DDOS (Denial-of-service attack) Nedir ?

Merhaba Arkadaşlar

Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafiyeti oluşur.

*Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.

*Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.

*Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.

Günümüzde bu 3 temel güvenlik öğesini tehtit eden unsurlar mevcut durumdadır.Bunları listelemek gerekirse;

*Hedef sistemlere yapılan DDOS saldırıları.

*Hedef Web sitelerine yapılan XSS benzeri Servis ve Script açıkları.

*Hedef sistemlere sızma ve zehirleme saldırıları.

*Hedef sisteme içeriden gelebilicek saldırılar.

*Sosyal Mühendislik ile yapılabilicek saldırılar.

*Wi-fi gibi açık erişime sahip alan ağları.

*SQL injection saldırıları.

*Mobil ağlara sızma saldırıları.

*Expolit yazılımı,IDS/IPS devre dışı bırakma saldırıları

Gibi bir çok saldırı türü bulunmaktadır.Bunlara sırası ile değineceğiz.Ama öncelikle bilişim dünyasında en çok ismi duyulan DDOS saldırı tipleri ve nasıl kullanılabildiğinde dair bilgileri paylaşmak ile başlayalım.

DDOS Nedir ve Hangi Amaç İle Kullanılır ?

DDoS (Distributed Denial of Service) saldırıların temel önceliği tamamen çalışan sistemlerin kabul edebildiği yük kapasitesinden öteye geçmesini sağlayan bir saldırı türüdür.Geçmiş zamanlarda önceden sadece DOS olarak tek bir kaynaktan saldırı tipi ile saldırılırken bu zaman içerisinde DDOS olarak birden fazla kaynak ile hedef sisteme zombi tabir ettiğimiz kaynaklarıda kullanarak belirlenen hedefe saldırının şiddetini arttırarak hedef sisteme saldırı şekline dönüştürülmüştür.DDOS saldırıları esasında ortaya çıkış noktası TCP/IP bug’ı noktasında ortaya çıkmıştır.

Tamamen engellenmesi mümkün olmayan bu durumun tek çaresi saldırgan trafiğin ayrı bir alanda tutulması ve gelen trafiğin azaltılması şeklinde bazı önlemler alınabilir. Tabiki bunlar tek başına yeterli olmayabiliyor.Çünkü günümüz internet dünyasında temel iletişim protokolü olan TCP/IP  protokol ortaya çıktığından beri  DDOS saldırıları günümüz internet dünyasın en temel sorunlarından biridir.Internet’in ilk çıktığı günden beri çözülemeyen bu tehdit hâlihazırda kullanılan TCP/IP protokolüyle uzun süre çözülemeyecek kadar ciddi bir problemdir. DDOS saldırılarında ana amaç hedef sistemi ele geçirmekten çok üzerinde çalışan sistemleri işlevsiz kılmaktır.

DOS/DDoS Saldırıları Hangi Methodlar ile Nasıl Gerçekleşir?

DDOS saldırısında esasen genel düşünce bir sisteme karşı saldırı yapıldığında daha çok kapasiteyi aşabilicek bir sistem saldırısı yapılacağı düşünülebilir.Ama bu noktada karşıdaki sistem zafiyetlerini belirlemek içinde kullanılabildiğinden oldukça tehlikeli bir durum arz edebilmektedir.

Peki DDOS Saldırı çeşitleri nelerdir isterseniz onlardan biraz bahsedelim.Ama önce Client-Server arasındaki protokol ilişkisini açıklamak gerekirse.

Normal bir hat trafiğinde istemci sunucu arasında TCP protokolü içerisinde bağlantıyı başlatan istemci bir adet SYN paketi gönderir ve bunu 1 olarak değer verir.Sunucu bu bağlantı isteğini alır SYN olarak gelen paketi SYNC+ACK olarak değerini x olarak set eder.Bunun yanında x in yanına +1 olarak arttırır.Bu esasında bir nevi sıra numarası değeridir.Sunucu bunu Acknowledgment Number tarafına yazar.Burası bir nevi siramatik görevi görür ve bu paketi kendi alanına yazar ve paketi istemciye geri gönderir.

