CEH Sertifikasyon Sınavı Notları – 9: Denial of Service

1
1339
views
Bilgi güvenliği konusunda en çok tercih edilen sertifikalardan birisi de Certified Ethical Hacker (CEH) sertifikasıdır. Bu yazıda CEH sınavının konularından birisi olan “Denial of Service” başlığı incelenecektir.

Honeypot (Tuzak Sistem)

Saldırıyı tespit amaçlı kullanılır. Bilinen veya istenilen servisleri/zafiyetleri simüle eder. Genellikle servisin var olduğunu söylemesine rağmen üçlü el sıkışmaya izin vermez. Üzerinde gerçekleştirilen eylemlerin (oturum açma veya istismar vb.) kaydını tutar. Böylece saldırganların kim olduğu, amaçlar, saldırı vektörleri gibi konularda bilgi sahibi olunur.

Kippo, Dionaea (Windows ve Linux servisleri), Conpot (SCADA sistemilerine özel), Amun, Kojoney HonSSH, HoneyDrive, Bifrozt, Glastopf (Web uygulaması), Cuckoo,… gibi bir çok farklı tuzak sistem bulunmaktadır.

Tuzak sistemler tasarımına göre ikiye ayrılabilir:

  • Düşük Etkileşimli: Sadece saldırganlar için sıklıkla istismar edilen servisler/programlar simüle edilir. Kolay kurulur ve bakımı yapılır. Ancak saldırgan tarafından tuzak sistem olduğu da kolay bir şekilde anlaşılabilir. Bir saldırı sonucunda saldırgan, sadece simüle edilen uygulamayı ele geçirebilir.
  • Yüksek Etkileşimli: Birçok servisin simüle edilmesi sağlanır. Bu durum da saldırganın daha fazla zaman harcamasına sebep olunur. Saldırgan tarafından tuzak sistem olduğu kolay bir şekilde anlaşılamayabilir. Bir saldırı sonucunda saldırgan tüm sistemi (tuzak makineyi) ele geçirebilir. Bu sistemin çok iyi monitör edilmesi ve saldırgan anlamadan tespit edilmesi önemlidir.

Ayrıntılı bilgi için bakınız: https://canyoupwn.me/tr-honeypot/

 

DOS / DDOS Saldırı Vektörleri

  • Hacimsel (Volumetric) Saldırılar: Kurban ağın veya hizmetin band genişliği tüketilir. Tek bir makine yeterli olmayacağı için dağıtık saldırılar (DDOS) gerçekleştirilir.
  • Parçalama (Fragmentation) Saldırıları: Parçalanmış paketler gönderilerek, kurban servisin bu parçaları birleştirmeye çalışırken hizmet verememesi amaçlanır.
  • TCP Bağlantı Tablosunu Doldurma (TCP State-Exhaustion) Saldırıları: Yük dengeleyici, güvenlik duvarı, uygulama sunucuları gibi bileşenlerdeki bağlantı durum tablosu doldurulması amaçlanır.
  • Uygulama Katmanı (Application Layer) Saldırıları: Uygulamanın kaynaklarının tüketilmesi amaçlanır. Uygulama katmanı saldırıları (GET seli gibi), TCP el sıkışmasından sonra gerçekleştirildiği için bu saldırının uygulanması daha zordur. Örnek saldırı yöntemleri:
    • Veritabanı sorgularının yapıldığı alanlarda (“search” sorgularında) yapılabilir. Veritabanını yormak için örnek komut: “python hulk-nonssl.py http://www.hedefsite.com/Ara.php?kelime=
    • LDAP ile kimlik doğrulama yapılan uygulamalarda kullanıcı (Domain Admin veya içerik filtreleyici servis hesabı gbi kritik kullanıcı hesapları dahil) hesabını kilitleme,
    • Müşteri hesabını bir süreliğine bloke etme
    • HTTP GET için örnek komut: “python udos.py –target https://www.hedefsite.com/index.asp –socket http –port 9443
    • DNS seli için örnek komut: “mz -c 5000 -B <DNSIP> -t dns “q=hedefalanadi.com”” veya “netstress -t random -d <HedefDnsSunucuIp>a dns -q a -n 2 -P 53“,…

 

