Merhaba dostlarım bu makalemde sizlere NTP Amplification saldırısı nedir ne değildir ve nasıl yapılır bunları anlatacağım. Dilerseniz fazla uzatmadan makaleye geçelim.
NTP Protokolü Nedir?
Saldırı türüne geçmeden önce NTP nedir önce onu bilmemiz gerekiyor. Kısaca bahsedicek olursam NTP Protokolü ağ üzerindeki cihazların zamanı senkronize etmesinde görev alan protokoldür. Bunu nasıl yapıyor diye sorcak olursanız da ilk öncelikle harici makinelerden saat bilgisini alıyor ve bu işlemi gerçekleştirirken de UDP portundan faydalanıyor. NTP nin bir diğer işlevi de sunucuya bağlanan son 600 cihazın loglarını gösteriyor. Bunu da "monlist" komutu ile gerçekleştiriyor.
NTP Amplification Saldırısı Nedir?
Bu bahsettiğimiz saldırı aslında daha önceki makalelerde bahsettiğim Syn Flood saldırı türü gibi bir çeşit DDOS saldırı türüdür.
NTP Amplification Saldırısı Nasıl Gerçekleşir?
Bu saldırı türünün çalışma mantığına bakıcak olursak saldırı yapmak isteyen bir saldırgan düşünün. Bu arkadaş herkese açık bi NTP sunucusu üzerinden saldırmak istediği sisteme kapasitesinin en üst limitlerinde paketler göndererek sistemin devre dışı kalmasını sağlar. Daha önceki makalelerimde de belirttiğim gibi bu tür saldırı türleri sahte ip adresleri üzerinden gerçekleştirilir. Bu tür sahte ip ler üzerinden gerçekleştirilen saldırıların bir diğer adı da "yansıma saldırıları" dır. Ayrıca not düşmekte fayda var, NTP Amplification Saldırı türü UDP portunu kullanarak bu saldırıyı gerçekleştirir.
NTP Amplification Saldırısı Kaç Adımda Gerçekleşir?
Bu saldır türü 5 adımda gerçekleşir. Dilerseniz bu 5 adımı madde madde sıralayalım.1-) Yukarıda da dediğim gibi saldırmak isteyen kişi sahte ip ler üzerinden bu saldırıyı gerçekleştirir bunun da en garanti yolu "botnet" kullanarak saldırmaktır.
2-) Botnet programımız UDP paketlerini saldırmak istediğimiz sisteme göndermeye başlar. Burada dikkat etmeniz gereken nokta her UDP paketinin sahte ip ye ve saldırmak istenilen sistemin ip sine ihtiyacı vardır.
3-) Bundan sonraki adım ise gönderilen UDP paketleri NTP Sunucusuna istekte bulunur.
4-) Bu isteği alan NTP sunucusu ise sahte ip adreslerini hedef sunucularına gönderir.
5-) Son olarak hedef sistem yukarıda anlattığım gibi bu paketleri almaya başlar ve kapasitesini aştığı anda sistem başarıyla devre dışı kalır. Yani aslında gördüğümüz ve duyduğumuz tek tuşla başlattığımız DDOS saldırısının arkasında bu olaylar dönüyor. Bilmekte fayda var. Aşağıda ki şemada bu yukarıda saydığım adımlar gösterilmektedir.
NTP Amplification Saldırısından Nasıl Korunuruz?
Evet bu saldırının nasıl çalıştığını ve ne işe yaradığını öğrendiğimize göre sırada nasıl korunmamız gerektiğini göstermek var. Kısaca bunlardan bahsedip makaleyi sonlandıracağım. 1-) Gelen İp Adreslerini Yönlendirmek: Sisteme gelen ip adreslerini "blackhole" ile yönlendirme yapılıp sistemin devre dışı kalmasını engelleyebiliriz. Bu günümüzde en çok kullanılan korunma yöntemidir. Nasıl çalıştığını sorcak olursanızda boşta duran bi ip adresine, saldırı için gelen ip adreslerini yönlendirir ve bu sayede ana makineden yükü çekmiş olur. Bunun sonucunda da gelen saldırıyı engellemiş olur.
2-) Monlist'i Devre Dışı Bırakmak: Yukarıda da anlattığım gibi bu saldırı türü "monlist" komutu ile başlar. Eğer biz saldırının yapılcağı sistemde bu komutu devre dışı bırakırsak saldırıdan güzel bi şekilde korunmuş oluruz. Ayrıca belirtmekte fayda var eğer NTP yazılımlarının en güncelini kullanmak bu saldıran korunmanızı güçlendirir.
3-) Gelen İp Adreslerini Kontrol Ederek: Tekrar yukarıda bahsettiğim gibi bu saldırı türü fazlasıyla sahte ip adres göndererek saldırıyı gerçekleştirir. Yani evet eğer biz sistemimizin ip adreslerini denetlemesini sağlayıp sahte ip adreslerini engeller isek NTP Amplification saldırısından korunmuş oluruz.
Sisteme Gelen İp Adresinin Gerçekliğini Nasıl Kontrol Ederim?
Hemen üst madde de bahsettiğim gibi NTP Amplification saldırısından korunmak için sisteme gelen ip adreslerini denetleyebilirsiniz. Peki biz bu ip adreslerinin sahte olup olmadığını nasıl anliyacağız dediğinizi duyar gibiyim. Hemen cevaplıyayim; Eğer sisteme gelen ip adresleri sistem ağının içinden, sistem ağının dışından gönderilen bi ip adresi ile gönderiliyorsa bu sahte ip adresi demektir. Bu ip adresinin sahte olduğu tespit edildikten sonra bu paket sisteme alınmaz ve korunmuş olunur. Bu çalışma şeması ile de sisteme gelen ip adreslerinin sahte olup olmadığı kontrol ediliyor.NOT= Makale tamamen bana aittir yani özgündür lütfen başka bir yerde paylaşırken alıntı olduğunu ve kaynak belirtmeyi unutmayınız!!
NOT 2 = Arkadaşlar malum insanım makale içerisinde hatalarım olabilir eğer böyle bir hataya rastlarsanız şimdiden özür dilerim. Eğer hatayı bana iletirseniz en kısa sürede makalede ki hatayı düzeltirim.
Saygılarımla
Kingof1453
