Merhaba arkadaşlar Siber Güvenlik kulubü olarak yeni bir makale ile karşınızdayız umarım siz değerli arkadaşlarımıza faydalı olur..
Dünya üzerindeki anlık DDoS ataklarını takip etmek için
1. Arbor Networks DDoS Attack Map
2.Kaspersky Cyber Malware and DDoS Real-Time Map
3. ThreatCoud Live Cyber Attack Threat map
4. Fortinet Threat Map
5. Akamai Real-Time Web Attack Monitor
6. LookingGlass Phishing/Malicious URL Map
7. Threat Butt Hacking Attack Map
8. Talos Spam and Malware Map
9. Sophos Threat Tracking Map
10. FireEye Cyber Threat Map
11. Deteque Botnet Threat Map
12. Bitdefender Live Cyber Threat Map
13. SonicWall Live Cyber Attacks Map
14. Digital Attack Map
15. NETSCOUT Cyber Threat Horizon
DNS yükseltme saldırısı nedir?
Bu DDoS saldırısı , bir saldırganın bir hedef sunucuyu veya ağı yüksek miktarda trafik ile boğmak, sunucuyu etkisiz hale getirmektir kısacası. DNS çözümleyicilerinin işlevinden yararlandığı yansıma tabanlı hacimsel dağıtılmış hizmet reddi (DDoS) saldırısıdır.
Örnek olarak internete yükleme hızı 500 Mbps olan bir veri merkezinden bir web uygulaması ile hizmet verildiğini düşünelim. Kötü amaçla organize edilen botlar uygulamaya saniyede 500 Mb trafik oluşturursa uygulamanın hizmet vermesini engellerler. Kullanıcıların hizmet alması engellendiği için bu atağa DoS - Denial of Service adı verilir. 500 Mbps sadece bir veri merkezi veya bir ülkeden oluşturulursa veri merkezi sağlayıcının Firewall'larından ilgili IP veya IP bloklarından gelen trafik filtrelenerek atak kolaylıkla bertaraf edilir.
DNS yükseltme saldırısı nasıl çalışır?
Her bot , hedeflenen kurbanın gerçek kaynak IP adresine değiştirilen sahte bir IP adresi ile DNS çözümleyicilerini açma istekleri sonucunda , hedef daha sonra DNS çözümleyicilerinden bir yanıt alır.Büyük miktarda trafik oluşturmak için saldırgan, isteği DNS çözümleyicilerinden olabildiğince büyük bir yanıt oluşturacak şekilde yapılandırır. Sonuç olarak, hedef saldırganın ilk trafiğinin yükseltilmesini alır ve ağları sahte trafikle tıkanır ve hizmet reddine neden olur
Bir DNS amplifikasyonu dört adıma ayrılabilir:
Domain Name System Güvenliğinin Tarihçesi
Dos ve DDos Saldırı Belirtileri
Dos ve DDos Türleri
Volume Based DDoS (Hacim Odaklı Saldırılar): Sunucunun sahip olduğu bant genişliğinin üstünde istek paketleri gönderilmesidir.
Protocol Based DDoS (Protokol Odaklı Saldırılar): OSI protokolünün 3.Katman (Network) ve 4.Katmanındaki (Transport) zafiyetin kullanılmasıyla gerçekleştirilir.
Application Layer DDoS (Uygulama Katmanlı Saldırılar): OSI protokolünün 7.katmanı olan uygulama katmanında bulunan servislerin açıklarının kullanılmasıyla saldırı yapılır.
HTTP Flood: Hedef sayfaya sürekli olarak get veya post istekleri gönderilerek sistemi zorlamaktır.
UDP Flood: UDP protokolü kullanılarak saldırı gerçekleştirilir. Saldırgan tarafından bir bilgisayarın portlarına çok sayıda UDP paketi gönderilir. Saldırının hedefi olan bilgisayar portun kulanım durumunu kontrol eder kullanılmıyorsa ICMP paketi ile cevap verir. Çok sayıda UDP paketine karşılık çok sayıda ICMP paketi gönderilir. Sistem böylece erişilemez hale gelir.
ICMP Flood: ICMP protokolü kurban sisteme ICMP istek paketleri yollar ve karşı sistemden cevap bekler. Bu şekilde çok sayıda isteğe karşılık cevap vermeye çalışan sistem zorlanır.
Ping of Death: Büyük boyutlu ICMP istek paketinin hedef sisteme yollanarak hedef sistemin yorulmasıdır.
Syn Flood: Tcp protokolü üçlü el sıkışma ile bağlantı gerçekleştirir. Bu üçlü el sıkışma işlemi, istemcinin sunucuya SYN mesajı göndererek bağlantı kurmak istediğini belirtir. Sunucu bu mesajı SYN-ACK mesajı göndererek kabul eder. Ardından istemci ACK yanıyla bağlantıyı gerçekleştirir. SYN flood saldırısı ise sunucunun beklediği ACK mesajını göndermez. İstekler sürekli artar ve sistem artık bağlantı kuramaz hale gelir.