Bundan sonraki son süreç ise istemci bilgisayar sunucu tarafına ek bir paket daha gönderir.TCP segmenti içerisinde ACK olarak gönderilen paket 1 olarak set edilir. Bu pakette TCP segmenti başlığı içerisinde ACK biti “1″ set edilir. ACK.Num. alanına Sunucu bilgisayarın gönderdiği ACK.Num. değeri y bir artırılarak y+1 yazılır. SEQ Number değeri İstemci bilgisayarın sıradaki paket numarasıdır. Yani İstemci bilgisayarının ilk gönderdiği sıra numarası Sunucu bilgisayarı tarafından bir artırılmış ve İstemci‘ye yeniden  gönderilmiş olan x numarası yazılır ve paket Sunucu bilgisayarına gönderilir ve bağlantı sağlanmış olur. Bundan sonra paketler iletilir.

 Atak Tiplerine Genel Bakış

 Zombi Atakları:Saldırgan genellikle saldırdığı sistemde iz bırakmak istemez.Bunun için ya saldırdığı adresi gizlemek için proxy kullanır veya Zombi tabir ettiğimiz ele geçirilmiş ve zehirlenmiş bilgisayarları kullanarak hedef sisteme saldırır.Genelde dünya genelinde yaygın olarak kullanılan bir tür olan zombi ataklarında saldırgan hem kendisini gizler hemde bir çok araç kullanarak hedef sisteme saldırmaya ve ele geçirmeye kullanılamaz hale getirmeye çalışır.Bu DDOS türü dağınık mimari ile çalışır.Örnek olarak bir bataklıkta olduğunuzu düşünün tek bir sivrisineğin vereceği kaşıntı ile 1000 tane sivrisineğin vereceği kaşıntı nasıl aynı değilse bireysel DDOS atakları ile Zombi DDOS atakları arasındaki hasarda aynı değildir.Peki bu zombi bilgisayarlar nasıl oluşuyor.Esasında teknik açıdan direk bireysel kullıcılara hitap eden bazı exploitler siteler veya virüs tarayıcıların tespit edemediği backdoor tarzı programlar ile ele geçiriliyor.Hedef makina kullanıcısın farkına bile varmadığı bu durumda saldırgan bu şekilde gizlenerek ataklarını gerçekleştirebiliyor.Son dönemlerde yapılan saldırılarda kruban makinaların OS versiyonları genelde Windows olsada bazen Linux tabanlı sistemlerin de ele geçirildikten sonra zombi olarak kullanılmaları mümkündür.

 Ping of Death :Esasında en hard saldırı şekli olan POD saldırısı eskilerden kullanılan bir yöntem olarak göze çarpmaktadır.Günümüzde bir çok işletim sistemi gerekli update ler ile önlemlerini alsada dönemin en etkili araçlarından bir tanesiydi.Mantığı ise şu şekilde işliyordu ICMP protokolünü kullanarak hedef makinanın veri sınırını aşıcak şekilde paket gönderir.Tabiki ICMP Echo request’lerin data kısmı 216 ile 65,536 byte arasında olmak zorundadır ve bu aralıktan daha yüksek veri sınırı aşıldığı için hedef makina kullanılamaz hale getir.

SYN Flood Saldırıları:Esasında belki hedef sistemicmd en çok yoran yöntemlerden bir tanesidir.TCP tarafında 3 lü el sıkışma yöntemi olarak belirtilen three handshake  tarafı tamamlanmadan saldırgan geri çekilir ve hedef sistemin isteği beklemesini sağlar.Örnek olarak istemci bir SYN paketi gönderir,Sunucuda gelen Syn paketine SYN+ACK paketi göndererek karşı ACK paketini bekler.Tabi bu hiç bir zaman gelmediğinden hedef sistem bu veriyolunu yarı-açık şekilde tutar.Sistem tarafı saldırgan makinadan sürekli olak ACK paketi bekler durur.Tabi tek istek pek bir trafikte sorun yaratmaz ama DDOS saldırı tarzı Syn Flood üzerinden olursa Sunucunun cevap verme kapasitesi bir süre sonra dolucak ve yar-açık bağlantılardan ötürü gerçek istekler ile gelen istemcilere cevap veremez hale gelicektir.

