Temel Düzey DOS ve DDOS

ogulcankacar

Anka Underground Team
29 Ağu 2022
38
42

Temel Düzey DOS ve DDOS

myLogo.png


Giriş

Günümüzde bilgisayar sistemlerinin her ne kadar güvenliği arttırılmakta olsa da yine de bu yeterli gelmemektedir. Çünkü sistemlerin güvenliği gün geçtikçe arttırılmakta, fakat buna karşıt saldırı türleri de gün geçtikçe buna paralel olarak artmaktadır. Aslında saldırılardan korunmamın tamamen bir yolu yoktur, ama saldırıları önceden tespit etmenin yolu vardır. Bunların başında bilgi gelmektedir. Bu saldırılara bağlı bilginin temelinde ise, yapılan tüm saldırıların takip edilmesi, gelişiminin izlenmesi, bilgisayar güvenliğinin yeterli ve etkin bir seviyede oluşturulması gibi unsurlar yatmaktadır diyebiliriz. Nitekim bu yazıda bilindik bir saldırı türü olan DOS veya DDOS saldırıları hakkında temel kavramlar, saldırı türleri ve bu saldırılara karşı alınabilecek bazı önlemler hakkında konuşacağız.

Temel Kavramlar

DOS (Denial of Service);
sistemleri aksatma, kesintiye uğratma ya da durdurmak için yapılan bir saldırı türüdür. Genel olarak ise servis dışı bırakma saldırısı olarak adlandırılırlar. Bakıldığında bu saldırı internet tarihinin en eskisi olduğu gibi günümüzde de en çok karşılaşılan saldırı türüdür. Saldırıyı bir örnekle anlatmak gerekilirse; şimdi bizim gitmek istediğimiz servisi bir anayol gibi düşünün, biz ise bu anayola bağlanan tali yoldayız. Yani biz anayola bağlanarak amacımıza ulaşacağız. İşte DOS ve DDOS saldırıları bu ana yola çok fazla trafik oluşturup bizim tali yoldan ana yola girmemizi önlemeye çalışan saldırı türüdür. Anayolda trafik çok olduğu için bizim tali yoldan, ana yola girmemiz çok ama çok uzun sürecek ve hatta kontak bile kapatacak duruma gelmiş olacağız. DDOS (Distributed Denial of Service), ise DOS’dan farklı olarak genellikle saldırgan tarafından kontrol edilen internete bağlı cihazların saldırganın emriyle hedefe saldırmasıdır. Dolayısıyla saldırının dağınık olması bu cihazların farklı yerlerde olmasından kaynaklanmaktadır. Yani bu saldırı da saldırgan kendi saldırmak yerine, pek çok kurbanları tarafından saldırı yapar. Bu kurbanlara ise aslında zombi pc denilmektedir. Yani Zombi PC: sahibinin haberi olmadan çeşitli yöntemlerle ele geçirilmiş ve çeşitli amaçlar için kullanılan sistemlerdir. Botnet kavramı ise; Zombi PC’lerin bir araya gelerek oluşturduğu yapıya denilmektedir. Yani zombi pc’lerden oluşturulmuş sanal bir ordudur diyebiliriz.

BOTNET.png


Botnetlerin, spam e-posta gönderimi, çeşitli zararlı yazılımlar göndermek gibi amaçları da vardır. Biz zombi pc olmadığımızı anlamak için aslında gözleme dayalı bir yol izlemeliyiz. Örneğin sistemimizde anormal trafik davranışları veya belirli adreslere yapılan istemsiz bağlantı ve istekler var mı? bunları görmeliyiz. Yani bilgisayarınız gereksiz kasıyorsa şüphelenmeliyiz. Bu tarz durumlardan kurtulmak için, firewall’unuzu yapılandırabilir veya güncel bir antivirüs programı kullanabilirsiniz. DDOS saldırıları aslında, savaşlar gibi politik veya alış-veriş siteleri gibi ticari sebepler yüzünden ya da Hackerların takıldığı forumlarında prestij kazanması amacıyla yapılmaktadır. Aslında belli sebeplere bağlamak doğru değildir, yani can sıkıntısıyla da yapılmaktadır. Çünkü saldırıyı yapmak çok kolay ve herhangi bir teknik bilgi gerektirmemektedir. Nitekim başarılı bir DDOS saldırı sonucunda karşı tarafta hem finansal kayıp hem de itibar kaybı yaşatılmaktadır. Bir DDOS saldırısının olduğunu anlamak için, bir sitenin veya hizmetin birden bire aniden yavaşladığını gözlemliyorsak ya da tamamen kullanılmaz hale geldiğini görüyorsak burada bir saldırı altında olduğumuzu anlayabiliriz. Aynı şekilde çeşitli trafik miktarları veya sunucunun kaynak tüketimindeki anlık yığılımlar da bizi şüpheye düşürmelidir. Bu saldırı çok basit olduğunu söylemiştik, hatta ufak bir google araştırmasıyla bu saldırıyı 13-15 yaşındaki çocukların bile yaptığını görmek mümkündür. Nitekim değinmemiz gereken bir başka kavram ise; Protokoller’dir. Protokol, aslında ağ üzerindeki bilgisayarlar arasındaki iletişimi yöneten kurallardır. Bu kurallar, yazılım ve donanım veya her ikisi tarafından uygulanmaktadır. Yani amaç, network cihazlarının nasıl anlaşacaklarını, veriyi nasıl göndereceklerini ve alacaklarını belirler. Mesela IP’de (Internet Protocol) bir protokoldür. Verilerin internette işlenmesini ip adresleri sağlamaktadır. HTTP yani Hypertext Transfer Protocol’da bir protokoldür. Neydi HTTP, bir sunucu ile bir istemci arasında haberleşmeyi sağlayan yapıdır. Yani istemcilerin web sayfalarını sunuculardan nasıl isteyeceğini ve sunucuların bu sayfaları istemcilere nasıl aktaracağını belirler. Bu isteğin çalışmasında; ilk olarak istemci tcp bağlantısı açarak HTTP isteği gönderilir ve sunucu da buna uygun cevabı vererek tcp bağlantısını kapatır. Burada bahsettiğimiz TCP de yani Transmission Control Prtocol’da bir protokoldür. Bu protokol de bilgisayarlar arasındaki iletişimin küçük paketler halinde ve kayıpsız bir şekilde iletişimini sağlayan bir protokoldür. HTTP, HTTPS, POP3, SSH, SMTP, Telnet ve FTP gibi protokollerin veri iletişimi TCP üzerinden yapılır. Yani TCP en çok kullanılan protokoldür diyebiliriz. TCP bağlantısının altında ise şu süreç yatmaktadır;​
  • ilk olarak X bilgisayarı Y bilgisayarına bir SYN mesajı gönderir,
  • Y bilgisayarı ise X bilgisayarının bu isteğini alır ve aldığını bildirmek için bir SYN+ACK mesajı gönderir,
  • X bilgisayarı da Y bilgisayarına ACK mesajı gönderir.
İşte bu sürece üçlü el sıkışması adı verilir ve bu işlem sonucunda TCP bağlantısı açılmış olur. Gönderilen bu paketlerin dışında da bazı paketler gönderilir, bunlar;
  • ACK: verinin karşı tarafa sorunsuzca ulaştığını belirtir.
  • SYN: TCP bağlantısının kurulacağını belirtir.
  • FIN: TCP oturumunun sonlandırılmasını sağlar.
  • RST: Bağlantılarda hatalar meydana geldiğinde, alıcı ve göndericinin bağlantıyı kesmesini sağlar.
  • URG: gelen veri parçasının öncelikli olarak işleme alınmasını sağlar.
  • PSH: veri parçaları içerisinde öncelik belirlemek için kullanılır.
Nitekim diğer bir protokol de UDP yani User Datagram Protocoldür. UDP’de TCP’den farklı olarak verilerin herhangi bir bağlantı kurmadan karşı tarafa göndermesi sağlanır. Yani UDP, verileri sadece karşı tarafa gönderir; paket ulaştı mı?, yokmu oldu? bunlara bakmaz. Bu da UDP’yi hızlı ama güvensiz hale getirir. DNS, TFTP, SNMP gibi protokoller UDP kullanmaktadır. Bir başka protokol de ICMP yani Internet Control Message Protocoldür. ICMP, bir nevi TCP/IP’nin işlemesine yardımcı olmaktadır. Gönderilen paketlerde alınan hatalar gibi bilgilendirmeyi sağlamaktadır. Bu yüzden de her hostta bulunmaktadır. Traceroute ve ping paketlerinde ICMP kullanılmaktadır. Traceroute, ip paketleri hedefe gönderildikten sonra hedefe varana kadar çeşitli ağ üzerinden geçmektedir ve biz bu geçilen yolları görmemizi sağlayan yapı da Traceroute olmuştur. Ping ise, iki makine arasındaki haberleşme süresidir diyebiliriz. Peki buraya kadar üstünkörü de olsa bazı kavramları gördük, şimdi bazı saldırı türlerini görelim ki saldırı yapmadan önce ne oluyor da biz saldırı yapabiliyoruz en azından bunu kafamızda betimlemeye çalışalım.

