hizmetleri kapsamında 2011 yılında gerçekleştirilen DDoS pentest & analiz çalışmalarına ait bazı istatistiksel değerler paylaşılacaktır.

BGA DDoS Pentest Hizmeti

Hedef sistemlerin internet üzerinden gelebilecek herhangi bir ddos saldırısına karşı durumlarını ortaya çıkarmak amaçlı gerçekleştirilen hizmettir. DdoS pentest hizmeti klasik araçlarla gerçekleştirilen “performans testleri“den oldukça farklıdır. Birçok kişi/firmanın test ederek onay verdiği sistemler(bilinen DDoS engelleme sistemleri) BGA DDoS pentest çalışması sonrası başarısız şekilde raporlanmıştır. Bu testlere ülkemizde sık tercih edilen  ve telekom altyapılarında kullanılan DDoS hizmetleri de dahildir. Bir çok kurum altyapı hizmeti aldığı ISP’nin sunduğu DDoS hizmetini BGA’ya test ettirerek karar vermektedir.

Performans testleri, hping, isic, mz gibi araçlarla gerçekleştirilir ve amacı hedef sistemi DDoS’a karşı dayanıklılığını ölçmek değil daha çok ara güvenlik cihazlarının kapasite sınırlarını zorlamaktır. DDoS pentest çalışmalarında amaç hedef sistemin barındırdığı tüm bileşenleri bir bütün olarak düşünüp erişilemez kılmaktır. Bunun için öncelikli olarak hedef sisteme yönelik detaylı bir ağ keşif çalışması gerçekleştirilir ve zayıf noktalar belirlendikten sonra saldırı aşamasına geçilir.

BGA DDoS pentest hizmetlerinde açık kaynak kodlu trafik üretme araçlarının yanında bu iş için özel olarak yazılmış Netstress yazılımı kullanılmaktadır ve testler kapsamında 65 farklı deneme gerçekleştirilmektedir.

 

En Yüksek DDoS Saldırısı

DDoS Pentest ve saldırı analizi raporlarında saldırıların şiddetini iki farklı ölçü birimiyle ifade ediyoruz. Bunlardan ilki gelen saldırının trafik değeri (Bps cinsinden) ikicisi gelen saldırının paket sayısı (PPS=packet per second).

İncelediğimiz en yüksek seviyeli saldırıda kullanılan bandwidth miktarı 4.8 Gbps, anlık paket sayısı en fazla 1.3 milyon (1.3 million pps). Bu saldırıda hedef bir banka ağıydı ve banka çok kısa bir sürede internet üzerinden erişilemez duruma geldi. Banka ağı hizmet alınan ISP tarafından DDoS korumasına dahil edilmiş ve aktif koruma halindeydi.

Gelen saldırının tipi önce SYN flood şeklinde ardından DNS flood ve HTTP GET flood şeklinde devam etmiştir.

Günümüz 10 Gbps’lik  güvenlik duvarlarının anlık paket işleme ve oturum tablosu değerlerinin 2 milyon seviyelerinde olduğu düşünülürse klasik Firewall/IPS kullanarak bu tip yüksek seviye saldırıları engellemek genellikle mümkün olamamaktadır.

 

En İlginç DDoS Saldırısı

Türk Telekom, Google ve OpenDNS ip adreslerini spoof ederek gerçekleştirilmiş 200.000 pps değerindeki DNS flood saldırısıdır. Bu saldırı tipinde kaynak ip adresini engelleyerek bir çözüme ulaşmak gerçek kullanıcıların da Türk Telekom, Google ve OpenDNS kullandığı düşünülürsel pek mümkün olmamaktadır.

Geçici çözüm olarak bir script aracılığı ile saldırı yapılan alan adı bu dns sunucuların cache’ini eklettirilmiş (ve saat başı tekrar eklenmesi sağlanmış) bunun ardından DNS sunuculardan gelen tüm trafik omurga yönlendirici cihazlarda kesilmiştir.

