BGA(Bilgi Güvenliği AKADEMİSİ) eğitmenleri ve eğitime katılanlar tarafından güncellenen blog hizmeti yayına girmiştir. Blog hizmetinden faydalanmak için http://blog.bga.com.tr adresin ziyaret edilebilir.

Sorularla ilgili geri dönüşleriniz için bilgi@bga.com.tr adresine e-posta gönderebilirsiniz.

Bilgi Güvenliği AKADEMİSİ yurt dışından gelen eğitim taleplerini karşılamak amacıyla bazı eğitimlerini İngilizce’ye çevirmeye başlamıştır. İngilizce olarak verilecek ilk eğitim, konusunda bir ilk olan “DoS/DDoS Saldırıları ve Korunma Yolları Eğitimi”dir.

Konu hakkında bilgi sahibi olmadan alınacak DDOS koruma ürünleri ayrı bir DOS’a (servis kesintisi) sebep olabilmektedir.

DDoS işine ürün odaklı değil çözüm odaklı yaklaşılmalıdır. Bunun içerisinde DDoS’dan korumak  istediğiniz ağ altyapısı, saldırı esnasında neler yapılacak listesi, ISP’nin iletişim bilgileri, ddos  izleme sistemleri ve en kötü durum senaryosunun hazırlanması dahildir.

Eğitime katılarak;

• Gerçek ortamlarda dos/ddos saldırıları gerçekleştirip etkilerini,
• Çeşitli güvenlik ürünlerindeki DDoS engelleme özelliklerinin nasıl çalıştığı ve ciddi saldırılar esnasında ne kadar işe yaradığını
• Açık kod yazılımlar kullanılarak DDoS saldırılarının nasıl farkedileceği ve engelleneceğini,
• Günümüz yaygın kullanılan DDoS engelleme sistemlerinin eksikliklerini görebileceksiniz.

Günümüz sınır güvenliğinin en önemli bileşeni Saldırı Engelleme Sistemleri hakkında uygulamalı bilgi sahibi olmak ve bu işi profesyonel olarak yapmak isteyenler için kaçırılmayacak eğitim fırsatı… Eğitim kontenjanımız 10 kişiyle sınırlıdır.

Eğitim içeriği Snort Certified Professional (SnortCP) ile uyumludur.

Snort IPS eğitimi ticari olmayan kurumlar için ücretsizdir. Bilgi için bilgi@bga.com.tr adresine e-posta gönderilebilir.

1. TCP/IP ve Ağ Güvenliği Eğitimi
2. Snort IPS(Intrusion Prevention System) Eğitimi
3. İleri Seviye Network Pentest Eğitimi
4. Firewall/IPS Testleri Eğitimi

Eğitimlerin tarihleri için BGA eğitim takvimi sayfası ziyaret edilebilir.

Not: 3 ve 4. sıradaki eğitimlerin içerikleri  siteye eklenmemiştir. Eğitime katılmayı düşünenler bilgi@bga.com.tr adresine e-posta göndererek eğitim içeriğini edinebilirler.

Sorular ve cevaplarla ilgili yorumlarınız için bilgi@bga.com.tr adresine e-posta gönderebilirsiniz.

Makale   http://www.bga.com.tr/calismalar/ddos_analizi.pdf adresinden indirilebilir.

Web Sunucunuzun bir DDOS saldırısına karşı olduğunu nasıl anlarsınız?

En basitinden netstat komutu çalıştırılarak  bağlantı tablosunu izlenir ve aynı ip/random ip lerden gelen bağlantılar incelemeye alınır. Normalde aynı ip adresinden(arkasında onlarca istemcisi bulunan networkler haric) belirli bir sayıdan fazla istek gelmez(siz 40 deyin ben 80 diyeyim).

Fazlası varsa anormal, incelenecek bir durum var demektir.

Nasıl incelenir?

Saldırı UDP üzerinden yapılıyorsa netstat ile inceleme zor olacaktır, TCP kullanılarak gerçekleştirilmişse rahatlıkla DDoS saldırıları belirlenebilir.

İncelemeye geçmeden buna sebep olan protokolü ve detaylarına eğilelim.

Kısaca hatırlayacak olursak TCP bağlantıları bayraklarla(flags) yürütülür. Bayraklar TCP bağlantılarında durum belirleme konumuna sahiptir Yani bağlantının başlaması, veri transferi, onay mekanizması ve bağlantının sonlandırılması işlemleri tamamen bayraklar aracılığı ile gerçekleşir.