Saldırı Türleri

DDOS saldırılarının Volume Based Attacks, Protocol Based Attacks ve Application Layer Attacks olarak saldırı türleri vardır. Aslında bunlar sınıflandırmadır ki bu sınıflandırmaların altında da sınıflandırmalar bulunmaktadır. Şimdi kısaca bunlara değinelim.

Volumetrik Saldırılar (Volume Based Attacks); Bakıldığında saldırganlar tarafından en sık kullanılan saldırı çeşidi Volumetrik saldırılar olmuştur. Bu saldırının amacı sistemin kaynaklarını tüketmektir. En sık karşılaşılan çeşitleri ise UDP Flood, ICMP Flood ve Reflection & Amplifaciton saldırıları olmuştur; UDP Flood saldırıları, TCP’ye göre hızlı ama güvensiz bir protokol olan UDP’yi etkileyen ve temel amacı da firewall’ın oturum tablosunu doldurarak erişilmez hale getiren bir saldırı yapmaktır. Yani buradaki saldırı aslında hedef sistemdeki rastgele portlara çok sayıda UDP paketi gönderilmesine dayanmaktadır. Hedef sistem ise bu süreçte; portu dinleyen bir uygulama var mı diye kontrol yapar, hiçbir uygulamanın o portu dinlemediğini görünce, ICMP protokolü ile “hedef erişilemez” paketi döndürmesini sağlar. Bu döngü sonunda çok sayıda UDP paketine, çok sayıda ICMP paketi ile karşılık vermek zorunda kalan hedef sistem erişilemez duruma gelir. Nitekim diğer bir saldırı türü olan ICMP Flood Saldırıları ise, ICMP paketleri aslında iki bilgisayar arasındaki bağlantıyı anlamak için kullanılır. Bunun çok kullanılması hedef sistemde aşırı yük oluşturmaktadır. Dolayısıyla ICMP paketleri ile yapılan saldırılarda hedef sistemin hem giden hem de gelen bant genişliğine aşırı yük bindirilerek sistem çalışılmaz hale getirilir. Her sistem kendisine gelen ICMP Request paketlerine ICMP Echo paketleriyle yanıt vermesi gerekmektedir. Eğer ICMP Echo yani isteğe gönderilen cevap paketleri, ağın parçası olan bir ip’ye giderse o ip’ye sahip tüm servisler bloke edilir. ICMP’nin diğer bir saldırı türü de PING Flood Saldırısıdır. Bu saldırı en basit saldırı türüdür. Hedef olan sistemden daha hızlı bir sisteme sahip olunduğunda yapılmaktadır. Dolayısıyla çok basit olduğu için eski ve tercih edilmeyen bir saldırıdır. Yani mantık sisteme ping atmaktır. Gerçekten böyle bir saldırı türünü kullanarak, ddos/ddos attığını sanan, fakat arkaplanda yalnızca kendi modemine yük bindiren kişiler bulunmaktadır… Diğer bir saldırı türü olan Reflection (yansıma) & Amplification (yükselme) Saldırıları ise, Yansıma saldırılarında bir hedefin IP adresini taklit edilerek bir bilgi talebi gönderilir ve karşı tarafta sunucu bu isteğe yanıt vererek hedefin IP adresine bir yanıt göndermektedir. Yükselme saldırılarında ise trafik kapasitesi yüksek olan aracı sistemler kullanılarak saldırganlar sahip olduğu bandwidth miktarından çok fazlasını hedef sisteme gönderir. Bu saldırılar asimetriktir. Yani saldırgan tarafından daha fazla sayıda hedef kaynağın başarısız olmasına neden olmak için daha az sayıda veya düşük düzeyde kaynağa ihtiyaç duyulur. Amplification Saldırılarının DNS, NTP gibi çeşitli türleri vardır; DNS Amplification saldırılarında kısaca, hedefin IP adresi ile DNS sunucularına sorgular yapılır ve böylece hedefe DNS sunucularından sorgu yanıtlarının gitmesi sağlanır. Hedef ise hiç istek göndermediği yerlerden çeşitli cevaplar alır. Bu cevaplar nedeniyle sistemde yavaşlık meydana gelir. NTP Amplification Saldırılarında ise; NTP protokolü, internete bağlı olan makinelerin saatlerini senkronize etmek için kullanılan bir yapıdır. Saldırganlar, public NTP yani Network Time Protocol sunucularını kullanarak hedef sistemin bant genişliğini, alabileceğinden daha fazla paket sayısına maruz bırakarak trafiğin yavaşlamasına, hatta sistemin servis dışı kalmasına neden olmaktadır. Nitekim diğer bir saldırı türü de Protokol Saldırıları (Protocol Based Attacks)’dır. Bu saldırıların hedefi, bağlantı oturum bilgisi kullanan firewallar, yük dengeleme cihazları ve yönlendiriciler vb. sistemler olmaktadır. Örneğin, çok fazla oturum açma isteğinden bulunulur, fakat oturum açma tamamlanmadan yeni istekler gönderilir. Böylece ağ ve güvenlik cihazlarının oturum tabloları doldurularak işlevsiz hale getirilmesi amaçlanır. Bu saldırıların en popülerleri; SYN Flood saldırılarıdır; bu saldırı türünü de açmak gerekirse; gerçekten de internet dünyasının en fazla kullanılan DDOS türü SYN Flood saldırıları olmuştur. Bu saldırı türünde amaç mevcut sunucu kaynaklarını tüketerek sistemi kapatmayı amaçlanmaktadır. Bunun için SYN paketleri tekrar tekrar gönderilerek, hedef makinedeki tüm kullanılabilir bağlantı noktaları doldurulur duruma getirilir ve hedeflenen aygıtın trafiğe yavaş bir şekilde yanıt vermesine veya hiç yanıt vermemesine neden olur. Hedef sürekli gelen SYN paketlerini aldıkça her paket için bellekte bir yer açar, alınan paketler için belli bir kapasite olduğundan ve bu kapasitenin de dolmasıyla bu paketlere SYN+ACK paketi sağlanamayacağından sunucu yeni bir bağlantı kabul etmeyecek ve böylece client tarafından server kısmına bir istekte bulunamayacağımız için bağlantı sağlanamayacaktır. Yani üçlü el sıkışma gerçekleşmeyecektir. Bu yüzdende iletişim gerçekleşemeyecek hale gelecektir.​

