[Owasp-turkey] [netsec] Re: Under DDos Attack

Huzeyfe ONAL huzeyfe at lifeoverip.net
Wed Nov 5 11:53:56 EST 2008


Musa selamlar,

mumkunse kullanilan software firewall'un ismini ogrenebilir miyim? Zira 
bana degerler cok az geldi. Yani en basit Firewall bile bu degerler 
karsisinda rahatlikla ayakta durur. Es zamanli 30000~ paket ya da 
ortalama 20000~ state durumunda bile %5 civarinda CPU harcayan software 
firewallar var.

Mesela OpenBSD Packet Filter ve benzeri firewallar icin yogun  paketler 
80. port(uygulamaya ulasmadan)a gitmeden network seviyesinde 
bloklanabilir. Bunun icin firewall'a  tek bir ip adresinden su porta max 
baglanti sayisi y dir demek yeterli.

Paketler uygulama seviyesine ciktiginda engellemek hem daha zor hem de 
cok daha fazla kaynak tuketiyorlar.

Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem saldiriyi 
application seviyesinde eritmeye calismak ki bu da network seviyesine 
gore %60-%70 daha pahaliya mal oluyor.



Musa Ulker wrote:
> Tekrar merhabalar,
>
> Ferruh; Çok ilginçtir denediğim modlar kaldıramadı apachede ciddi yük
> durmaya devam etti.  Buradaki bottleneck software firewall atakları
> durdurmadı yeterli olmadı. Yüklenen ip sayısı başta 1 5 10 diye değil
> de aynı anda 100+ şeklinde olunca ve iplerde değiştiği için çok kısa
> aralıklarla (1dkdan az süre için) yeni ipleri yakalayamadı ve
> apacheyi, apachede çalışan uygulama da mysql i kilitledi..
>
> Benim örnek verdiğim %30 sadece bir tane apache forku için. Maksimum
> olanı içindi. Firewall çalışmadan sistem kitleniyordu, ssha bile
> erişilmiyordu. Firewallla CPU kullanımı %80-85 civarında seyretmeye
> başladı. Aynı anda mevcut 80 portuna connection sayısı 200+
> civarındaydı..
>
> Saldırı detayı: Connect flood. Sürekli GET isteği. Saldırı çalışan
> uygulama üzerinden mysql i devre dışı bırakmaya yönelik olduğunu
> düşünüyorum. Daha önceden benzer bir saldırrıyla karşılaşmıştım..
> Gelen paketler gayet normal gözüküyor. Arada malformed requestlerde
> geliyordu ama başka bir kaynaktan olabilir.
>
> Kubilay; Rusya IP blokları konusunda araştırma yaparken şöyle bir
> siteyle karşılaştım, incelemenizi tavsiye ederim:
> http://www.countryipblocks.net/
>
> Bedirhan; Apache KeepAlive konfigurasyonda kapalıydı. Apache backdoor
> module gibi birşeyler buldum ama bulduğum apache üzerinden backdoor
> açan bir moduledu. Senin bahsettiğin modülü paylaşır mısın?
>
> DNS güncellemsi aklıma geldi ama zararlarını kıyaslayınca çözümler
> arasından çıkardım..
>
> Aklın yolu bir: HW firewallarla çözüldü olay. Reverse proxy ile başka
> bir sunucuya yönlendirildi istekler ve o sunucu önünde Layer 7
> filtering yapıldı. (Juniper üzerinden custom filterlarla)
>
> Herkese gösterdiği açılımlar ve verdiği cevaplardan dolayı teşekkür ediyorum..
>
> Selamlar,
>
> M.Musa Ülker
>
>
> 2008/11/4 Ferruh Mavituna <ferruh at mavituna.com>:
>   
>> Merhabalar Musa,
>>
>> Benim merak ettigim esas kilit noktasi neresi? (gavurlarin tabiri ile
>> bottleneck). Yani application da mi is kitleniyor, ondeki firewall mu
>> sapitmaya basliyor, load balancer mi vs. ?
>>
>> Apache process' i %30 ise , uygulamada veya Apache de bir sorun  yok diye
>> varsayiyorum. Database server ne alemde onda da ciddi bir yuklenme yok mu?
>>
>> Bir de saldirinin detaylari ne? Syn-flood, connect-flood, yogun application
>> istekleri (HTTP vs.)?  veya baska bir port acikta onun uzerinden mi bir sey
>> yapiliyor? gelen paketlerin tum degerleri normal mi? Mesela tuhaf window
>> size lari var mi vs.
>>
>> Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu bilgileri
>> verirsen daha detayli yardimci olunabilir sanirim.
>>
>> Iyi Calismalar,
>>
>> 2008/11/4 Musa Ulker <musaulker at gmail.com>
>>     
>>> Merhabalar,
>>>
>>> Dedicated bir sunucuya bir çok koldan DDos saldırısı
>>> gerçekleştiriliyor. En çok yük Apache üzerinde. Apache CPU load'ı %30u
>>> geçebiliyor farklı apache processleri çalışıyor. Türlü çalışmalar
>>> yaptım; firewallar (salt iptables, apf, csf vs) denedim, ddos
>>> protectionları test ettim ama saldırıyı tam olarak kesemedim. Birazcık
>>> yükü hafifletebildim. Zombie makinalar üzerinden saldırı halen devam
>>> ediyor.
>>>
>>> Bu konuda nasıl bir yol izlemem gerekiyor?
>>>
>>> Teşekkürler
>>>
>>> --
>>> M.Musa Ülker
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>       
>>
>> --
>> Ferruh Mavituna
>> http://ferruh.mavituna.com
>>
>>     



More information about the Owasp-turkey mailing list