Hayali Botnet beyin fırtınası..

OnuR · 16 Nisan 2010

Genellikle her yerde hemen hemen her ay düzenli olarak Botnet beyin fırtınası yapılır bunu biliyorum. Ama bu seferki biraz hayali olsun ve bunu gerçekten hayata geçirelim diye düşünüyorum.

%100 çözümü yoktur biliyoruz ve bundan kesinlikle eminiz. Ben yıllar önce de söylüyordum yine söylüyorum bunun elbet bir çözümü vardır. (yıllar önce söylüyor olmam az önce yazdığım şeyi yalanlıyor biliyorum

)

Şimdi bu konu şöyle olsun. Botnet saldırıları hakkında detaylı bilginiz olsun/olmasın fikriniz varsa bunu bizimle paylaşın. Örnek bir soru sorarak başlamak istiyorum eğer benim hipotezimi çürüten olursa başka bir hipotezle tartışmamıza devam edelim..

Ucu bucağı gelmeyecek bir konu biliyorum, en azından bilinçlenmiş oluruz diye düşünüyorum..

Botnet saldırılarında apache gibi yönetim sistemlerinin etkisiz kaldığını biliyoruz. Bir kullanıcı web siteye ping gönderirken bunu apache karşılıyor ve cevabını veriyor. Buna da hemfikiriz.

Şöyle düşünelim ozaman, bir insan bir web sitesine giriyor ve bir bot bir web sitesine giriyor. Bunu ayırt edici kurallar nelerdir?

[Kişisel bir bilgisayar] -------- istek -------- [Web sunucusu]
[Bot] -------- istek -------- [Web sunucusu]

İstek aynı mıdır? Bir web sunucusu 2 bağlantıyıda aynı kurallara göre mi karşılar?

trgy · 17 Nisan 2010

Ben de iyinet e gelen saldırılardan bir çok şey öğrendim ve araştırma yaptım. 2005 yıllarında başlamış bu olaylar sanırım Türkiye'de. Aslında daha önce başlamış fakat adsl vs olmadığı için tam olarak zombi toplanamıyormuş. Şimdilerde ise her evde internet olayı ile milyonlarca zombi toplanabiliyormuş.

Saldırıları ancak çok pahalı aletler ile engelleyebiliriz, bunlardan biri de cisco guard. fiyatları 100 bin TL üzerindeydi sanırım. Cisco guard arkasında olan siteler olabildiğince etkilenmiyor. Tabi bu etkilenme olayı sitedeki sorgu sayısına da bağlı. Şöyle örnekliyeyim;

a sitesi 2-3 sayfa html 'den oluşuyor
b sitesi ise vbulletin kurulu

a sitesinin anlık online sayısı 1000
b sitesinin anlık online sayısı 1000

a sitesine yapılan saldırı xxx
b sitesine yapılan saldırı yine xxx

a sitesi cisco guard arkasında
b sitesi de cisco guard arkasında.

Böyle bir durumda b sitesi kapanıyorsa a sitesi kapanmıyabilir. Çünkü ekstra olarak b sitesi çok fazla sorgu çalıştırıyor.

Küçük bir örnek verdim sadece. Çok bilgili değilim ama bildiğim kadarıyla birşeyler yazmaya çalıştım. Doğrudur yanlıştır birşey diyemem ama ben böyle biliyorum.

OnuR · 17 Nisan 2010

@trgy o dediğin şu mantıkla birleştirilip piyasaya sürüldü zamanında..

Auth girişi koyuluyor sitelere botnet'i engellemek için Siten ister sql'i acayip sıkıştıran vbulletin olsun ister de bir video sitesi olsun girişlere kullanıcı adı ve şifre koyunca bu olay çözülebiliyor..

Buradaki problem sunucunun ip adresi, yani sunucu bazında engelleme.. Bir çok bash script var bu konuda ama bunların etkili olma oranı sadece %30..

Yani bakkal hesabı yapalım. Ne kadar hat okadar rahatlık. Site bazında engellenebilir zaten bunu bende yapabilirim diye düşünüyorum ufak bir çalışma ile..

Onurss · 17 Nisan 2010

Bence hat miktarı yeterli olduğu sürece saldırılar engellenebilir. Önemli olan hat miktarı diye düşünüyorum.

Loi · 17 Nisan 2010

Bir çok saldırı şekli var.. Konuyu tartışmak için önce bu saldırı tiplerini listelemek gerek.. Hangisini tartışacağız? TCP/IP nin yapısı gereği ortaya çıkan sıkıntılarmı yoksa X bir site üzerinde bulunan bir sistemin farklı şekillerde isteklerle kapasitenin üstünde yük oluşturarak cevap vermesini engellemek mi? Gerçi TCP/IP yapısı gereği çok kullanılan SYN ataklarıda aslında kapasite aşımını hedefleyen saldırı tipleri..

Bunlar bir yana Onurss un dediği hat kapasitesi mevzusu var.. 100mbitlik bir hat limiti olan bir sunucuya 110mbit bir data akışı sağlamak gibi.

