Mini web server ataklara karşı ne yapabilir?

[z]

Gömülü sistem üzerinde çalışan basit bir web serverin önünde herhangi bir firewall olmadığı için atak tipi yoğun taleplerde web server, paketlerin herbirine tek tek cevap vermek zorunda. Bu da web serverin sürekli meşgul olması anlamına gelir.

Belirli bir zaman aralığında aynı IP'den N paketten daha fazla paket alınırsa yada içeriği bilinçli olarak bozulmuş paket gönderici, kötü niyetli bir "IP"dir diyerekten bu IP farklı bir sayfaya (Hata:404 gibi) yönlendirilebilir. Fakat her durumda bu mini web serveri meşgul edecektir.

Böyle bir IP numarası tespit edildiği takdirde web sitemin vereceği hizmetin bozulmaması adına gelebilecek ataklara karşı ne gibi önlemler alabilirim? Karşı atak olarak ne yapılabilirim? Atak yapan IP'ye ne gibi engeller (atak hızını düşürme vs) çıkartılabilirim?

[muhendisbey]

Loglama olmadan hiçbir şey yapamazsınız.
Hangi ip hangi  tarihte erişmiş, tarih, saat, gelen paket boyutu gibi... Sonrasında dos attack için önlem almaya başlayabilirsiniz. Bu ve bunun gibi sebeplerle zaten profesyonel bir üründe raspberry pi (yada türevi) ve apache server altyapısı belki bir de firewall eklentisi minimal olarak kullanılmalı.

Tek saldırı biçimi dos attack değil. Eğer sayfa dinamik yapıya sahipse attack biçimleri de çoğalıyor. O nedenle zaten önceki başlıkta internete çıkmadan resim kullanma için yazmıştım.

[z]

Minumum olmazsa olmaz engellemeleri yapmam şu an için yeterli.

Geçmişe yönelik atacklar sorun değil 1 sn içinde N adet atack aynı IP'den geliyorsa buna çözüm getirmek istiyorum.

Çünkü ancak bu atak tipleri verilen hizmeti yavaşlatabilir.

[muhendisbey]

o zaman olay şu,
Atıyorum 2dk'lık süre içerisinde hangi ip'den istek gelmişse ipsini yaz,
her gelen erişim için ip'ye ait sayacı 1 artır.
sayaç 10 olursa, flood control için gelen isteği ignore et. Her 2 dk'da bir bufferı boşalt. Yeni istekleri yaz.
Dediğin şekilde 404 vs yazdırmak da dos attackta sistemi yorar.

[z]

Atack yapan adamın ha bire istekte bulunması serveri yormak için yeterli. Server sonuçta gelen paketi açıp yorumlamak zorunda. Bu da demektir ki bana zaman kaybettirecek hatta ethernet çipimin bufferında taşmalara neden olacak.

Filitreleme olaylarına bir göz atayım. Belki çipin MAC filitreleme özelliği vardır. Gerçi aynı zaman diliminde çapraz ateşe tutulunursa bu da çözüm olmaz.

Sivrisinek gücünde bir server bile olsam, atack yapana kendi gücümce bir şeyler yapabilmeyi isterim.

Ne yapabilirim?

[mert3162]

peki hocam söyle bişiy yapsak mac filtreleme yoksa eğer sizin ipniz belli bunu programa işleseniz eğer bağlantı talebinde bulunan ip benim belirlediğim ip değilse pakete hiç bulaşma diyebilirmisiniz ?

[ErsinErce]

firewall lar gelen istekleri görmezden gelerek karşı tarafın timeout'a düşmesini sağlıyor.

güncel bazı modemlerin bazılarında bile dakikadaki bağlantı istek sayısı ayarlanabiliyor.

TTNet ayrıca aynı IP den gelen istek sayısı bant genişliğini doldurmaya başladıysa otomatik olarak kesmeye başlıyor.
Bu yüzden tek noktadan atak yapmak neredeyse imkansız.

Birden fazla noktadan 100+ istekte bulunarak bant genişliğiniz yeniyor genelde, bu şekilde sadece asıl ulaşmak isteyenler ulaşamıyor.
eğer firewall kaliteli ise hafıza sorunu yaşamadan atak kesildiği anda geri işlemeye devam ediyor.
ama bazı firewallar o kadar isteği kaldıramayıp (stack taşması yaşayıp) çalışmaz hale geliyor ve manual reset gerekiyor.

ataklara karşı gelen paket belli olduğundan başka cihazlar üzerinden karşı atak yapılabilir belki ama ipniz tek ise bu sefer atak kesilse bile kimse size erişemez hale gelebilir.

