7 saat 7 dakika süren DDoS saldırısının analizi

Bugün sabah 05 itirabiyle Netsec listesi, Bilgi Güvenliği Akademisi ve Lifeoverip.net sunucuları(+aynı ağda bulunan kapı komşumuz ÇözümPark) ulaşılamaz durumdaydı. Önceleri yine kendini agresif bir yolla ispat etmeye çalışan birileri sandım ve pek önemsemeden kahvaltıya devam ettim sonra aynı ağdaki diğer müşterilerden de şikayet gelmeye başlayınca biraz inceleyeyim dedim ve 7 saat 7 dakika süren o tatsız süreç başlamış oldu:)

İnceleme sonuçları:

Her bir site farklı makinede  olunca  ve hepsi birden ulaşılamaz olunca öncelikle fiziksel bir sorun vardır diye ISP ile iletişime geçildi. Sonra ISP’den DDoS saldırısı yapıldığı bilgisi gelince bu bilgiyi teyit edecek bazı denemeler yapıldı(hping ile bazı portlara SYN paketleri gönderip cevap gelmesini beklemek gibi) ve fiziksel bir erişim problemi olmadığı onaylandı.

Bir sonraki adımda sistemin bantgenişliği  arttırmak için için ISP ile tekrar iletişime geçildi. Biz bantgenişliğini arttırdıkça saldırının şiddeti de artıyordu. Bant genişliği arttırımı  esnasında ben sırasıyla tüm sunucularımıza bağlanarak saldırının bize gelip gelmediğini kontrol etttim. Saldırı bizim IP adreslerine yönelik değildi.

Sırasıyla diğer sistemler de kontrol edildi ama ortaya bilinen bir sistem çıkmadı…

Peki sorun neydi?

Ortalama trafiği 10Mb civarı olan sistemlerimize 70 Mb civarı atak gelince ve gelen 70Mb  trafiğe(~200.000 PPS)  benzeri miktarda yanıt dönmeye çalışılınca routerin bize bakan ayağındaki 100Mb sınırlaması aşılmış oldu ve biz tümden sistemlere ulaşamaz olduk. Bunun tek çaresi vardı, saldırı yapılan IP adresi hangisi ise o IP Adresini backbone’daki routerlardan karadeliğe yönlendirme.

Uzun uğraşlarımız sonrası hangi sisteme DDoS yapıldığını bulamadık(20-30 civarı IP adresinden bahsediyorum) ve son çare olarak Çözümpark’tan Hakan’la  taksiye atlayıp ISP’e geldik. Kısa bir sürede saldırının hangi IP adresine yapıldığını bularak o IP adresini sanal dünyadan sildik ve DNS’de yeni IPler tanımladık.

Sıra geldi saldırı esnasında kaydettiğim trafik dosyasının incelenmesine. Trafik dosyasını incelediğimde hayal kırıklığına uğradım! Topu topu iki tane IP adresi UDP 80 portuna(sanırım saldırgan web sunucuya SYN flood yapmak istiyordu ama yanlışlıkla UDP 80’e göndermeye başladı trafiği) yüklü miktarda paket göndermeye çalışıyordu… Önce routerlardan ACL ile udp 80 e giden paketleri kapatalım dedim bunu yapamayacaklarını söylediklerinde ise ilgili ip adresini sanal dünyadan sildirdik ve sistemler tekrar ayağa kalktı…

Analiz aşaması
[email protected]:~#tcpdump -n -r DDOS.pcap udp port 80|cut -f3 -d” “|cut -f1,2,3,4 -d”.”|sort -n|uniq -c>2
….
2097867256364 91.121.135.187
307419089761   91.121.192.60
Hangi IP adreslerinden geldi?

Saldırı anında 1-2 dakikalık alınan paket kaydı sonucu
91.121.192.60
91.121.135.187
IP adreslerinin saldırıda kullanıldığını belirlendi. Iki IP adresinin de Fransa’daki OVH adlı ISP’e ait olduğu belirlenerek ilgili e-posta adreslerine saldırıyı anlatan ve şikayetçi olduğumuzu belirten uyarı maili gönderildi.
inetnum:         91.121.132.0 – 91.121.135.255
netname:         OVH
descr:           OVH SAS
descr:           Dedicated Servers
descr:           http://www.ovh.com
country:         FR

Alınacak dersler

  • ISP seçiminde daha dikkatli olunacak:)
  • Tüm sistemler DDoS engelleme sisteminin arkasına alınacak yoksa aynı ağdaki bir makineye gelen trafik diğerlerinin de ulaşılmaz olmasına neden oluyor
  • ISP’deki bu darboğaz neden oluştu detaylı incelenerek tekrar oluşmasını engelleme
  • En kötü durum senaryosu için DNS’lerin yedeği yurtdışında tutulacak(bizim dnsler zaten bu şekilde ama çoğunluk müşteri tek bir yerde tutuyordu) ve TTL değerleri düşürülecek.
  • Saldırı basittir birazdan kesilir diye rahat davranılmayacak

Sonuç

7 saat 7 dakika süren bu sıkıntı sonrası şunu tekrar net olarak söyleyebilirim ki  ne X, Y, Z ürünü ne de başka birşey, temel TCP/IP bilgisi ve bu bilgiyi pratiğe dökecek basit araçların bilinmesi herşeye bedeldir.

