Türkçe
Ekran görüntülerinden ( Resim 1) görülebileceği gibi araç UDP ve TCP portlarına flood tipi saldırı yapabiliyor ama bizi ilgilendiren HTTP portuna yapılan saldırının karakteristiği ve önlenip önlenemeyeceği. Araç hala geliştirme desteği bulduğu için bu yazıda anlatılanlar bundan x gün sonraki y sürümünde geçerli olmayabilir. Test ve inceleme için kullandığım versiyon 1.0.7.42. Test ortamı da aşağıdaki gibi;
Saldırgan ( 10.10.10.3 ) : Windows XP SP3 ( < Net Framework 3.5 yüklü olması yeterli )
Hedef (10.10.10.4 ) : Windows 2008 R2 Enterprise Server ( IIS 7.5 yüklü )
Resim 1
LOIC gayet başarılı bir şekilde HTTP Flood yapıyor ama bir şeyler eksik, bu eksiklerin büyük kısmı da High Orbit Ion Cannon adı verilen bir diğer araçta giderilmiş zaten ama bu araçta da HTTP versiyon 1.0 olarak belirtilmesine rağmen "hostname" header'ının istekte kullanılması gibi anormallikler var. LOIC'le yapılan saldırının detaylarına bakacak olursanız saldırgandan gelen HTTP Request'lerde sadece metod'un belirtildiğini (GET / HTTP/1.0), header'ların hiçbirinin var olmadığını görürsünüz (Resim 2).
Resim 2
Eğer WAF,Next-Gen FW gibi uygulama seviyesinde paket içeriğini inceleyebilen bir güvenlik çözümü ya da ürünü kullanıyorsanız bu bilgi size avantaj kazandırabilir, kullandığınız ürünün kabiliyetlerine bağlı olarak header'ı olmayan HTTP Request'leri engelleyebilirsiniz belki.LOIC iyi güzel request'i gönderiyor ama sunucudan yanıt alır almaz RST bayraklı paketle bağlantıyı sonlandırıyor,bunun sebebini anlamış değilim muhtemelen birden fazla thread açabilmek içindir ama yine de bağlantıyı sonlandırmasa daha fazla kaynak tüketir,zarar verir.
LOIC benzeri HTTP flood yapabilen saldırı araçlarının bir diğer zaafiyeti de HTTP Redirect mesajlarına gereken ilgi ve alakayı göstermemeleri. Bu şu demek oluyor, siz saldırının hedefindeki web sunucunuzu bir başka URL ya da IP'den hizmet verecek şekilde değiştirirseniz yani web sitenizi yönlendirirseniz,sitenizin iyi niyetli ve zararsız kullanıcılarının browserları bu www.abc.com adresli ya da a.b.c.d IP adresli web sunucunuza erişmek isterken www.def.com URL ile ya da a.b.c.e IP adresli yönlendirilmiş adrese erişmekte sıkıntı yaşamazlar ama Bot'lardan gelen zararlı HTTP istekleri sunucunun gönderdiği HTTP Redirect mesajlarını dikkate almaz www.abc.com adresine HTTP Request göndermeye devam eder. Bu sayede web siteniz yeni adresinden hizmet vermeye devam edebilir.İlk bakışta güzel bir korunma yöntemi olarak görünüyor ama saldırıyı yapan/yöneten kişiler de en az sizin kadar akıllı ve bu tip yönlendirmelerin farkına vardıklarında onlar da hedef URL'leri ya da IP adreslerini yenisiyle (yönlendirilmenin yapıldığı adresle) kolaylıkla değiştirir, web sitenizde hizmet kesintisine neden olmaya devam ederler.
Yukarıdaki paragraftan birşey anlamamış olanlar için aşağıdaki şemayı hazırladım; özetle LOIC - HOIC (High Orbit Ion Cannon ) gibi araçlar ve botların geneli http-redirect mesajından sonra olması gerektiği gibi yönlendirilmenin yapıldığı yere istek ( diğer deyişle saldırı) yapmaz yani yeni adres araçlarda hedef değiştirilene kadar saldırı almaz,ama legitimate denen zararsız kullanıcı trafiği redirect mesajından sonra yönlendirilmenin yapıldığı adrese ya da URL'e gönderilir. Bu da saldırganlar yönlendirilmenin yapıldığı yeni URL ve IP adreslerini yeni hedef olarak gösterene kadar geçici bir koruma sağlar.
Resim 3
Bu yazıyı biraz da daha önceki yazılarda bahsettiğim,Superonline gibi güzel yurdumun güzide ISP'lerinde ya da kritik kurumlarında güvenlik ekiplerini yönetenlerin bir kısmı gibi, HTTP Redirection yönteminin şuan için HTTP Flood saldırılarına çözüm olduğu yanılsamasına düşenler için hazırladım.
Kolay erişilebilir bu tarz saldırı araçlarını test ederek bu saldırılara karşı korunma yöntemleri geliştirmeye çalışın, en azından varsayılan ayarlar kullanılarak yapılan basit saldırıları bertaraf edebilirsiniz. Daha büyük çaplı ve kararlı saldırılar içinse Prolexic gibi dağıtık veri merkezli servis sağlayıcıları kullanmaktan başka çare görünmüyor.
Son olarak önemli bir hatırlatmada bulunayım,LOIC uygulamasıyla yapılan saldırılarda spoofed IP adresi kullanma imkanı olmadığından kolaylıkla tespit edilebilirsiniz.Bu aracın IRC sunucularından merkezi olarak yönetildiği bir başka versiyonunda da (Hive Mind LOIC) durum aynı, dahil olduğunuz saldırgan grubunun nereyi hedef aldığını dahi bilmeden emniyet görevlilerini kapınızın önünde bulabilirsiniz.
Header boyutlarını IIS sunucularda sınırlandırma imkanı veren Microsoft'un bu tip basit ve standarda uymayan isteklere (eksik Header gibi) karşı bir fonksiyonu ne zaman IIS sunuculara kazandıracağını da merak ediyorum.
İlgili Yazılarım
HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?
IIS Sıkılaştırma Klavuzu - Nam-ı diğer Security Hardening Guide
English
As can be seen in the screenshots (Figure 1) the tool is able to perform flood attacks against TCP and UDP ports but we're specifically interested in the characteristics of the attack against HTTP port, and whether it can be prevented or not. Because the tool still has development support, this blogpost may not be applicable for a future version. The version of the tool i've used for this blogpost is 1.0.7.42. Test platform is like below;
Attacker ( 10.10.10.3 ) : Windows XP SP3 ( < Net Framework 3.5 is required )
Target (10.10.10.4 ) : Windows 2008 R2 Enterprise Server ( with IIS 7.5 installed )
Figure 1
Translation will continue.....
Hiç yorum yok:
Yorum Gönder