SYN Flood, DoS Atağı
Belki kimileri hangi site olduğunu dahi biliyor, bir sosyal ağ sitesi yürütüyorum. Kullanıcı kitlemi her ne kadar kötülemek istemesem de kimileri çocuk oyuncağı şeylerle, anlaşılabilirliği 6-12 yaş arası araçları kuşanıp, alt benliğimi kimse durduramaz moduna girerek “kim takar yönetimi” tavrına bürünüyor, aslan kaplan kesiliyorlar. Kimi uygunsuz davranışlara olan yaptırımların sonucunda, sonuçlarına çok alışık olduklarından genelde bu altbenlik kitlesi susar, ve istemeden de olsa olağan sanal yaşamlarına geri dönerler. Fakat bu sefer çok karşılaşmadığım ama aşina olduğum ‘”senin siteni kapatırım” tehditleriyle karşılandım. Tehdidin sonu tabii ki cookie’siyle IP’siyle artık elimde bir server’ın, makina tanıma konusunda ne yetenekleri varsa önlerine sergileyerek uzaklaştırılmaları oldu. Şöyle 1-2 iki saat sonra, gördüm ki aslan kesilmelerinin gerçekten bir nedeni varmış. Kullanıcı adlarını çeşitli sevgi* sözcükleriyle andığım bir/birkaç şahıs internet camiasının tuvaleti eggdrop botnet’lerden birinde SYN flood öğrenmiş meğer..
Bu SYN flood kısaca nedir anlatayım; TCP/IP de bir bağlantı açmak için ilk SYN gönderilir, fakat bu noktada kesilirse, SYN quoe denilen sıralama deposu eninde sonunda dolar ve sunucu yeni bağlantı kabul etmez. Benim sunucum 1200 civarına kadar thread destekliyordu, bu yüzden 3 kişi 6-12 yaş arası çocuklar için yazılmış sözüm ona saldırı oyuncakları ile 400-500 ‘er packet’ler yollamışlar sağolsunlar.
Korunma yöntemi, tcp packetleri spoofingle (pakette yanlis ip adresi) ile birlikte gelince iptables veya harici bir firewall. Benim harici (fireslayer) firewall’um saldırıyı 15 dakikada anca anlayıp engellediğinden, işimi hızlıca görecek kısmını iptables’dan yaptım.
Aslında bu syn flood koruması module olarak apache güncelleştirmesinin yanında geliyor, fakat ben performans ihtiyacımdan dolayı litespeed kullanıyorum, bunu da not düşeyim.
#!/usr/bin/php -q
< ?
while(true) {
unset($exec);
//sort edilmis, 80 portuna yapilan iplere gore gruplanmis baglanti sayilari
exec("netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1",$exec);
foreach($exec as $i => $v) {
//trim
$v = trim($v);
while(strpos(” “,$v)) //tembel parse
$v = str_replace(array(” “,” “),” “,$v);
$d = explode(” “,$v);
//print_r($d);
if ($d[0] > 30 && !in_array($d[1],$giden)) {
echo “Gidici: {$d[0]} tane {$d[1]}\n”;
exec(”iptables -A INPUT -s “.$d[1].” -j DROP”);
$giden[] = $dil[1]; //giden bidaha islenmesin
}
}
sleep(30); // & ile backgrounda birakalim, devamli baksin..
}
?>
Nisan 16th, 2008 @ 5:31 am
SYN FLOOD…
Necroluk yapm……
Temmuz 6th, 2008 @ 10:58 am
Basit vede küçük saldırılarda yazılımsal olarak bunu engelleyebilirsiniz yazmış olduğunuz betik ile fakat biraz daha büyük saldırılarda yazmış olduğunuz betiği çalıştıramadan makina down oluyor malesef.
Temmuz 7th, 2008 @ 2:51 pm
Çok doğru, malesef atak aslolarak brute force/ kaba kuvvet. Yazdığım betik ancak bir kere kullanılan ip’nin yeniden kullanılamamasını yazılımsal olarak engelliyor. Bu da atağı engellemek uğruna CPU zamanı ve RAM’den feda etmek demek. Karşımızda bir spoofing, vb olmaksızın gerçek makinalarla ve gerçek fiziksel ip adresleriyle bir saldırı yapıldığı için çok fazla seçim şansımız da yok. Aslında makina down olmuyor, kernelin o port için ayırdığı socket havuzu bağlanıp orada duran ghost’larla doluyor. Makinaya erişimi engellemek için genelde 80 portu (servis veremesin diye) ve 22 ssh portu ( sunucuya bağlanılamasın-önlem alınamasın diye ) hedefleniyor. Eğer yapılmış bir 22 portunuz varsa, farkedeceksiniz ki sizin ssh’ınız durumdan etkilenmemiş, ama yeni bağlantı açamıyorsunuz. Makina ping de alıyor haliyle.. Neyse. Yapılabilecek doğru yöntem, fireslayer gibi hardware external firewall edinmek. Şu anda büyük hosting hizmetleri, istek üzerine fireslayer ve benzeri firewall kartlarını size sunabiliyorlar.