DOS / DDOS Saldırı Yöntemleri

  • SYN Seli: TCP üçlü el sıkışma ile oturumun tamamlanması durumu istismar edilir. Kurban makinesine farklı kaynak IP adreslerinden geliyormuş gibi çok sayıda açık bağlantı talebinde (Half-Open / SYN_RCVD) bulunulur. Kurban sistem de kaynak IP adreslerinin her birine SYN/ACK göndererek, oturumun tamamlanması amacı ile kendisine cevap (ACK) gelmesini bekler. Ancak sahte IP adresleri, kurbandan gelen SYN/ACK cevabını yorumlayamaz ve cevap dönmez. Kurban da kendisine gelen her SYN talebini, TCP yığınında belli bir süre (75 saniye gibi) bekletir ve meşru (legitime) kullanıcılara hizmet veremez hale gelir. Örnek komut: “hping3 –flood -S -p 80 50.50.50.50 –rand-source
  • Land Seli: Saldırgan kurbana, kurbandan geliyormuş gibi SYN seli gerçekleştirir. Böylece kurban kendi kendine cevap vermiş olur.
  • UDP Seli: Üçlü el sıkışmaya gerek kalmadan kurbana sahte IP adresleri ile UDP paketleri gönderilir ve kurbanın “ICMP Unreachable” paketi göndermesi sağlanır.
  • Smurf Saldırısı: Spoof (Başka bir servisi/IP’yi taklit etme) yöntemi ile broadcast adreslere ICMP Echo Reply paketleri (ping) gönderilir. Böylece ağdaki her makine de taklit edilen kurban makineye cevap gönderir ve hem ağ hem de kurban makinede servis kesintisine uğrar. Ancak “sysctl -a | grep ignore | grep icmp” ile de görülebilen “net.ipv4.icmp_echo_ignore_broadcasts = 1” ayarından ötürü artık broadcast’e gelen sorgulara işletim sistemleri cevap vermemektedir. Örnek komut: “hping3 –icmp –flood -a 40.40.40.40 50.50.255.255 -d 1000” .
  • Fraggle Saldırısı: UDP bazlı Smurf saldırısıdır. Tek farkı UDP paketlerini 7 ile 19 (Unix sistemlerde ) numaralı portlara iletmesidir.
  • Ping of Death: TCP/IP standartlarına uymayan/aşan büyük boyutta (64k) paketleri parçalanmış olarak gönderilmesi ile kurban makinenin hizmet veremez hale getirilmesi amaçlanır. Günümüzde bu saldırıdan etkilenilmez.
  • Buffer Overflow (Bellek Aşımı): Denetim kontrolü yapılmayan değişkenlere olması gereken sınırlar dışında veri girişi yapılarak uygulama veya servis cevap veremez hale getirilir.
  • Teardrop: Kurbana gönderilen paketler özel olarak (aynı offset değerleri olacak şekilde) bölünerek gönderilir. Kurban gelen bu paketleri yeniden birleştirilme sırasında – koruma mekanizması yoksa – offset’lerin çakışmasından dolayı hedef sistem çökebilir.
  • Amplification Saldırıları: Küçük boyuttaki paketlerin büyük boyutta cevap dönmesi ile hedef sistem çalışamaz duruma getirilir. Genellikle DNS, NTP servisleri kullanılır. Örneğin; SNMP üzerinden yazıya 87 byte’lık getBulkRequest paketi gönderildiğinde cevap (kalan toner miktarı/türü, IP adresleri,…) olarak gelen paketin boyutu 700 kat daha fazladır. DNS için bu oran 3-5-10-50 kat, NTP için 50-500 kat olabilmektedir. UDP tabanlı amplification saldırılarındaki band genişliği oranları için bakınız: https://www.us-cert.gov/ncas/alerts/TA14-017A.
  • Phlashing: Sosyal mühendislik gibi yöntemlerle sistemin sahte güncelleme alması sağlanarak, donanımın geri döndürülemez şekilde hasar görmesi ve sonuçta sistemin hizmet veremez hale getirilmesi amaçlanır.
  • ARP DOS: Yerel ağa bozuk ARP Reply paketleri gönderilerek ağdaki trafik aksatılır.

 

