- 2 Ocak 2016
- 24
- 0
DDOS Saldırıları
Genel Tanımlar
DDOS (Distributed Of Service) DOS saldırılarının organize şekilde birden fazla kaynakla yapılmasına DDOS denir.
Zombi: Ele geçirilmiş ve sahibinden habersiz şekilde çeşitli amaçlar için kullanılan bilgisayar sistemleri. Zombiler en önemli DDOS kaynaklarındandır.
Botnet (Robot Networks) Zombiler tarafından oluşturulan ve çeşitli amaçlarla kullanılan sanal bilgisayar ordularıdır. Zombiler botnetleri oluşturur, botnetler organize siber suçlarda sık kullanılan ara elemanlardır. SYN: TCP başlığında bulunan bayraklardan biridir. TCP bağlantılarında ilk gönderilecek paket SYN bayrağına sahip olmalıdır. Oturumun başlatılması için gönderilir ve hedeften cevap olarak SYN-ACK bayraklı paket beklenir.
IP Spoofing: Saldırganın yakalanma riskini yok etmek için IP adresini olduğundan farklı göstermesi
DOS/DDOS Saldırıları
DOS/DDOS saldırıları günümüz internet dünyasının en temel sorunlarından biridir. Internetin ilk çıktığı günden beri çözülemeyen bu tehdit hâlihazırda kullanılan TCP/IP protokolüyle uzun süre çözülemeyecek kadar ciddi bir problemdir. DDOS saldırılarında ana amaç sistemi işlevsiz kılmaktır.
Yapılan saldırıya göre DOSun etkileri aşağıdaki maddelerden biriyle sonuçlanabilir
Web sayfasının ulaşılamaz olması
Web sayfası/servislerinin isteklere geç cevap dönmesi
Ağ performansında yavaşlama
İşletim sistemlerinde CPU/Ram performans problemi
Uyarı sistemlerinin çökmesi
(D)DOS Saldırıları Neden Kaynaklanır?
(D)DOS Çeşitleri
Sonuçlarına göre (D)DOS Çeşitleri
DOS saldırılarında temel amaç hedefi işlevsiz kılmaktır, bunun için yapılacak ili şey vardır: hedef sistemin sahip olduğu bandwith miktarından daha fazla trafik göndermek ya da hedef sistemin kaynaklarını diğer kullanıcıların kullanamayacağı şekilde sömürmek.
Her ne kadar DOS denildiğinde çoğu kişinin aklına ilk yöntem gelse de aslında asıl tehlikeli olan DDOS çeşidi ikinci tip olan kaynak tüketimidir. İlk yöntemi gerçekleştirebilmek için saldırganın organize çalışması ve sağlam bir botnete sahip olması gerekir. Oysa ikinci yöntem olan kaynak tüketimi saldırılarında saldırgan hedef sistemin bandwith in 1/10na sahip olduğunda genellikle başarılı bir DOS saldırısı gerçekleştirebilir. Özellikle günümüz network cihazlarının DOSa karşı sağlıklı bir koruma sağlayamamasından kaynaklanan bu sorun gelecekte de en fazla baş ağrıtan konulardan olmaya devam edecektir.
Yapılış şekline göre (D)DOS Çeşitleri
Synflood
Udpflood
Ack flood
HTTP GET flood
DNS flood
Teardrop
Ping of death
Synflood (D)DOS Saldırıları
1 SYN paketi 60 byte, 50Mb bağlantısı olan biri saniyede teorik olarak 1.000.000 kadar paket gönderebilir. Bu değer günümüzde kullanılan çoğu güvenlik cihazının kapasitesinden yüksektir.
Günümüzde en sık karşılaşılan ve en etkili DOS/DDOS yöntemi SYNflood saldırılarıdır. Synflood yapıldığını nasıl anlarsınız?
Netstat an p tcp komutunu çalıştırdığınızda fazla sayıda SYN_RECEIVED satırı görüyorsanız muhtemelen bir Synflood saldırı yapılıyor demektir.
HTTP Get Flood Saldırıları
interneti durdurma(DNS DOS)Saldırıları
İnternetin çalışması için gerekli temel protokollerden biri DNS (isim çözme) protokolüdür.