Eylül 23rd, 2008 @ 8:22 am
adamlarda var çok sağlam Botnet bizzat screenleri gördüm eğer montaj değillerse ne yapılabilirki? okadar çok yamasız xp varki en basit bir tarama ile bir sürü makine zombie haline gelebiliyor. saniyede rootlanıp zararlı bu makinelere enjekte ediliyor. Ek olarak warez sitelerden ve torrentlerden akan undetect edilmiş bot exelerini saymıyorum.
Eylül 23rd, 2008 @ 4:54 pm
Eminim ki vardır, arayüzü gelişmiş olsun, gelişmemiş olsun yöntem çok eski bir yöntem, geliştirmişlerdir belki artık amacı ile alakası olmayan ama merkez olarak kullandıkları eggdropları da terketmişler ve kendi ağlarını oluşturmuşlardır. Bu botnetin geçmişi belli, eskiden tuvalet köşelerinde pislik içinde kumar oynayan lise talebeleri, belki şimdi silah tüccarlarıyla süper lux bir otelde martini ile oynuyorlardır, bilemiyorum. Arayüz konusunda, şu makineye saldır diyebileceğin ve ne kadar boşta zombie sahibi olduğunu bil yeter, iyi bir arayüzün olması da şart değil. Fakat bunlar bilişim dünyasındaki zayıf bilgileri, cehaletleri ve saldırganlık ile beslenen egolarıyla eskiden de karın ağrısıydı, şimdi de öyleler. Eğer botnet gibi saldırıları seçen ve bilgisinden ve ahlaki değerleri korumasından ötürü saygı uyandıracak bir hacker arasındaki fark; -ki emin olun, bilgiyle donatılmış ve bu yeteneklere sahip biri botneti seçmediğinden bir karşılaştırma yapılabilir- bir örnek vermek gerekirse filmlerde canlandırılan yaşlı ve bilge uzak doğu dövüş ustasıyla, 120 kiloluk bir bar serserisi arasındaki farktır. Birinin kafanızın ve vucudunuzun algısını aşabilecek kadar çok öğretebilecek şeyi vardır, diğerinin ise 50 kilo aldığınız ve küçük dağları ben yarattım edasıyla davrandığınız zaman isteseniz kendiniz de olabileceğinizi bilirsiniz. Fakat her ne kadar cinsi, yaratacağı faydayı da etkilese de güç güçtür, kaba kuvvet veya bilgiyle olsun. Fakat bununla övünüyorsa-böbürleniyorsa, kibir gibi bir karakter bozukluğuna sahip birinden ve elindeki güçten pek etkilenecek bir şey yok. Açıkcası bu noktada lisedeki sınıf kabadayısının yaptıkları ne kadar etkileyiciyse, bu zombie botnet merkezleri de o kadar etkileyici.