SYN-FLOOD.png



Nitekim saldırı türlerinden bir diğeri de Uygulama Katmanı Saldırıları (Application Layer Attacks)’dır. Bu saldırı türünde temel amaç yine kaynakları tüketmek olmuştur. Bu saldırılarda hedef Web sayfalarının sunucuda üretildiği ve HTTP isteklerine yanıt olarak iletildiği 7.katman olan uygulama katmanı hedeflenir. Bu katmandaki saldırıların savunması zor olabilmektedir. Çünkü hangi trafiğin kötü niyetli olduğu belirlenmesi zordur. Bu saldırılarda genellikle belli zafiyetlerden yararlanılarak yapılmaktadır. Örneğin Apache’de bulunan herhangi bir açık gibi. Bu saldırı türüne örnek olarak http Flood Saldırılarını örnek verebiliriz; HTTP Flood saldırı türünde sunucuya, kendisinin cevap verebileceğinden çok daha fazla peşpeşe gönderilen HTTP isteklerinden oluşan paketler gönderilir. Sunucu donanımı yeterli kaynağa sahip olamadığı takdirde, istemciden gelen isteklere verilen yanıtlara geç cevap vermeye başlar. Saldırı devam ettikçe donanıma sayısız istek gönderilmesiyle sonunda aşırı yükleme olur ve sunucu cevap veremez duruma gelir. Uygulama katmanı saldırılarına örnek olarak Slowloris saldırı türünü gösterebiliriz; bu saldırı türü ise, HTTP isteğini hedef sunucuya çok yavaş göndererek bağlantı kaynaklarını tüketmekle yapılmaktadır. Web sunucusu, HTTP isteğin tümümün ulaşmasını veya zaman aşımına uğramasını beklemektedir. Saldırgan ise, sunucunun HTTP isteği zaman aşımı süresi dolmadan hemen önce bir istek gönderir. Böylece bağlantılar uzun süre açık tutular.​



Saldırı Örnekleri


Slowloris Örneği

slowloris.png


Slowloris’i yapabileceğiniz birçok tool bulunmaktadır. Herhangi birini deneyebilirsiniz. Bu saldırımızı başlattığımızda sunucuya ulaşımın kesildiğini göreceksiniz.

SYN Flood Örneği

synflood.png



Aslında tüm bu saldırı örneklerinde kendi sunucunuza saldırı yapmadığınız takdirde bir şey görmeniz neredeyse imkansız, hatta tamamen imkansız, çünkü tek başınıza koca koca sunuculara, sistemlere bir şey yapamazsınız. Örneğin wireshark’ı açarak SYN ve ACK paketlerini filtreleme yaparak saldırının işleyip işlemediğini görebilirsiniz.


Neticede diğer saldırıları da hping3 aracı ile yapabilirsiniz. Buraya kadar temel kavramları, DOS/DDOS saldırı türleri ve bu türlerin oluşma nedenlerini birazda olsa anlamaya çalıştık. Bu yazımız da bu kadardı. Umarım birçok kavramı ve saldırıları öğrenmişsinizdir. DDOS saldırıları zaten çok kolay, fakat tek başına hiçbir işe yaramamaktadır. Ancak Botnetlerle karşılık alabilirsiniz. Bu zamana kadar okuduğunuz için teşekkürler, bir sonraki yazılarda görüşmek üzere…​






Kaynakça


Birkaç sunum
Çeşitli makaleler
Kendi bilgim
 

heredotcan

Katılımcı Üye
28 Ağu 2008
561
43
Saldırı türleri iç içe geçmiş DDOS atackta 3 çeşit saldırı vardır, onları ayırırsan okuyucu daha rahat anlar, Konu başlıklarını vermişsin ama başlıkları, paragraf yapısına uygun şekilde düzenlemelisin
 

Adanlıtrojan

Yazılım Ekibi Asistanı
25 Haz 2021
1,729
813
15
Doğu Türkistan

Temel Düzey DOS ve DDOS

myLogo.png


Giriş

Günümüzde bilgisayar sistemlerinin her ne kadar güvenliği arttırılmakta olsa da yine de bu yeterli gelmemektedir. Çünkü sistemlerin güvenliği gün geçtikçe arttırılmakta, fakat buna karşıt saldırı türleri de gün geçtikçe buna paralel olarak artmaktadır. Aslında saldırılardan korunmamın tamamen bir yolu yoktur, ama saldırıları önceden tespit etmenin yolu vardır. Bunların başında bilgi gelmektedir. Bu saldırılara bağlı bilginin temelinde ise, yapılan tüm saldırıların takip edilmesi, gelişiminin izlenmesi, bilgisayar güvenliğinin yeterli ve etkin bir seviyede oluşturulması gibi unsurlar yatmaktadır diyebiliriz. Nitekim bu yazıda bilindik bir saldırı türü olan DOS veya DDOS saldırıları hakkında temel kavramlar, saldırı türleri ve bu saldırılara karşı alınabilecek bazı önlemler hakkında konuşacağız.

Temel Kavramlar

DOS (Denial of Service);
sistemleri aksatma, kesintiye uğratma ya da durdurmak için yapılan bir saldırı türüdür. Genel olarak ise servis dışı bırakma saldırısı olarak adlandırılırlar. Bakıldığında bu saldırı internet tarihinin en eskisi olduğu gibi günümüzde de en çok karşılaşılan saldırı türüdür. Saldırıyı bir örnekle anlatmak gerekilirse; şimdi bizim gitmek istediğimiz servisi bir anayol gibi düşünün, biz ise bu anayola bağlanan tali yoldayız. Yani biz anayola bağlanarak amacımıza ulaşacağız. İşte DOS ve DDOS saldırıları bu ana yola çok fazla trafik oluşturup bizim tali yoldan ana yola girmemizi önlemeye çalışan saldırı türüdür. Anayolda trafik çok olduğu için bizim tali yoldan, ana yola girmemiz çok ama çok uzun sürecek ve hatta kontak bile kapatacak duruma gelmiş olacağız. DDOS (Distributed Denial of Service), ise DOS’dan farklı olarak genellikle saldırgan tarafından kontrol edilen internete bağlı cihazların saldırganın emriyle hedefe saldırmasıdır. Dolayısıyla saldırının dağınık olması bu cihazların farklı yerlerde olmasından kaynaklanmaktadır. Yani bu saldırı da saldırgan kendi saldırmak yerine, pek çok kurbanları tarafından saldırı yapar. Bu kurbanlara ise aslında zombi pc denilmektedir. Yani Zombi PC: sahibinin haberi olmadan çeşitli yöntemlerle ele geçirilmiş ve çeşitli amaçlar için kullanılan sistemlerdir. Botnet kavramı ise; Zombi PC’lerin bir araya gelerek oluşturduğu yapıya denilmektedir. Yani zombi pc’lerden oluşturulmuş sanal bir ordudur diyebiliriz.

