[Owasp-turkey] [netsec] Re: Under DDos Attack

Musa Ulker musaulker at gmail.com
Thu Nov 6 07:46:45 EST 2008


Merhabalar,

http://packetstormsecurity.org/DoS/ adresinde bir çok Dos atağı için
örnek pek çok tool bulabilirisn..

Selamlar

2008/11/6 Davut Topcan <bocuhk at gmail.com>:
> Ben bu durumu kendi sistemimin saglamligini ogrenmek icin test etmek
> istiyorum, firewall'dan ne tur paketler geciyor, application seviyesinde ne
> oluyor gorup ogrenmek istiyorum.. DDOS get flooding yapabilecek open source
> bir uygulama var midir? Ya da sizler bu testleri nasil yapiyorsunuz? Saldiri
> oldugunda hazirlikli olmak lazim...
>
> Tesekkurler,
> Davut.
>
> 06 Kasım 2008 Perşembe 10:14 tarihinde Deniz Cevik
> <Deniz.Cevik at intellect.com.tr> yazdı:
>>
>> Her bir GET için yeni bir 3WHS oluşturulmasına gerek yok. HTTP/1.1 açılan
>> bir bağlatı içinden istenildiği kadar request gönderilmesine izin verir.
>> (Request Pipelining). Bu durumda firewall'da bir bağlantı gözükür ama sen
>> binlerce lerce isteği tek bağlantı kanalı üzerinden yollayabilirsin. Bu
>> durumu saniyede 1000 istek yollayacak şekilde ayarlayıp, 10 adet HTTP 1.1
>> connectioni açarsan, ve response'u büyük bir sayfaya, veri tabanından büyük
>> bir result set çeken uygulamaya, arka tarfta veri tabanına yazma işlemi
>> yapan veya mail atam bir forma, bu işlemi uygularsan 10 adet bağlantı ile
>> arka taraftaki web sunucusunu,DB, mail atan sunucuyu, alan istemciyi 'yi zor
>> durumlara düşürebilirsin.
>>
>> Bu tip saldırılara reverse-proxy, web application firewall (appliance veya
>> open source module) dışında konvensiyonel(ne demekse :P)güvenlik yazılımları
>> ile önleyemezsin.
>>
>> İyi Çalışmalar
>>
>>
>> -----Original Message-----
>> From: Huzeyfe ONAL [mailto:huzeyfe at lifeoverip.net]
>> Sent: Wednesday, November 05, 2008 8:41 PM
>> To: netsec at lifeoverip.net
>> Cc: owasp-turkey at lists.owasp.org
>> Subject: Re: [netsec] Re: [Owasp-turkey] Under DDos Attack
>>
>> Selamlar,
>>
>> bir saldirgan GET flood islemini nasil yapabilir dusunelim;
>>
>> ilk bakista benim aklima bu isin farkli IP adreslerinden
>> yuzlerce/binlerce http istegi olusturrarak yapilmasi geliyor.
>>
>> Oncelikle GET flood yapabilmesi icin TCP 3way handshake islemini
>> tamamlamak zorundadir. Demekki yapilacak her GET flood islemi bizim
>> Firewall tarafindan gorulecek.
>>
>> Yani ben Firewallumda SYNProxy ve stateful tracking ozelliklerini
>> kullanarak farkli ip adreslerinden gelecek get floodlarini TCP/IP
>> seviyesinde gorebilecegim icin daha web sunucuya ulastirmadan
>> engelleyebilirim. Tabi binlerce ip adresinden gelecek birer istek
>> karsisinda cok birsey yapamaz ama boyle bir saldiri tipi ile henuz
>> karsilasmadim ben.
>>
>>
>> Firewalllar icin Linux Iptables'in tarpitting patch'i var, Free/OpenBSD
>> Packet Filter tum bu ozellikleri yamasiz sagliyor.
>>
>>
>> Ferruh Mavituna wrote:
>> >
>> >     Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem
>> >     saldiriyi application seviyesinde eritmeye calismak ki bu da
>> >     network seviyesine gore %60-%70 daha pahaliya mal oluyor.
>> >
>> >
>> > Durumuna gore degisir tabii ki, ama hafif zeki olan herhangi bir GET
>> > istegi bazli DDoS da firewall bazinda engelleme yapmak (/firewall cok
>> > zeki bir sey degils/e) pek mumkun degil. Tahminim buradaki durumda o.
>> > Ama HTTP istegini analiz edebilen cozumler varsa sonuc uretecektir, bu
>> > konuda oneri varsa acikcasi bende merak ediyorum. Cunku sık sık
>> > karsima gelen konulardan biri ve maalesef pek basit bir cozumu yok.
>> >
>> >