[z]

Gelen paket, ethernet çipine girdikten sonra bunu çarçabuk okuyup çip bufferında yer açmam lazım. Ancak paketi okuyup içine baktıktan sonra göndericiyi öğrenebilirim.
Paketi açıp bilgileri okuduktan sonra göndericiye cevap vermek yada vermemek bana veri hazırlama/gönderme rutinimin çalışma süresi kadar zaman kazandırır.

Yapacak pek bir şey yok sanki. Adamın yaptığı bombardıman ölçüsünde zaten geri dönüş yapamam. İşlemcimin ve ethernet çipiminin yeteneklerinden (hız/buffer uzunluğu) kat be kat daha yetenekli bir saldırgan kolayca ethernet çipimin bufferını doldurur. Bu esnada diğer clientlardan gelecek paketler de gümbürtüye gider. Server saldırgan dışında kimseye cevap veremez olur.

Şöyle düşünüyorum. Adamın elini kolunu bağlamışsın. Ağzına hortumu dayamışsın ya içecen ya içecen diye zorluyorsun.

Bu durumda aynı IP'den gelen isteklerin sayısına bakmak ve bu limit değeri aştıysa hiç cevap vermemek en iyisi. Ancak bir arkadaş eğer modemde port yönlendirmesi yaparsan sana gelen IP no zaten hep router IP olur dedi.

[ErsinErce]

ethernet paket yapısını biliyorsunuz hocam

1488 byte ını birebir haberleşme için maksimum paket boyutu
bu başka bir yerden yönlendirilirse ethernet paketinin içinde başka bir ethernet paketi olacak

ilk ethernet paketi tabiki router olur ama en son ethernet paketinin içindeki  ip paketi sorguyu yapan kişiye ait olur

[Cemre.]

@z hocam. Ben bizim modemin sayfasına girince firewall kısmında DDoS ile ilgili seçenekler görüyorum. Galiba ağa girecek paketleri burada da süzmek mümkün. Bu işi modeme yıksak olmaz mı?

[z]

PC'ye bağlı çalıştığım için bunu bilmiyordum.

Fakat kafa karıştırıcı bir durum. Ethernet paketteki NLP alanındaki koddan ARP yada IP paket olduğunu anlıyordum. Ethernet paket içinde ethernet paket gelirse bunun tanımlama kodu ne ki?

Kodları bu duruma göre uyarlamam lazım. Bu bahsettiğiniz durumdan eminmisiniz?
mesaj birleştirme:: 16 Ekim 2016, 16:43:04

@z hocam. Ben bizim modemin sayfasına girince firewall kısmında DDoS ile ilgili seçenekler görüyorum. Galiba ağa girecek paketleri burada da süzmek mümkün. Bu işi modeme yıksak olmaz mı?

Bu işlerden anlamam hocam sadece server tarafında yapılabilecek br şey varsa yapayım istemiştim.

[Cemre.]

Hocam MAC veritabanı tutsak? ENC'nin receive filters özelliklerinde MAC filtre var mıydı?
Yönetici girip yeni User eklediğinde sorguyu yapan cihazın MAC'i veritabanına kaydedilse? Bu sayede kullanıcı mac nedir diye uğraşmak zorunda kalmaz ama başka cihaz kullanarak da giriş yapamaz. Kendi cihazını hack'leyecek hali de yokya..

[Yuunus]

@z hocam real time filtre zaten mumkun olmasa gerek, aklima sadece su geldi, siz zaten gelen her paketi kabul ediyorsunuz bunun analizini baska kitlere yaptirip, kitleri kendi aralarinda haberlestirip faydali istege cevap uretebilirsiniz. Web sunucu kismini filan ayri tutabilirsiniz, aksi halde tek bir cihazla her istege cevap vermek pek mumkun gorunmuyor.Zaten buyuk sunucularin bile firewall cihazlari farkli, web sunucu farkli , ftp farkli , database farklidir diye tahmin ediyorum.

[rck8942]

Bazi sayfalara girerken robot değilim diye yazan sifreyi veya bir kutucugu isaretlemek gerekiyor. Bunun aynisindan sizin sayfa icinde yapilsa sanirim saldirilardan korunmus olunurmu ? Google nin böyle bi eklentisi vardi.
Anahtar kelime captcha.

https://en.m.wikipedia.org/wiki/CAPTCHA

https://www.google.com/recaptcha/intro/index.html