BOTNET.png


Botnetlerin, spam e-posta gönderimi, çeşitli zararlı yazılımlar göndermek gibi amaçları da vardır. Biz zombi pc olmadığımızı anlamak için aslında gözleme dayalı bir yol izlemeliyiz. Örneğin sistemimizde anormal trafik davranışları veya belirli adreslere yapılan istemsiz bağlantı ve istekler var mı? bunları görmeliyiz. Yani bilgisayarınız gereksiz kasıyorsa şüphelenmeliyiz. Bu tarz durumlardan kurtulmak için, firewall’unuzu yapılandırabilir veya güncel bir antivirüs programı kullanabilirsiniz. DDOS saldırıları aslında, savaşlar gibi politik veya alış-veriş siteleri gibi ticari sebepler yüzünden ya da Hackerların takıldığı forumlarında prestij kazanması amacıyla yapılmaktadır. Aslında belli sebeplere bağlamak doğru değildir, yani can sıkıntısıyla da yapılmaktadır. Çünkü saldırıyı yapmak çok kolay ve herhangi bir teknik bilgi gerektirmemektedir. Nitekim başarılı bir DDOS saldırı sonucunda karşı tarafta hem finansal kayıp hem de itibar kaybı yaşatılmaktadır. Bir DDOS saldırısının olduğunu anlamak için, bir sitenin veya hizmetin birden bire aniden yavaşladığını gözlemliyorsak ya da tamamen kullanılmaz hale geldiğini görüyorsak burada bir saldırı altında olduğumuzu anlayabiliriz. Aynı şekilde çeşitli trafik miktarları veya sunucunun kaynak tüketimindeki anlık yığılımlar da bizi şüpheye düşürmelidir. Bu saldırı çok basit olduğunu söylemiştik, hatta ufak bir google araştırmasıyla bu saldırıyı 13-15 yaşındaki çocukların bile yaptığını görmek mümkündür. Nitekim değinmemiz gereken bir başka kavram ise; Protokoller’dir. Protokol, aslında ağ üzerindeki bilgisayarlar arasındaki iletişimi yöneten kurallardır. Bu kurallar, yazılım ve donanım veya her ikisi tarafından uygulanmaktadır. Yani amaç, network cihazlarının nasıl anlaşacaklarını, veriyi nasıl göndereceklerini ve alacaklarını belirler. Mesela IP’de (Internet Protocol) bir protokoldür. Verilerin internette işlenmesini ip adresleri sağlamaktadır. HTTP yani Hypertext Transfer Protocol’da bir protokoldür. Neydi HTTP, bir sunucu ile bir istemci arasında haberleşmeyi sağlayan yapıdır. Yani istemcilerin web sayfalarını sunuculardan nasıl isteyeceğini ve sunucuların bu sayfaları istemcilere nasıl aktaracağını belirler. Bu isteğin çalışmasında; ilk olarak istemci tcp bağlantısı açarak HTTP isteği gönderilir ve sunucu da buna uygun cevabı vererek tcp bağlantısını kapatır. Burada bahsettiğimiz TCP de yani Transmission Control Prtocol’da bir protokoldür. Bu protokol de bilgisayarlar arasındaki iletişimin küçük paketler halinde ve kayıpsız bir şekilde iletişimini sağlayan bir protokoldür. HTTP, HTTPS, POP3, SSH, SMTP, Telnet ve FTP gibi protokollerin veri iletişimi TCP üzerinden yapılır. Yani TCP en çok kullanılan protokoldür diyebiliriz. TCP bağlantısının altında ise şu süreç yatmaktadır;​
  • ilk olarak X bilgisayarı Y bilgisayarına bir SYN mesajı gönderir,
  • Y bilgisayarı ise X bilgisayarının bu isteğini alır ve aldığını bildirmek için bir SYN+ACK mesajı gönderir,
  • X bilgisayarı da Y bilgisayarına ACK mesajı gönderir.
İşte bu sürece üçlü el sıkışması adı verilir ve bu işlem sonucunda TCP bağlantısı açılmış olur. Gönderilen bu paketlerin dışında da bazı paketler gönderilir, bunlar;
  • ACK: verinin karşı tarafa sorunsuzca ulaştığını belirtir.
  • SYN: TCP bağlantısının kurulacağını belirtir.
  • FIN: TCP oturumunun sonlandırılmasını sağlar.
  • RST: Bağlantılarda hatalar meydana geldiğinde, alıcı ve göndericinin bağlantıyı kesmesini sağlar.
  • URG: gelen veri parçasının öncelikli olarak işleme alınmasını sağlar.
  • PSH: veri parçaları içerisinde öncelik belirlemek için kullanılır.
Nitekim diğer bir protokol de UDP yani User Datagram Protocoldür. UDP’de TCP’den farklı olarak verilerin herhangi bir bağlantı kurmadan karşı tarafa göndermesi sağlanır. Yani UDP, verileri sadece karşı tarafa gönderir; paket ulaştı mı?, yokmu oldu? bunlara bakmaz. Bu da UDP’yi hızlı ama güvensiz hale getirir. DNS, TFTP, SNMP gibi protokoller UDP kullanmaktadır. Bir başka protokol de ICMP yani Internet Control Message Protocoldür. ICMP, bir nevi TCP/IP’nin işlemesine yardımcı olmaktadır. Gönderilen paketlerde alınan hatalar gibi bilgilendirmeyi sağlamaktadır. Bu yüzden de her hostta bulunmaktadır. Traceroute ve ping paketlerinde ICMP kullanılmaktadır. Traceroute, ip paketleri hedefe gönderildikten sonra hedefe varana kadar çeşitli ağ üzerinden geçmektedir ve biz bu geçilen yolları görmemizi sağlayan yapı da Traceroute olmuştur. Ping ise, iki makine arasındaki haberleşme süresidir diyebiliriz. Peki buraya kadar üstünkörü de olsa bazı kavramları gördük, şimdi bazı saldırı türlerini görelim ki saldırı yapmadan önce ne oluyor da biz saldırı yapabiliyoruz en azından bunu kafamızda betimlemeye çalışalım.

Saldırı Türleri

DDOS saldırılarının Volume Based Attacks, Protocol Based Attacks ve Application Layer Attacks olarak saldırı türleri vardır. Aslında bunlar sınıflandırmadır ki bu sınıflandırmaların altında da sınıflandırmalar bulunmaktadır. Şimdi kısaca bunlara değinelim.

