[Owasp-turkey] Under DDos Attack

Ferruh Mavituna ferruh at mavituna.com
Wed Nov 5 04:29:04 EST 2008


Anladim,

Diger bir soru uygulama gerekenden fazla CPU harciyor mu? Cok yuksek
database prosesi gerektiren islemler var mi? Ya da yogun islem yapan PHP
sayfalari. Eger GET yapilan sayfa sitenin en sayfasi ise o sayfayi
cachelemek mumkun mu? IP ler duzenli degisiyor olamaz eminim ki ayni IPler
bloklanana kadar GET islemine devam ediyordur. Dolayisiyla ayni IP adresi
dakika icerisin atiyorum 30 istek yaparsa o kisiyi direk bloklayabilirsin,
ya da CAPTCHA vs. gibi onay isteyen bir ekran gosterebilir ve eger onay
vermezse bu kisi, onu bloklarsin (bu blok firewall  seviyesinde daha iyi
olur ama teknik olarak zor olursa uygulama seviyesindeki blokta yetecektir)

Ikinci olarak sanirim Apache icin benzer bir cok mod var
http://www.zdziarski.com/projects/mod_evasive/ gibi bir mod isini gorebilir.

Ucuncu olarak GET isteklerini incele, eger bariz be benzerlik varsa direk
ona gore bloklama yap. Mesela sacma bir user-agent, ya da language header' i
yoksa, ya da accept yoksa vs. Bu bazi kisileri yanlislikla bloklamaya neden
olabilir ama sanirim bu tip bir zamanda 3-5 kisiyi kaybetmek herkesi
kaybetmekten daha iyi bir secim olacaktir.

Ozelikle 3. oneri cok isine yarayabilir, saldiri yapanlarin isteklerini cok
detayli incelemek ve bir pattern yakalamay calismak onemli bir nokta. Onlar
saldiriyi degistirebilirler ama bunu anlamalari ve cozmeleri bile cok uzun
surecektir.

Iyi Calismalar,

2008/11/4 Musa Ulker <musaulker at gmail.com>

> Tekrar merhabalar,
>
> Ferruh; Çok ilginçtir denediğim modlar kaldıramadı apachede ciddi yük
> durmaya devam etti.  Buradaki bottleneck software firewall atakları
> durdurmadı yeterli olmadı. Yüklenen ip sayısı başta 1 5 10 diye değil
> de aynı anda 100+ şeklinde olunca ve iplerde değiştiği için çok kısa
> aralıklarla (1dkdan az süre için) yeni ipleri yakalayamadı ve
> apacheyi, apachede çalışan uygulama da mysql i kilitledi..
>
> Benim örnek verdiğim %30 sadece bir tane apache forku için. Maksimum
> olanı içindi. Firewall çalışmadan sistem kitleniyordu, ssha bile
> erişilmiyordu. Firewallla CPU kullanımı %80-85 civarında seyretmeye
> başladı. Aynı anda mevcut 80 portuna connection sayısı 200+
> civarındaydı..
>
> Saldırı detayı: Connect flood. Sürekli GET isteği. Saldırı çalışan
> uygulama üzerinden mysql i devre dışı bırakmaya yönelik olduğunu
> düşünüyorum. Daha önceden benzer bir saldırrıyla karşılaşmıştım..
> Gelen paketler gayet normal gözüküyor. Arada malformed requestlerde
> geliyordu ama başka bir kaynaktan olabilir.
>
> Kubilay; Rusya IP blokları konusunda araştırma yaparken şöyle bir
> siteyle karşılaştım, incelemenizi tavsiye ederim:
> http://www.countryipblocks.net/
>
> Bedirhan; Apache KeepAlive konfigurasyonda kapalıydı. Apache backdoor
> module gibi birşeyler buldum ama bulduğum apache üzerinden backdoor
> açan bir moduledu. Senin bahsettiğin modülü paylaşır mısın?
>
> DNS güncellemsi aklıma geldi ama zararlarını kıyaslayınca çözümler
> arasından çıkardım..
>
> Aklın yolu bir: HW firewallarla çözüldü olay. Reverse proxy ile başka
> bir sunucuya yönlendirildi istekler ve o sunucu önünde Layer 7
> filtering yapıldı. (Juniper üzerinden custom filterlarla)
>
> Herkese gösterdiği açılımlar ve verdiği cevaplardan dolayı teşekkür
> ediyorum..
>
> Selamlar,
>
> M.Musa Ülker
>
>
> 2008/11/4 Ferruh Mavituna <ferruh at mavituna.com>:
> > Merhabalar Musa,
> >
> > Benim merak ettigim esas kilit noktasi neresi? (gavurlarin tabiri ile
> > bottleneck). Yani application da mi is kitleniyor, ondeki firewall mu
> > sapitmaya basliyor, load balancer mi vs. ?
> >
> > Apache process' i %30 ise , uygulamada veya Apache de bir sorun  yok diye
> > varsayiyorum. Database server ne alemde onda da ciddi bir yuklenme yok
> mu?
> >
> > Bir de saldirinin detaylari ne? Syn-flood, connect-flood, yogun
> application
> > istekleri (HTTP vs.)?  veya baska bir port acikta onun uzerinden mi bir
> sey
> > yapiliyor? gelen paketlerin tum degerleri normal mi? Mesela tuhaf window
> > size lari var mi vs.
> >
> > Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu bilgileri
> > verirsen daha detayli yardimci olunabilir sanirim.
> >
> > Iyi Calismalar,
> >
> > 2008/11/4 Musa Ulker <musaulker at gmail.com>
> >>
> >> Merhabalar,
> >>
> >> Dedicated bir sunucuya bir çok koldan DDos saldırısı
> >> gerçekleştiriliyor. En çok yük Apache üzerinde. Apache CPU load'ı %30u
> >> geçebiliyor farklı apache processleri çalışıyor. Türlü çalışmalar
> >> yaptım; firewallar (salt iptables, apf, csf vs) denedim, ddos
> >> protectionları test ettim ama saldırıyı tam olarak kesemedim. Birazcık
> >> yükü hafifletebildim. Zombie makinalar üzerinden saldırı halen devam
> >> ediyor.
> >>
> >> Bu konuda nasıl bir yol izlemem gerekiyor?
> >>
> >> Teşekkürler
> >>
> >> --
> >> M.Musa Ülker
> >> _______________________________________________
> >> Owasp-turkey mailing list
> >> Owasp-turkey at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> > --
> > Ferruh Mavituna
> > http://ferruh.mavituna.com
> >
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081105/639d34ca/attachment.html 


More information about the Owasp-turkey mailing list