UDP’de ise böyle bir mekanizma yoktur. UDP’de güvenilirliliğin(paketlerin onay mekanizmasi) sağlanması üst katmanlarda çalışan uygulamalar yazılarak halledilebilir. DNS protokolü UDP aracılığı ile nasıl güvenilir iletişim kurulacağı konusunda detay bilgi verecektir.

UNIX/Windows sistemlerde bağlantılara ait en detaylı bilgi netstat (Network statistics) komutu ile elde edilir. Netstat kullanarak TCP, UDP hatta UNIX domain socketlere ait tüm bilgileri edinebilir.

UDP için bir bağlantı durum bilgisi olmadığından dolayı netstat aracılığı ile de fazla bilgi alamayız fakat

TCP’de bağlantıya ait oldukca fazla durum vardır.

TCP bağlantılarında netstat aracılığı ile görülebilecek durum senaryoları:

CLOSE_WAIT, CLOSED, ESTABLISHED, FIN_WAIT_1, FIN_WAIT_2, LAST_ACK, LISTEN, SYN_RECEIVED, SYN_SEND ve TIME_WAIT

Bunların neler olduğu ve hangi durumlarda oluştuğunu irdeleyelim.

SYN_SEND : Hedef sistemle TCP bağlantısı oluşturma adımının ilkidir. Kısaca SYN bayraklı paket gönderilip buna karşılık cevap bekleme zamanında portun alacağı durum.

SYN_RECEIVED: Hedef sistem portu bağlantı kurulması için gerekli ilk adım olan SYN paketini almıştır.

ESTABLISHED: 3 lü el sıkışma tamamlanmış artık taraflar veri transferi yapabilir durumdadır.

LISTEN: O portun bağlantı kabul eder olduğunu belirtir.

tcp4 0 0 *.465 *.* LISTEN

LISTEN moddaki portları ki bunlar aynı zamanda sistemde çalışan servislerdir netstat -ant|grep LISTEN komutu ile elde edebiliriz.

netstat çıktısında eğer SYN_RECEIVED sayısı çok fazlaysa DDoS saldırısından şüphelenilebilir, aynı şekilde aynı IP adresinden fazla sayıda ESTABLISHED durumda bağlantı varsa yine bir saldırı durumu söz konusu olabilir.

TCP Oturumlarında bağlantı sonlandırma

Oturum sonlandırma her iki tarafında anlaşması sonucu tamamlanır. Taraflardan birinin ilgili bayraklı paketi göndermemesi, geç göndermesi bağlantının sağlıklı olarak sonlanmasına engel olur.

Bağlantı sonlandırma aşamalarında çeşitli durumlar oluşur. Bu durumlara geçmeden bir TCP bağlantısının nasıl kapatıldığını inceleyelim.

A ——FIN ——–>B
A <—–ACK———B
A <—–FIN———B

A ——ACK———B

görüleceği üzere A ve B sistemleri arasındaki bağlantıyı kapatmak için 4 paket transferi oluyor.

Bu paketleri Wireshark ya da tcpdump ile rahatlıkla görebilirsiniz.

Tcpdump çıktısı

2007-08-13 21:38:57.239126 IP 80.93.212.86.3306 > 88.233.216.57.2175: F 75:75(0) ack 1 win 65535
2007-08-13 21:38:57.292806 IP 88.233.216.57.2175 > 80.93.212.86.3306: . ack 76 win 17446
2007-08-13 21:38:57.295927 IP 88.233.216.57.2175 > 80.93.212.86.3306: F 1:1(0) ack 76 win 17446
2007-08-13 21:38:57.295941 IP 80.93.212.86.3306 > 88.233.216.57.2175: . ack 2 win 65534

Bağlantı sonlanması esnasında oluşan durumlar:

FIN_WAIT_1:

Bağlantı sonlandırmak için işlem başlatan taraf(A) hedef sisteme FIN bayraklı TCP paketi gönderir. Ardından karşı taraftan(B) ayrı ayrı ACK ve FIN bayraklı paketleri bekler . Bu arada durumunu FIN_WAIT_1 olarak ayarlar.

