The post DDoS Saldırıları, Korunma Yolları ve BotNet Sorunu Etkinliği Sunumları first appeared on Complexity is the enemy of Security.

İstanbul’dan güneşli bir havada yola çıkıp Ankara’da karlı bir havaya merhaba diyerek güne başladım. Ankara’da kar demek sıkıntı demek olduğu için etkinliğin gününde kar yağması biraz canımı sıksa da bu düşünceyi kafamdan atarak otele doğru yola çıktım. Otelde hazırlıklar tüm hızıyla devam ediyordu, sponsorumuz Barikat en ufak detayı bile unutmayacak şekilde hazırlıkları tamamlamaya çalışıyordu.

Derken etkinlik saati geldi, salonda beklentimizin üzerinde bir kalabalıkla (~300 kişi) açılış konuşmasını yaparak sunumlara geçtik. Ankara’da dünyada ilk defa denenen bu kadar spesifik bir etkinliğe bu oranda katılım benim için de sürpriz oldu. Sunumlar ve aralardaki konuşmalar katılımcıların yoğun ilgisi ve samimi ortam sayesinde o kadar hızlı geçti ki kendimi birden kapanış konuşmasını yaparken buldum. Ankara’da saat 5’in özel anlamı olduğu için ben de son sunumu fazla geciktirmemek için HTTP GET flood saldırısı demosunu yapamadım.

Genel olarak katılımcılar fazlasıyla memnun kaldı, her zamanki gibi zamanın biraz daha uzun olması konuların daha anlaşılır olmasına yardımcı olacaktı fakat zaman hep kısıtlıdır, mesele kısıtlı zamanda birşeyler anlatabilmektir.

Etkinlik sunumlarını şimdilik siteye koymayacağız, sadece katılımcılara e-posta ile gönderilecek. Bunun nedeni aynı etkinliğin İstanbul’da da gerçekleştirilecek olması ve etkinlikte kullandığım sunumların bir benzerini de İstanbul’da kullanma düşüncem. Şimdiden sunumları koyup heyecanı azaltmamak lazım. Kuru kuru sunumlar hiçbir zaman konuşmacının ne anlattığını yansıtmaz, sadece o konuda fikir verir.

Etkinlik kayıt esnasında yaptığımız DDoS Saldırısı Aldınız mı anketi sonucu:

Her etkinlik sonrası yaptığımız katılımcı değerlendirme anketi sonuçlarında gelen yorum ve önerilerden bazıları:

Şimdi İstanbul’da Mart sonu aynı etkinliği gerçekleştireceğiz, sonra eğer güç bulabilirsek bu etkinliği uluslarası bir etkinlik haline getirip Dubai veya İstanbul’da yapacağız.

Etkinlik ortamından birkaç resim. Diğer resimlere http://www.flickr.com/photos/59557950@N02/?saved=1 adresinden erişebilirsiniz.

The post Ankara DDoS&BotNet Sorunu Etkinliği Değerlendirmesi first appeared on Complexity is the enemy of Security.

Çalıştığım şirket için yüksek kapasiteli (~10Gbps) DDoS engelleme sistemi arayışımız vardı. Yaklaşık 7-8 aydır piyasadaki ürünleri test ediyordum. Son olarak geçtiğimiz ay ArborNetworks’ün DDoS engelleme ürününü detaylı test etme fırsatı buldum. Bu yazı testleri nasıl gerçekleştirdiğimiz ve sonuçlarına yönelik kısa bir değerlendirmeyi içermektedir.

Üst not: Test sonuçları kötü çıkmış olsaydı muhtemelen bu yazıyı yayınlamayacaktım. Zira daha önce aynı ürünü Türkiye’de test etmiştim ve iki dakika içerisinde sistem dağılmıştı, sonradan anlaşıldı ki ürünü yapılandıran arkadaşlar sistemi iyi tanımıyormuş.

Aşağıda okuyacaklarınız ürünün ana geliştiricilerinin çalıştığı ofiste tüm mühendis ve geliştiricilerinin de müdahil olduğu bir ortamda gerçekleştirilmiştir.(Hatta geliştiricilerden birisi de Türkiye’den bir arkadaşmış, onu da öğrenmiş olduk)

Özet: Arbor’ın  DDoS engelleme çözümü test ettiğim ürünler arasında “DDoS engelleme konusunda”  en başarılısı çıktı. Ve benim de bu piyasadaki gönül rahatlığıyla önerebildiğim nadir ürünlerden birisi oldu.

Test amacı: 3-4 Gb DDoS ataklarına karşı  sistemlere herhangi bir yük bindirmeden çalışabilecek ve ek bir müdahele gerektirmeden  devreye girip, normal bağlantıları engellemeden çalışabilecek (false positive=~0), yönetimi kolay, raporlaması sağlıklı çalışan bir sistem arayışı.