Volumetrik Saldırılar (Volume Based Attacks); Bakıldığında saldırganlar tarafından en sık kullanılan saldırı çeşidi Volumetrik saldırılar olmuştur. Bu saldırının amacı sistemin kaynaklarını tüketmektir. En sık karşılaşılan çeşitleri ise UDP Flood, ICMP Flood ve Reflection & Amplifaciton saldırıları olmuştur; UDP Flood saldırıları, TCP’ye göre hızlı ama güvensiz bir protokol olan UDP’yi etkileyen ve temel amacı da firewall’ın oturum tablosunu doldurarak erişilmez hale getiren bir saldırı yapmaktır. Yani buradaki saldırı aslında hedef sistemdeki rastgele portlara çok sayıda UDP paketi gönderilmesine dayanmaktadır. Hedef sistem ise bu süreçte; portu dinleyen bir uygulama var mı diye kontrol yapar, hiçbir uygulamanın o portu dinlemediğini görünce, ICMP protokolü ile “hedef erişilemez” paketi döndürmesini sağlar. Bu döngü sonunda çok sayıda UDP paketine, çok sayıda ICMP paketi ile karşılık vermek zorunda kalan hedef sistem erişilemez duruma gelir. Nitekim diğer bir saldırı türü olan ICMP Flood Saldırıları ise, ICMP paketleri aslında iki bilgisayar arasındaki bağlantıyı anlamak için kullanılır. Bunun çok kullanılması hedef sistemde aşırı yük oluşturmaktadır. Dolayısıyla ICMP paketleri ile yapılan saldırılarda hedef sistemin hem giden hem de gelen bant genişliğine aşırı yük bindirilerek sistem çalışılmaz hale getirilir. Her sistem kendisine gelen ICMP Request paketlerine ICMP Echo paketleriyle yanıt vermesi gerekmektedir. Eğer ICMP Echo yani isteğe gönderilen cevap paketleri, ağın parçası olan bir ip’ye giderse o ip’ye sahip tüm servisler bloke edilir. ICMP’nin diğer bir saldırı türü de PING Flood Saldırısıdır. Bu saldırı en basit saldırı türüdür. Hedef olan sistemden daha hızlı bir sisteme sahip olunduğunda yapılmaktadır. Dolayısıyla çok basit olduğu için eski ve tercih edilmeyen bir saldırıdır. Yani mantık sisteme ping atmaktır. Gerçekten böyle bir saldırı türünü kullanarak, ddos/ddos attığını sanan, fakat arkaplanda yalnızca kendi modemine yük bindiren kişiler bulunmaktadır… Diğer bir saldırı türü olan Reflection (yansıma) & Amplification (yükselme) Saldırıları ise, Yansıma saldırılarında bir hedefin IP adresini taklit edilerek bir bilgi talebi gönderilir ve karşı tarafta sunucu bu isteğe yanıt vererek hedefin IP adresine bir yanıt göndermektedir. Yükselme saldırılarında ise trafik kapasitesi yüksek olan aracı sistemler kullanılarak saldırganlar sahip olduğu bandwidth miktarından çok fazlasını hedef sisteme gönderir. Bu saldırılar asimetriktir. Yani saldırgan tarafından daha fazla sayıda hedef kaynağın başarısız olmasına neden olmak için daha az sayıda veya düşük düzeyde kaynağa ihtiyaç duyulur. Amplification Saldırılarının DNS, NTP gibi çeşitli türleri vardır; DNS Amplification saldırılarında kısaca, hedefin IP adresi ile DNS sunucularına sorgular yapılır ve böylece hedefe DNS sunucularından sorgu yanıtlarının gitmesi sağlanır. Hedef ise hiç istek göndermediği yerlerden çeşitli cevaplar alır. Bu cevaplar nedeniyle sistemde yavaşlık meydana gelir. NTP Amplification Saldırılarında ise; NTP protokolü, internete bağlı olan makinelerin saatlerini senkronize etmek için kullanılan bir yapıdır. Saldırganlar, public NTP yani Network Time Protocol sunucularını kullanarak hedef sistemin bant genişliğini, alabileceğinden daha fazla paket sayısına maruz bırakarak trafiğin yavaşlamasına, hatta sistemin servis dışı kalmasına neden olmaktadır. Nitekim diğer bir saldırı türü de Protokol Saldırıları (Protocol Based Attacks)’dır. Bu saldırıların hedefi, bağlantı oturum bilgisi kullanan firewallar, yük dengeleme cihazları ve yönlendiriciler vb. sistemler olmaktadır. Örneğin, çok fazla oturum açma isteğinden bulunulur, fakat oturum açma tamamlanmadan yeni istekler gönderilir. Böylece ağ ve güvenlik cihazlarının oturum tabloları doldurularak işlevsiz hale getirilmesi amaçlanır. Bu saldırıların en popülerleri; SYN Flood saldırılarıdır; bu saldırı türünü de açmak gerekirse; gerçekten de internet dünyasının en fazla kullanılan DDOS türü SYN Flood saldırıları olmuştur. Bu saldırı türünde amaç mevcut sunucu kaynaklarını tüketerek sistemi kapatmayı amaçlanmaktadır. Bunun için SYN paketleri tekrar tekrar gönderilerek, hedef makinedeki tüm kullanılabilir bağlantı noktaları doldurulur duruma getirilir ve hedeflenen aygıtın trafiğe yavaş bir şekilde yanıt vermesine veya hiç yanıt vermemesine neden olur. Hedef sürekli gelen SYN paketlerini aldıkça her paket için bellekte bir yer açar, alınan paketler için belli bir kapasite olduğundan ve bu kapasitenin de dolmasıyla bu paketlere SYN+ACK paketi sağlanamayacağından sunucu yeni bir bağlantı kabul etmeyecek ve böylece client tarafından server kısmına bir istekte bulunamayacağımız için bağlantı sağlanamayacaktır. Yani üçlü el sıkışma gerçekleşmeyecektir. Bu yüzdende iletişim gerçekleşemeyecek hale gelecektir.​

SYN-FLOOD.png



Nitekim saldırı türlerinden bir diğeri de Uygulama Katmanı Saldırıları (Application Layer Attacks)’dır. Bu saldırı türünde temel amaç yine kaynakları tüketmek olmuştur. Bu saldırılarda hedef Web sayfalarının sunucuda üretildiği ve HTTP isteklerine yanıt olarak iletildiği 7.katman olan uygulama katmanı hedeflenir. Bu katmandaki saldırıların savunması zor olabilmektedir. Çünkü hangi trafiğin kötü niyetli olduğu belirlenmesi zordur. Bu saldırılarda genellikle belli zafiyetlerden yararlanılarak yapılmaktadır. Örneğin Apache’de bulunan herhangi bir açık gibi. Bu saldırı türüne örnek olarak http Flood Saldırılarını örnek verebiliriz; HTTP Flood saldırı türünde sunucuya, kendisinin cevap verebileceğinden çok daha fazla peşpeşe gönderilen HTTP isteklerinden oluşan paketler gönderilir. Sunucu donanımı yeterli kaynağa sahip olamadığı takdirde, istemciden gelen isteklere verilen yanıtlara geç cevap vermeye başlar. Saldırı devam ettikçe donanıma sayısız istek gönderilmesiyle sonunda aşırı yükleme olur ve sunucu cevap veremez duruma gelir. Uygulama katmanı saldırılarına örnek olarak Slowloris saldırı türünü gösterebiliriz; bu saldırı türü ise, HTTP isteğini hedef sunucuya çok yavaş göndererek bağlantı kaynaklarını tüketmekle yapılmaktadır. Web sunucusu, HTTP isteğin tümümün ulaşmasını veya zaman aşımına uğramasını beklemektedir. Saldırgan ise, sunucunun HTTP isteği zaman aşımı süresi dolmadan hemen önce bir istek gönderir. Böylece bağlantılar uzun süre açık tutular.​




Saldırı Örnekleri


Slowloris Örneği

slowloris.png


Slowloris’i yapabileceğiniz birçok tool bulunmaktadır. Herhangi birini deneyebilirsiniz. Bu saldırımızı başlattığımızda sunucuya ulaşımın kesildiğini göreceksiniz.