TearDrop: UDP protokolünde paketler parçalanarak bir sisteme gönderilir ve bu paketler ofsetlere bölünerek numaralandırılır. Ofset değerlerine göre tekrar birleştirilir. Bu ofset değerleri çakışmamalıdır. Eğer çakışma durumu yaşanırsa sistemde işlem yapılamaması gibi durumlar ortaya çıkar. Teardrop saldırısında is bu ofsetler çakıştırılıp gönderilerek gerçekleştirilir.
Smurf: Hedefe ping istek paketleri ağın directed broadcast adresine gönderilir paket bu şekilde ağdaki tüm cihazlara ping istek paketleri göndermiş olur. Ping istek paketlerinin dönüş adresleri değiştirilerek hedefin ip adresi yapılır. Ağdaki tüm cihazlar da hedef cihaza ping paketlerini yollar. Böylece saldırı hem gerçekleştirilirken hem de saldırganın kimliği saklanmış olur.
DNS Poisoning: Dns alan adı ip eşleşmelerini sağlayarak kişinin web sitesine erişimini sağlayan sunuculardır. Saldırgan ulaşılmak istenen web sitesinin eşleşmesini bozarak başka bir ip adresine yönlendirerek buradaki hazırlamış olduğu zararlı içreklerle kurbana zarar verir.
Domain Name System Güvenliğini Sağlamak
Domain Name System Security Extensions yani; DNSSEC, sayısal verilerin dijital ortamdaki imza ile doğrulanmasını sağlayan, Domain Name System güvenliği teknolojisidir. DNSSEC teknolojisinde TCP/UDP paket trafikleri şifrelenmez, DDoS saldırılarına karşı korumaz, kimlik avı veya sahteciliği engelleyemez. Sadece erişim sağladığınız alan adının, gerçek bir IP adresinin olup olmadığı kontrolü sağlanır.
Bu kontroller 6 aşamadan oluşmaktadır:
Dünya üzerindeki anlık DDoS ataklarını takip etmek için
1. Arbor Networks DDoS Attack Map
2.Kaspersky Cyber Malware and DDoS Real-Time Map
3. ThreatCoud Live Cyber Attack Threat map
4. Fortinet Threat Map
5. Akamai Real-Time Web Attack Monitor
6. LookingGlass Phishing/Malicious URL Map
7. Threat Butt Hacking Attack Map
8. Talos Spam and Malware Map
9. Sophos Threat Tracking Map
10. FireEye Cyber Threat Map
11. Deteque Botnet Threat Map
12. Bitdefender Live Cyber Threat Map
13. SonicWall Live Cyber Attacks Map
14. Digital Attack Map
15. NETSCOUT Cyber Threat Horizon
DNS yükseltme saldırısı nedir?
Bu DDoS saldırısı , bir saldırganın bir hedef sunucuyu veya ağı yüksek miktarda trafik ile boğmak, sunucuyu etkisiz hale getirmektir kısacası. DNS çözümleyicilerinin işlevinden yararlandığı yansıma tabanlı hacimsel dağıtılmış hizmet reddi (DDoS) saldırısıdır.
Örnek olarak internete yükleme hızı 500 Mbps olan bir veri merkezinden bir web uygulaması ile hizmet verildiğini düşünelim. Kötü amaçla organize edilen botlar uygulamaya saniyede 500 Mb trafik oluşturursa uygulamanın hizmet vermesini engellerler. Kullanıcıların hizmet alması engellendiği için bu atağa DoS - Denial of Service adı verilir. 500 Mbps sadece bir veri merkezi veya bir ülkeden oluşturulursa veri merkezi sağlayıcının Firewall'larından ilgili IP veya IP bloklarından gelen trafik filtrelenerek atak kolaylıkla bertaraf edilir.
DNS yükseltme saldırısı nasıl çalışır?
Her bot , hedeflenen kurbanın gerçek kaynak IP adresine değiştirilen sahte bir IP adresi ile DNS çözümleyicilerini açma istekleri sonucunda , hedef daha sonra DNS çözümleyicilerinden bir yanıt alır.Büyük miktarda trafik oluşturmak için saldırgan, isteği DNS çözümleyicilerinden olabildiğince büyük bir yanıt oluşturacak şekilde yapılandırır. Sonuç olarak, hedef saldırganın ilk trafiğinin yükseltilmesini alır ve ağları sahte trafikle tıkanır ve hizmet reddine neden olur
Bir DNS amplifikasyonu dört adıma ayrılabilir:
- Saldırgan, sahte adresleri olan UDP paketlerini bir DNS imlecine göndermek için güvenliği ihlal edilmiş bir uç nokta kullanır . Paketlerdeki sahte adres, mağdurun gerçek IP adresini gösterir.
- UDP paketlerinin her biri, mümkün olan en büyük yanıtı almak için genellikle HERHANGİ gibi bir argüman ileten bir DNS çözümleyicisine istekte bulunur.
- İstekleri aldıktan sonra yanıt vererek yardımcı olmaya çalışan DNS çözümleyicisi, sahte adrese büyük bir yanıt gönderir.