7 saat sonra artık saldırının kendi kendine kesilmeyeceğini düşünerek ISP’e gittiğimizde, Laptop’da Linux’u açıp incelemeye başlamamla birlikte 7 dakika içerisinde hangi sisteme saldırı yapıldığını bulundu ve sistem ayağa kaldırıldı.

Hala TCP/IP nedir ki, neden bu kadar önem veriyorsunuz diyenlere güzel bir cevap oldu:). TCP/IP herşeydir, iletişimin temelidir! Alfabeyi ne kadar iyi bilirseniz anlamanız, sorunları çözmeniz o kadar kolay olur.

This entry was posted in DOS/DDOS, Misc and tagged , , , . Bookmark the permalink.

14 Responses to 7 saat 7 dakika süren DDoS saldırısının analizi

  1. PINCIR says:

    TCP/IP bilmeden hacer(heçkır yani (hacker)) olduğunu sananlar, PE dosya sistemini bilmeden hazır kodlarla crypter/packer yazanlar gibiler. İkiside neyi neden yaptığını bilmez. Olay ezberden ibarettir.

  2. koray says:

    Merhaba

    Bende başıma gelen birşeyi anlatmak istiyorum. Olay şu şekilde gelişti. İç networkde ciddi bir şekilde internet yavaşlığı oldu. İç networkumden firewall uma bağlanmaya çalıştığımda makina bir cevap veriyor bir cevap vermiyordu. belli bi süre sonrada hiç cevap vermemeye başladı ( Atılan ping ve webden bağlanma isteğime ) Sonra Firewall uma dış IP den başka bir networkden rahatlıkla bağlanabildim. Firewall umun loglarını kontrol ettiğimde SSH bağlantısı yapmaya çalışıldığı ve bunun başarız olduğunun devamlı logu düşüyordu. Sonra firewalldan iç ağı TCPDUMP ile dinlediğimde 33.X.X.X nolu IP den bana devamlı bir şekilde istekte bulunulduğunu ve firewallumun buna cevap vermeye kalktığından iç networkden firewall uma ulaşamıyordum. Dedimki bu IP den gelen istekleri BLOCK layım kurtulurum dedim bir baktim. Bunu yapmaktada işe yaramıyor. Allah allah dedim sonra firewall üzerinde açılmış olan bağlantılara bakıyım dedim birde ne goruyum iç ağda bulunan bir makina üzerinden 33.X.X.X nolu IP kullanılarak benim firewall uma atakta bulunuluyordu. O makinanın ethernet kablosunu çektiğimde herşey normale donmüştü. Bu olayı çözmem 45 dakkamı aldı. Bu olayı sizinle paylaşmak istedim

  3. hakan uzuner says:

    Güzel macera oldu Huzeyfe.. ben bir ara bunu yapanı bulsam bacağımı sokacağım diyordum ama bize değilmiş atak sevindim 🙂

  4. Huzeyfe ONAL says:

    IP adresleri Fransa gözüküyor bakalım oradan bir cevap gelecek mi. Spoofed olmadığına eminiz başka bağlantılarda yapılmış o ip adreslerinden:)

  5. serdar says:

    7 saat süren saldırının mantıklı bir sebebi olmalı diye düşünüyorum.

  6. Huzeyfe ONAL says:

    Bu işlerde mantık aramayı bırakalı çok oldu… Yosak hangi Allah’ın kulu İstanbul kara kaplandığı bir günün gecesi saat 2 gibi Türkiye’den saldırı yapar:)

  7. Öncellikle çok geçmiş olsun…

    Hüzefe detaylı analiz için çok teşekkürler… Böyle durumlarda rahmetli Tigin’i anmadan edemiyorum.

    Aynı saldırı şeklini, Bursa Uludağ Üni. Merkez Laboratuvarı üzerinde bende yemiştim. İç ağdan birisi Sun Solaris üzerinde bulunan Laboratuvar Bilgi Sistemlerine saldırıyordu… Yukarıda da belirtiğin gibi basit TCP bilgisi ve neyi izlediğini bilmek sorunu çözüyor.

    Kolay gele

  8. Kimyasal Madde says:

    Ferruh Mavituna’nında sitesine erişemiyorum 3 gündür. Siz erişebiliyor musunuz? Ferruh abi de bir DDOS saldirisina maruz kalmış olabilir mi?

  9. zapatov says:

    Sanırım online poker, casino ve bahis siteleri ddos saldırılarından korunmak için çok fazla alt yapı yatırımı yapıyolar. Ya da çok fazla fidye veriyolar (:

  10. Huzeyfe ONAL says:

    Ferruh Türkiye’ye gelirken sunucuyu kapatip gelmis olabilir:).

  11. tarık öğüt says:

    siz ip adresini verin eğer ovhda ise bulabilirim makinenin kime ait olduğunu 😛

  12. Huzeyfe ONAL says:

    Ilgili yerlere bilgilendirme gönderdik. Yazıda örnek iki ip adresi yer alıyor(91.x.x.x )

  13. Ümit says:

    Bu ne yaa? 2 saat oldu sitenizden çıkamadım. Oku oku bitmiyor.

Leave a Reply

Your email address will not be published. Required fields are marked *

eleven − five =