Peki sistemi nasıl yoruyor networksel olarak şimdi bir flood durumunda TCP-SYN oturumu host ile client arasında kurulduktan sonra ACK  veya PUSH ACK paketleri iletişim için kullanılır. Bu ACK paketleri kurban server’in kaynaklarını tüketmeye başlarsa ACK & PUSH ACK Flood olarak adlandırılan attack gerçekleşmiş olur.Her SYNC-ACK paketi kendini 5 kez tekrar edeceğini düşünürsek standart default zaman süresi 3.6.12.18.24……48 saniye ye kadar sıralanabilmektedir.Ayrılan kaynak boşa çıkmadan tekrar bir SYNC-ACK denemesi yapılacağından ötürü hedefteki sistemi 3 dakikalığına meşgul edicektir.Saldırıda bu teknik sürekli denenirse hedef sistem bu tip saldırıya ayırdığı kaynaklardan ötürü yetkili kullanıcılar veya sisteme gerçekten erişmek isteyen normal bilgisayarlar sisteme bağlanamaz duruma gelicektir.Sistem ve Güvenlik ekibi ne kadar fake bağlantıları teker teker iptal etse bile hemen arkasından yeni bir SYN-ACK bağlantısı eklendiğinden iş içinden çıkılmaz bir noktaya doğru gidicektir.

UDP Fragmentation: Bu esasında sistemlere karşı yapılan epey etkili bir flood türüdür.Nasıl çalıştığına bakıcak olursak hedef sisteme big datalar göndererek ilgili veriyolunu istila eder.Yanlız ilginç olan bu gönderilen paketlerin birbirleri ile mantıksal bir bağlantısı mevcut değildir.Önemli olan hedef sunucunun önüne gelince birleşmeye çalışırlar.Tabi hedef sistem bu parçaları birleştirmeye çalışırken CPU harcayacağından ötürü ya fiziksel hasar verir veya sistemin cevap veremeyecek duruma getirerek kapanmasına yol açar.

VOIP Flood: Özelleştirilmiş bir UDP Flood türüdür.  Kurban VoIP server, yüksek sahte VoIP paketleri ve uzun IP dizilerini kaydeder. Network’u rasgele paket içeriğiyle ve iyileştirilmiş kaynak IP adresi ile istila eder.

UDP Flood:UDP Flood saldırısının TCP tarafındaki saldırılardan farkı paketin ulaşıp ulaşmadığını garanti etmez.Tree Handshake methodu kullanılmadığından ötürü ilgili hedefe trafiğin ulaşıp ulaşmadığı ile ilgilenmediğinden daha hızlı ama kararsız yani güvenilmez sonuçlar dönebilir.UDP saldırılarında hedef sisteme bir çok porttan saldırır ve açık olan portlardan gerekli bilgileri sağlamaya çalışır.Bunun üzerine UDP paketleri gönderildikten sonra bu port üzerinde çalışan servis veya uygulama varmı diye kontrol ederek 2 şekilde cevap dönebilir.Birincisi hiç bir uygulama yoksa geri dönmez ikincisi eğer var ama kapalı ise hedefe ulaşım başarısız komutunu gönderir.Tabi bu saldırganı yıldırmaz aksine birden fazla çoklu sayıda UDP paketi gönderildiğinden ötürü hedef sistemin bu paketlere ICMP ile yanıt vermesine zorlanır ve normal gelen istemcilerin hedef sisteme ulaşamamasına sebebiyet verir.Bu durumda  geri dönen ICMP paketlerinin ona ulaşmamasını sağlar ve saldırganın bağlantı konumunu anonimleştirir.Bu tarz saldırıları engellemek için ilgili firewall ve gerekli UDP servisleri filtrelenerek kötü niyetli UDP istekleri engellenebilir ve buna uygun şekilde sisteme zarar vermesi engellenebilir.