- Hedefin IP adresi yanıtı alır ve çevredeki ağ altyapısı trafiğin azalmasıyla boğulur ve servis reddi ile sonuçlanır.
Domain Name System Güvenliğinin Tarihçesi
Dos ve DDos Saldırı Belirtileri
- - Sistem hızının normale göre oldukça yavaşlaması ya da artık kullanılamaz hale gelmesi
- - Normalin dışında sistem ağ trafiği olması
- - Aşırı UDP, SYN ve GET/POST isteklerinin bulunması
Dos ve DDos Türleri
Volume Based DDoS (Hacim Odaklı Saldırılar): Sunucunun sahip olduğu bant genişliğinin üstünde istek paketleri gönderilmesidir.
Protocol Based DDoS (Protokol Odaklı Saldırılar): OSI protokolünün 3.Katman (Network) ve 4.Katmanındaki (Transport) zafiyetin kullanılmasıyla gerçekleştirilir.
Application Layer DDoS (Uygulama Katmanlı Saldırılar): OSI protokolünün 7.katmanı olan uygulama katmanında bulunan servislerin açıklarının kullanılmasıyla saldırı yapılır.
HTTP Flood: Hedef sayfaya sürekli olarak get veya post istekleri gönderilerek sistemi zorlamaktır.
UDP Flood: UDP protokolü kullanılarak saldırı gerçekleştirilir. Saldırgan tarafından bir bilgisayarın portlarına çok sayıda UDP paketi gönderilir. Saldırının hedefi olan bilgisayar portun kulanım durumunu kontrol eder kullanılmıyorsa ICMP paketi ile cevap verir. Çok sayıda UDP paketine karşılık çok sayıda ICMP paketi gönderilir. Sistem böylece erişilemez hale gelir.
ICMP Flood: ICMP protokolü kurban sisteme ICMP istek paketleri yollar ve karşı sistemden cevap bekler. Bu şekilde çok sayıda isteğe karşılık cevap vermeye çalışan sistem zorlanır.
Ping of Death: Büyük boyutlu ICMP istek paketinin hedef sisteme yollanarak hedef sistemin yorulmasıdır.
Syn Flood: Tcp protokolü üçlü el sıkışma ile bağlantı gerçekleştirir. Bu üçlü el sıkışma işlemi, istemcinin sunucuya SYN mesajı göndererek bağlantı kurmak istediğini belirtir. Sunucu bu mesajı SYN-ACK mesajı göndererek kabul eder. Ardından istemci ACK yanıyla bağlantıyı gerçekleştirir. SYN flood saldırısı ise sunucunun beklediği ACK mesajını göndermez. İstekler sürekli artar ve sistem artık bağlantı kuramaz hale gelir.
TearDrop: UDP protokolünde paketler parçalanarak bir sisteme gönderilir ve bu paketler ofsetlere bölünerek numaralandırılır. Ofset değerlerine göre tekrar birleştirilir. Bu ofset değerleri çakışmamalıdır. Eğer çakışma durumu yaşanırsa sistemde işlem yapılamaması gibi durumlar ortaya çıkar. Teardrop saldırısında is bu ofsetler çakıştırılıp gönderilerek gerçekleştirilir.
Smurf: Hedefe ping istek paketleri ağın directed broadcast adresine gönderilir paket bu şekilde ağdaki tüm cihazlara ping istek paketleri göndermiş olur. Ping istek paketlerinin dönüş adresleri değiştirilerek hedefin ip adresi yapılır. Ağdaki tüm cihazlar da hedef cihaza ping paketlerini yollar. Böylece saldırı hem gerçekleştirilirken hem de saldırganın kimliği saklanmış olur.
DNS Poisoning: Dns alan adı ip eşleşmelerini sağlayarak kişinin web sitesine erişimini sağlayan sunuculardır. Saldırgan ulaşılmak istenen web sitesinin eşleşmesini bozarak başka bir ip adresine yönlendirerek buradaki hazırlamış olduğu zararlı içreklerle kurbana zarar verir.
Domain Name System Güvenliğini Sağlamak
Domain Name System Security Extensions yani; DNSSEC, sayısal verilerin dijital ortamdaki imza ile doğrulanmasını sağlayan, Domain Name System güvenliği teknolojisidir. DNSSEC teknolojisinde TCP/UDP paket trafikleri şifrelenmez, DDoS saldırılarına karşı korumaz, kimlik avı veya sahteciliği engelleyemez. Sadece erişim sağladığınız alan adının, gerçek bir IP adresinin olup olmadığı kontrolü sağlanır.
Bu kontroller 6 aşamadan oluşmaktadır:
- Dijital İmzalar (Digital Signatures)
- Güven Kaynakları (Trust Anchors)
- İsim Doğrulanmış Varlık Reddi (Authenticated Denial of Existence)
- Bölge İmzası (Zone Signature)
- Domain Name System Security Extensions İstemcileri (DNSSEC Clients)
- Ad Çözümleme Politikası Tablosu | NRPT (Name Resolution Policy Table)
Son düzenleme:
