[Owasp-turkey] [netsec] Re: Under DDos Attack

Deniz Cevik Deniz.Cevik at intellect.com.tr
Fri Nov 7 03:22:25 EST 2008


Selamlar,

 

Bu tip saldırıları simule etmek internet üzerinden zor. Yüksek bant genişliliği gereksinimi, aradaki diğer cihazların göçme ihtimali vs. Ama aynı ağda iseniz gigabit bir switch ve birkaç güçlü sistem kullanarak bir şeyler yapılabilir. Buna rağmen gerçek DDOS ortamı oluşturmanız genel itibari ile zor olacaktır. Eğer network seviyesinde bir saldırı yapmayı planlıyorsanız, isic ve hping işinizi görür. Yanlış hatırlamıyorsam Hüzeyfe'nin bu konuda bir kaç makalesi bulunuyor. 

 

Uygulama seviyesinde ise Microsoft'un Web Application Stress Tool'u oldukça başarılı. HTTP/1.1 kullanarak, çalıştığı makinenin performansına göre istediğiniz kadar HTTP isteği yollayabilir. Yine OWASP'in dirbuster aracıda bu tip işler için kullanılabilir. Bu araçla tek bir IP adresi üzerinden saniyede 5000'in üzerinde GET yollanabildiğini görmüştüm. Burpsuite'in yeni versiyonunda repeater aracı bulunuyor. İstediğiniz http isteğini istediğiniz sayıda sunucuya yolluyabiliyor.

 

İyi Çalışmalar.

 

________________________________

From: owasp-turkey-bounces at lists.owasp.org [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Davut Topcan
Sent: Thursday, November 06, 2008 11:54 AM
To: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] [netsec] Re: Under DDos Attack

 

Ben bu durumu kendi sistemimin saglamligini ogrenmek icin test etmek istiyorum, firewall'dan ne tur paketler geciyor, application seviyesinde ne oluyor gorup ogrenmek istiyorum.. DDOS get flooding yapabilecek open source bir uygulama var midir? Ya da sizler bu testleri nasil yapiyorsunuz? Saldiri oldugunda hazirlikli olmak lazim...

Tesekkurler,
Davut.

06 Kasım 2008 Perşembe 10:14 tarihinde Deniz Cevik <Deniz.Cevik at intellect.com.tr> yazdı:

Her bir GET için yeni bir 3WHS oluşturulmasına gerek yok. HTTP/1.1 açılan bir bağlatı içinden istenildiği kadar request gönderilmesine izin verir. (Request Pipelining). Bu durumda firewall'da bir bağlantı gözükür ama sen binlerce lerce isteği tek bağlantı kanalı üzerinden yollayabilirsin. Bu durumu saniyede 1000 istek yollayacak şekilde ayarlayıp, 10 adet HTTP 1.1 connectioni açarsan, ve response'u büyük bir sayfaya, veri tabanından büyük bir result set çeken uygulamaya, arka tarfta veri tabanına yazma işlemi yapan veya mail atam bir forma, bu işlemi uygularsan 10 adet bağlantı ile arka taraftaki web sunucusunu,DB, mail atan sunucuyu, alan istemciyi 'yi zor durumlara düşürebilirsin.

Bu tip saldırılara reverse-proxy, web application firewall (appliance veya open source module) dışında konvensiyonel(ne demekse :P)güvenlik yazılımları ile önleyemezsin.

İyi Çalışmalar



-----Original Message-----
From: Huzeyfe ONAL [mailto:huzeyfe at lifeoverip.net]

Sent: Wednesday, November 05, 2008 8:41 PM
To: netsec at lifeoverip.net
Cc: owasp-turkey at lists.owasp.org
Subject: Re: [netsec] Re: [Owasp-turkey] Under DDos Attack

Selamlar,

bir saldirgan GET flood islemini nasil yapabilir dusunelim;

ilk bakista benim aklima bu isin farkli IP adreslerinden
yuzlerce/binlerce http istegi olusturrarak yapilmasi geliyor.

Oncelikle GET flood yapabilmesi icin TCP 3way handshake islemini
tamamlamak zorundadir. Demekki yapilacak her GET flood islemi bizim
Firewall tarafindan gorulecek.