DNS in çalışmadığı bir internet, levhaları ve yönlendirmeleri olmayan bir yol gibidir.
Yolu daha önceden bilmiyorsanız hedefinize ulaşmanız çok zordur.
DNS protokolü ve dns sunucu yazılımlarında geçtiğimiz yıllarda çeşitli güvenlik açıklıkları çıktı.
Bu açıklıkların bazıları doğrudan dns sunucu yazılımını çalışamaz hale getirme amaçlı DOS açıklıklarıdır. Özellikle internette en fazla kullanılan DNS sunucu yazılımı olan Bindin bu açıdan geçmişi pek parlak değildir.
DNS sunucular eğer dikkatli yapılandırılmadıysa gönderilecek rastgele milyonlarca dns isteğiyle zor durumda bırakılabilir.
Bunun için internette çeşitli araçlar mevcuttur.
DNS sunucunun loglama özelliği, eş zamanlı alabileceği dns istek sayısı, gereksiz rekursif sorgulamalara açık olması, gereksiz özelliklerinin açık olması (edns vs) vs hep DOSa karşı sistemleri zor durumda bırakan sebeplerdir. DNS sunucularda çıkan DOS etkili zafiyetlere en etkili örnek olarak 2009 yılı Bind açıklığı gösterilebilir. Hatırlayacak olursak 2009 yılında Bind DNS yazılımında çıkan açıklık tek bir paketle Bind DNS çalıştıran sunucuların çalışmasını durdurabiliyor. DNS paketleri udp tabanlı olduğu için kaynak ip adresi de rahatlıkla gizlenebilir ve saldırganın belirlenmesi imkânsız hale gelir. Türkiyede yaptığımız araştırmada sunucuların %70nin bu açıklığa karşı korumasız durumda olduğu ortaya çıkmıştır. Kötü bir senaryo ile ciddi bir saldırgan Türkiye internet trafiğini beş dakika gibi kısa bir sürede büyük oranda işlevsiz kılabilir. Siber güvenlik üzerine çalışan ciddi bir kurumun eksikliği bu tip olaylarda daha net ortaya çıkmaktadır.
Genel Tanımlar
DDOS (Distributed Of Service) DOS saldırılarının organize şekilde birden fazla kaynakla yapılmasına DDOS denir.
Zombi: Ele geçirilmiş ve sahibinden habersiz şekilde çeşitli amaçlar için kullanılan bilgisayar sistemleri. Zombiler en önemli DDOS kaynaklarındandır.
Botnet (Robot Networks) Zombiler tarafından oluşturulan ve çeşitli amaçlarla kullanılan sanal bilgisayar ordularıdır. Zombiler botnetleri oluşturur, botnetler organize siber suçlarda sık kullanılan ara elemanlardır. SYN: TCP başlığında bulunan bayraklardan biridir. TCP bağlantılarında ilk gönderilecek paket SYN bayrağına sahip olmalıdır. Oturumun başlatılması için gönderilir ve hedeften cevap olarak SYN-ACK bayraklı paket beklenir.
IP Spoofing: Saldırganın yakalanma riskini yok etmek için IP adresini olduğundan farklı göstermesi
DOS/DDOS Saldırıları
DOS/DDOS saldırıları günümüz internet dünyasının en temel sorunlarından biridir. Internetin ilk çıktığı günden beri çözülemeyen bu tehdit hâlihazırda kullanılan TCP/IP protokolüyle uzun süre çözülemeyecek kadar ciddi bir problemdir. DDOS saldırılarında ana amaç sistemi işlevsiz kılmaktır.
Yapılan saldırıya göre DOSun etkileri aşağıdaki maddelerden biriyle sonuçlanabilir
Web sayfasının ulaşılamaz olması
Web sayfası/servislerinin isteklere geç cevap dönmesi
Ağ performansında yavaşlama
İşletim sistemlerinde CPU/Ram performans problemi
Uyarı sistemlerinin çökmesi
(D)DOS Saldırıları Neden Kaynaklanır?
