// Dos // DDOS // Saldırı Ve Korunma Yöntemleri ! Detaylı Anlatım !

'Spam / Flood Attack' forumunda Laserbird.x tarafından 5 Mart 2016 tarihinde açılan konu

  1. Laserbird.x

    Laserbird.x Active Member

    Katılım:
    21 Şubat 2016
    Konular:
    251
    Mesaj:
    350
    Giriş
    DOS/DDOS saldırıları internet dünyasının başlangıcından beri önemi hiç
    eksilmeyen bir tehdit olarak bilinmektedir. Güvenlik açıklıkları kapatılsa da
    TCP/IP protokolü yapısı değişmeden bu soruna kesin çözüm
    bulunamayacaktır.
    Bu kitapta DOS, DDOS saldırıları hakkında genel bilgi, güncel örnekler ve
    çözüm yolları anlatılmıştır.

    DOS/DDOS Saldırıları
    Genel Tanımlar
    DOS (Denial Of Service): Herhangi bir sistemi, servisi, ağı işlevini yerine
    getiremez hale getirmek için yapılan saldırılar
    DDOS (Distributed Of Service) DOS saldırılarının organize şekilde birden
    fazla kaynakla yapılmasına DDOS denir.
    Zombi: Ele geçirilmiş ve sahibinden habersiz şekilde çeşitli amaçlar için
    kullanılan bilgisayar sistemleri. Zombiler en önemli DDOS kaynaklarındandır.
    Botnet (Robot Networks) Zombiler tarafından oluşturulan ve çeşitli
    amaçlarla kullanılan sanal bilgisayar ordularıdır. Zombiler botnetleri oluşturur,
    botnetler organize siber suçlarda sık kullanılan ara elemanlardır.
    SYN: TCP başlığında bulunan bayraklardan biridir. TCP bağlantılarında ilk
    gönderilecek paket SYN bayrağına sahip olmalıdır. Oturumun başlatılması
    için gönderilir ve hedeften cevap olarak SYN-ACK bayraklı paket beklenir.
    IP Spoofing: Saldırganın yakalanma riskini yok etmek için IP adresini
    olduğundan farklı göstermesi

    DOS/DDOS Saldırıları
    DOS/DDOS saldırıları günümüz internet dünyasının en temel sorunlarından
    biridir. Internet’in ilk çıktığı günden beri çözülemeyen bu tehdit hâlihazırda
    kullanılan TCP/IP protokolüyle uzun süre çözülemeyecek kadar ciddi bir
    problemdir. DDOS saldırılarında ana amaç sistemi işlevsiz kılmaktır.

    Yapılan saldırıya göre DOS’un etkileri aşağıdaki maddelerden biriyle
    sonuçlanabilir
    • Web sayfasının ulaşılamaz olması
    • Web sayfası/servislerinin isteklere geç cevap dönmesi
    • Ağ performansında yavaşlama
    • İşletim sistemlerinde CPU/Ram performans problemi
    • Uyarı sistemlerinin çökmesi

    (D)DOS Çeşitleri
    Sonuçlarına göre (D)DOS Çeşitleri

    DOS saldırılarında temel amaç hedefi işlevsiz kılmaktır, bunun için yapılacak
    ili şey vardır: hedef sistemin sahip olduğu bandwith miktarından daha fazla
    trafik göndermek ya da hedef sistemin kaynaklarını diğer kullanıcıların
    kullanamayacağı şekilde sömürmek.Her ne kadar DOS denildiğinde çoğu kişinin aklına ilk yöntem gelse de
    aslında asıl tehlikeli olan DDOS çeşidi ikinci tip olan kaynak tüketimidir.
    İlk yöntemi gerçekleştirebilmek için saldırganın organize çalışması ve sağlam
    bir botnet’e sahip olması gerekir. Oysa ikinci yöntem olan kaynak tüketimi
    saldırılarında saldırgan hedef sistemin bandwith ’in 1/10’na sahip olduğunda
    genellikle başarılı bir DOS saldırısı gerçekleştirebilir. Özellikle günümüz
    network cihazlarının DOS’a karşı sağlıklı bir koruma sağlayamamasından
    kaynaklanan bu sorun gelecekte de en fazla baş ağrıtan konulardan olmaya
    devam edecektir.Her ne kadar DOS denildiğinde çoğu kişinin aklına ilk yöntem gelse de
    aslında asıl tehlikeli olan DDOS çeşidi ikinci tip olan kaynak tüketimidir.
    İlk yöntemi gerçekleştirebilmek için saldırganın organize çalışması ve sağlam
    bir botnet’e sahip olması gerekir. Oysa ikinci yöntem olan kaynak tüketimi
    saldırılarında saldırgan hedef sistemin bandwith ’in 1/10’na sahip olduğunda
    genellikle başarılı bir DOS saldırısı gerçekleştirebilir. Özellikle günümüz
    network cihazlarının DOS’a karşı sağlıklı bir koruma sağlayamamasından
    kaynaklanan bu sorun gelecekte de en fazla baş ağrıtan konulardan olmaya
    devam edecektir.

