Merhaba değerli THT üyeleri ve forum dışı ziyaretçilerimiz. Bu konuda DoS ve DDoS konusunu ele alacağız. Hazırsanız hemen başlayalım...
Denial of Service (DoS)
Hizmet reddi saldırısı, bir saldırgan kullanıcıların bilgisayar sistemlerine, ağlarına, hizmetlerine veya diğer bilgi teknolojisi (BT) kaynaklarına erişmesini imkansız hale getirdiğinde ortaya çıkan bir güvenlik tehdididir. Bu kaynaklar e-postalar, e-banka hesapları, halka açık çevrimiçi hizmetler vb. olabilir.
Distributed Denial of Service (DDoS)
Dağıtılmış hizmet reddi saldırısı, saldırganın, kullanıcıların çevrimiçi hizmetlere ve sitelere erişmesini engellemek için bir sunucuyu internet trafiğiyle doldurduğu bir siber suçtur. Bu saldırı tipinin DoS saldırılarından farkı genellikle saldırgan tarafından kontrol edilen internete bağlı cihazlardan oluşan bir ağ kullanılarak gerçekleştirilmesidir.
Zombi PC
Bir zombi PC, gerçek kullanıcı haberi ve isteği olmadan, uzaktan kumanda altında eylemler gerçekleştiren bilgisayardır.
Botnet
Botnet'ler, çeşitli dolandırıcılık ve siber saldırıları gerçekleştirmek için kullanılan, ele geçirilmiş zombi PC' lerden oluşan ağlardır. "Botnet" terimi, "robot" ve "ağ" kelimelerinden oluşur. Botlar, veri hırsızlığı, sunucu çökmesi ve kötü amaçlı yazılım dağıtımı gibi toplu saldırıları otomatikleştirmek için bir araç görevi görür.
Zombi Bilgisayar Olduğumu Nasıl Anlarım
Bilgisayarınızın performansı, çok sayıda açık uygulamanız olmadığında bile fark edilir şekilde daha yavaştır. Bilgisayarınız ve internet bağlantı hızınız yavaşlamışsa bunun nedeni bir zombi olabilir.
Denial of Service (DoS)
Hizmet reddi saldırısı, bir saldırgan kullanıcıların bilgisayar sistemlerine, ağlarına, hizmetlerine veya diğer bilgi teknolojisi (BT) kaynaklarına erişmesini imkansız hale getirdiğinde ortaya çıkan bir güvenlik tehdididir. Bu kaynaklar e-postalar, e-banka hesapları, halka açık çevrimiçi hizmetler vb. olabilir.
Distributed Denial of Service (DDoS)
Dağıtılmış hizmet reddi saldırısı, saldırganın, kullanıcıların çevrimiçi hizmetlere ve sitelere erişmesini engellemek için bir sunucuyu internet trafiğiyle doldurduğu bir siber suçtur. Bu saldırı tipinin DoS saldırılarından farkı genellikle saldırgan tarafından kontrol edilen internete bağlı cihazlardan oluşan bir ağ kullanılarak gerçekleştirilmesidir.
Zombi PC
Bir zombi PC, gerçek kullanıcı haberi ve isteği olmadan, uzaktan kumanda altında eylemler gerçekleştiren bilgisayardır.
Botnet
Botnet'ler, çeşitli dolandırıcılık ve siber saldırıları gerçekleştirmek için kullanılan, ele geçirilmiş zombi PC' lerden oluşan ağlardır. "Botnet" terimi, "robot" ve "ağ" kelimelerinden oluşur. Botlar, veri hırsızlığı, sunucu çökmesi ve kötü amaçlı yazılım dağıtımı gibi toplu saldırıları otomatikleştirmek için bir araç görevi görür.
Zombi Bilgisayar Olduğumu Nasıl Anlarım
Bilgisayarınızın performansı, çok sayıda açık uygulamanız olmadığında bile fark edilir şekilde daha yavaştır. Bilgisayarınız ve internet bağlantı hızınız yavaşlamışsa bunun nedeni bir zombi olabilir.
- Giden e-posta klasörünüzde göndermediğiniz mesajları keşfedersiniz.
- Bilgisayarınızın kapanması ve yeniden başlatılması daha uzun sürer.
- Web tarayıcınız sık sık belirgin bir sebep olmadan kapanıyor.
- Bilgisayar güvenliği web sitelerine erişiminiz engellendi.
- Beklenmeyen bir sabit disk alanı kaybı keşfettiniz.
- Açıklanamayan hata mesajları alıyorsunuz.
- Bilgisayarınız sık sık çöküyor.