Buarada botnetin nasıl buna dönüştüğünü anlatayım;
Aslında botnet odaları korumak için birbirine bağlanan eggdrop botlarının iletişim ağıydı, IRC’de ilk gelen op olur mantığıyla kurulan sistemlerde bekleyip kimse yokken opluk alan ve çok matah bir şey yapmış gibi pek övünen gençlik servislerin yaygınlaşması ile biraz susmak durumunda kaldı. Bir sefer de IRC’de netsplit olarak bilinen sunucuların birbirinden kopma anını yakalamaya çalışan kişiler oldular. O zaman parolasız bir operatörün kimliğine değiştirip, bu yetkileri alabiliyorlardı. Bunun üzerine 7/24 IRC oda koruyucuları geldiler, eggdroplar. Netsplit furyasının da son bulmasının ardırdan, artık güçlerinden tatmin olamayan bu çocuklar, eggdropları birer saldırı aracı olarak evirip çevirmeye başladılar. Buarada bir yandan da başka bir eğlence belirdi- trojanlar. Bu truva atları, çalıştırıldığı makinada bir takım kontroller almayı başarıyorlardı. İnsan haklarına cehalet veya doğrudan kötü niyetle saygı duymayanlar tarafından, gene çok matah bir şekilde olmadan insanların e-postalarını okudular, resimlerini aldılar, cd-romlarını açıp kapattılar, ekranı kapattılar, bilgisayarlarını kapatıp ellerindeki programlarının verdiği “melaba ben neo” gibi safsataları gönderdiler. İlginçtir ki, bunu genelde yapanlar en sığ ve cahil kesimdi, inandıkları şey sadece ellerindeki sunucu ve istemci trojan programlarıydılar. Bu programları da kendileri yazmadılar, aslında wordde yazı yazmaktan daha kolaydı bu programları kullanmak, eminim ellerinde böyle bir program varken kendilerinin Arthur’un Excalibur’unu tutmuş gibi hissetmelerini ve kendilerini kral gibi görmeleri çok normal. Sorun Madem öyle programları kim yaptı derseniz, bu daha çok uzaktan bilgisayar kontrolünde fayda getirmek isteyen insanlardı, fakat bilgiyle bu derecede uğraşan insanlar biraz “hin”dir, ve böyle şeyler çıkarılması işten bile değildir, onlar çıkarmadıysa zaten varolan bir yöntem, korkuyla beslenen bir hin tarafından saldırı amaçlı mutlaka kullanılır - neyse amacım trojanın tarihi değil, insanların özellerini okuyan, özel resimlerini çalan, onlara bilgisayarı kullanmada korkutan insanların tarihi. Sonuç olarak ellerine warez sitelerinden düşen bu programları, merkezi bir şekilde kontrol etme ihtiyacını hissettiler. Bunun üzerine botnet hatırlandı, amacı odaları korumak olan eggdropların merkezi yönetim ağı. Aynı şekilde bu ağ, trojanların kontrolü için kullanılabilirdi, hazırdı. Sonuç olarak, gene kendileri geliştirmeden bu sistemin içine yerleştiler. Gerçek amacı manüple ederek kullandılar yani, daha sonra semirmiş ve kendi merkezlerini sonunda kurmuş olmaları, bu adamların tarihini değiştirmiyor, ve kafa aynı kafa. Şimdi IRC’de olmadığımdan mı, antivirüslerin elegeçirme işlemlerini izlerinden tanıdıyıp genel bir bağışıklık kazandırdığından mı, yoksa bu safsataların son bulduğundanmıdır bilmiyorum, pek bunlardan kalmadı. Yani trojanlardan.. Bo, Netbus, Sub7 devri bitti, yerini yapılanması biraz daha bilgi gerektiren SYN Flood gibi DoS’lar başladı. Şimdilerde kullandıkları araçlarında ve araç oluşturma yeteneklerinde biraz da olsun gelişebilen bu adamlar, kendilerini internet mafyası olarak ilan etmekteler. Siteleri korunmayı bilmeyen, veya sistem yöneticisi olmayan sunucuları rasgele hedef olarak seçiyorlar ve aman sizin işinizi bozarız, sizi maffederiz, topuğunuza sıkarız diyerek yedirebildiklerinden “haraç” alıyorlar. Bu zihniyeti zaten biliyoruz. Fakat saygı duyalacak pek bir şey yok, tek silahları eskisi gibi korku yaratma ve bilgisizlik. Özellikle internette bu tür saldırılardan korunmanın tek yolu ise bilgi. Bilgin olduğu sürece, bilinçli olduğun sürece onlar “hiçbirşey”ler, sahip olduğu araçları yaygınlaştırmak istemezler, o programın adı o kadar değerlidir ki söyleyemezler bile araştırılır öğrenilir diye. Tek cahil ve kontrolsüz güç onlar olmak isterler. Tersini yaparlarsa hem kendisi gibi olanların sayısı artacak, dolayısıyla oluşturdukları korku dağılacak ve onlara karşı geliştirilen araçlar daha da çabuk dirildiğinden git gide güçleri azalacak. Fakat zaten bilgi kontrollerinde olmadığından, güçlerinin sabitliği açısından bu çok acınası bir önlem. Zira üretim kendilerinde yok ve kullandıkları saldırı, çok kolay egale edilebiliyor - her zaman edilebiliyordu. İşte bu yüzden, kesinlikle sağlam da değiller, gitmeye yavaş yavaş üstüste doyumsuzluklarla gelişmek ve geride bırakmak zorundalar.