>> > 2008/11/5 Huzeyfe ONAL <huzeyfe at lifeoverip.net
>> > <mailto:huzeyfe at lifeoverip.net>>
>> >
>> >     Musa selamlar,
>> >
>> >     mumkunse kullanilan software firewall'un ismini ogrenebilir miyim?
>> >     Zira bana degerler cok az geldi. Yani en basit Firewall bile bu
>> >     degerler karsisinda rahatlikla ayakta durur. Es zamanli 30000~
>> >     paket ya da ortalama 20000~ state durumunda bile %5 civarinda CPU
>> >     harcayan software firewallar var.
>> >
>> >     Mesela OpenBSD Packet Filter ve benzeri firewallar icin yogun
>> >      paketler 80. port(uygulamaya ulasmadan)a gitmeden network
>> >     seviyesinde bloklanabilir. Bunun icin firewall'a  tek bir ip
>> >     adresinden su porta max baglanti sayisi y dir demek yeterli.
>> >
>> >     Paketler uygulama seviyesine ciktiginda engellemek hem daha zor
>> >     hem de cok daha fazla kaynak tuketiyorlar.
>> >
>> >     Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem
>> >     saldiriyi application seviyesinde eritmeye calismak ki bu da
>> >     network seviyesine gore %60-%70 daha pahaliya mal oluyor.
>> >
>> >
>> >
>> >
>> >     Musa Ulker wrote:
>> >
>> >         Tekrar merhabalar,
>> >
>> >         Ferruh; Çok ilginçtir denediğim modlar kaldıramadı apachede
>> >         ciddi yük
>> >         durmaya devam etti.  Buradaki bottleneck software firewall
>> >         atakları
>> >         durdurmadı yeterli olmadı. Yüklenen ip sayısı başta 1 5 10
>> >         diye değil
>> >         de aynı anda 100+ şeklinde olunca ve iplerde değiştiği için
>> >         çok kısa
>> >         aralıklarla (1dkdan az süre için) yeni ipleri yakalayamadı ve
>> >         apacheyi, apachede çalışan uygulama da mysql i kilitledi..
>> >
>> >         Benim örnek verdiğim %30 sadece bir tane apache forku için.
>> >         Maksimum
>> >         olanı içindi. Firewall çalışmadan sistem kitleniyordu, ssha bile
>> >         erişilmiyordu. Firewallla CPU kullanımı %80-85 civarında
>> >         seyretmeye
>> >         başladı. Aynı anda mevcut 80 portuna connection sayısı 200+
>> >         civarındaydı..
>> >
>> >         Saldırı detayı: Connect flood. Sürekli GET isteği. Saldırı
>> > çalışan
>> >         uygulama üzerinden mysql i devre dışı bırakmaya yönelik olduğunu
>> >         düşünüyorum. Daha önceden benzer bir saldırrıyla
>> > karşılaşmıştım..
>> >         Gelen paketler gayet normal gözüküyor. Arada malformed
>> >         requestlerde
>> >         geliyordu ama başka bir kaynaktan olabilir.
>> >
>> >         Kubilay; Rusya IP blokları konusunda araştırma yaparken şöyle
>> > bir
>> >         siteyle karşılaştım, incelemenizi tavsiye ederim:
>> >         http://www.countryipblocks.net/
>> >
>> >         Bedirhan; Apache KeepAlive konfigurasyonda kapalıydı. Apache
>> >         backdoor
>> >         module gibi birşeyler buldum ama bulduğum apache üzerinden
>> >         backdoor
>> >         açan bir moduledu. Senin bahsettiğin modülü paylaşır mısın?
>> >
>> >         DNS güncellemsi aklıma geldi ama zararlarını kıyaslayınca
>> > çözümler
>> >         arasından çıkardım..
>> >
>> >         Aklın yolu bir: HW firewallarla çözüldü olay. Reverse proxy
>> >         ile başka
>> >         bir sunucuya yönlendirildi istekler ve o sunucu önünde Layer 7
>> >         filtering yapıldı. (Juniper üzerinden custom filterlarla)
>> >
>> >         Herkese gösterdiği açılımlar ve verdiği cevaplardan dolayı
>> >         teşekkür ediyorum..
>> >
>> >         Selamlar,
>> >
>> >         M.Musa Ülker
>> >
>> >
>> >         2008/11/4 Ferruh Mavituna <ferruh at mavituna.com