DDoS Saldırıları Hangi Sebeplerle Yapılabilir
- İdeolojik Amaç
- Siyasi Amaç
- Siber Savaş
- Art niyet
- Gasp
Saldırı Olduğunu Nasıl Anlanır
- Bir sitenin veya hizmetin aniden yavaşlaması ya da kullanılmaz hale gelmesi
- Sunucu kaynak tüketiminde ki anlık yığılmalar
- Şüpheli trafik miktarları
Saldırıları Yapmaya Ne İmkan Verir
Mevcut zafiyetlerin varlığı bu atağın gerçekleşmesine sebep olur. Protokollerin eski kalması bu süreçte en önemli etkendir. Genellikle TCP/IP protokolü ile veya OS' teki açıklar yoluyla gerçekleştirilir.
Protokol Nedir
Bilgisayar bilimleri açısından protokol bir ağ üzerinde bilgisayarlar arasında iletişimi yöneten kurallar kümesidir. İnternette başkalarıyla iletişim kurduğumuz dijital bir dildir. Karşılıklı iletişim için uygulanan bir dizi kuraldır.
Protokol | Açıklaması |
|---|---|
IP (Internet Protocol) | IP adresiyse, bir cihazı internet veya yerel ağ üzerinden tanımlayan benzersiz bir adrestir. İnternet'te her bilgisayarın bir IP adresi vardır. |
DNS (Domain Name Server) | Alan Adı Sunucuları, hangi alan adının hangi IP adresine karşılık geldiği bilgisini tutar ve kullanıcıları doğru adreslere yönlendirir. |
HTTP (Hypertext Transfer Protocol) | Bir sunucu ile istemci arasındaki haberleşmeye olanak sağlayan, iletişim protokolüdür. İstemcilerin web sayfalarını sunuculardan nasıl isteyeceğini ve sunucuların bu sayfaları istemcilere nasıl aktaracağını HTTP tanımlar. |
TCP (Transmission Control Protocol) | Bilgisayar arasındaki iletişimin, küçük paketler halinde ve kayıpsız olarak gerçekleştirilmesini sağlayan bir protokoldür. İnternette kullanılan en yaygın protokoldür. |
UDP (User Datagram Protocol) | Veri aktarım protokollerinden biridir. Verileri karşı tarafa göndermeyi sağlar. |
ICMP (Internet Control Message Protocol) | Hata durumunda host tarafından geri bilgilendirmeyi sağlar. |
Saldırı Türleri
DDoS saldırılarının, bir sürü yöntemi vardır basit olarak üçe ayırabiliriz. Volumetrik, protokol ve uygulama katmanı saldırılardır. Bu saldırılarda kendi içlerinde farklı çeşitlere ayrılırlar. Bu konu giriş seviyesinde olduğundan tüm atakları incelemek yerine en sık kullanılanları inceleyeceğiz;
Volumetrik Saldırılar
Saldırganlar tarafından en sık kullanılan atak çeşidi olup sistemin kaynaklarını tüketmeyi hedeflemektedir.
Volumetrik Saldırılara Karşı Alınabilecek Önlemler
- Altyapınızı DDoS saldırı önleme çözümleri oluşturun.
- Bulut tabanlı hizmet sağlayıcılarını tercih edin.
- DDoS saldırı müdahale planı düzenleyin.
UDP Flood Saldırları
UDP flood saldırıları, UDP'yi etkileyen ve temel amacı güvenlik duvarının oturum tablosunu doldurarak erişilmez hale getiren DDoS türüdür. UDP flood saldırılarının işleyişi temelde hedef sistemin rastgele portlarına çok sayıda UDP paketi gönderilmesine dayanır.
UDP Flood Saldırılarına Karşı Alınabilecek Önlemler
- Timeout değerleri kullanılarak UDP Sessionları'nın hızlıca kapatılması sağlanabilir.
- Belirli IP adresinden gelecek istekler sınırlandırılabilir.
- Güçlü güvenlik duvarları kullanılabilir.
- Timeout değerleri düşürülebilir.
ICMP Flood Saldırıları
ICMP flood saldırıları, bir saldırganın hedeflenen bir cihazı pingler ile boğmaya çalıştığı yaygın bir Hizmet Reddi saldırısıdır. Normal olarak, ICMP yankı-isteği ve yankı-cevap mesajları, cihazın sağlığını ve bağlanabilirliğini ve gönderen ile cihaz arasındaki bağlantıyı teşhis etmek için bir ağ cihazına ping atmak için kullanılır. Hedefi istek paketleriyle doldurarak, ağ eşit sayıda yanıt paketiyle yanıt vermeye zorlanır. Bu, hedefin normal trafik için erişilemez hale gelmesine neden olur.
ICMP Saldırılarına Karşı Alınabilecek Önlemler
- Süre aralığı verilir gelen paketlerin sayısı ve boyutu kısıtlanabilir.