Land Flood :Bu saldırı tipi esasında SYN Flood tarafına çok benzerdir.Yanlız ilginç olan noktası Hacker sistemi kendi bilgileri ile vurmaya çalışır.Hedef sistemdeki ip bileri ile hedef sisteme saldırır.Bu da tabiki sistemin kendi gönderip kendi aldığı paketler ile birlikte ortamda bir kafa karışıklığı oluşturur.Çünkü hem SYN hemde SYNC+ACK paketlerini kendi gönderip kendi alması demek sistem üzerindeki data akışının 2 katına çıkması demektir.Buda saldırının boyutunu ikiye katlar ve sistemin cevap vermemesini sağlamaya çalışır.

 Non-Spoofed UDP Flood: Bu saldırının mantığında Hedef sisteme gönderilen UDP fake olmayan UPD paketlerini kayıt altına alır.Tabi bu UDP paketlerini gönderen Zombi makinaların ipleri sahte olmadığından ötürü hedef sistemin bütün network kaynaklarını sömürmeye yönelik atakları gerçekleştirir.Bunun sonucu olarakta sistem kendisini kapatır ve işlevsiz hale getirir.

 ICMP Flood: ICMP temel olarak tanımlamak gerekirse network içerisinde sistemler arasında iletişim ve hata ayıklama özelliği sayesinde oldukça popüler olan bir protokoldur. ICMP Flood saldırısı esasında ICMP servisini hedef alan bir saldırı tipidir.Bu saldırının en büyük avantajlı özelliği hedef sisteme birden fazla ve bir çok noktadan sekron şekilde saldırı yapılması sayesinde başarılı olmasıdır.Eğer dediğimiz NŞA sağlanmaz ise başarılı bir sonuç vermez.Bu saldırı tipini Kali Linux üzerinde ilgili komut kullanıldığında hedef sisteme 64-128 lik paketler gönderebiliceğinden ötürü ve aynı anda (zombi bilgisayarıda yönlendirerek) birden fazla noktadan saldırı geleceğinden dolayı sistemi çok ciddi sıkıntıya sokabilicek bir saldırı türüdür.Saldırının odak noktası zombi tabir ettiğimiz sistemlerin hedef sistemlere olan saldırısı ICMP echo paketleri gönderilerek hedef sistemin ICMP reply paketlerini beklemektir.Eğer Type zero paketi geri geliyorsa bu sistemin ulaşılabilir olduğunu gösterir.Bazen reply echo paketinin gelmemesi hedef sistemin canlı olmadığı anlamına gelmez.Burdan gelicek olan paketlerin temel amacıda gelen her paketi cevaplamaya çalışan sistemi yorarak işlevsiz bırakmaktır.

 TearDrop: Paket alış verişinde en güzel örneklerden bir tanesidir diyebilirim istemci ile hedef sistem arasında siz bir götünrü dosyası veya resim gibi dosyalar gönderdiğinizde öncelikle çıkış hattında bu veriler parçalanır ve her birinin bir sıra numarası bulunarak hedefe iletir.Hedef sistem bu paketleri numaralara göre düzenler ve paketi bütünleşik bir yapıya sokarak sistemine alır.Bu normal olandır peki saldırgan bunu nasıl kullanır ona bakıcak olursak giden parçalar üzerinde offsetler kullanarak paketleri üst üste bindirir.Paketleri alan hedef sistem böyle bir atak için koruyucu önlemler almadı ise sistem tarafında yük konusunda sıkıntı cekeceğinden ötürü crash olucak ve sistem erişilemez hale gelicektir.Günümüzde bu tarz ataklara karşı bir çok sistem update ve fiziksel güvenlik katmanları ile birlikte korunmaktadır.

 Smurf Attakları:Hedef sistemi bildiğiniz yığın ile tıkar ve bant genişliğini işlevsiz hale getirebilir.Tabi bu yığılmayı TCP/IP protokolü ile yerine getirirler.Normalde bir sistemde bulunan bilgisayarlar ping ile birbirlerini yokladıklarında ortamdaki bütün bilgisayarlara iz bırakırlar yani bir nevi iletişim halindedirler.Hedef sisteme ping gönderildiğinde eğer cevap geliyorsa sistem tarafı kendini belli etmiş olur.Ping ile hedef sisteme saldırı gerçekleşmez önemli olan gelen cevabı manipüle edebilmektir.İşte bu noktada hackerın yaptığı sistemden gelen cevabı yani geri dönüş adreslerini değiştirerek farklı sistemlere gönderir.Esasında bunu yapmasındaki amaç hem hedef şaşırtma hemde ip sinin tespit edilememesini sağlamaktır. 