Aslına bakarsanız, her saldırı önlenebilir yeterki PARANIZ olsun..

OnuR · 17 Nisan 2010

Loi ozaman şu şekilde girelim ilk olarak konuya.

100mbit bir bağlantı düşünelim sunucumuzda ve sunucuya yapılan saldırının boyutunu 110 mbit olarak düşünelim.

Hat kapasitesi aşıldığı için doğal olarak sunucu down olacak. Ama bu saldırıyı yani 110mbit'i süzerek küçültebilir miyiz? Yani bir nevi Cisco'nun yaptığını (basit şekilde cisconun yaptığını) yapabilir miyiz?

Loi · 17 Nisan 2010

110mbit ne şekilde oluyor? Gelen isteğin boyutumu yoksa verilen cevapla birlikte mi bu hat doluyor.

Eger sunucunun isteklere verdigi cevap ile bu veri miktarına ulaşılıyorsa, sunucu tarafında sıkıştırma yöntemi ile gönderilen data miktarı düşürülebilir ayrıca gelen her isteğe cevap verdirmeyerek bunu düşürebiliriz.

Öncelikle gelen isteklerin gerçek kullanıcılar ile geldiğinden emin olmak gerekiyor. Bunun tespitini çeşitli cookie yöntemleri ile sağlayabiliriz ayrıca REFERER + AGENT + IP gibi client tarafından gelmesi gereken bilgileride işimize yarayabilir.

Bunun dışında botlar gerçek kullanıcı gibi davranabilme imkanına sahip. Bu noktada şartlar iyice zorlanıyor.

OnuR · 17 Nisan 2010

Hayır 110mbit'in girişi sayfa bazlı değil. Yani cache olayının bir mantığı yok bu sistemde. Söylediğin gibi gelen isteğin boyutu 110mbit biz şuanda daha apache'nin yönlendirmesinden geçipte sayfaya ulaşamadık.

Çözeceğimiz olay isteğin apache, litespeed vs. sistemlere gelişi - oradan siteye yönlendirilmesi. İşte bu - olan yer'i derince bilen birileri lazım galiba..

Boyut 110mbit siteyi daha görmemiş zaten 100mbit bir sunucuda sitenin verdiği kb'ta sunucuya yüklenirse ozaman kesinlikle down olur sunucu.

Loi · 17 Nisan 2010

OnuR' Alıntı:
Hayır 110mbit'in girişi sayfa bazlı değil. Yani cache olayının bir mantığı yok bu sistemde. Söylediğin gibi gelen isteğin boyutu 110mbit biz şuanda daha apache'nin yönlendirmesinden geçipte sayfaya ulaşamadık.

Çözeceğimiz olay isteğin apache, litespeed vs. sistemlere gelişi - oradan siteye yönlendirilmesi. İşte bu - olan yer'i derince bilen birileri lazım galiba..

Boyut 110mbit siteyi daha görmemiş zaten 100mbit bir sunucuda sitenin verdiği kb'ta sunucuya yüklenirse ozaman kesinlikle down olur sunucu.

Yönlendirmekten kastın ne onu pek anlamış değilim. Apache IIS vs bunlar zaten web servisi yani hizmeti veren bunlar zaten.

OnuR · 17 Nisan 2010

Loi' Alıntı:
Yönlendirmekten kastın ne onu pek anlamış değilim. Apache IIS vs bunlar zaten web servisi yani hizmeti veren bunlar zaten.

Bende onlardan bahsediyorum zaten Loi anlatmak istediğim şey şu. Bağlantı apache'ye geliyor hiçbir sorgu hiçbir kurala takılmadan mı geliyor? Bunun kriterlerine ayıracağımız "sen gel" "sensen eğer gelme" şeklinde veya daha profesyonelce olursa "sen şu ipden 5 istek yapmışsın bidaha gelme" veya "senin kaşın ince sen gel kaşı kalın olan sen gelme" böyle kriterleri neler? Nelere göre izin veriyor?

Loi · 17 Nisan 2010

OnuR' Alıntı:
Bende onlardan bahsediyorum zaten Loi anlatmak istediğim şey şu. Bağlantı apache'ye geliyor hiçbir sorgu hiçbir kurala takılmadan mı geliyor? Bunun kriterlerine ayıracağımız "sen gel" "sensen eğer gelme" şeklinde veya daha profesyonelce olursa "sen şu ipden 5 istek yapmışsın bidaha gelme" veya "senin kaşın ince sen gel kaşı kalın olan sen gelme" böyle kriterleri neler? Nelere göre izin veriyor?

Bu noktada iptables ve iptables ile birlikte calisabilen firewall yazılımlar var. CSF + APF veya senin türettiğin X bir filtre. Onunda öncesinde sunucu önünde yine bir sistem üzerinde çalışan yazılım olabilir yada direkt bir router. Dediğin gibi filtreleme mümkün.