    Yapılış şekline göre (D)DOS Çeşitleri

    • Synflood
    • Udpflood
    • Ack flood
    • HTTP GET flood
    • DNS flood
    • Teardrop
    • Ping of death

    Synflood (D)DOS Saldırıları

    1 SYN paketi 60 byte, 50Mb bağlantısı olan biri saniyede teorik olarak
    1.000.000 kadar paket gönderebilir. Bu değer günümüzde kullanılan çoğu
    güvenlik cihazının kapasitesinden yüksektir.Günümüzde en sık karşılaşılan ve en etkili DOS/DDOS yöntemi SYNflood
    saldırılarıdır.

    Synflood yapıldığını nasıl anlarsınız?

    Netstat –an –p tcp komutunu çalıştırdığınızda fazla sayıda SYN_RECEIVED
    satırı görüyorsanız muhtemelen bir Synflood saldırı yapılıyor demektir.
    HTTP Get

    Internet’i durdurma(DNS DOS)Saldırıları

    İnternet’in çalışması için gerekli temel protokollerden biri DNS (isim çözme)
    protokolüdür. DNS ’in çalışmadığı bir internet, levhaları ve yönlendirmeleri
    olmayan bir yol gibidir. Yolu daha önceden bilmiyorsanız hedefinize
    ulaşmanız çok zordur.
    DNS protokolü ve dns sunucu yazılımlarında geçtiğimiz yıllarda çeşitli
    güvenlik açıklıkları çıktı. Bu açıklıkların bazıları doğrudan dns sunucu
    yazılımını çalışamaz hale getirme amaçlı DOS açıklıklarıdır. Özellikle
    internette en fazla kullanılan DNS sunucu yazılımı olan Bind’in bu açıdan
    geçmişi pek parlak değildir.
    DNS sunucular eğer dikkatli yapılandırılmadıysa gönderilecek rastgele
    milyonlarca dns isteğiyle zor durumda bırakılabilir. Bunun için internette çeşitli
    araçlar mevcuttur.
    DNS sunucunun loglama özelliği, eş zamanlı alabileceği dns istek sayısı,
    gereksiz rekursif sorgulamalara açık olması, gereksiz özelliklerinin açık olması
    (edns vs) vs hep DOS’a karşı sistemleri zor durumda bırakan sebeplerdir.
    DNS sunucularda çıkan DOS etkili zafiyetlere en etkili örnek olarak 2009 yılı
    Bind açıklığı gösterilebilir. Hatırlayacak olursak 2009 yılında Bind DNS
    yazılımında çıkan açıklık tek bir paketle Bind DNS çalıştıran sunucuların
    çalışmasını durdurabiliyor. DNS paketleri udp tabanlı olduğu için kaynak ip
    adresi de rahatlıkla gizlenebilir ve saldırganın belirlenmesi imkânsız hale gelir.
    Türkiye’de yaptığımız araştırmada sunucuların %70’nin bu açıklığa karşı
    korumasız durumda olduğu ortaya çıkmıştır. Kötü bir senaryo ile ciddi bir
    saldırgan Türkiye internet trafiğini beş dakika gibi kısa bir sürede büyük
    oranda işlevsiz kılabilir. Siber güvenlik üzerine çalışan ciddi bir kurumun
    eksikliği bu tip olaylarda daha net ortaya çıkmaktadır.

    Türkiye’de DOS Saldırıları Açısından Güncel Durum

    Türkiye çapında 100’e yakın büyük ölçekli firma üzerinde yaptığımız araştırma
    sonucu aşağıdaki grafik çıkmıştır. Firmaların büyük bir bölümü DOS/DDOS
    konusunda kullandıkları güvenlik duvarı ve IPS ürününe güvenmektedirler
    Bu firmalardan seçilen 10 tanesine yapılan DOS deneme testlerinde 9
    tanesinin ortalama bir DOS saldırısına karşı sistemlerinin (Firewall, IPS)
    dayanıksız olduğu belirlenmiştir. Yapılan testler ve yöntemleri hakkında detay
    bilgi için yazar ile iletişime geçebilirsiniz.

    Korunma Yolları ve Yöntemleri

    DOS saldırılarından korunmanın sihirbazvari bir yolu yoktur. Korunmanın en
    sağlam yöntemi korumaya çalıştığınız network yapısının iyi tasarlanması, iyi
    bilinmesi ve bu konuyla görevli çalışanların TCP/IP bilgisinin iyi derecede
    olmasıdır. Çoğu DOS saldırısı yukarıda sayılan bu maddelerin eksikliği
    sebebiyle başarılı olur.