Yani ben Firewallumda SYNProxy ve stateful tracking ozelliklerini
kullanarak farkli ip adreslerinden gelecek get floodlarini TCP/IP
seviyesinde gorebilecegim icin daha web sunucuya ulastirmadan
engelleyebilirim. Tabi binlerce ip adresinden gelecek birer istek
karsisinda cok birsey yapamaz ama boyle bir saldiri tipi ile henuz
karsilasmadim ben.


Firewalllar icin Linux Iptables'in tarpitting patch'i var, Free/OpenBSD
Packet Filter tum bu ozellikleri yamasiz sagliyor.


Ferruh Mavituna wrote:
>
>     Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem
>     saldiriyi application seviyesinde eritmeye calismak ki bu da
>     network seviyesine gore %60-%70 daha pahaliya mal oluyor.
>
>
> Durumuna gore degisir tabii ki, ama hafif zeki olan herhangi bir GET
> istegi bazli DDoS da firewall bazinda engelleme yapmak (/firewall cok
> zeki bir sey degils/e) pek mumkun degil. Tahminim buradaki durumda o.
> Ama HTTP istegini analiz edebilen cozumler varsa sonuc uretecektir, bu
> konuda oneri varsa acikcasi bende merak ediyorum. Cunku sık sık
> karsima gelen konulardan biri ve maalesef pek basit bir cozumu yok.
>
>
> 2008/11/5 Huzeyfe ONAL <huzeyfe at lifeoverip.net
> <mailto:huzeyfe at lifeoverip.net>>
>
>     Musa selamlar,
>
>     mumkunse kullanilan software firewall'un ismini ogrenebilir miyim?
>     Zira bana degerler cok az geldi. Yani en basit Firewall bile bu
>     degerler karsisinda rahatlikla ayakta durur. Es zamanli 30000~
>     paket ya da ortalama 20000~ state durumunda bile %5 civarinda CPU
>     harcayan software firewallar var.
>
>     Mesela OpenBSD Packet Filter ve benzeri firewallar icin yogun
>      paketler 80. port(uygulamaya ulasmadan)a gitmeden network
>     seviyesinde bloklanabilir. Bunun icin firewall'a  tek bir ip
>     adresinden su porta max baglanti sayisi y dir demek yeterli.
>
>     Paketler uygulama seviyesine ciktiginda engellemek hem daha zor
>     hem de cok daha fazla kaynak tuketiyorlar.
>
>     Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem
>     saldiriyi application seviyesinde eritmeye calismak ki bu da
>     network seviyesine gore %60-%70 daha pahaliya mal oluyor.
>
>
>
>
>     Musa Ulker wrote:
>
>         Tekrar merhabalar,
>
>         Ferruh; Çok ilginçtir denediğim modlar kaldıramadı apachede
>         ciddi yük
>         durmaya devam etti.  Buradaki bottleneck software firewall
>         atakları
>         durdurmadı yeterli olmadı. Yüklenen ip sayısı başta 1 5 10
>         diye değil
>         de aynı anda 100+ şeklinde olunca ve iplerde değiştiği için
>         çok kısa
>         aralıklarla (1dkdan az süre için) yeni ipleri yakalayamadı ve
>         apacheyi, apachede çalışan uygulama da mysql i kilitledi..
>
>         Benim örnek verdiğim %30 sadece bir tane apache forku için.
>         Maksimum
>         olanı içindi. Firewall çalışmadan sistem kitleniyordu, ssha bile
>         erişilmiyordu. Firewallla CPU kullanımı %80-85 civarında
>         seyretmeye
>         başladı. Aynı anda mevcut 80 portuna connection sayısı 200+
>         civarındaydı..
>
>         Saldırı detayı: Connect flood. Sürekli GET isteği. Saldırı çalışan
>         uygulama üzerinden mysql i devre dışı bırakmaya yönelik olduğunu
>         düşünüyorum. Daha önceden benzer bir saldırrıyla karşılaşmıştım..
>         Gelen paketler gayet normal gözüküyor. Arada malformed
>         requestlerde
>         geliyordu ama başka bir kaynaktan olabilir.
>
>         Kubilay; Rusya IP blokları konusunda araştırma yaparken şöyle bir
>         siteyle karşılaştım, incelemenizi tavsiye ederim:
>         http://www.countryipblocks.net/
>
>         Bedirhan; Apache KeepAlive konfigurasyonda kapalıydı. Apache
>         backdoor
>         module gibi birşeyler buldum ama bulduğum apache üzerinden
>         backdoor