 

En Uzun/Kısa Süreli DDoS Saldırısı

En kısa DDoS saldırısı 2.5 dakika, en uzun DDoS saldırısı 22 gün (E-ticaret sitesi) gerçekleştirildi. 22 gün boyunca sitenin işleyişi %80 civarında dolaşmıştır. E-ticaret sitesine saldıran saldırgan bilinen tüm DDoS yöntemlerini sırasıyla deneyerek ciddi zorluklar yaşanmasına sebep olmuştur. Saldırılarda dogrudan Türkiye’deki Botnetlerden kullanılmış ve ortalama bot sayısı 20.000-27.000 olarak kaydedilmiştir.

 

DDoS Saldırılarında Kullanılan Protokol Oranı

Genellikle saldırılar TCP ve UDP protokolleri üzerinden gelmektedir. ICMP üzerinden gelen bir adet saldırı olmasına rağmen 0 etki seviyesinde kaldığı için rapora eklenmemiştir. Özellikle SYN flood saldırısının çok tercih edilmesi nedeniyle TCP oranı daha yüksek çıkmıştır.

DDoS Saldırı Tipi Oranları

Genellikle saldırılar en kolay DDoS saldırısı olarak kabul edilen SYN flood tipinde gelmektedir. Bu saldırıyı gerçekleştirmek ne kadar kolaysa (./juno hedef_ip hedef_port) saldırıları engellemek de o derecede kolaydır (Syn cookie, syn proxy). Oranı az olmasına rağmen en etkili saldırı tipi HTTP flood ve DNS flood’dır.

HTTP flood saldırı tipini engellediğini iddia eden çoğu sistem aynı zamanda normal kullanıcı bağlantılarını da engelleyebilmektedir(false positive oranı %3-%10 seviyelerinde).

 

Botnet Kullanım Oranı

Saldırı analizlerinde BotNet kullanımı belirlemek için çeşitli algoritmalar kullanılmaktadır. Bunlardan en temel ve basit olanı TCP üzerinden gelen saldırılarda aynı ip adresinden gelen paket sayısının belirlenmesi ve SYN/SYN/ACK, SYN/FIN paketlerinin karşılaştırılmasıdır.  HTTP GET flood gibi saldırılar sadece botnet üzerinden gelebileceği için son zamanlarda klasik tek bilgisayardan yapılan DoS saldırıları değil de dağıtık yapıda gerçekleştirilen DDoS saldırılarına rastlanılmaktadır.

Botnetlerin genel kaynakları incelendiğinde yüksek bir oranda Türkiye ve uzak doğu ülkeleri çıkmaktadır. Ortalama bir tahminle Türkiye’de anlık 200.000 üzerinde canlı zombi sistem bulunmaktadır.

Botnet fiyatlarının ciddi oranlarda artış göstermesi ve gigabit bağlantılara sahip sunucuların daha ucuza elde edilmesi -hacklenme, satın alma- nedeniyle Botnet tabanlı saldırılardan sunucu tabanlı saldırılara doğru bir artışın olacağını tahmin ediyoruz.

 

 

Sahte IP (IP Spoofing) Kullanım Oranı

Botnet kullanım oranı yüksek görünse de botnetler üzerinden gelen HTTP Flood isteklerinde gerçek ip kullanım zorunluluğu vardır, diğer saldırı tiplerinde sahte ip kullanılabildiği için sahte ip oranı daha yüksek çıkmaktadır. Türkiye’ye özel bir durum olarak son kullanıcı bilgisayarlarından oluşan botnetler üzerinden sahte ip kullanarak saldırı gerçekleştirmek neredeyse imkansız hale gelmiştir (kullanılan NAT özellikli modemler dolayısıyla)

IP spoofingi engelleme ISP seviyesinde mümkün olsa da DDoS engelleme sistemine kadar gelmiş paketlerin sahte/gerçek olduklarını belirlemek oldukça zordur(özellikle udp tabanlı protokoller için)

 

 

DDoS Engelleme Sistemi Kullanım Oranları 

Genel olarak önceki yıllara göre kurumların çoğu DDoS konusunda daha bilinçli ve hazırlıklı fakat burada sık tekrar edilen hata DDoS’u sadece bir bandwidth problemi olarak görmek ve işi hizmet alınan ISP’e bırakmak şeklinde olmaktadır. DDoS bir bandwidth problemi değildir -daha doğrusu sadece bandwidth problemi değildir- aksine bir altyapı problemidir ve altyapı iyileştirmeleri olmadan tek başına ürünler işe yaramayacaktır.