FIN_WAIT_2:

Bağlantı sonlandırma isteğini(FIN bayraklı ilk paket) alan taraf(B) bu pakete karşılık olarak ACK(onay) bayraklı TCP paketi hazırlar ve gönderir ve durumunu CLOSE_WAIT’e alır. Ilk FIN bayraklı paketi gönderen taraf(A) ACK paketini aldığında durumunu FIN_WAIT_2 olarak ayarlar.

Böylece bağlantı sonlandırma işleminin ilk yarısı tamamlanmıştır. Diğer yarısıda sağlıklı tamamlandıktan sonra bağlantı tamamen sonlanmış olacaktır.

LAST_ACK:

B tarafı ACK bayraklı paket gönderdikten sonra , kendisinin de bağlantıyı sonlandırmak istediğini

bildiren FIN bayraklı paket oluşturarak A sistemine gönderir ve durumunu LAST_ACK olarak ayarlar.

TIME_WAIT

: A sistemi FIN bayraklı paketi aldıktan sonra buna cevaben ACK bayraklı bir paket oluşturarak B’ye gönderir ve durumunu TIME_WAIT olarak belirler.

A sistemi TIME_WAIT durumunda son gönderilen ACK bayraklı paketin hedef sisteme(B) ulaştığını garantilemek için bir müddet bekler. Bu müddet eğer gereğinden fazla(eski tip UNIX sistemlerde 4 dakikaya kadar çıkabiliyor.) ise sisteminizde netstat -an çalıştırdığınızda oldukca fazla TIME_WAIT satırı görebilirsiniz.

Bu da sistemi gereğinden fazla meşgul edeceği için performans problemleri yaşanması kaçınılmaz olacaktır.

Örnek bir sistem üzerinde inceleme:

www portuna yapılan bir istek ve isteğin sonlanması sırasında netstat ile alınan durum çıktıları. Sadece sunucu tarafını gösterdiği için bazı durumlar gözükmemektedir. İsteği yapan taraf da incelenecek olursa eksik kalan kısımlar tamamlanır.

tcp4 0 0 80.93.212.86.80 88.233.216.57.2348 SYN_RECEIVED
tcp4 0 0 80.93.212.86.80 88.233.216.57.2348 ESTABLISHED
tcp4 0 0 80.93.212.86.80 88.233.216.57.2348 FIN_WAIT_2
tcp4 0 0 80.93.212.86.80 88.233.216.57.2348 TIME_WAIT

Linux sistemlerin parola formatı incelendiğinde ilk iki $ arasındaki değer hangi şifreleme/hash algoritmasının kullanıldığını belirtir. Linux parola güvenliğiyle ilgili detay bilgi için

3-4 sene öncesine kadar çoğu Linux dağıtımında parolaları hashli saklamak için MD5 kullanılırdı. Günümüzdeki Linux dağıtımları ise SHA512 ($6$) tercih etmektedir. MD5 kullanılmış hashli parolaları JohnTheRipper aracıyla kırmak mümkünken SHA512 kullanılarak hashlenmis parolaları son sürüm JTR ile kırmak mümkün değil.

JTR kullanarak Linux parolalarının güvenliği denendiğinde aşağıdakine benzer hata alınacaktır.
“No password hashes loaded”

Aşağıdaki adımlar günümüz Linuz dağıtımlarının parolalarını JTR ile kırmak için yapılması gerekenleri içermektedir:

root@seclab:~/test# wget http://www.openwall.com/john/g/john-1.7.5.tar.gz

root@seclab:~/test# tar zxvf john-1.7.5.tar.gz
root@seclab:~/test# cd john-1.7.5

PATCH dosyası http://www.openwall.com/lists/john-users/2009/09/02/3 adresinden indirilerek yeni sürüme uyarlanmalıdır.

root@seclab:~/test/john-1.7.5# patch -p1 -i patch

patching file src/Makefile
patching file src/crypt_fmt.c
patching file src/john.c
Hunk #2 succeeded at 67 (offset 2 lines).
root@seclab:~/test/john-1.7.5/src# make linux-x86-any
# cd ../run/
root@seclab:~/test/john-1.7.5/run# ls
all.chr  alnum.chr  alpha.chr  digits.chr  john  john.conf  lanman.chr  mailer  password.lst  unafs  unique  unshadow
root@seclab:~/test/john-1.7.5/run# ./john /etc/shadow

Loaded 3 password hashes with 3 different salts (generic crypt(3) [?/32])
toor             (root)