DOS/DDOS Saldırılarından Korunma Yöntemleri

  • ISP’den DDOS hizmeti alınabilir.
  • Bulut tabanlı hizmetler de kullanılabilir.
  • Anti DDOS (FortiDDos, CheckPoint DDOS Protector, Cisco Guard, Arbor Pravail,… gibi) cihazları kullanılabilir.
  • Yük dengeleyiciler kullanılabilir.
  • Throttling: Router belli bir trafikten sonrasını hedef sunucuya göndermez ve hedefin crash olmasını engeller
  • Trafik engellenebilir (içe ve dışa doğru). Örneğin, dışarıdan gelen ICMP paketleri kapatılmalıdır.
  • Anormal ağ trafiği izlenir ve engellenebilir.
  • Sistemler üzerindeki aşırı trafik izlenir ve bu bağlantılara karşı aksiyon alınır.
  • Gereksiz servisler kapatılmalıdır.
  • DOS’a sebebiyet verecek zaifyetler için gerekli yamalar uygulanmalıdır.
  • Intercept: Trafikte araya girilebilir, böylece trafiğin gerçek bir trafik olup olmadığı izlenir.
  • Honeypot ile bilgi edinilebilir, tehdit analizi gerçekleştirilebilir.
  • Ağda araya girme saldırılarına karşın, şifrelenmiş trafik (WAP2, AES-256 gibi) kullanılabilir.
  • UDP selini önlemek için temel yöntemler:
    • Gereksiz UDP portlarını kapat
    • Kapalı UDP portları için normalde “ICMP Destination Port Unreachable”cevap dönülüyor olsa da, cihazı yoracağı için cevap dönme
    • Rate limiting uygulanabilir. Ancak UDP’de IP sahteciliği yapılabildiği için gerçek IP’ler de engellenebilmektedir.
    • Talepler için zaman aşımı süresi ayarla
    • DFAS: İlk paketi engelle, ikinci paketi kabul et. Ancak saldırgan aynı IP için birden fazla UDP talebinde de bulunabilir.
  • SYN selini önlemek için temel yöntemler:
    • SYN Proxy: Her SYN paketine SYN/ACK gönderilir; böylece hem sistem gelen SYN talepleri için yığınında yer açmamış olur, hem de saldırgan o portu açık sanar.
    • SYN / RST Cookie: Gelen SYN paketlerine, ISN değeri özel olarak hesaplanmış bir SYN/ACK paketi dönülerek istemciden RST dönülmesi beklenir. RST dönen istemcinin gerçek bir bağlantı kurmak istediği anlaşılır ve bu istemciden gelen bağlantı talepleri kabul edilir.
    • SYN Cache: Gelen SYN paketleri özel bir veri yapısında saklanarak bellekte kapladığı alan düşürülür. Ancak yoğun bir saldırıda etkin bir önlem sağlamayacağından; belli bir eşik değerinden sonra, Syn Cookie özelliğini etkinleştirecek şekilde, Syn Cookie ile beraber kullanılması tavsiye edilir.
    • TCP Kimlik Doğrulama
  • DNS selini önlemek için yöntemler:
    • DNS Cache: Sorgu cevaplarını önbelleğe alma
    • DNS anycast
    • Rate limiting: IP bazında sorgu sayısını sınırlandırma
    • DFAS: İlk paketi engelle, ikinci paketi kabul et
    • Dağıtık DNS sunucusu kullanımı
    • Saldırı anında UDP’den TCP’ye dönme,…
  • Router cihazları, broadcast Ping sorgularına cevap vermemelidir. (Smurf saldırılarına karşı)
  • Botnet’lerden korunma yöntemleri:
    • IPS: IPS’ler Private/rezerve IP adreslerini engeller
    • Cisco IPS Reputation: Zararlı/ele geçirilmiş IP ve blokları filtrelenir
    • Black hole: Şüpheli paketler kaynağa bildirilmeden yönlendirici seviyesinde iken düşürülür
    • Cisco’da IP Source Guard: DHCP snooping ile kullanılarak spoof engellenir

DOS/DDOS saldırıları ve korunma yöntemleri ile ilgili olarak ayrıntılı bilgi içi bakınız: http://www.slideshare.net/bgasecurity/dos-ddos-saldrlar-ve-korunma-yntemleri-kitab veya http://blog.btrisk.com/2014/05/dos-turleri.html

 

