Bolu Beyi'nden Selam Olsun…

DoS(Denial of Service), hizmeti aksatma veya hizmetin işlevini tamamen yok etme anlamına gelmektedir. Yani DoS saldırısı yapılan bir site, internet kullanıcılarına ya hiç hizmet veremez ya da çok yavaş bir hizmet sunar. DoS saldırılarının amacı genellikle, sunucunun kaynaklarını tüketmektir, yani bant genişliğini mümkün olduğunca çok kullanmaktır.

DDos(Distrubuted Denial of Service) saldırısı ise, saldırganın saldırıya geçmeden önce oluşturduğu makine veya bilgisayar topluluğu ile hedefe saldırmasıdır ve DoS gibi hizmet aksatma veya hiç hizmet veremez hale getirme amaçlanır. DDos saldırısı, koordineli olarak yapılır ve DoS’a göre daha fazla zarar verir. Bununla birlikte saldırgan kolay bir şekilde kimliğini belli etmeden gizlenebilir ve saldırganın tespit edilmesi zorlaşır.

 

 

 

 

 

 

 

Saldırı DoS saldırısı olursa, yani tek bir ip üzerinden saldırı gerçekleşirse firewall’a takılma olabilir. Fakat DDoS saldırısında çok sayıda makine kullanıldığından, ip tespiti güçleşir ve firewall yakalayamayabilir. Log taşması sonucu firewall devre dışı kalabilmektedir. Bu nedenle DDoS, DoS saldırısına göre daha tehlikeli ve etkilidir. Aşağıda Bilgi Güvenliği Akademisi(BGA) tarafından 2010 yılında yapılan bir araştırmada, siber tehditler saldırı istatistiği verilmiştir ve DDoS saldırılarının %16’lık bir dilime sahip olduğu görülmektedir.

 

 

 

 

 

 

DRDoS, yani “distrubuted reflective denial of service” DDoS’a benzerdir. Tek farkı, daha sık aralıklarla atak yapmak amacıyla ek ağlar kullanmaktadır.

Bazı DoS saldırı çeşitleri şunlardır:

1. SYN Flood

Veriler, istemci üzerinden sunucuya iletilir, sunucu da veriyi aldığına dair bir ACK bilgisi gönderir istemciye. Eğer bu veri alış-verişi esnasında veri isteği, gerçekte olmayan bir ip üzerinden gerçekleşecek olursa, sunucu yanıtlayamayacaktır. IP adresini bulamadığından, bekleme olacaktır. Bu durum sürekli olarak tekrar edildiğinde sistem kaynakları tüketecek ve kilitlenme oluşacaktır.

2. Land Flood

SYN Flood’a çok benzerdir. Bir tek farkı vardır o da, saldırının gerçek olmayan bir ip adresiyle değil de, saldırılacak sistemin veya bir sunucunun ip adresi ile yapılmasıdır. Bu saldırı türünde de yüksek bant genişliği harcanarak sistemin çökmesi amaçlanır.

3. UDP Flood

UDP servislerini meşgul etmek kolay olduğundan, diğer flood saldırıları gibi yüksek bant genişliği harcanabilir. UDP flood saldırısı yapmak için 2 sistem kullanılır. Bu iki sistemin servislerinin birbirlerine karşı sınırsız olarak istemde bulunması amaçlanır. Böylelikle bu iki sistem bir süre sonra kullanılmaz hale gelecektir.

4. Ping Flood

Bu sistemin özelliği, saldırının birden çok noktadan yapılması durumunda başarılı sonuç vermesidir. Aksi takdirde çok bir etkisi olmayacaktır. Bu saldırılar özellikle Linux üzerinden yapıldığında başarılı sonuçlar vermektedir ve saldırı için bazı özel komutlar kullanılmaktadır. Örnek olarak “ping –s ip” komutuyla 64 kb’lık paketler gönderilebilmektedir. Bu komutun, birçok farklı noktadan gönderilebileceği düşünülürse, oldukça etkili olduğu görülür. Yine Windows işletim sistemlerinde de bunu yapmak mümkündür. Bunun için CMD’ye “ping –l 65510 ip” yazmak aynı işi görecektir.

