magnify
Home Güvenlik 7 saat 7 dakika süren DDoS saldırısının analizi
formats

7 saat 7 dakika süren DDoS saldırısının analizi

Tarih 17 Haziran 2010 yazar içinde Güvenlik

Bugün sabah 05 itirabiyle Netsec listesi, Bilgi Güvenliği Akademisi ve Lifeoverip.net sunucuları(+aynı ağda bulunan kapı komşumuz ÇözümPark) ulaşılamaz durumdaydı. Önceleri yine kendini agresif bir yolla ispat etmeye çalışan birileri sandım ve pek önemsemeden kahvaltıya devam ettim sonra aynı ağdaki diğer müşterilerden de şikayet gelmeye başlayınca biraz inceleyeyim dedim ve 7 saat 7 dakika süren o tatsız süreç başlamış oldu:)

İnceleme sonuçları:

Her bir site farklı makinede  olunca  ve hepsi birden ulaşılamaz olunca öncelikle fiziksel bir sorun vardır diye ISP ile iletişime geçildi. Sonra ISP’den DDoS saldırısı yapıldığı bilgisi gelince bu bilgiyi teyit edecek bazı denemeler yapıldı(hping ile bazı portlara SYN paketleri gönderip cevap gelmesini beklemek gibi) ve fiziksel bir erişim problemi olmadığı onaylandı.

Bir sonraki adımda sistemin bantgenişliği  arttırmak için için ISP ile tekrar iletişime geçildi. Biz bantgenişliğini arttırdıkça saldırının şiddeti de artıyordu. Bant genişliği arttırımı  esnasında ben sırasıyla tüm sunucularımıza bağlanarak saldırının bize gelip gelmediğini kontrol etttim. Saldırı bizim IP adreslerine yönelik değildi.

Sırasıyla diğer sistemler de kontrol edildi ama ortaya bilinen bir sistem çıkmadı…

Peki sorun neydi?

Ortalama trafiği 10Mb civarı olan sistemlerimize 70 Mb civarı atak gelince ve gelen 70Mb  trafiğe(~200.000 PPS)  benzeri miktarda yanıt dönmeye çalışılınca routerin bize bakan ayağındaki 100Mb sınırlaması aşılmış oldu ve biz tümden sistemlere ulaşamaz olduk. Bunun tek çaresi vardı, saldırı yapılan IP adresi hangisi ise o IP Adresini backbone’daki routerlardan karadeliğe yönlendirme.

Uzun uğraşlarımız sonrası hangi sisteme DDoS yapıldığını bulamadık(20-30 civarı IP adresinden bahsediyorum) ve son çare olarak Çözümpark’tan Hakan’la  taksiye atlayıp ISP’e geldik. Kısa bir sürede saldırının hangi IP adresine yapıldığını bularak o IP adresini sanal dünyadan sildik ve DNS’de yeni IPler tanımladık.

Sıra geldi saldırı esnasında kaydettiğim trafik dosyasının incelenmesine. Trafik dosyasını incelediğimde hayal kırıklığına uğradım! Topu topu iki tane IP adresi UDP 80 portuna(sanırım saldırgan web sunucuya SYN flood yapmak istiyordu ama yanlışlıkla UDP 80′e göndermeye başladı trafiği) yüklü miktarda paket göndermeye çalışıyordu… Önce routerlardan ACL ile udp 80 e giden paketleri kapatalım dedim bunu yapamayacaklarını söylediklerinde ise ilgili ip adresini sanal dünyadan sildirdik ve sistemler tekrar ayağa kalktı…

Analiz aşaması
root@seclabs:~#tcpdump -n -r DDOS.pcap udp port 80|cut -f3 -d” “|cut -f1,2,3,4 -d”.”|sort -n|uniq -c>2
root@seclabs:~# more 2
….
2097867256364 91.121.135.187
307419089761   91.121.192.60
Hangi IP adreslerinden geldi?

Saldırı anında 1-2 dakikalık alınan paket kaydı sonucu
91.121.192.60
91.121.135.187
IP adreslerinin saldırıda kullanıldığını belirlendi. Iki IP adresinin de Fransa’daki OVH adlı ISP’e ait olduğu belirlenerek ilgili e-posta adreslerine saldırıyı anlatan ve şikayetçi olduğumuzu belirten uyarı maili gönderildi.
inetnum:         91.121.132.0 – 91.121.135.255
netname:         OVH
descr:           OVH SAS
descr:           Dedicated Servers
descr:           http://www.ovh.com
country:         FR

Alınacak dersler

  • ISP seçiminde daha dikkatli olunacak:)
  • Tüm sistemler DDoS engelleme sisteminin arkasına alınacak yoksa aynı ağdaki bir makineye gelen trafik diğerlerinin de ulaşılmaz olmasına neden oluyor
  • ISP’deki bu darboğaz neden oluştu detaylı incelenerek tekrar oluşmasını engelleme
  • En kötü durum senaryosu için DNS’lerin yedeği yurtdışında tutulacak(bizim dnsler zaten bu şekilde ama çoğunluk müşteri tek bir yerde tutuyordu) ve TTL değerleri düşürülecek.
  • Saldırı basittir birazdan kesilir diye rahat davranılmayacak

Sonuç

7 saat 7 dakika süren bu sıkıntı sonrası şunu tekrar net olarak söyleyebilirim ki  ne X, Y, Z ürünü ne de başka birşey, temel TCP/IP bilgisi ve bu bilgiyi pratiğe dökecek basit araçların bilinmesi herşeye bedeldir.

7 saat sonra artık saldırının kendi kendine kesilmeyeceğini düşünerek ISP’e gittiğimizde, Laptop’da Linux’u açıp incelemeye başlamamla birlikte 7 dakika içerisinde hangi sisteme saldırı yapıldığını bulundu ve sistem ayağa kaldırıldı.

Hala TCP/IP nedir ki, neden bu kadar önem veriyorsunuz diyenlere güzel bir cevap oldu:). TCP/IP herşeydir, iletişimin temelidir! Alfabeyi ne kadar iyi bilirseniz anlamanız, sorunları çözmeniz o kadar kolay olur.

root@seclabs:~# more 2….2097867256364 91.121.135.187307419089761   91.121.192.6091.121.192.6091.121.135.187netname:         OVHdescr:           OVH SASdescr:           Dedicated Serversdescr:           http://www.ovh.comcountry:         FR

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
7 saat 7 dakika süren DDoS saldırısının analizi için yorumlar kapalı  comments 
© Hakan Uzuner
credit