>> >         <mailto:ferruh at mavituna.com>>:
>> >
>> >
>> >             Merhabalar Musa,
>> >
>> >             Benim merak ettigim esas kilit noktasi neresi? (gavurlarin
>> >             tabiri ile
>> >             bottleneck). Yani application da mi is kitleniyor, ondeki
>> >             firewall mu
>> >             sapitmaya basliyor, load balancer mi vs. ?
>> >
>> >             Apache process' i %30 ise , uygulamada veya Apache de bir
>> >             sorun  yok diye
>> >             varsayiyorum. Database server ne alemde onda da ciddi bir
>> >             yuklenme yok mu?
>> >
>> >             Bir de saldirinin detaylari ne? Syn-flood, connect-flood,
>> >             yogun application
>> >             istekleri (HTTP vs.)?  veya baska bir port acikta onun
>> >             uzerinden mi bir sey
>> >             yapiliyor? gelen paketlerin tum degerleri normal mi?
>> >             Mesela tuhaf window
>> >             size lari var mi vs.
>> >
>> >             Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu
>> >             bilgileri
>> >             verirsen daha detayli yardimci olunabilir sanirim.
>> >
>> >             Iyi Calismalar,
>> >
>> >             2008/11/4 Musa Ulker <musaulker at gmail.com
>> >             <mailto:musaulker at gmail.com>>
>> >
>> >
>> >                 Merhabalar,
>> >
>> >                 Dedicated bir sunucuya bir çok koldan DDos saldırısı
>> >                 gerçekleştiriliyor. En çok yük Apache üzerinde. Apache
>> >                 CPU load'ı %30u
>> >                 geçebiliyor farklı apache processleri çalışıyor. Türlü
>> >                 çalışmalar
>> >                 yaptım; firewallar (salt iptables, apf, csf vs)
>> >                 denedim, ddos
>> >                 protectionları test ettim ama saldırıyı tam olarak
>> >                 kesemedim. Birazcık
>> >                 yükü hafifletebildim. Zombie makinalar üzerinden
>> >                 saldırı halen devam
>> >                 ediyor.
>> >
>> >                 Bu konuda nasıl bir yol izlemem gerekiyor?
>> >
>> >                 Teşekkürler
>> >
>> >                 --
>> >                 M.Musa Ülker
>> >                 _______________________________________________
>> >                 Owasp-turkey mailing list
>> >                 Owasp-turkey at lists.owasp.org
>> >                 <mailto:Owasp-turkey at lists.owasp.org>
>> >                 https://lists.owasp.org/mailman/listinfo/owasp-turkey
>> >
>> >
>> >
>> >             --
>> >             Ferruh Mavituna
>> >             http://ferruh.mavituna.com
>> >
>> >
>> >
>> >
>> >
>> >
>> > ---------------------------------------------------------------------
>> >     To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net
>> >     <mailto:netsec-unsubscribe at lifeoverip.net>
>> >     For additional commands, e-mail: netsec-help at lifeoverip.net
>> >     <mailto:netsec-help at lifeoverip.net>
>> >
>> >
>> >
>> >
>> > --
>> > Ferruh Mavituna
>> > http://ferruh.mavituna.com
>>
>>
>> ---------------------------------------------------------------------
>> To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net
>> For additional commands, e-mail: netsec-help at lifeoverip.net
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
> --
> Davut Topcan
> Software Developer & Consultant
> Web: http://www.kapshon.com
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>



-- 
M.Musa Ülker
http://www.musaulker.com
http://www.biltec.org


More information about the Owasp-turkey mailing list