SYN Flood Örneği

synflood.png



Aslında tüm bu saldırı örneklerinde kendi sunucunuza saldırı yapmadığınız takdirde bir şey görmeniz neredeyse imkansız, hatta tamamen imkansız, çünkü tek başınıza koca koca sunuculara, sistemlere bir şey yapamazsınız. Örneğin wireshark’ı açarak SYN ve ACK paketlerini filtreleme yaparak saldırının işleyip işlemediğini görebilirsiniz.


Neticede diğer saldırıları da hping3 aracı ile yapabilirsiniz. Buraya kadar temel kavramları, DOS/DDOS saldırı türleri ve bu türlerin oluşma nedenlerini birazda olsa anlamaya çalıştık. Bu yazımız da bu kadardı. Umarım birçok kavramı ve saldırıları öğrenmişsinizdir. DDOS saldırıları zaten çok kolay, fakat tek başına hiçbir işe yaramamaktadır. Ancak Botnetlerle karşılık alabilirsiniz. Bu zamana kadar okuduğunuz için teşekkürler, bir sonraki yazılarda görüşmek üzere…​






Kaynakça


Birkaç sunum
Çeşitli makaleler
Kendi bilgim
Güzel konu, yanlış anlama ama forumda buna benzer çok konu gördüm bunun yerine network saldırı türleri local global alanla ilgili olanından açsan harkia olur yazdığın için teşekkürler eline sağlık.
 

JohnWick51

Uzman üye
20 Mar 2022
1,356
583

Temel Düzey DOS ve DDOS

myLogo.png


Giriş

Günümüzde bilgisayar sistemlerinin her ne kadar güvenliği arttırılmakta olsa da yine de bu yeterli gelmemektedir. Çünkü sistemlerin güvenliği gün geçtikçe arttırılmakta, fakat buna karşıt saldırı türleri de gün geçtikçe buna paralel olarak artmaktadır. Aslında saldırılardan korunmamın tamamen bir yolu yoktur, ama saldırıları önceden tespit etmenin yolu vardır. Bunların başında bilgi gelmektedir. Bu saldırılara bağlı bilginin temelinde ise, yapılan tüm saldırıların takip edilmesi, gelişiminin izlenmesi, bilgisayar güvenliğinin yeterli ve etkin bir seviyede oluşturulması gibi unsurlar yatmaktadır diyebiliriz. Nitekim bu yazıda bilindik bir saldırı türü olan DOS veya DDOS saldırıları hakkında temel kavramlar, saldırı türleri ve bu saldırılara karşı alınabilecek bazı önlemler hakkında konuşacağız.

Temel Kavramlar

DOS (Denial of Service);
sistemleri aksatma, kesintiye uğratma ya da durdurmak için yapılan bir saldırı türüdür. Genel olarak ise servis dışı bırakma saldırısı olarak adlandırılırlar. Bakıldığında bu saldırı internet tarihinin en eskisi olduğu gibi günümüzde de en çok karşılaşılan saldırı türüdür. Saldırıyı bir örnekle anlatmak gerekilirse; şimdi bizim gitmek istediğimiz servisi bir anayol gibi düşünün, biz ise bu anayola bağlanan tali yoldayız. Yani biz anayola bağlanarak amacımıza ulaşacağız. İşte DOS ve DDOS saldırıları bu ana yola çok fazla trafik oluşturup bizim tali yoldan ana yola girmemizi önlemeye çalışan saldırı türüdür. Anayolda trafik çok olduğu için bizim tali yoldan, ana yola girmemiz çok ama çok uzun sürecek ve hatta kontak bile kapatacak duruma gelmiş olacağız. DDOS (Distributed Denial of Service), ise DOS’dan farklı olarak genellikle saldırgan tarafından kontrol edilen internete bağlı cihazların saldırganın emriyle hedefe saldırmasıdır. Dolayısıyla saldırının dağınık olması bu cihazların farklı yerlerde olmasından kaynaklanmaktadır. Yani bu saldırı da saldırgan kendi saldırmak yerine, pek çok kurbanları tarafından saldırı yapar. Bu kurbanlara ise aslında zombi pc denilmektedir. Yani Zombi PC: sahibinin haberi olmadan çeşitli yöntemlerle ele geçirilmiş ve çeşitli amaçlar için kullanılan sistemlerdir. Botnet kavramı ise; Zombi PC’lerin bir araya gelerek oluşturduğu yapıya denilmektedir. Yani zombi pc’lerden oluşturulmuş sanal bir ordudur diyebiliriz.