Test ortamı:

Yukarıdaki  basit çizim dış taraftan bakıldığında test ortamının basit görüntüsü. Asıl test ortamı çok daha karışık  tasarlanmıştı.

Testler 3 adet Linux sistem kullanılarak gerçekleştirildi. Her bir Linux sistem Gigabit ethernet kartına sahip ve ortalama 800Mbps trafik üretebilecek şekilde yapılandırılmıştı.

Kullanılan araçlar: Hping, Netstress V.09, isic, juno ve çeşitli perl scriptleri

Gerçekleştirilen testler:Internet ortamında en sık rastlanan flood saldırılarının tamamaı denenmiştir. Test ortamı internete açık olmadığı için bazı saldırı testleri gerçek ortamda denenmek üzere ertelenmiştir.

Test sonuçları ve yorumlar: Tasarlanan test süredi 5 gün olmasına rağmen 3.5 gün gibi kısa bir sürede tüm testler başarıyla tamamlandı. Testlerin ilk iki günü sistemin yapılandırılması ve genel aksaklıklarla geçti, bu da ürünün yapılandırılmasının aslında ürün kabiliyetleri kadar önemli olduğunu göstermeye yetmişti. İki güne kadar yapılan testlerde en ilginç zaman dilimi  1Gb basılan trafiğin sisteme ulaştığında 5Gbps’e yükseldiğini görmekti. Basit bir yapılandırma hatası normal trafiğin bile DoS’a dönüşmesini sağlayabiliyor.

İki gün sonunda Arbor mühendisleri,geliştiricileri devreye girerek test ortamındaki hataları tamamen düzelttiler. Bu saatten sonra yaptığımız tüm testleri başarıyla tamamlayan Arbor “helal olsun koçum” sertifikasını almaya hak kazandı:). Özellikle UDP ve DNS flood saldırılarına karşı geliştirdikleri özgün çözümler mühendisliğin(klasik bilgisayar vs mühendisliği kastedilmemiştir) nerelerde işe yarayabileceğini gösterme açısında oldukça ilginçti.

Eksiler: Sistemin HTTP GEt flood vs saldırılarda daha önceden bir eşik değeri belirleme zorunluluğu ürünün zayıf taraflarından. Bu işlemi trafiği belirli dönem dinleyerek kendisinin otomatik yapması(ki çok zor bir işlem, false positive düşmeden yapabilmek) beklerdim. Saldırı esnasında sisteme ait performans değerlerini göstermemesi ciddi bir eksiklik. Bununla birlikte Netflow destekli kullanıyorsanız sadece trafik başlıklarına göre işlem yapabiliyorsunuz(bu tip ürünlerin genel dezavantajı). Inline modda kullanacak olursanız paket başlıklarının ötesinde içeriğe göre de DDoS engelleme yapabiliyor.

Artılar: Yüksek trafiklerde paket kaçırmadan saldırıları engellemesi, normal trafiğe dokunmaması. BGP off-ramp çalışabilme özelliğiyle ISP’de konumlandırılarak trafiğin size daha ulaşmadan kaynağına en yakın yerde kesilmesi. Portspan, Inline çalışabilmesi.

Sonuç: Arbor alternatif ürünlere oranla daha basit bir yapıya sahip ve gücünü de bu basitlikten alıyor. Belirli tip saldırıları engelleme için eşik değerleri girdirilmesi gibi manuel müdaheleler dışında diğer tüm özellikleri otomatik olarak devreye girip sağlıklı çalışıyor. Firmanın sadece bu işe dedike olması da oldukça önemli. Fakat üründen daha önemli olan şey ürünün yapılandırılması ve ürünü yönetecek kişilerin bilgi seviyesi. Türkiye’de de bazı firmaların Arbor çözümü sattıklarını duyuyorum, bu konuda müşteri olacaklara tavsiyem mutlaka ve mutlaka alacakları hizmeti önceden test ettirmeleri. Testleri de  satıcı firmadan bağımsız birilerine yaptırmaları.

Lab ortamımız:

Sınırları zorlamaya başlarken…

Tek bilgisayardan ~900Mbps trafik basarken:

The post Arbor DDoS Testleri first appeared on Complexity is the enemy of Security.

http://blog.bga.com.tr/dosddos-saldirilari/netstress-dosddos-saldiri-test-araci/

Meraklısına not: Netstress(a.k.a SALDIRAY) henüz satışı yapılan bir ürün değildir, sadece DDoS testlerinde, Firewall/IPS performans testlerinde ve eğitimlerde kullanılan bir araçtır.

The post Netstress DoS/DDoS Saldırı Test Aracı first appeared on Complexity is the enemy of Security.