Peki bu tarz saldırılardan korunma yöntemleri nelerdir onları inceleyelim ?

 *Birinci Aşama Firewall Üzerinde Önlemlerin Arttırılması:İlk olarak bu tarz saldırılarda Firewall cihazları üzerinde Rate-Limiting özelliğinin aktif hale getirilmesi ile birlikte özellikle belirli dış adreslerden gelebilicek olan en yüksek paket sayıları tespit edilip limit değeri üzerindeki ip adreslerini bloklayıp normal gelen tanımlı ip adreslerinden ayırt ederek sistemin darboğazdan çıkarılması sağlanabilir.Tabi bu konfigürasyon hassas bir şekilde ayarlanmalıdır.Aksi taktirde saldırgan eğer bunu keşfeder ise bütün internet ağınızı kullanılamaz hale getirebilir.Bunun içinde firewall üzerinde default gelen ayarlar muhakkak değiştirilmelidir.Çünkü default olan paket alım miktarı süreleri eğer değiştirilmez ise saldırgan bu değerlerin  değiştirilmediğini anladığında daha yüksek oranda paket yollayabilir ve sistemi etkisiz hale getirmeye zorlayabilir.

Firewall yapısı gereği gelen paketler için kendi üzerinde belirli oranda kaynak ayırır.Tabi bu normal default trafik için geçerli bir standarttır.DOS/DDOS saldırılarında bu kaynaklar çok çabuk tükenir ve sistemi kilitleyebilir bu yüzden Firewall üzerinde zaman aşımı dediğimiz seçeneğin ayarlanması oldukça önem arz etmektedir.

Bunun dışında eğer Firewall tarafında sysproxy veya syncookie gibi özellikler var ise.Bunların aktif hale getirilmeside bir nebze yarar sağlayacaktır.Bu sayede saldırganın DDOS tarafındaki en büyük destekçisi olan SYN Flood saldırılarınıda bir nebze olsun önlemiş olucaktır.

*İkinci Aşama Router/Swich ler Üzerinde Gerekli Önlemlerin Alınması:DDOS saldırılarında esasında sistemde en fazla yük binen cihazlar Router ve Swichlerdir diyebilirim.Saldırgan sisteme DDOS atarken bu aşamada yüksek yoğunluklu paketler bu sistemlerden iç sistemlere ilerlediği için saldırı esnasında ilk etkilenecek cihazlardır.Bunun engellenmesi için öncelikle akıllı (yani konfigüre edilebilir router-swichlerin) gerekli ACL listesinin yazılması saldırıların dozajını bir nebze aşağı çekebilir.Tabi bu kural tanımlaması için saldırganın sisteme nasıl hangi paketler ile saldırdığının tespitide önemlidir.Log ve korelasyon sistemine sahipseniz bununla alakalı config yazılması daha kolay ve etkili olucaktır.

Bunun yanında eğer ortamda SFLOW veya NETFLOW tarzu bilgi almaya yarayan sistemlerinizde varsa saldırganın nasıl bir yapıda saldırdığını loglayabilir bu loglardan anlamlı bir saldırı tipi tespit edilebilir ve gerek Firewall gerekse Router üzerinde o saldırının cinsine uygun erişim kontrol kurallarını yazabilirsiniz.

Ama tabiki bu konfigürasyonlar ve yapılandırmalar DDOS saldırılarının şiddetini düşürmeye yönelik hamlelerdir.Konusunda uzman kişilerin bu yapılandırmaları yapması tespit etmesi çok elzemdir.Aksi taktirde en ufak bir ayar yanlış yapılırsa saldırganın istediğini yerine getirmeiş olup bütün sistemi kullanılamaz hale getirebilirsiniz.O yüzden Firewall olsun Swich veya Router konfigürasyonları bu tarz saldırılara karşı önceden planlı bir şekilde gelebilicek her türlü tehlikeye karşı yük dengeleme sistemi tarzı yapılandırılması zaruri bir gerekliliktir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!