BOTNET.png


Botnetlerin, spam e-posta gönderimi, çeşitli zararlı yazılımlar göndermek gibi amaçları da vardır. Biz zombi pc olmadığımızı anlamak için aslında gözleme dayalı bir yol izlemeliyiz. Örneğin sistemimizde anormal trafik davranışları veya belirli adreslere yapılan istemsiz bağlantı ve istekler var mı? bunları görmeliyiz. Yani bilgisayarınız gereksiz kasıyorsa şüphelenmeliyiz. Bu tarz durumlardan kurtulmak için, firewall’unuzu yapılandırabilir veya güncel bir antivirüs programı kullanabilirsiniz. DDOS saldırıları aslında, savaşlar gibi politik veya alış-veriş siteleri gibi ticari sebepler yüzünden ya da Hackerların takıldığı forumlarında prestij kazanması amacıyla yapılmaktadır. Aslında belli sebeplere bağlamak doğru değildir, yani can sıkıntısıyla da yapılmaktadır. Çünkü saldırıyı yapmak çok kolay ve herhangi bir teknik bilgi gerektirmemektedir. Nitekim başarılı bir DDOS saldırı sonucunda karşı tarafta hem finansal kayıp hem de itibar kaybı yaşatılmaktadır. Bir DDOS saldırısının olduğunu anlamak için, bir sitenin veya hizmetin birden bire aniden yavaşladığını gözlemliyorsak ya da tamamen kullanılmaz hale geldiğini görüyorsak burada bir saldırı altında olduğumuzu anlayabiliriz. Aynı şekilde çeşitli trafik miktarları veya sunucunun kaynak tüketimindeki anlık yığılımlar da bizi şüpheye düşürmelidir. Bu saldırı çok basit olduğunu söylemiştik, hatta ufak bir google araştırmasıyla bu saldırıyı 13-15 yaşındaki çocukların bile yaptığını görmek mümkündür. Nitekim değinmemiz gereken bir başka kavram ise; Protokoller’dir. Protokol, aslında ağ üzerindeki bilgisayarlar arasındaki iletişimi yöneten kurallardır. Bu kurallar, yazılım ve donanım veya her ikisi tarafından uygulanmaktadır. Yani amaç, network cihazlarının nasıl anlaşacaklarını, veriyi nasıl göndereceklerini ve alacaklarını belirler. Mesela IP’de (Internet Protocol) bir protokoldür. Verilerin internette işlenmesini ip adresleri sağlamaktadır. HTTP yani Hypertext Transfer Protocol’da bir protokoldür. Neydi HTTP, bir sunucu ile bir istemci arasında haberleşmeyi sağlayan yapıdır. Yani istemcilerin web sayfalarını sunuculardan nasıl isteyeceğini ve sunucuların bu sayfaları istemcilere nasıl aktaracağını belirler. Bu isteğin çalışmasında; ilk olarak istemci tcp bağlantısı açarak HTTP isteği gönderilir ve sunucu da buna uygun cevabı vererek tcp bağlantısını kapatır. Burada bahsettiğimiz TCP de yani Transmission Control Prtocol’da bir protokoldür. Bu protokol de bilgisayarlar arasındaki iletişimin küçük paketler halinde ve kayıpsız bir şekilde iletişimini sağlayan bir protokoldür. HTTP, HTTPS, POP3, SSH, SMTP, Telnet ve FTP gibi protokollerin veri iletişimi TCP üzerinden yapılır. Yani TCP en çok kullanılan protokoldür diyebiliriz. TCP bağlantısının altında ise şu süreç yatmaktadır;​
  • ilk olarak X bilgisayarı Y bilgisayarına bir SYN mesajı gönderir,
  • Y bilgisayarı ise X bilgisayarının bu isteğini alır ve aldığını bildirmek için bir SYN+ACK mesajı gönderir,
  • X bilgisayarı da Y bilgisayarına ACK mesajı gönderir.
İşte bu sürece üçlü el sıkışması adı verilir ve bu işlem sonucunda TCP bağlantısı açılmış olur. Gönderilen bu paketlerin dışında da bazı paketler gönderilir, bunlar;
  • ACK: verinin karşı tarafa sorunsuzca ulaştığını belirtir.
  • SYN: TCP bağlantısının kurulacağını belirtir.
  • FIN: TCP oturumunun sonlandırılmasını sağlar.
  • RST: Bağlantılarda hatalar meydana geldiğinde, alıcı ve göndericinin bağlantıyı kesmesini sağlar.
  • URG: gelen veri parçasının öncelikli olarak işleme alınmasını sağlar.
  • PSH: veri parçaları içerisinde öncelik belirlemek için kullanılır.
Nitekim diğer bir protokol de UDP yani User Datagram Protocoldür. UDP’de TCP’den farklı olarak verilerin herhangi bir bağlantı kurmadan karşı tarafa göndermesi sağlanır. Yani UDP, verileri sadece karşı tarafa gönderir; paket ulaştı mı?, yokmu oldu? bunlara bakmaz. Bu da UDP’yi hızlı ama güvensiz hale getirir. DNS, TFTP, SNMP gibi protokoller UDP kullanmaktadır. Bir başka protokol de ICMP yani Internet Control Message Protocoldür. ICMP, bir nevi TCP/IP’nin işlemesine yardımcı olmaktadır. Gönderilen paketlerde alınan hatalar gibi bilgilendirmeyi sağlamaktadır. Bu yüzden de her hostta bulunmaktadır. Traceroute ve ping paketlerinde ICMP kullanılmaktadır. Traceroute, ip paketleri hedefe gönderildikten sonra hedefe varana kadar çeşitli ağ üzerinden geçmektedir ve biz bu geçilen yolları görmemizi sağlayan yapı da Traceroute olmuştur. Ping ise, iki makine arasındaki haberleşme süresidir diyebiliriz. Peki buraya kadar üstünkörü de olsa bazı kavramları gördük, şimdi bazı saldırı türlerini görelim ki saldırı yapmadan önce ne oluyor da biz saldırı yapabiliyoruz en azından bunu kafamızda betimlemeye çalışalım.

Saldırı Türleri

DDOS saldırılarının Volume Based Attacks, Protocol Based Attacks ve Application Layer Attacks olarak saldırı türleri vardır. Aslında bunlar sınıflandırmadır ki bu sınıflandırmaların altında da sınıflandırmalar bulunmaktadır. Şimdi kısaca bunlara değinelim.

Volumetrik Saldırılar (Volume Based Attacks); Bakıldığında saldırganlar tarafından en sık kullanılan saldırı çeşidi Volumetrik saldırılar olmuştur. Bu saldırının amacı sistemin kaynaklarını tüketmektir. En sık karşılaşılan çeşitleri ise UDP Flood, ICMP Flood ve Reflection & Amplifaciton saldırıları olmuştur; UDP Flood saldırıları, TCP’ye göre hızlı ama güvensiz bir protokol olan UDP’yi etkileyen ve temel amacı da firewall’ın oturum tablosunu doldurarak erişilmez hale getiren bir saldırı yapmaktır. Yani buradaki saldırı aslında hedef sistemdeki rastgele portlara çok sayıda UDP paketi gönderilmesine dayanmaktadır. Hedef sistem ise bu süreçte; portu dinleyen bir uygulama var mı diye kontrol yapar, hiçbir uygulamanın o portu dinlemediğini görünce, ICMP protokolü ile “hedef erişilemez” paketi döndürmesini sağlar. Bu döngü sonunda çok sayıda UDP paketine, çok sayıda ICMP paketi ile karşılık vermek zorunda kalan hedef sistem erişilemez duruma gelir. Nitekim diğer bir saldırı türü olan ICMP Flood Saldırıları ise, ICMP paketleri aslında iki bilgisayar arasındaki bağlantıyı anlamak için kullanılır. Bunun çok kullanılması hedef sistemde aşırı yük oluşturmaktadır. Dolayısıyla ICMP paketleri ile yapılan saldırılarda hedef sistemin hem giden hem de gelen bant genişliğine aşırı yük bindirilerek sistem çalışılmaz hale getirilir. Her sistem kendisine gelen ICMP Request paketlerine ICMP Echo paketleriyle yanıt vermesi gerekmektedir. Eğer ICMP Echo yani isteğe gönderilen cevap paketleri, ağın parçası olan bir ip’ye giderse o ip’ye sahip tüm servisler bloke edilir. ICMP’nin diğer bir saldırı türü de PING Flood Saldırısıdır. Bu saldırı en basit saldırı türüdür. Hedef olan sistemden daha hızlı bir sisteme sahip olunduğunda yapılmaktadır. Dolayısıyla çok basit olduğu için eski ve tercih edilmeyen bir saldırıdır. Yani mantık sisteme ping atmaktır. Gerçekten böyle bir saldırı türünü kullanarak, ddos/ddos attığını sanan, fakat arkaplanda yalnızca kendi modemine yük bindiren kişiler bulunmaktadır… Diğer bir saldırı türü olan Reflection (yansıma) & Amplification (yükselme) Saldırıları ise, Yansıma saldırılarında bir hedefin IP adresini taklit edilerek bir bilgi talebi gönderilir ve karşı tarafta sunucu bu isteğe yanıt vererek hedefin IP adresine bir yanıt göndermektedir. Yükselme saldırılarında ise trafik kapasitesi yüksek olan aracı sistemler kullanılarak saldırganlar sahip olduğu bandwidth miktarından çok fazlasını hedef sisteme gönderir. Bu saldırılar asimetriktir. Yani saldırgan tarafından daha fazla sayıda hedef kaynağın başarısız olmasına neden olmak için daha az sayıda veya düşük düzeyde kaynağa ihtiyaç duyulur. Amplification Saldırılarının DNS, NTP gibi çeşitli türleri vardır; DNS Amplification saldırılarında kısaca, hedefin IP adresi ile DNS sunucularına sorgular yapılır ve böylece hedefe DNS sunucularından sorgu yanıtlarının gitmesi sağlanır. Hedef ise hiç istek göndermediği yerlerden çeşitli cevaplar alır. Bu cevaplar nedeniyle sistemde yavaşlık meydana gelir. NTP Amplification Saldırılarında ise; NTP protokolü, internete bağlı olan makinelerin saatlerini senkronize etmek için kullanılan bir yapıdır. Saldırganlar, public NTP yani Network Time Protocol sunucularını kullanarak hedef sistemin bant genişliğini, alabileceğinden daha fazla paket sayısına maruz bırakarak trafiğin yavaşlamasına, hatta sistemin servis dışı kalmasına neden olmaktadır. Nitekim diğer bir saldırı türü de Protokol Saldırıları (Protocol Based Attacks)’dır. Bu saldırıların hedefi, bağlantı oturum bilgisi kullanan firewallar, yük dengeleme cihazları ve yönlendiriciler vb. sistemler olmaktadır. Örneğin, çok fazla oturum açma isteğinden bulunulur, fakat oturum açma tamamlanmadan yeni istekler gönderilir. Böylece ağ ve güvenlik cihazlarının oturum tabloları doldurularak işlevsiz hale getirilmesi amaçlanır. Bu saldırıların en popülerleri; SYN Flood saldırılarıdır; bu saldırı türünü de açmak gerekirse; gerçekten de internet dünyasının en fazla kullanılan DDOS türü SYN Flood saldırıları olmuştur. Bu saldırı türünde amaç mevcut sunucu kaynaklarını tüketerek sistemi kapatmayı amaçlanmaktadır. Bunun için SYN paketleri tekrar tekrar gönderilerek, hedef makinedeki tüm kullanılabilir bağlantı noktaları doldurulur duruma getirilir ve hedeflenen aygıtın trafiğe yavaş bir şekilde yanıt vermesine veya hiç yanıt vermemesine neden olur. Hedef sürekli gelen SYN paketlerini aldıkça her paket için bellekte bir yer açar, alınan paketler için belli bir kapasite olduğundan ve bu kapasitenin de dolmasıyla bu paketlere SYN+ACK paketi sağlanamayacağından sunucu yeni bir bağlantı kabul etmeyecek ve böylece client tarafından server kısmına bir istekte bulunamayacağımız için bağlantı sağlanamayacaktır. Yani üçlü el sıkışma gerçekleşmeyecektir. Bu yüzdende iletişim gerçekleşemeyecek hale gelecektir.​