DDoS’u klasik Firewall, IPS gibi ürünlerle çözmek sık karşılaşılan durumlardan olsa da bilinç seviyesi arttıkça bu tip yamalı çözümlerden vazgeçildiği görülmektedir.

DDoS’a Dayanıklılık Oranları

Teste tabi tutulan 100’e yakın sistem (aralarında hemen her tür ölçekte kurum ve şirket bulunmaktadır) sonrası aşağıdaki gibi bir grafik ortaya çıkmaktadır. Bu grafiğin anlamı kısaca şudur: Türkiye’de elinde 1-2Gbps trafik üretebilecek kapasitede botnet’i  olan herkes istediği sistemi internet üzerinden erişilemez kılabilir.

Özellikle bankacılık ve e-ticaret hizmeti veren sitelerin bu tip saldırılar karşısında daha dayanıklı olması beklenirken DDoS sadece bir iki ürün alarak geçiştirilebilecek bir saldırı tipi olarak görüldüğü için saldırılar karşısında başarısız sistemlerin sayısı artmaktadır.

Bu grafikteki değerlere Türkiye’deki ISP’ler tarafından çeşitli ürünlerle korunan sistemler de dahildir.

 

 

SYN Flood Dayanıklılık Oranı 

 

UDP Flood Dayanıklılık Oranı 

 

DNS Flood Dayanıklılık Oranı  

 

 

Sonuç

DDoS, klasik saldırılardan farklı olarak etkisinin hemen görülmesi(sistemin erişilemez olması) ve altyapı problemi olması nedeniyle sadece cihaz alarak geçiştirilemeyecek bir problemdir ve bu konuda en önemli iki bileşenden biri TCP/IP bilgisi sağlam ağ/güvenlik uzmanları ( elindeki DDoS engelleme sistemini klasik bir Firewall gibi yönetmeyecek ağ uzmanları) diğeri de  sadece DDoS’a özel cihazların kullanımıdır.

5 Yorum

  1. fce 25 Mayıs 2012 23:14

    Doğrusu parayla satın alınamayacak bilgileri paylaşmışsınız 🙂 Elinize sağlık.

  2. bga 15 Mayıs 2012 21:13

    DNS sunucular yurtdışında tutuluyordu.
    Saldırının başarılı olup olmadığını farklı protokoller için farklı sekillerde belirliyoruz. Mesela web sunucuya yonelik bir atağın sonucunu farklı ISP'lerde konumlandırılan sunuculardan çalıştırdığımız scriptlerle RTT değerlerini ölçerek belirliyoruz. DNS için de yine farklı noktalardan yapılan dns isteklerine donen cevaplarda -dönmeyen cevaplardan- belirleniyor.

  3. Necati Demir 13 Mayıs 2012 13:06

    "%1 oradan -> %1 oranda"

  4. Necati Demir 13 Mayıs 2012 13:03

    En sondaki grafiğe göre %1 oradan DNS Flood'a karşı koruma mevcut. Bu korumayı nasıl sağlamışlar?

    Ayrıca bir saldırının (testin) başarılı ya da başarısız olduğunun cevabını nasıl veriyorsunuz? Örneğin saldırı esnasında eğer herhangi bir client istekte bulunuyorsa ve isteğinin cevabını alıyorsa o zaman bu saldırı başarısız bir saldırıdır mı diyorsunuz?

  5. Bedri 11 Nisan 2012 12:53

    Bilgine sağlık.Güzel yazı olmuş hocam.

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.