- ICMP hata mesajlarının dışarı çıkışına izin verilmemeli.
- Gelen paketlerin boyut sınırlandırılması yapılabilir.
- İnternetten iç ağa ICMP trafiği engellenmelidir.
Reflection Amplification Saldırıları
Amplifikasyon saldırıları, aracıyı uyarmadan hedef web sitesini bunaltmak için kullanılan yüksek hacimli paketler üretir. Bu, güvenlik açığı bulunan bir hizmetin, saldırgan isteğini gönderdiğinde, genellikle "tetikleyici paket" olarak adlandırılan büyük bir yanıtla yanıt verdiğinde ortaya çıkar. Saldırgan, hazır araçları kullanarak bu isteklerden binlercesini savunmasız hizmetlere gönderebilir, böylece orijinal istekten önemli ölçüde daha büyük yanıtlara neden olur ve hedefe verilen boyut ve bant genişliğini önemli ölçüde artırır.
Reflection Amplification Saldırılarına Karşı Alınabilecek Önlemler
- Tehdit istihbaratı hizmetleri, kuruluşların savunmasız sunucuları tanımlamasına yardımcı olabilir ve bu savunmasız sunucuların IP adreslerini engellemelerine olanak tanır.
- Genel bir DDoS azaltma stratejisi, sistemlerin aşırı yüklenmesini önlemek için hedeflere veya kaynaklara uygulanabilen hız sınırlaması kullanmaktır.
- Trafik imza filtreleri, bir saldırının göstergesi olan tekrarlayan yapıları tanımlamak için kullanılabilir.
- Gerekli olmayan bağlantı noktalarının engellenmesi, saldırılara karşı güvenlik açığını azaltabilir.
Protokol Saldırıları
Protokol saldırıları, bir sunucunun veya güvenlik duvarları, yönlendirme motorları veya yük dengeleyiciler gibi ağ sistemlerinin kaynaklarını tüketmeye çalışır. Protokol saldırısına bir örnek, SYN flood saldırısıdır. İki bilgisayar güvenli bir iletişim kanalı başlatmadan önce, bir TCP anlaşması yapmaları gerekir. Bir TCP anlaşması, iki tarafın ön bilgi alışverişi yapması için bir araçtır. Bir SYN paketi tipik olarak TCP anlaşmasının ilk adımıdır ve sunucuya istemcinin yeni bir kanal başlatmak istediğini belirtir. Bir SYN sel saldırısında, saldırgan sunucuyu, her biri sahte IP adresleri içeren çok sayıda SYN paketiyle doldurur. Sunucu her pakete (SYN-ACK'ler aracılığıyla) yanıt vererek istemciden anlaşmayı tamamlamasını ister. Ancak, istemci(ler) hiçbir zaman yanıt vermez ve sunucu beklemeye devam eder. Sonunda, çok fazla yanıt için çok uzun süre bekledikten sonra çöküyor.
Protokol Saldırılarına Karşı Alınabilecek Önlemler
- DDoS karşıtı donanım ve yazılımlardan yararlanın.
- DDoS korumanızı dışarıdan temin edin.
- Ağınızı esnek hale getirin.
- Bant genişliğinizi arttırın.
- Ağınızın trafiğini bilin.
- Buluta geçin.
SYN Flood Saldırıları
TCP protokolünü kullanan her istemci ve sunucu bağlantısı için, istemci ve sunucu arasında değiş tokuş edilen bir dizi mesaj olan gerekli bir üç yönlü el sıkışma kurulur. El sıkışma süreci aşağıda listelenmiştir:
- Üç yönlü el sıkışma, istemci sistem sunucuya bir SYN mesajı gönderdiğinde başlatılır.
- Sunucu daha sonra mesajı alır ve istemciye bir SYN-ACK mesajı ile yanıt verir.
- Son olarak, istemci son bir ACK mesajı ile bağlantıyı onaylar.
Bir SYN taşması, saldırganın bağlantıyı sonlandırmadan bir sunucuyla hızlı bir şekilde bağlantı başlatmasına olanak tanıyan el sıkışmasını yönetir. Sunucunun, sistemi meşru trafiğe yanıt vermemeye yetecek kadar kaynak tüketebilecek yarı açık bağlantıları bekleyerek kaynak harcaması gerekir.
SYN Flood Saldırısına Karşı Alınabilecek Önlemler
SYN Flood Saldırısına Karşı Alınabilecek Önlemler
- Ağın farklı bölümlerinden gelen trafiği görme ve analiz etme yeteneği ile tüm ağda görünürlük elde etmek için araçlar kullanın.
- SYN Saldırıları için SYN Flood korumalı güvenlik duvarını yapılandırın.
- Hız sınırlama özelliklerine sahip güncel ağ ekipmanı kurun.