Genel Notlar

  • DOS (Denial of Service) saldırıları sistemin erişilebilirliğine zarar vererek (erişilebilirliği azaltma, kısıtlama, önleme gibi), sistemden hizmet alan meşru kullanıcılara doğru şekilde hizmet verememesine (durmasına veya oldukça yavaşlamasına) sebep olur. Bu saldırılar; köle (Zombi / Bot) bilgisayarlar kullanılarak birden çok gerçek IP adresli kaynaktan (BotNet’ten) gerçekleştiriliyorsa, bu saldırıya DDOS (Distributed Denial of Service) saldırıları denir.
  • Köle bilgisayar elde edebilmek için genellikle sosyal mühendislik yöntemleri, zararlı/lisanssız uygulama kullandırma, ele geçirilmiş veya zararlı web siteleri, zombi üzerinden yayılma gibi yöntemler kullanılır.
  • DDOS saldırılarının 2 ana fazı vardır:
    • Ele geçirme (Intrusion): Saldırgan köle bilgisayarları ele geçirerek gerekli araçlarını yükler ve saldırı fazı için beklemeye koyulur.
    • Saldırı (Attack): Asıl hedefe saldırı gerçekleştirilir.
  • Botnet (Bot Ağı): Ele geçirilmiş sistemlerden (bot) oluşan ağdır. Genellikle IRC üzerinden yönetilirler. Genellikle otomatikleştirilmiş görevleri gerçekleştirirler.
  • IRC’da sunucuya bağlanmak için USER ve NICK komutları kullanılır.
  • Poison Ivy: Botnet komuta merkezi olarak kullanılan araçtır. Şifrelenmiş olan ters bir bağlantı kurarak güvenlik duvarından geçer.
  • TCB (Transmission Control Block): SYN alan kurban makinenin ACK gelene dek bulunduğu durumda (SYN_RCVD) gelen verleri tuttuğu bellek alanıdır. Her port için bu değerlerin toplamına Backlog Queue adı verilir.
  • Backlog Queue (TCP/IP Stack): SYN seli gibi bir saldırıya uğrayan makinenin kapasitesidir. Yani, Half-Open durum için ayrılan alandır. Bu kapasite aşılırsa kurban sistemin erişilebilirliği engellenir. Bunu önlemek için bu alan arttırılabilir. Böylece daha fazla talep kabul edilebilir. Bunun yanında, Half-Open durum için zaman aşımı süresi kısaltılabilir.
  • Günümüzde IOT cihazları başta olmak üzere internete açık cihazlar üzerinden saldırılar gerçekleştirilmektedir. İnternete açık servislerin keşfi için kullanılabilecek kaynaklar: Shodan, scans.io, Masscan, Nmap,…
  • 2016 yılı sonlarında DNS hizmet sağlayıcılarından olan DYN’e Mirai botnetine üye yapılmış olan IOT cihazları üzerinden yapılan saldırı sebebi ile internetteki bir çok servise erişim durmuştur.
  • Türkiye’nin DNS sunucularına yapılan bir DDOS saldırı senaryosu için bakınız: https://www.daghan.com/tr-alan-adlari-problemi.dgn
  • DDOS Saldırı Araçları: Pandora (Dirt Jumper aracının güncellenmiş halidir), Dereil, HOIC, DoS HTTP, BanglaDos, AnDOSid (mobil için), Low Orbit Ion Cannon (LOIC), TFN2k, Trinoo, WinTrinoo, T-Sight, Stracheldraht,…
  • Botnet Zararlıları: Blackshade NET, Cythosia, Andromeda, PlugBot,..

DDOS konusu ile ilgili bir video için bakınız: https://www.youtube.com/watch?v=JXHHn6xTtPM

 

CEH v9 Eğitimi Konu Başlıkları

  • Denial-of-Service
    • DoS/DDoS Concepts
    • DDoS Attack Trends
    • What is a Denial of Service Attack?
    • What Are Distributed Denial of Service Attacks?
    • How Distributed Denial of Service Attacks Work
  • DoS/DDoS Attack Techniques
    • Basic Categories of DoS/DDoS Attack Vectors
    • DoS/DDoS Attack Techniques
      • Bandwidth Attacks
      • Service Request Floods
      • SYN Attack
      • SYN Flooding
      • ICMP Flood Attack
      • Peer-to-Peer Attacks
      • Permanent Denial-of-Service Attack
      • Application Level Flood Attacks
      • Distributed Reflection Denial of Service (DRDoS)
  • Botnets
    • Organized Cyber Crime: Organizational Chart
    • Botnet
    • A Typical Botnet Setup
    • Botnet Ecosystem
    • Scanning Methods for Finding Vulnerable Machines
    • How Malicious Code Propagates?
    • Botnet Trojan
      • Blackshades NET
      • Cythosia Botnet and Andromeda Bot
      • PlugBot
  • DDoS Case Study
    • DDoS Attack
    • Hackers Advertise Links to Download Botnet
  • DoS/DDoS Attack Tools
    • Pandora DDoS Bot Toolkit
    • Dereil and HOIC
    • DoS HTTP and BanglaDos
    • DoS and DDoS Attack Tools
    • DoS and DDoS Attack Tool for Mobile
      • AnDOSid
      • Low Orbit Ion Cannon (LOIC)
  • Counter-measures
    • Detection Techniques
    • Activity Profiling
    • Wavelet Analysis
    • Sequential Change-Point Detection
    • DoS/DDoS Countermeasure Strategies
    • DDoS Attack Countermeasures
      • Protect Secondary Victims
      • Detect and Neutralize Handlers
      • Detect Potential Attacks
      • Deflect Attacks
      • Mitigate Attacks
    • Post-Attack Forensics
    • Techniques to Defend against Botnets
    • DoS/DDoS Countermeasures
    • DoS/DDoS Protection at ISP Level
    • Enabling TCP Intercept on Cisco IOS Software
    • Advanced DDoS Protection Appliances
  • DoS/DDoS Protection Tools
    • DoS/DDoS Protection Tool: FortGuard Anti-DDoS Firewall 2014
    • DoS/DDoS Protection Tools
  • DoS/DDoS Attack Penetration Testing

 

 

1 YORUM

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz