[Owasp-turkey] Owasp-turkey Digest, Vol 20, Issue 11

Oğuzhan YILMAZ aspsrc at gmail.com
Fri Nov 7 19:02:04 EST 2008


Merhabalar,
Http optimizasyonu ve syn saldırılarını önlemek için maliyeti düşük bir
çözümde LiteSpeed olabilir. Tabi web server'ın linux üzerinde koşan bir web
server olduğunu var sayıyorum.

Web sunucusunu değiştirme imkanınız varsa  LiteSpeed'i şiddetle öneririm.
Aylık 49$ gibi bir ücreti var. Belirtilen durumlar karşısında kendine özgü
mekanizmaları var ve gerçekten işe yarıyor. 15 günlük denem alabiliyorsunuz.

http://www.litespeedtech.com/docs/
http://www.litespeedtech.com/web-server-performance-comparison-litespeed-2.1-vs.html
http://www.litespeedtech.com/static/pdf/performance.pdf

Saygılar...


07 Kasım 2008 Cuma 19:00 tarihinde <owasp-turkey-request at lists.owasp.org>yazdı:

> Send Owasp-turkey mailing list submissions to
>        owasp-turkey at lists.owasp.org
>
> To subscribe or unsubscribe via the World Wide Web, visit
>        https://lists.owasp.org/mailman/listinfo/owasp-turkey
> or, via email, send a message with subject or body 'help' to
>        owasp-turkey-request at lists.owasp.org
>
> You can reach the person managing the list at
>        owasp-turkey-owner at lists.owasp.org
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of Owasp-turkey digest..."
>
>
> Today's Topics:
>
>   1. Re: [netsec] Re: Under DDos Attack (Bedirhan Urgun)
>   2. SSL ?mplementasyon G?venli?i Dok?man? (Ferruh Mavituna)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Fri, 7 Nov 2008 11:25:47 +0200
> From: "Bedirhan Urgun" <bedirhanurgun at gmail.com>
> Subject: Re: [Owasp-turkey] [netsec] Re: Under DDos Attack
> To: "Huzeyfe ONAL" <huzeyfe at lifeoverip.net>
> Cc: netsec at lifeoverip.net, owasp-turkey at lists.owasp.org
> Message-ID:
>        <297cff690811070125t560d79cex71fbc90039aa9b0a at mail.gmail.com>
> Content-Type: text/plain; charset="iso-8859-9"
>
> Aslinda bir onceki e-postada bahsettigim "akilli saldirilar" da bunu
> anlatmak istemistim. Bir kac senedir testlerde kullandigim bu isi
> yapan, yazdigim bir python script var. Kod icindeki yorumlar yeterli
> olacaktir ama daha da gelistirmek isteyen olursa ne ala (KEEPALIVE_TIMEOUT
> ve MAX_KEEPALIVE_REQUEST degerlerini bulmak icin yari manual bir yol
> izliyorum. Test kismi otomatik.).
>
> http://www.webguvenligi.org/apachelive.tar.gz
> bedirhan
>
> 06 Kas?m 2008 Per?embe 20:57 tarihinde Huzeyfe ONAL
> <huzeyfe at lifeoverip.net>yazd?:
>
> > Haklisin pipelening aklima gelmemisti, benim karsilastigim saldirilarda
> > pipelining kullanana rastlamadim hic ya da tarpitting ile
> bloklayabildigim
> > icin farketmedim. Bu arada bildigin pipelining yontemini kullanan bir
> worm
> > ya da test araci var mi?
> >
> > Ek olarak sunucu tarafinda request pipelining destekleyen uygulamanin da
> > her bir istek icerisinde max. ne kadar istek tasinabileceginin
> > belirlenmesine izin veriyor olmasi bu tip saldiirlarda ise yarayabilir.
> >
> > Deniz Cevik wrote:
> >
> > Her bir GET i?in yeni bir 3WHS olu?turulmas?na gerek yok. HTTP/1.1 a??lan
> bir ba?lat? i?inden istenildi?i kadar request g?nderilmesine izin verir.
> (Request Pipelining). Bu durumda firewall'da bir ba?lant? g?z?k?r ama sen
> binlerce lerce iste?i tek ba?lant? kanal? ?zerinden yollayabilirsin. Bu
> durumu saniyede 1000 istek yollayacak ?ekilde ayarlay?p, 10 adet HTTP 1.1
> connectioni a?arsan, ve response'u b?y?k bir sayfaya, veri taban?ndan b?y?k
> bir result set ?eken uygulamaya, arka tarfta veri taban?na yazma i?lemi
> yapan veya mail atam bir forma, bu i?lemi uygularsan 10 adet ba?lant? ile
> arka taraftaki web sunucusunu,DB, mail atan sunucuyu, alan istemciyi 'yi zor
> durumlara d???rebilirsin.
> >
> > Bu tip sald?r?lara reverse-proxy, web application firewall (appliance
> veya open source module) d???nda konvensiyonel(ne demekse :P)g?venlik
> yaz?l?mlar? ile ?nleyemezsin.
> >
> > ?yi ?al??malar
> >
> >
> > -----Original Message-----
> > From: Huzeyfe ONAL [mailto:huzeyfe at lifeoverip.net <
> huzeyfe at lifeoverip.net>]
> > Sent: Wednesday, November 05, 2008 8:41 PM
> > To: netsec at lifeoverip.net
> > Cc: owasp-turkey at lists.owasp.org
> > Subject: Re: [netsec] Re: [Owasp-turkey] Under DDos Attack
> >
> > Selamlar,
> >
> > bir saldirgan GET flood islemini nasil yapabilir dusunelim;
> >
> > ilk bakista benim aklima bu isin farkli IP adreslerinden
> > yuzlerce/binlerce http istegi olusturrarak yapilmasi geliyor.
> >
> > Oncelikle GET flood yapabilmesi icin TCP 3way handshake islemini
> > tamamlamak zorundadir. Demekki yapilacak her GET flood islemi bizim
> > Firewall tarafindan gorulecek.
> >
> > Yani ben Firewallumda SYNProxy ve stateful tracking ozelliklerini
> > kullanarak farkli ip adreslerinden gelecek get floodlarini TCP/IP
> > seviyesinde gorebilecegim icin daha web sunucuya ulastirmadan
> > engelleyebilirim. Tabi binlerce ip adresinden gelecek birer istek
> > karsisinda cok birsey yapamaz ama boyle bir saldiri tipi ile henuz
> > karsilasmadim ben.
> >
> >
> > Firewalllar icin Linux Iptables'in tarpitting patch'i var, Free/OpenBSD
> > Packet Filter tum bu ozellikleri yamasiz sagliyor.
> >
> >
> > Ferruh Mavituna wrote:
> >
> >
> >     Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem
> >     saldiriyi application seviyesinde eritmeye calismak ki bu da
> >     network seviyesine gore %60-%70 daha pahaliya mal oluyor.
> >
> >
> > Durumuna gore degisir tabii ki, ama hafif zeki olan herhangi bir GET
> > istegi bazli DDoS da firewall bazinda engelleme yapmak (/firewall cok
> > zeki bir sey degils/e) pek mumkun degil. Tahminim buradaki durumda o.
> > Ama HTTP istegini analiz edebilen cozumler varsa sonuc uretecektir, bu
> > konuda oneri varsa acikcasi bende merak ediyorum. Cunku s?k s?k
> > karsima gelen konulardan biri ve maalesef pek basit bir cozumu yok.
> >
> >
> > 2008/11/5 Huzeyfe ONAL <huzeyfe at lifeoverip.net <mailto:
> huzeyfe at lifeoverip.net> <huzeyfe at lifeoverip.net>>
> >
> >     Musa selamlar,
> >
> >     mumkunse kullanilan software firewall'un ismini ogrenebilir miyim?
> >     Zira bana degerler cok az geldi. Yani en basit Firewall bile bu
> >     degerler karsisinda rahatlikla ayakta durur. Es zamanli 30000~
> >     paket ya da ortalama 20000~ state durumunda bile %5 civarinda CPU
> >     harcayan software firewallar var.
> >
> >     Mesela OpenBSD Packet Filter ve benzeri firewallar icin yogun
> >      paketler 80. port(uygulamaya ulasmadan)a gitmeden network
> >     seviyesinde bloklanabilir. Bunun icin firewall'a  tek bir ip
> >     adresinden su porta max baglanti sayisi y dir demek yeterli.
> >
> >     Paketler uygulama seviyesine ciktiginda engellemek hem daha zor
> >     hem de cok daha fazla kaynak tuketiyorlar.
> >
> >     Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem
> >     saldiriyi application seviyesinde eritmeye calismak ki bu da
> >     network seviyesine gore %60-%70 daha pahaliya mal oluyor.
> >
> >
> >
> >
> >     Musa Ulker wrote:
> >
> >         Tekrar merhabalar,
> >
> >         Ferruh; ?ok ilgin?tir denedi?im modlar kald?ramad? apachede
> >         ciddi y?k
> >         durmaya devam etti.  Buradaki bottleneck software firewall
> >         ataklar?
> >         durdurmad? yeterli olmad?. Y?klenen ip say?s? ba?ta 1 5 10
> >         diye de?il
> >         de ayn? anda 100+ ?eklinde olunca ve iplerde de?i?ti?i i?in
> >         ?ok k?sa
> >         aral?klarla (1dkdan az s?re i?in) yeni ipleri yakalayamad? ve
> >         apacheyi, apachede ?al??an uygulama da mysql i kilitledi..
> >
> >         Benim ?rnek verdi?im %30 sadece bir tane apache forku i?in.
> >         Maksimum
> >         olan? i?indi. Firewall ?al??madan sistem kitleniyordu, ssha bile
> >         eri?ilmiyordu. Firewallla CPU kullan?m? %80-85 civar?nda
> >         seyretmeye
> >         ba?lad?. Ayn? anda mevcut 80 portuna connection say?s? 200+
> >         civar?ndayd?..
> >
> >         Sald?r? detay?: Connect flood. S?rekli GET iste?i. Sald?r?
> ?al??an
> >         uygulama ?zerinden mysql i devre d??? b?rakmaya y?nelik oldu?unu
> >         d???n?yorum. Daha ?nceden benzer bir sald?rr?yla kar??la?m??t?m..
> >         Gelen paketler gayet normal g?z?k?yor. Arada malformed
> >         requestlerde
> >         geliyordu ama ba?ka bir kaynaktan olabilir.
> >
> >         Kubilay; Rusya IP bloklar? konusunda ara?t?rma yaparken ??yle bir
> >         siteyle kar??la?t?m, incelemenizi tavsiye ederim:
> >         http://www.countryipblocks.net/
> >
> >         Bedirhan; Apache KeepAlive konfigurasyonda kapal?yd?. Apache
> >         backdoor
> >         module gibi bir?eyler buldum ama buldu?um apache ?zerinden
> >         backdoor
> >         a?an bir moduledu. Senin bahsetti?in mod?l? payla??r m?s?n?
> >
> >         DNS g?ncellemsi akl?ma geldi ama zararlar?n? k?yaslay?nca
> ??z?mler
> >         aras?ndan ??kard?m..
> >
> >         Akl?n yolu bir: HW firewallarla ??z?ld? olay. Reverse proxy
> >         ile ba?ka
> >         bir sunucuya y?nlendirildi istekler ve o sunucu ?n?nde Layer 7
> >         filtering yap?ld?. (Juniper ?zerinden custom filterlarla)
> >
> >         Herkese g?sterdi?i a??l?mlar ve verdi?i cevaplardan dolay?
> >         te?ekk?r ediyorum..
> >
> >         Selamlar,
> >
> >         M.Musa ?lker
> >
> >
> >         2008/11/4 Ferruh Mavituna <ferruh at mavituna.com
> >         <mailto:ferruh at mavituna.com> <ferruh at mavituna.com>>:
> >
> >
> >             Merhabalar Musa,
> >
> >             Benim merak ettigim esas kilit noktasi neresi? (gavurlarin
> >             tabiri ile
> >             bottleneck). Yani application da mi is kitleniyor, ondeki
> >             firewall mu
> >             sapitmaya basliyor, load balancer mi vs. ?
> >
> >             Apache process' i %30 ise , uygulamada veya Apache de bir
> >             sorun  yok diye
> >             varsayiyorum. Database server ne alemde onda da ciddi bir
> >             yuklenme yok mu?
> >
> >             Bir de saldirinin detaylari ne? Syn-flood, connect-flood,
> >             yogun application
> >             istekleri (HTTP vs.)?  veya baska bir port acikta onun
> >             uzerinden mi bir sey
> >             yapiliyor? gelen paketlerin tum degerleri normal mi?
> >             Mesela tuhaf window
> >             size lari var mi vs.
> >
> >             Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu
> >             bilgileri
> >             verirsen daha detayli yardimci olunabilir sanirim.
> >
> >             Iyi Calismalar,
> >
> >             2008/11/4 Musa Ulker <musaulker at gmail.com
> >             <mailto:musaulker at gmail.com> <musaulker at gmail.com>>
> >
> >
> >                 Merhabalar,
> >
> >                 Dedicated bir sunucuya bir ?ok koldan DDos sald?r?s?
> >                 ger?ekle?tiriliyor. En ?ok y?k Apache ?zerinde. Apache
> >                 CPU load'? %30u
> >                 ge?ebiliyor farkl? apache processleri ?al???yor. T?rl?
> >                 ?al??malar
> >                 yapt?m; firewallar (salt iptables, apf, csf vs)
> >                 denedim, ddos
> >                 protectionlar? test ettim ama sald?r?y? tam olarak
> >                 kesemedim. Birazc?k
> >                 y?k? hafifletebildim. Zombie makinalar ?zerinden
> >                 sald?r? halen devam
> >                 ediyor.
> >
> >                 Bu konuda nas?l bir yol izlemem gerekiyor?
> >
> >                 Te?ekk?rler
> >
> >                 --
> >                 M.Musa ?lker
> >                 _______________________________________________
> >                 Owasp-turkey mailing list
> >                 Owasp-turkey at lists.owasp.org
> >                 <mailto:Owasp-turkey at lists.owasp.org> <
> Owasp-turkey at lists.owasp.org>
> >                 https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> >             --
> >             Ferruh Mavituna
> >             http://ferruh.mavituna.com
> >
> >
> >
> >
> >
> >     ---------------------------------------------------------------------
> >     To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net
> >     <mailto:netsec-unsubscribe at lifeoverip.net> <
> netsec-unsubscribe at lifeoverip.net>
> >     For additional commands, e-mail: netsec-help at lifeoverip.net
> >     <mailto:netsec-help at lifeoverip.net> <netsec-help at lifeoverip.net>
> >
> >
> >
> >
> > --
> > Ferruh Mavitunahttp://ferruh.mavituna.com
> >
> > ---------------------------------------------------------------------
> > To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net
> > For additional commands, e-mail: netsec-help at lifeoverip.net
> >
> > _______________________________________________
> > Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://
> lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
>
>
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> T?rk?e Web Uygulama G?venli?i E-Posta Listesine ?ye olmak i?in:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081107/c0ace73e/attachment-0001.html
>
> ------------------------------
>
> Message: 2
> Date: Fri, 7 Nov 2008 09:50:06 +0000
> From: "Ferruh Mavituna" <ferruh at mavituna.com>
> Subject: [Owasp-turkey] SSL ?mplementasyon G?venli?i Dok?man?
> To: " OWASP-T?rkiye " <owasp-turkey at lists.owasp.org>
> Message-ID:
>        <6dc88c3c0811070150o4f11d475n5b932a5595fe8cf2 at mail.gmail.com>
> Content-Type: text/plain; charset="iso-8859-9"
>
> Selamlar,
>
> SSL ?mplementasyon G?venli?i - http://www.webguvenligi.org/?p=135dokumanini
> yayinladim.
>
> Dokuman hem gelistiricilere hem de guvenlik uzmanlarina yonelik.
> Uygulamalarda ve web uygulamalarinda SSL' in nasil dogru kullanilmasi
> uzerine bir dizi pek dokumante edilmemis konuya deginiyor. SSL konusunda
> deneyimliyseniz sizin cok yeni bir sey ifade etmeyebilir ama ilginizi
> cekebilir.
>
>
>
> Iyi Calismalar,
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
> -------------- next part --------------
> An HTML attachment was scrubbed...
> URL:
> https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081107/b500511b/attachment-0001.html
>
> ------------------------------
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
> End of Owasp-turkey Digest, Vol 20, Issue 11
> ********************************************
>



-- 
Oğuzhan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081108/eb938831/attachment.html 


More information about the Owasp-turkey mailing list