- Normal trafikleri algılamak için bir IPS yükleyin.
Uygulama Katmanı Saldırıları
Uygulama katmanı DDoS saldırıları, belirli güvenlik açıklarına veya sorunlara odaklanarak uygulamanın kendisine saldırmak üzere tasarlanmıştır ve uygulamanın kullanıcıya içerik sunamamasına neden olur. Uygulama katmanı DDoS saldırıları belirli uygulamalara saldırmak için tasarlanmıştır.
Uygulama Katmanı Saldırılarına Karşı Alınabilecek Önlemler
- Anormallikleri ve saldırıları tespit etmek için davranışsal analizle desteklenen akış analizini kullanın.
HTTP Flood Saldırıları
HTTP flood saldırısı, hedeflenen sunucuyu HTTP istekleriyle bunaltmak için tasarlanmış bir tür DDoS saldırısıdır. Hedef isteklerle doldurulduğunda ve trafiğe yanıt veremediğinde, gerçek kullanıcılar için ek isteklere yanıt veremez ve hizmet reddi gerçekleşir. İki tür HTTP flood saldırısı vardır;
- HTTP POST Saldırısı: Kapasite dolana ve hizmet reddi gerçekleşene kadar doğrudan hedeflenen bir sunucuya birçok gönderi isteği göndererek, hizmet reddi gerçekleştirmeyi amaçlar.
- HTTP GET Saldırısı: Birden fazla bilgisayar, sunucudan görüntü, dosya gibi farklı şeyler için birden fazla istek göndermek üzere ayarlanır.
HTTP Flood Saldırılarına Karşı Alınabilecek Önlemler
- İstekte bulunan makineye JavaScript hesaplama sorgulaması gibi bir gereksinim yayınlayarak, bir botun dahil olup olmadığını test etmek ve böylece varsa bir saldırıyı azaltmak mümkündür.
- Web uygulaması güvenlik duvarı (WAF) ve tehdit mühendisleri tarafından sürekli izlenilmesi.
Slowloris Saldırıları
Slowloris, tek bir bilgisayar ile hedeflenen bir Web sunucusu arasındaki bağlantıları açmak için kısmi HTTP isteklerini kullanan, ardından bu bağlantıları mümkün olduğunca uzun süre açık tutan, böylece hedefi ezici ve yavaşlatan bir uygulama katmanı DDoS saldırısıdır . Bu tür DDoS saldırısı , başlatmak için minimum bant genişliği gerektirir ve yalnızca hedef web sunucusunu etkileyerek diğer hizmetleri ve bağlantı noktalarını etkilenmeden bırakır. Slowloris DDoS saldırıları, birçok Web sunucusu yazılımını hedefleyebilir, ancak Apache 1.x ve 2.x'e karşı oldukça etkili olduğu kanıtlanmıştır.
Slowloris Saldırılarına Karşı Alınabilecek Önlemler
- Saldırılara karşı Ağ Donanımı yapılandırın.
- Anti-DDoS ve yazılım modülleri kullanın.
- Daha fazla bant genişliği satın alın.
- DNS Sunucularını koruyun.
Apache Web sunucuları söz konusu olduğunda aşağıdaki modülleri kullanabilirsiniz:
- Mod_limitipconn
- Mod_antiloris
- Mod_evasive
- Mod security
- Mod_noloris
- Mod_qos
Uygulamalar
Slowloris Saldırı Örneği
İlk olarak slowloris atak ile başlayalım. Hatırlarsanız bu atak tcp bağlantısı kuruyor ve bu bu bağlantıyı mümkün olduğunda açık tutmaya çalışıyor. Bunun için de düzenli aralıklarla sunucuya tcp isteği gönderiyor. Saldırının amacı tcp istekleri yollayarak sunucunun kapasitesini tüketmek ve hizmet reddi yaşatmak. Slowloris için açık kaynak bir sürü açık kaynak araç var. Bende birini seçtim ve local apache2 serverimi başlatarak aracı denedim.
SYN Flood Saldırı Örneği
Sıradaki atağımız ise syn flood saldırısı. Bu saldırıda ise ack paketi beklemeden sürekli syn paketi göndererek sunucunun kaynağını tüketmeye çalışan atak türüydü. Bu saldırı için kali de hazır gelen hping3 aracını kullanacağım ve wireshark ile de gelen giden tcp paketlerini inceleyeceğim.
UDP Flood Saldırı Örneği
Son saldırı örneğimiz udp flood saldırısı. Bu saldırıda da hatırlarsanız rastgele sürekli farklı farklı portlara udp paketleri göndererek hizmet reddi yaşatmaya amaçlayan bir saldırı türüydü.
Konuma değer verdiğiniz ve okuduğunuz için teşekkür ederim. Esen kalın..