(D)DOS Çeşitleri
Sonuçlarına göre (D)DOS Çeşitleri
DOS saldırılarında temel amaç hedefi işlevsiz kılmaktır, bunun için yapılacak ili şey vardır: hedef sistemin sahip olduğu bandwith miktarından daha fazla trafik göndermek ya da hedef sistemin kaynaklarını diğer kullanıcıların kullanamayacağı şekilde sömürmek.
Her ne kadar DOS denildiğinde çoğu kişinin aklına ilk yöntem gelse de aslında asıl tehlikeli olan DDOS çeşidi ikinci tip olan kaynak tüketimidir. İlk yöntemi gerçekleştirebilmek için saldırganın organize çalışması ve sağlam bir botnete sahip olması gerekir. Oysa ikinci yöntem olan kaynak tüketimi saldırılarında saldırgan hedef sistemin bandwith in 1/10na sahip olduğunda genellikle başarılı bir DOS saldırısı gerçekleştirebilir. Özellikle günümüz network cihazlarının DOSa karşı sağlıklı bir koruma sağlayamamasından kaynaklanan bu sorun gelecekte de en fazla baş ağrıtan konulardan olmaya devam edecektir.
Yapılış şekline göre (D)DOS Çeşitleri
Synflood
Udpflood
Ack flood
HTTP GET flood
DNS flood
Teardrop
Ping of death
Synflood (D)DOS Saldırıları
1 SYN paketi 60 byte, 50Mb bağlantısı olan biri saniyede teorik olarak 1.000.000 kadar paket gönderebilir. Bu değer günümüzde kullanılan çoğu güvenlik cihazının kapasitesinden yüksektir.
Günümüzde en sık karşılaşılan ve en etkili DOS/DDOS yöntemi SYNflood saldırılarıdır. Synflood yapıldığını nasıl anlarsınız?
Netstat an p tcp komutunu çalıştırdığınızda fazla sayıda SYN_RECEIVED satırı görüyorsanız muhtemelen bir Synflood saldırı yapılıyor demektir.
HTTP Get Flood Saldırıları
interneti durdurma(DNS DOS)Saldırıları
İnternetin çalışması için gerekli temel protokollerden biri DNS (isim çözme) protokolüdür.
DNS in çalışmadığı bir internet, levhaları ve yönlendirmeleri olmayan bir yol gibidir.
Yolu daha önceden bilmiyorsanız hedefinize ulaşmanız çok zordur.
DNS protokolü ve dns sunucu yazılımlarında geçtiğimiz yıllarda çeşitli güvenlik açıklıkları çıktı.
Bu açıklıkların bazıları doğrudan dns sunucu yazılımını çalışamaz hale getirme amaçlı DOS açıklıklarıdır. Özellikle internette en fazla kullanılan DNS sunucu yazılımı olan Bindin bu açıdan geçmişi pek parlak değildir.
DNS sunucular eğer dikkatli yapılandırılmadıysa gönderilecek rastgele milyonlarca dns isteğiyle zor durumda bırakılabilir.
Bunun için internette çeşitli araçlar mevcuttur.
DNS sunucunun loglama özelliği, eş zamanlı alabileceği dns istek sayısı, gereksiz rekursif sorgulamalara açık olması, gereksiz özelliklerinin açık olması (edns vs) vs hep DOSa karşı sistemleri zor durumda bırakan sebeplerdir. DNS sunucularda çıkan DOS etkili zafiyetlere en etkili örnek olarak 2009 yılı Bind açıklığı gösterilebilir. Hatırlayacak olursak 2009 yılında Bind DNS yazılımında çıkan açıklık tek bir paketle Bind DNS çalıştıran sunucuların çalışmasını durdurabiliyor. DNS paketleri udp tabanlı olduğu için kaynak ip adresi de rahatlıkla gizlenebilir ve saldırganın belirlenmesi imkânsız hale gelir. Türkiyede yaptığımız araştırmada sunucuların %70nin bu açıklığa karşı korumasız durumda olduğu ortaya çıkmıştır. Kötü bir senaryo ile ciddi bir saldırgan Türkiye internet trafiğini beş dakika gibi kısa bir sürede büyük oranda işlevsiz kılabilir. Siber güvenlik üzerine çalışan ciddi bir kurumun eksikliği bu tip olaylarda daha net ortaya çıkmaktadır.