 

 

 

 

 

 

 

5. Finger

Birden fazla farklı noktalardaki hostlar üzerinden saldırılacak server a sürekli finger çekildiği takdirde yüksek bant genişliği tüketilecektir. Saldırı birçok farklı noktadan yapıldığından etkisi oldukça büyük olmaktadır.

6. TearDrop(Göz Yaşı)

Paketler network üzerinde

, orijinal paketlere benzeyecek şekilde ufak parçalara ayrılır. Bu paketler hedefe gönderilip, hedef tarafında birleştirildiğinde sistem zarara uğrar. Bu paketler ufak parçalar halinde gelerek son kısmın da gelmesiyle gözyaşı olarak tabir edilen teardrop saldırısı gerçekleşir.

7. Ping of Death (Ölüm Pingi)

Büyük boyuta sahip ICMP paketleri hedefe yollanır, bu da sistemin çökmesine veya reset atmasına neden olur. Bu paketler en çok 65535 byte’lık veriye sahip olabilir.

8. Smurf

Saldırıyı gerçekleştirecek kişi, çok sayıda ping göndererek hedef ile diğer sistemler arasında yoğun bir trafiğe sebep olur. ICMP paketlerindeki “source address” değiştirilerek paketler zombi bilgisayarlara iletilir. Bu bilgisayarlar da gelen paketleri hedefe yollar ve hedef bu mesajları alarak dolar. Sistemler gelen pingleri yanıtlarken sisteme saldırmış olurlar.

9. Fraggle

Fraggle da Smurf ile aynı mantığa sahiptir, sadece tek fark olarak UDP paketlerini 7 ile 19 numaralı portlara iletir.

10. DNS Poisoning (DNS Zehirleme)

DNS sunucuya, yanlış DNS bilgileri tanıtılarak, istekler değiştirilmiş olan DNS sunucuya iletilir.

11. Buffer Overflows (Hafıza Taşmaları)

Bilgisayarlarda bulunan bufferlar, belli bir kapasiteye sahiptir. Kapasitenin aşıldığı durumlarda kitlenme, reset atma gibi durumlar oluşabilmektedir. Hafıza taşması saldırı tipinde de çok fazla veri gönderilerek trafik yoğunlaşır ve iletişim engellenir. Bu sebeple, saldırganlar büyük boyutta ping göndermeyi tercih etmektedirler.

Güncel DDoS Saldırıları

1999 yılında Minnesota Üniversitesi öğrencileri tarafından ilki gerçekleştirilen DDoS saldırıları, 2000 yılında Trinoo’nun, CNN, Yahoo, EBay, Datek gibi siteleri hedef alması, 2002 Kök DNS sunucularını hedef alan DDoS atağı gerçekleştirilmesi, 2007 yılında Estonya siber saldırıları, 2008 yılında gerçekleştirilen Gürcistan siber saldırısı, 2010 yılında Wikileaks gerçekleştirdiği, TİB, BTK, TÜBİTAK yönelik saldırılar ve 2011 yılında Anonymous’un Malezya, Türkiye, Paypal, Mastercard gibi ülkelere gerçekleştirdiği saldırılar olarak güncel olma özelliğini korumaktadır.

DoS ve DDoS Saldırılarına Karşı Alınması Gereken Önlemler

UDP üzerinden çalışan ve internet dünyasında kritik rol oynayan en önemli protokollerden olan DNS protokolünün sık kullanılması bu protokol üzerine gerçekleştirilen istismar çalışmalarını gün geçtikçe attırmaktadır.

DNS protokolüne yönelik olarak yapılan erişilebilirliği hedef alan DoS ve DDoS saldırıları ve DNS Cache Poisoning atakları son yıllarda ciddi oranlarda artış göstermektedir.

Saldırganın UDP protokolü üzerinden gerçekleştirdiği IP adresinin gerçek olup olamaması DNS protokolüne yapılan atağın hedef adresinin belirlenmesinde zorluk yaratmaktadır.

Bilgi güvenliği yaptığı 2011 Yılı Siber Tehditler Anket sonucuna göre DoS ve DDoS atakları en hızlı artış gösterilen ve en çok kullanılan tehditler arasında yer almaktadır.

Şekilde 2011-2012 yılları arasında karşılaşılan siber tehdit yüzdeleri verilmektedir. İnternet saldırı tipleri arasında, hizmet aksatma saldırıları kötücül yazılımlardan sonra en çok karşılaşılan tehdit olarak boy göstermektedir.

