Merhaba arkadaşlar,
Bugün sizlere DOS ve DDOS yani hizmet engelleme saldırılarından bahsedeceğim. Hizmet engelleme saldırıları bir veya birden fazla IP'den gelen istekler sonucunda hedef sistemdeki trafiği yavaşlatmak veya durdurmaktır. Saldırı sonunda saldırgan başarılı olursa siteye erişim ya çok zor olacak ya da hiç olmayacaktır. Yavaş yavaş konumuzun içerisine girelim...
Hizmet engelleme saldırıları neden yapılır ?
=> Bu saldırıların çoğu ya para(BTC) ya da şöhret için yapılır. Çoğu kısımdan kalan saldırganlar ise bunu eğlencesine yapar. Eğlencesine yapanlar 2-5 saat arasında saldırıyı durdurur fakat para veya şöhret için yapanlar istediklerini almadan rahat bırakmazlar. Saldırı sonucu saldırgan kişi hedef sitenin bilgi veya destek mailine BTC cüzdanlarını bırakır bunu şöhret için yapan ise onlardan bir özür,tebrik vb şeyler ister.
DOS ve DDOS'un farkları nelerdir ?
1. DoS - (Denial Of Service):
-Paket direk olarak hedef sistem gönderilir.
-Tek bir kaynaktan tek bir hedefe yöneliktir.
2. DDoS - (Distributed Denial of Service):
-Zombi kaynaklardan tek bir hedefe çoklu ataklardır.
-Anlık gönderilen paket sayısı zombilerin sayısı ile doğru orantılıdır.
-Çoğunlukla saldırıyı yapan kaynak tespit edilemez.
DOS ve DDOS Türleri nelerdir?
1) Smurf => Bilgisayar ağlarını çalışmaz hale getiren bir tür dağıtılmış hizmet reddi (DDoS) saldırısıdır. Smurf programı bunu İnternet Protokolü (IP) ve İnternet Denetim İletisi Protokolü (ICMP) güvenlik açıklarından faydalanarak yapar.
=>ICMP paketlerindeki kaynak adresi değiştirir.
=>ICMP paketlerini zombilere gönderir.
=>Zombiler paketleri hedefe yollar.
DİPNOT => ICMP (Internet Control Message Protocol-İnternet Kontrol Mesaj Protokolü) -> Ağ cihazları tarafından ağ iletişimi sorunlarını teşhis etmek için kullanılan bir internet katmanı protokolüdür.
2) Slowloris => 80. port (http portu) üzerinden sunucuyla sürekli bağlantı kurar. Time out olan bağlantıların yerine hemen yeni bir baglantı açar, bağlantı sayısı yaklaşık 30-45 saniye içerisinde 1000'lere ulaşabilir.
3)Ping Of Death => Büyük boyutlu ICMP istek paketinin hedef sisteme yollanarak hedef sistemin yavaşlatılması veya durdurulmasıdır.(sunucuya sürekli büyük boyutlarda paketler gider)
4)Syn Flood=>TCP'nin 3 yollu handshake açığından yararlanılır.
Kaynak (Saldıran) SYN paketlerini hedefe gönderir. (1. el sıkışma)
Hedef SYN paketine SYN ACK olarak cevap verir. (2. el sıkışma)
Hedef siteden ACK gelmeden yani 3'lü el sıkışma olmadan hedef sistemden tekrar SYN paketi yollanır ve ağ trafiği sıkışır.
NORMAL HANDSHAKE
SYN FLOOD SALDIRISI :
5)DNS Poisoning => Dns alan adı IP eşleşmelerini sağlayarak kişinin web sitesine erişimini sağlayan sunuculardır(Yani siz google'a gitmek isterken URL tarafına 8.8.8.8 yazmıyorsunuz direk google.com yazıyorsunuz ve erişim sağlıyorsunuz). Saldırgan ulaşılmak istenen hedef sitesinin eşleşmesini değiştirerek başka bir IP adresine yönlendirir burada hazırlamış olduğu zararlı içerikleri kurbana verir.
DOS VE DDOS SALDIRILARINDAN NASIL KORUNURUZ ?
Aslında hiçbiri için korunma yolu yoktur sadece o an önleyebiliriz.
1) Bant genişliği fazla olan yerlerde durmak sizi her zaman daha avantajlı yapar bulunduğunuz alandaki bant genişliğini arttırabilirsiniz (çok maliyetli bir iştir)
2) SOC ve SİEM hizmeti almak ( Hizmet veren firmalar vardır gelen paketlere vb şeylerin logunu tutarlar ve anlık olarak sitenizdeki trafiği izlerler)
3) WAF hizmeti almak(Web application firewall) => Bu hizmeti firewall şirketleri veya bazı SOC ve SİEM hizmeti veren firmalar da verebiliyor oluşturulan kurallar doğrultusunda herhangi bir sorun ile karşılaşıldığında sistemde alarm veriyor ve IP blacklist'e alınıyor.
4)Anti virüs programları kullanılması
5)Sistem güncellemelerinin zamanında ve eksiksiz yapılması
ARKADAŞLAR UMARIM SİZLERE BİR ŞEYLER ÖĞRETEBİLMİŞİMDİR. SOC VE SİEM'E MERAKI OLANLAR https://www.turkhackteam.org/siber-guvenlik/1923082-guvenlik-olay-yonetimi.html YAZIMI OKUYABİLİR HERKESE SAĞLIKLI GÜNLER DİLERİM.
Bugün sizlere DOS ve DDOS yani hizmet engelleme saldırılarından bahsedeceğim. Hizmet engelleme saldırıları bir veya birden fazla IP'den gelen istekler sonucunda hedef sistemdeki trafiği yavaşlatmak veya durdurmaktır. Saldırı sonunda saldırgan başarılı olursa siteye erişim ya çok zor olacak ya da hiç olmayacaktır. Yavaş yavaş konumuzun içerisine girelim...