>         açan bir moduledu. Senin bahsettiğin modülü paylaşır mısın?
>
>         DNS güncellemsi aklıma geldi ama zararlarını kıyaslayınca çözümler
>         arasından çıkardım..
>
>         Aklın yolu bir: HW firewallarla çözüldü olay. Reverse proxy
>         ile başka
>         bir sunucuya yönlendirildi istekler ve o sunucu önünde Layer 7
>         filtering yapıldı. (Juniper üzerinden custom filterlarla)
>
>         Herkese gösterdiği açılımlar ve verdiği cevaplardan dolayı
>         teşekkür ediyorum..
>
>         Selamlar,
>
>         M.Musa Ülker
>
>
>         2008/11/4 Ferruh Mavituna <ferruh at mavituna.com
>         <mailto:ferruh at mavituna.com>>:
>
>
>             Merhabalar Musa,
>
>             Benim merak ettigim esas kilit noktasi neresi? (gavurlarin
>             tabiri ile
>             bottleneck). Yani application da mi is kitleniyor, ondeki
>             firewall mu
>             sapitmaya basliyor, load balancer mi vs. ?
>
>             Apache process' i %30 ise , uygulamada veya Apache de bir
>             sorun  yok diye
>             varsayiyorum. Database server ne alemde onda da ciddi bir
>             yuklenme yok mu?
>
>             Bir de saldirinin detaylari ne? Syn-flood, connect-flood,
>             yogun application
>             istekleri (HTTP vs.)?  veya baska bir port acikta onun
>             uzerinden mi bir sey
>             yapiliyor? gelen paketlerin tum degerleri normal mi?
>             Mesela tuhaf window
>             size lari var mi vs.
>
>             Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu
>             bilgileri
>             verirsen daha detayli yardimci olunabilir sanirim.
>
>             Iyi Calismalar,
>
>             2008/11/4 Musa Ulker <musaulker at gmail.com
>             <mailto:musaulker at gmail.com>>
>
>
>                 Merhabalar,
>
>                 Dedicated bir sunucuya bir çok koldan DDos saldırısı
>                 gerçekleştiriliyor. En çok yük Apache üzerinde. Apache
>                 CPU load'ı %30u
>                 geçebiliyor farklı apache processleri çalışıyor. Türlü
>                 çalışmalar
>                 yaptım; firewallar (salt iptables, apf, csf vs)
>                 denedim, ddos
>                 protectionları test ettim ama saldırıyı tam olarak
>                 kesemedim. Birazcık
>                 yükü hafifletebildim. Zombie makinalar üzerinden
>                 saldırı halen devam
>                 ediyor.
>
>                 Bu konuda nasıl bir yol izlemem gerekiyor?
>
>                 Teşekkürler
>
>                 --
>                 M.Musa Ülker
>                 _______________________________________________
>                 Owasp-turkey mailing list
>                 Owasp-turkey at lists.owasp.org
>                 <mailto:Owasp-turkey at lists.owasp.org>
>                 https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>             --
>             Ferruh Mavituna
>             http://ferruh.mavituna.com
>
>
>
>
>
>     ---------------------------------------------------------------------
>     To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net
>     <mailto:netsec-unsubscribe at lifeoverip.net>
>     For additional commands, e-mail: netsec-help at lifeoverip.net
>     <mailto:netsec-help at lifeoverip.net>
>
>
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com


---------------------------------------------------------------------
To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net

For additional commands, e-mail: netsec-help at lifeoverip.net

_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey




-- 
Davut Topcan
Software Developer & Consultant
Web: http://www.kapshon.com

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081107/62126253/attachment-0001.html 


More information about the Owasp-turkey mailing list