OnuR · 17 Nisan 2010

Ozaman ben şu piyasada olan bash scriptlerini biraz inceleyeyim, bir nebze çözüm üretilebilir ama tabiki yine hat kapasitesinin uygunluğu en önemli etken olacak..

LaTenT · 17 Nisan 2010

Hat önünde çalışan programlanabilir bir firewall varsa sunucunun hat gücünü aşan saldırı durdurulabiliyor. Hat arkasında çalışan, yani sunucu içindeki yazılımlar, hat kapasitesi dahilinde engelleme yapabilir. Hat kapasitesini aşmadıkça engellemek zor değil.

Eminim Csf'den, mod_security'den bahsedilecek. Bu scriptleri doğru kurallarla donatmadıkça bir sonuç alınmıyor. Örneğin; saniyede 250 syn atan bir saldırgana csf müdahale etmeden sunucunuz/servisleriniz düşer. Ancak csf saniye bazlı tarama yapmaya ayarlanmışsa burada bir korumadan bahsedebiliriz.

OsmanAtabey · 17 Nisan 2010

Hat kapasitesi olsun gerisi yalan. pf ipfw iptables ile hardware firewall gerekmeden sorunlar çözülür.

OnuR · 17 Nisan 2010

LaTenT' Alıntı:
Hat önünde çalışan programlanabilir bir firewall varsa sunucunun hat gücünü aşan saldırı durdurulabiliyor. Hat arkasında çalışan, yani sunucu içindeki yazılımlar, hat kapasitesi dahilinde engelleme yapabilir. Hat kapasitesini aşmadıkça engellemek zor değil.

Eminim Csf'den, mod_security'den bahsedilecek. Bu scriptleri doğru kurallarla donatmadıkça bir sonuç alınmıyor. Örneğin; saniyede 250 syn atan bir saldırgana csf müdahale etmeden sunucunuz/servisleriniz düşer. Ancak csf saniye bazlı tarama yapmaya ayarlanmışsa burada bir korumadan bahsedebiliriz.

Barış abi, cisco gibi firewall'ların engelleme mantığı hakkında bilgin var mı?

LaTenT · 17 Nisan 2010

Gelen trafiği analiz edip kurallara uygun olmayanı engelliyor. Örneğin mac adresine göre şöyle engelleme yapılabilir:
mac-list adc deny 00h1.a91d.0282 ffff.ffff.ffff
veya
access-list out-acl deny ip host 85.12.23.10 any

ipsinden tüm istekler böyle durduruluyor. Bu kurallar cisco sürümüne göre değişiyor.

Cisco iyi kurallarla temel korumayı sağlar. Firewall dediğimiz şey gelen istekleri analiz edip yazdığımız kurala göre işlem yapan aygıt veya yazılımlar. Engelleme mantığı bu kurallara göre erişimin devam ettirilip ettirilmeyeceğiyle veya bir isteğe yanıt verilip verilmeyeceğiyle ilgili.

OnuR · 17 Nisan 2010

Yani bu bağlamda hattın genişliğinin bi önemi oluyor mu?
Basitçe 150mbit bir saldırı geldiğinde firewall'sız 100mbitlik bir sunucu etkileniyor ama aynı durumdaki Cisco'lu veya başka bir firewall'ı sunucu etkilenmiyor doğru mudur?

Bu durumda tek etken bağlantının önünde bulunan bir firewall. Paketler sunucuya daha erişemediği için engelleniyor.

İlk mesajlarda Loi'ye söylediğim şeyde buydu işte..

Hayali ilk sorumu soruyorum.. Bir sunucunun önüne firewall yerine başka bir sunucu koyup bu bahsettiğin kuralları ona uygulamak sonuç verir mi yoksa komik bi tabir mi?

LaTenT · 17 Nisan 2010

Komik kalmaz bu yapılıyor zaten. Proxy geçitleri kullanılan yöntemlerden biri.

OnuR · 17 Nisan 2010

Gerçekten bunu test edeceğim bir internet bağlantım oluştuğunda 3 sunucu ile hobi amaçlı deneyeceğim..

Şimdiki teorem şu, 100mbit bağlantımız var bu kuralların hepsini dediğim gibi sunucuya işlettik, uğraştık ve yaptık.. Cluster yöntemiyle MySQL'i vs. ayırdık. Elimizde şimdi 1 adet mysql sunucusu 1 adet firewall olarak kullandığımız sunucu (maximum sonuç aldığımızı varsayalım) ve en önemlisi iyi bir optimize edilmiş sunucu var..

Yine de 100mbitle engelleyeceğimiz saldırılar bir yere kadar olur değil mi?

Line · 18 Nisan 2010

Botnetin çözümü(bana göre) para veya bot sahibi olmaktır. Saldırganı öğrenip , sitesine saldırırsanız çivi çiviyi söker misali olay biter.Yoksa egosunu tatmin etmek isteyen insanlar çok.280 Liraya tamam demedim , akşamına rezil oldu site

( Tabi benim gibi botunuz yoksa kalırsınız ortada o ayrı bir durum )

Hayali Botnet beyin fırtınası..

0

trgy

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

0

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5