    Router (Yönlendirici) Seviyesinde Koruma

    Sınır koruma düzeninde ilk eleman genellikle router’dır. Sisteminize gelengiden
    tüm paketler öncelikle router’dan geçer ve arkadaki sistemlere iletilir.
    Dolayısıyla saldırı anında ilk etkilenecek sistemler router’lar olur.
    Kullanılan router üzerinde yapılacak bazı ayalar bilinen DOS saldırılarını
    engellemede, ya da en azından saldırının şiddetini düşürmede yardımcı
    olacaktır. Yine saldırı anında eğer gönderilen paketlere ait karakteristik bir
    özellik belirlenebilirse router üzerinden yazılacak ACL (Erişim Kontrol Listesi)
    ile saldırılar kolaylıkla engellenebilir.
    Mesela saldırganın SYN flood yaptığını ve gönderdiği paketlerde src.port
    numarasının 1024 olduğunu düşünelim (Türkiye’de yapılan dos saldırılarının
    çoğunluğu sabit port numarasıyla yapılır). Router üzerinde kaynak port
    numarası 1024 olan paketleri engellersek saldırıdan en az kayıpla kurtulmuş
    oluruz. Bu arada kaynak portunu 1024 olarak seçen ama saldırı yapmayan
    kullanıcılardan gelen trafiklerde ilk aşamada bloklanacak ama normal
    kullanıcılardaki TCP/IP stacki hemen port numarasını değiştirerek aynı isteği
    tekrarlayacaktır.
    Tabi bu engelleme yöntemi her saldırı için geçerli olmayabilir.
    Yine routerlar üzerinden alınacak Netflow bilgisiyle saldırının şiddeti,
    karakteristiği, ne kadar sürdüğü ve nerelerden geldiği bilgileri kayıt altına
    alınabilir. Dış routerlarda eğer cihaz performans problemine sebep
    vermeyecek şekilde Netflow alımını sağlıyorsa bu özellik mutlaka
    kullanılmalıdır. Fakat bazı sistemler düzgün yapılandırılmadığından netflow
    sunucuya paket göndermeye çalışırken performans problemine sebep
    olabilirler.

    Güvenlik Duvarı Seviyesinde Koruma

    Güvenlik duvarlarında alınabilecek önlemlerden ilki –eğer cihaz destekliyorsarate
    limiting özelliğini aktif etmektir. Rate limiting özelliğiyle belirli bir ip
    adresinden gelecek maksimum paket sayısı belirlenip eşik değerini aşan ip
    adresleri belirli süreliğine bloklanabilir. Böylece saldırı yapan sistemler ve
    normal sistemler ayırt edilebilir.
    Bu özellik dikkatli kullanılmazsa akıllı bir saldırgan tüm internet bağlantınızı
    bloklayabilir.
    Bunun haricinde güvenlik duvarlarında kurulumla birlikte gelen ön tanımlı bazı
    ayarlar değiştirilmelidir. Bu ayarlar Firewall’dan gelip-geçen paketler için ne
    kadarlık bir süre kaynak ayrımı yapılacağını belirtir.

    Güvenlik duvarı üzerinde ön tanımlı ayarların değiştirilmesi

    Güvenlik duvarı kısaca koruma altına aldığı sistemlere gelen paketleri
    karşılayan ve üzerinde yazılı politikaya göre paketlerin geçişine izin veren
    sistemlerdir. Günümüz güvenlik duvarları durum koruma (stateful) özelliğine
    sahiptir. Böylece her gelen paket için tüm güvenlik duvarı kuralları tekrar
    tekrar incelenmez, eğer gelen-giden paket daha önceki bir bağlantıya ait ise
    doğrudan geçirilir.
    Bunu sağlayabilmek için güvenlik duvarları üzerinden gelip geçen her bir
    paket için sistemde kaynak ayırır. (Paketin cevabını ne kadarlık süre
    bekleneceği vs). Ayrılan bu kaynaklar DDOS saldırısı esnasında çabucak
    tükenir. DDOS saldırılarına karşı daha sağlam bir güvenlik duvarı için gelipgiden
    paketler için tutulan zaman aşımı süreleri kısaltılabilir.

    Saldırı Tespit ve Engelleme (NIPS) Seviyesinde Koruma

    IPS’ler bilinen DOS/DDOS saldırılarına yönelik çeşitli saldırı imzalarını veri
    tabanlarında barındırırlar. Her ne kadar bu saldırı tipleri çok klasik olsa da
    günümüzde denenmektedir. IPS’ler üzerinde ilk yapılacak işlem DOS/DDOS
    saldırılarına karşı önlem olabilecek imzaların devreye alınmasıdır.
     

Bu Sayfayı Paylaş