SYN-FLOOD.png



Nitekim saldırı türlerinden bir diğeri de Uygulama Katmanı Saldırıları (Application Layer Attacks)’dır. Bu saldırı türünde temel amaç yine kaynakları tüketmek olmuştur. Bu saldırılarda hedef Web sayfalarının sunucuda üretildiği ve HTTP isteklerine yanıt olarak iletildiği 7.katman olan uygulama katmanı hedeflenir. Bu katmandaki saldırıların savunması zor olabilmektedir. Çünkü hangi trafiğin kötü niyetli olduğu belirlenmesi zordur. Bu saldırılarda genellikle belli zafiyetlerden yararlanılarak yapılmaktadır. Örneğin Apache’de bulunan herhangi bir açık gibi. Bu saldırı türüne örnek olarak http Flood Saldırılarını örnek verebiliriz; HTTP Flood saldırı türünde sunucuya, kendisinin cevap verebileceğinden çok daha fazla peşpeşe gönderilen HTTP isteklerinden oluşan paketler gönderilir. Sunucu donanımı yeterli kaynağa sahip olamadığı takdirde, istemciden gelen isteklere verilen yanıtlara geç cevap vermeye başlar. Saldırı devam ettikçe donanıma sayısız istek gönderilmesiyle sonunda aşırı yükleme olur ve sunucu cevap veremez duruma gelir. Uygulama katmanı saldırılarına örnek olarak Slowloris saldırı türünü gösterebiliriz; bu saldırı türü ise, HTTP isteğini hedef sunucuya çok yavaş göndererek bağlantı kaynaklarını tüketmekle yapılmaktadır. Web sunucusu, HTTP isteğin tümümün ulaşmasını veya zaman aşımına uğramasını beklemektedir. Saldırgan ise, sunucunun HTTP isteği zaman aşımı süresi dolmadan hemen önce bir istek gönderir. Böylece bağlantılar uzun süre açık tutular.​




Saldırı Örnekleri


Slowloris Örneği

slowloris.png


Slowloris’i yapabileceğiniz birçok tool bulunmaktadır. Herhangi birini deneyebilirsiniz. Bu saldırımızı başlattığımızda sunucuya ulaşımın kesildiğini göreceksiniz.

SYN Flood Örneği

synflood.png



Aslında tüm bu saldırı örneklerinde kendi sunucunuza saldırı yapmadığınız takdirde bir şey görmeniz neredeyse imkansız, hatta tamamen imkansız, çünkü tek başınıza koca koca sunuculara, sistemlere bir şey yapamazsınız. Örneğin wireshark’ı açarak SYN ve ACK paketlerini filtreleme yaparak saldırının işleyip işlemediğini görebilirsiniz.


Neticede diğer saldırıları da hping3 aracı ile yapabilirsiniz. Buraya kadar temel kavramları, DOS/DDOS saldırı türleri ve bu türlerin oluşma nedenlerini birazda olsa anlamaya çalıştık. Bu yazımız da bu kadardı. Umarım birçok kavramı ve saldırıları öğrenmişsinizdir. DDOS saldırıları zaten çok kolay, fakat tek başına hiçbir işe yaramamaktadır. Ancak Botnetlerle karşılık alabilirsiniz. Bu zamana kadar okuduğunuz için teşekkürler, bir sonraki yazılarda görüşmek üzere…​






Kaynakça


Birkaç sunum
Çeşitli makaleler
Kendi bilgim
Ellerine saglik
 

ogulcankacar

Anka Underground Team
29 Ağu 2022
38
42
Saldırı türleri iç içe geçmiş DDOS atackta 3 çeşit saldırı vardır, onları ayırırsan okuyucu daha rahat anlar, Konu başlıklarını vermişsin ama başlıkları, paragraf yapısına uygun şekilde düzenlemelisin
olur, tekte anlatmak istediğim için böyle yapmıştım, dikkate alırım.

Güzel konu, yanlış anlama ama forumda buna benzer çok konu gördüm bunun yerine network saldırı türleri local global alanla ilgili olanından açsan harkia olur yazdığın için teşekkürler eline sağlık.
olur tabi, forumda çok konu var ama ben bildiklerimi bir de benim gözümden, yazmak istedim...

Ellerine sağlık güzel konu.
teşekkürlerr

Eline sağlık dostum.
teşekkür ederimm

teşekkürlerr

teşekkürlerrr

teşekkür ederimm
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.