Hizmet engelleme saldırıları neden yapılır ?
=> Bu saldırıların çoğu ya para(BTC) ya da şöhret için yapılır. Çoğu kısımdan kalan saldırganlar ise bunu eğlencesine yapar. Eğlencesine yapanlar 2-5 saat arasında saldırıyı durdurur fakat para veya şöhret için yapanlar istediklerini almadan rahat bırakmazlar. Saldırı sonucu saldırgan kişi hedef sitenin bilgi veya destek mailine BTC cüzdanlarını bırakır bunu şöhret için yapan ise onlardan bir özür,tebrik vb şeyler ister.
DOS ve DDOS'un farkları nelerdir ?
1. DoS - (Denial Of Service):
-Paket direk olarak hedef sistem gönderilir.
-Tek bir kaynaktan tek bir hedefe yöneliktir.
2. DDoS - (Distributed Denial of Service):
-Zombi kaynaklardan tek bir hedefe çoklu ataklardır.
-Anlık gönderilen paket sayısı zombilerin sayısı ile doğru orantılıdır.
-Çoğunlukla saldırıyı yapan kaynak tespit edilemez.
DOS ve DDOS Türleri nelerdir?
1) Smurf => Bilgisayar ağlarını çalışmaz hale getiren bir tür dağıtılmış hizmet reddi (DDoS) saldırısıdır. Smurf programı bunu İnternet Protokolü (IP) ve İnternet Denetim İletisi Protokolü (ICMP) güvenlik açıklarından faydalanarak yapar.
=>ICMP paketlerindeki kaynak adresi değiştirir.
=>ICMP paketlerini zombilere gönderir.
=>Zombiler paketleri hedefe yollar.
DİPNOT => ICMP (Internet Control Message Protocol-İnternet Kontrol Mesaj Protokolü) -> Ağ cihazları tarafından ağ iletişimi sorunlarını teşhis etmek için kullanılan bir internet katmanı protokolüdür.
2) Slowloris => 80. port (http portu) üzerinden sunucuyla sürekli bağlantı kurar. Time out olan bağlantıların yerine hemen yeni bir baglantı açar, bağlantı sayısı yaklaşık 30-45 saniye içerisinde 1000'lere ulaşabilir.
3)Ping Of Death => Büyük boyutlu ICMP istek paketinin hedef sisteme yollanarak hedef sistemin yavaşlatılması veya durdurulmasıdır.(sunucuya sürekli büyük boyutlarda paketler gider)
4)Syn Flood=>TCP'nin 3 yollu handshake açığından yararlanılır.
Kaynak (Saldıran) SYN paketlerini hedefe gönderir. (1. el sıkışma)
Hedef SYN paketine SYN ACK olarak cevap verir. (2. el sıkışma)
Hedef siteden ACK gelmeden yani 3'lü el sıkışma olmadan hedef sistemden tekrar SYN paketi yollanır ve ağ trafiği sıkışır.
NORMAL HANDSHAKE
SYN FLOOD SALDIRISI :
5)DNS Poisoning => Dns alan adı IP eşleşmelerini sağlayarak kişinin web sitesine erişimini sağlayan sunuculardır(Yani siz google'a gitmek isterken URL tarafına 8.8.8.8 yazmıyorsunuz direk google.com yazıyorsunuz ve erişim sağlıyorsunuz). Saldırgan ulaşılmak istenen hedef sitesinin eşleşmesini değiştirerek başka bir IP adresine yönlendirir burada hazırlamış olduğu zararlı içerikleri kurbana verir.
DOS VE DDOS SALDIRILARINDAN NASIL KORUNURUZ ?
Aslında hiçbiri için korunma yolu yoktur sadece o an önleyebiliriz.
1) Bant genişliği fazla olan yerlerde durmak sizi her zaman daha avantajlı yapar bulunduğunuz alandaki bant genişliğini arttırabilirsiniz (çok maliyetli bir iştir)
2) SOC ve SİEM hizmeti almak ( Hizmet veren firmalar vardır gelen paketlere vb şeylerin logunu tutarlar ve anlık olarak sitenizdeki trafiği izlerler)
3) WAF hizmeti almak(Web application firewall) => Bu hizmeti firewall şirketleri veya bazı SOC ve SİEM hizmeti veren firmalar da verebiliyor oluşturulan kurallar doğrultusunda herhangi bir sorun ile karşılaşıldığında sistemde alarm veriyor ve IP blacklist'e alınıyor.
4)Anti virüs programları kullanılması
5)Sistem güncellemelerinin zamanında ve eksiksiz yapılması
ARKADAŞLAR UMARIM SİZLERE BİR ŞEYLER ÖĞRETEBİLMİŞİMDİR. SOC VE SİEM'E MERAKI OLANLAR https://www.turkhackteam.org/siber-guvenlik/1923082-guvenlik-olay-yonetimi.html YAZIMI OKUYABİLİR HERKESE SAĞLIKLI GÜNLER DİLERİM.
Son düzenleme:
Bir çok metod artık neredeyse işe yaramıyor. En basitinden iptable kuralları ile bile çoğunu fixleyebiliyorsun. Kalanlar için ise ya cf'den ülke ülke gelen saldırıları izleyip asn banlıyorsun yada serverius gibi firewall cihazları ekleyip yurt dışı kapatıp tekmeyi basıyorsun. Alternatifi olarak Voxility + Mikrotik ikisili de var. Bunları geçmek cf'den daha da zordur, ama imkansız değil ^^
