DDoS Saldırıları ve Korunma Yöntemleri - Denial of Service saldırı türleri




DDoS Saldırıları ve Korunma Yöntemleri


Denial of service (DoS) hizmet aksatma amaçlı bir saldırı çeşitidir. Bir sisteme yapılan düzenli saldırılar sonucunda sistem çalışamaz ve hizmet veremez hale gelir. Ayrıca DoS saldırılarıyla hedef sisteme ait kaynakların tüketilmesi de amaçlanır. Bu saldırı önemli sunucuların servis vermeyi durdurması gibi büyük sorunlara yol açabilir. DDoS saldırılarında dikkate alınması gereken iki temel husus vardır. İlki saldırıyı engelleme ikincisi saldırının kim tarafından ne şiddetde ve hangi yöntemler, araçlar kullanılarak yapıldığınının belirlenmesidir. Genellikle  saldırı engelleme kısmı dikkate alınmaktadır ve plansız bir şekilde DDoS saldırıları anlık olarak durdurulmaya çalışılmaktadır. Oysa yapılan araştırmalar göstermiştir ki bir kere DDoS saldırısına maruz kalıp yenilen bir kurum/sistem aynı yıl içerisinde defalarca DDoS saldırısına maruz kalmıştır. DDoS Saldırılarında sağlıklı analiz yapabilmek için uygun yerlere TAP cihazları yerleştirilmelidir. Bu cihazlar aracılığıyla saldırı anında aktif sistemleri etkilemeden log toplama imkanı olacaktır
Tüm DoS saldırıları iki aşamalı olarak gerçekleştirilir;
  • Toplu güvenliği kırma: Bu aşamada öncelikli olarak DoS saldırısı yapacak olan sistemlere ulaşılır ve saldırıyı gerçekleştirecek olan programlar yüklenir. Bu sistemler ilk zarar görecek olan sistemlerdir. TEKNOTEL TELEKOMUN Verimerkezinde kullandığı gibi sizde Cisco ASA 5510 Firewall kullanarak sistemlerinizin DDoS saldırılarından koruyabilirsiniz
  • DoS saldırıları: Bu aşamada hedef sitelere saldırı yapılır ve bunun için de ilk aşamada saldırıyı gerçekleştirecek programların yüklendiği bilgisayarlar kullanılarak hedefe saldırı gerçekleştirilir.



Denial of Service saldırı türlerinin başlıcaları şunlardır;

1.     Arabellek Aşımı Saldırıları: DOS saldırılarının en yaygın çeşitidir. Arabellek; hafızada ard arda dizili türdeş veri depolayan hafıza bloğudur. Arabellek aşımı saldırıları; bir internet sitesine, sitenin programcısının gelmesinin beklediği ve bu amaçla veri akışı için planladığı arabellek değerinin karşılayamayacağı kadar çok trafik yollanması sonucu oluşur. Saldırı, hedef sistemdeki bilinen zayıf bir noktanın üzerine, başarıya ulaşacağı bilinerek yapılabileceği gibi zayıf bir nokta bilinmeden başarı    ihtimaliyle de yapılabilir.
2.     SYN Saldırıları: Bu saldırı türünde saldırgan, internet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.
3.     Teardrop Saldırıları: Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
4.     Smurf Saldırıları: Bu saldırı türünde, saldırgan hedef bilgisayardan ping isteğinde bulunur. Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır. Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar. Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.
5.     Servislere Aşırı Yüklenme: Bu saldırı tipi belirli kullanıcı ve servisleri düşürmek için kullanılır. Saldırı yapan kişi özel port ve kullanıcıya bir çok ICMP paketi gönderir. Bu olay ağ izleyicisi ile kolayca anlaşılır.
6.     Message Flooding: Servislere Aşırı Yüklenme'den farklı olarak sistemin normal çalışmasını engellemez. Yine aynı şekilde paketler gönderilir ancak bu defa kullanıcı ya da servisler bu paket gönderimini normal olarak algılar. Örnek olarak; Nis sunucusunda 'flood' yapılırsa (Unix network) Nis bu isteği şifre isteği gibi görür ve böylece saldırganın kullanıcıya hükmetmesi sağlanmış olur.
Sistemin güvenliği açısından yapılması gereken ilk adım DoS saldırısının doğru analiz edilmesi ve kaynağının tespit edilmesidir. DoS saldırıları işletim sistemine sistemin içinden ya da dışından gelme olasılıklarına sahiptir. DoS saldırılarının çoğunun tespiti için internet hızının düşüklüğü ya da e-posta alamama gibi sorunlara dikkat edilmesi gerekmektedir. Bu tür durumlarda ilk aşamada bakılması gereken sistemin çıkış noktasıdır. Eğer çıkış noktası HTTP Proxy ise büyük isteklerin bir sistemden mi ya da daha fazla sistemden mi yapılmakta olduğuna bakılmalıdır. Eğer çıkış noktası ağ geçidi ise sistemden geçen paketlerin kontrol edilmesi gerekmektedir.

DoS saldırılarından korunma yöntemleri temel olarak iki gruba ayrılır;
  • Bant genişliği saldırıları ve korunma yöntemleri: Bu tür saldırılar savunulması en zor olan DoS saldırılarıdır, bu sebeple ataklara neden olan paketler güvenliği sağlanılması istenen sistemin ağ geçidine girmeden bu paketlerin alımını durdurmaktır. Paketlerin ağ geçidine girmeden engellenmesi için TCP SYN, UDP veya ICMP gibi aynı tür paketlerin arka arkaya geldiği takdirde takibini ve kontrolunu sağlayan yazılım kurulması gerekmektedir
  • Sistem ve servis saldırıları ve korunma yöntemleri: Bu tür saldırılar tüm ağdan çok bir ya da birkaç sisteme yönelik yapılır. Bu saldırılar birim zamanda çok yüksek sayıda paket gönderilerek, hafızada sorun yaratılarak ve yüksek sayıda geçerli istek gönderilerek yapılabilir.
    Standart olarak ağ kartı paket aldığı her defada işlemciye yönelik bir istek yaratır. Bunun üzerine işlemci bu paketi ağ kartından almak üzere belirli bir zaman ayırır. TCP SYN paketleri SYN ACK paketlerini cevap olarak göndermeden önce bir zaman geçmesi gerekir. Aynı şekilde TCP, UDP ve ICMP paketleri de SYN kadar zaman almasa da yine de belirli bir zaman kaybına neden olur. Bunların dışında paket büyüklüğü ve sayısının da bant genişliğinde oluşabilecek sorunlarda büyük etkisi vardır.
     
    Zaman ayırma, paket büyüklüğü ve sayısı gibi problemler için daha güçlü cihazlar ya da bu sorunları azaltmak, engellemek için eklenmesi gerek komutlar kullanılmalıdır. Donanım için fazla harcamalar dışında bu sorunların çoğu "sysctl(8)" komutu kullanılarak çözülebilir. "sysctl(8)" komutu sayesinde yüksek paket geliş oranında sınırlamalar yapılabilir.
Saldırı Kaynağını Belirleme
DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır. Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombie sistemler kullanarak kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır.Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu rahatlıkla anlaşılabilir.Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir. Yani  saldırı sırasında kaydedilen dosya incelendiğinde fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak gerçekleştirildiği hükmüne varılabilir Tek cümleyle özetleyecek olursak: Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.
DDos Saldırı Analizi






















Yorumlar

Bu blogdaki popüler yayınlar

Akay Kynyev (Kine) - Altay’ın dini ve ulusçu önderi

IP ADRESLEME

İletişim Formu

Ad

E-posta *

Mesaj *