 

 

 

 

 

 

 

 

 

 

DNS sunucularının ataklara karşı risk taşımasının temel nedeni saldırganların public yani genel DNS sunucuları kullanarak Amplification DNS Flood saldırılarını gerçekleştirmesidir. Bu saldırı ile hedef kullanıcının DNS sunucusunda ciddi bir bant trafiği yaratılmaktadır.

Akademisyenler, güvenlik uzmanları ve beyaz şapkalı hackerlarca yapılan çalışmalarda DNS sunucusunun zafiyetlerinin, sunucunun çalışmasını durdurabilecek zafiyetler, sunucunun güvenliğini sıkıntıya sokabilecek zafiyetler ve sunucuyu kullanan istemcilerin güvenliğini sıkıntıya sokabilecek zafiyetler olarak sınıflandırıldığı görülmektedir. DNS sunucusuna yönelik gelen talepler ve DNS
sunuculardan verilen cevaplarda sahte IP adresi kullanılabilmektedir. URPF hariç literatürde sahte DNS talebinin üretilmesini engelleyecek yöntem henüz bulunmamaktadır.

UDP üzerinden işlev görmekte olan DNS protokolüne yönelik Dos/DDoS saldırılarını yazılım temelli DoS saldırıları ve tasarım temelli DoS saldırıları olarak sınıflandırmak mümkündür. ISC Bind yazılım geliştiricileri, Bind9 çalıştıran sunucuların en az bir zafiyetinin olduğunu açıklamıştır.

Günümüzde DNS sunucularına yönelik DoS ve DDoS atakları:

•  Hedef DNS sunucularına bant genişliğinin üzerindeki bir kapasitede istek göndermesi ve DNS sunucularının yüksek trafik yaratan bu talepleri karşılayamaması,
• Hedef DNS sunucu önündeki Firewall/IPS’in oturum limitlerini aşarak Firewall arkasındaki tüm sistemlerin erişilemez olmasının sağlanması

Şeklinde kendini göstermektedir.

DNS flood DoS/DDoS saldırıları oturum tablosunun dolması ve bu güvenlik oturumunun cevap veremez hale gelmesidir. DNS flood DoS/DDoS saldırıları genellikle sahte IP adresi kullanılarak gerçekleştirilmektedir. IP kandırmaca olarak bilinen bu teknik rastgale seçilmiş IP adreslerinden veya bilinen DNS sunucularının IP adreslerinin kaynak olarak kullanılması ile gerçekleştirilmektedir. Bilinen DNS sunucularının IP adreslerinin kaynak olarak kullanılması saldırgana istediği IP adreslerini engelletme lüksü vermektedir.

DNS Caching, DNS anycast, Rate limiting ve DFAS teknikleri DNS Flood saldırılarını engellemede kullanılan temel yöntem sınıfları olarak tanımlanmaktadır. Rate Limitting yönteminde saldırgan olduğu düşünülen kaynak IP adresinin engellenmesine yönelik önlemler alınmaktadır. DNS protokolü UDP üzerinden işlev gördüğünden ötürü IP adresinin gerçek olup olmadığı anlaşılmamaktadır. Dolayısı ile bu yöntem genellikle işe yaramaz olarak görülmektedir.

DFAS yöntemi TCP tabanlı olarak engelleme faaliyetini gerçekleştirmektedir. Böylece IP adresinin gerçeklik analizi daha kolay mümkün olmaktadır. Bu yöntemin temeli “ilk gelen paket için cevap verme aynı paket tekrar gelirse pakete uygun cevap ver” ilkesine dayalı tutulmaktadır. Böylece üst üste gelen IP paketlerinin önü kesilmiş trafik rahatlatılmış olacaktır. Sonuç olarak saldırgan olduğu düşünülen hedefe DDoS engelleme sistemi tarafından hatalı bir cevap döndürülerek süreç tamamlanmaktadır.

Günümüzde hizmet aksatma ataklarına karşı alınacak önlemler arasında IDS ve IPS saldırı tespit sistemleri kullanılmaktadır. Literatürde bu mekanizmaları yapas sinir ağları ile kullanan çalışmalar bulunmaktadır. YSA kullanılarak ağ üzerinden akan paketlerin hangi saldırı yöntemlerini kullandıklarının istatistiksel bilgileri edinilmektedir.