DDoS Saldırısı (Distributed Denial of Service attack), Nedir.

 

Çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.

Kötü amaçlı yazılımlar Ddos saldırı mekanizması taşıyabilir; en iyi bilinen örneklerden biri MyDoom virüsüydü. Onun Dos mekanizması belirli bir saat ve tarihte tetiklenirdi.

Bir sistem, saldırgan bir zombi adı verilen ajanları indirmeyi sağlayan bir trojan virüsü ile bozulabilir. Saldırganlar aynı zamanda uzak konaklardan host bağlantıları dinlemek için program içindeki hatalardan faydalanan otomatik araçları kullanarak sistemlere zarar verebilir. Bu senaryo aslında web sunucuları gibi davranan sistemlerle ilgilidir.

Stacheldraht, Ddos aracının klasik bir örneğidir. Bu araç, saldırganların işleyicilere bağlanmak için istemci programın kulanıldığı Ddos saldırısını kolaylaştıran katmanlı bir yapıdan faydalanır. Ajanlar, hedeflenen uzak bilgisayarda uzaktan bağlantıların çalıştırılmasını kabul eden programlarda, açıklardan faydalanmak için otomatik rutinleri kullanarak saldırganlar tarafından işleyiciler üzerinden tehlikeye sokulabilir. Her işleyici bin ajanı kontrol edebilir.

Bu sistem bozucuların bütünü botnet olarak bilinir. Stacheldraht gibi Ddos araçları hala smurf (smurf attack) ve fraggle saldırıları gibi amplifikasyon ve IP spoofing (sahtekarlık) merkezli klasik Dos saldırı metotlarını kullanır. Syn saldırısı da kullanılabilir. Dos amaçlar için yeni araçlar DNS sunucularını kullanabilir.

Syn saldırıları gibi basit ataklar, Ddos görünülürlüğünü veren geniş bir kaynak IP adres aralığı ile oluşabilir. Bu flood (akış) saldırılar TCP'nin üçlü el sıkışmasının bitmesine gerek duymazlar, hedef Syn kuyruğunu ya da sunucunun bant genişliğini tüketmek için girişimde bulunurlar. Çünkü kaynak IP adresleri taklit edilebilir, kaynak kümesi sınırlı olan bir saldırı gelebilir hatta tek bir bilgisayar kaynaklı saldırı olabilir.

MyDoom'un Ddos mekanizması aksine, herhangi bir IP adresi aleyhine çevrilebilir. Script kiddie bunları iyi bilinen web sitelerinin geçerli kullanımını yasal kullanıcılardan yoksun bırakmak için kullanır. Daha gelişmiş saldırganlar gasp yapmak amacıyla Ddos araçlarını kullanırlar.

Eğer saldırganlar saldırıyı tek bir ana bilgisayardan düzenlerse bu bir dos saldrısı olarak sınıflandırılır. Diğer taraftan, bir saldırgan aynı anda uzaktaki bir bilgisayara yönelik saldırılar için birçok sistem kullanıyorsa, bu bir Ddos saldırısı olarak sınıflandırılır.

Ddos kullanan saldırganlar için başlıca avantajlar şunlardır: çoklu makineler bir makineye göre daha fazla saldırı trafiği oluşturabilir, çoklu saldırı makinelerini kapatmak tek bir saldırı makinesini kapatmaya göre daha zordur, çoklu saldırı makinelerinde her saldırı makinesinin davranışını izlemek zordur. Bu saldırgan avantajları savunma mekanizmaları için zorluklara neden olur.

Bazı durumlarda makine, sahibininin rızasıyla Ddos saldırısı parçası haline gelebilir.

 

 

DDOS Saldırısı Nasıl yapılır?

 

DDoS saldırılarını 3 türde sınıflandırılabiliriz. Bunlar 

 

1. Volume Based Atak

           Logical floods

           ICMP floods

           Diğer spoofed-packet floods

 

2. Protokol Atak

            SYN floods

            Fragmented packet attacks

            Ping of Death

            Smurf DDoS

3. Application Layer Atak

            Slowloris

            Zero-day DDoS attacks

 

Basit Ddos Saldırısı Örneği

Hedef sistemin 1 Gbps network bağlantısı olduğunu düşünelim. Ve örnekte verdiğim bilgisayarında bağlantı hızının 10 Mbps olduğunu düşünelim. Normalde Windows bir bilgisayarla ping ping attığımızda 32 byte büyüklüğünde 4 adet ICMP paketi atıyor toplam atma süresi başarılı bir durumda 3-4 saniye sürüyor. Buda saldırı sayılacak bir girişim olarak görülmez networkte.

 

ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 timePing statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms

 

 

Bu işlemi root hakkına sahip bir kullanıcı ile Linux da bazı parametreleri ekleyip yaptığımızda ICMP masum bir ping atma olayını çığırından çıkartabiliriz. Nasıl mı? –s komutuyla ICMP paketini 32 den 65535 çıkartarak ve –i parametresi ile de interval sayısını azaltarak iki ICMP paketinin arasındaki süreyi milisaniyeler seviyesine indirelim ve komutumuzu çalıştıralım.

 

# ping 192.168.1.1 -s 65535 -i .0.1PING 192.168.1.1 : 65535 data bytes
65535 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.582 ms
65535 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.655 ms
65535 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.471 ms
65535 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.554 ms
65535 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.580 ms
65535 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.835 ms
65535 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=1.171 ms
65535 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.054 ms
…
…
…
65535 bytes from 192.168.1.1: icmp_seq=378 ttl=64 time=1.873 ms
65535 bytes from 192.168.1.1: icmp_seq=379 ttl=64 time=1.889 ms

 

 

Komutu çalıştırdıktan sonra gördüğünüz gibi bir kaç saniye içinde 65535 byte boyutunda 400’e yakın ICMP paketi gönderdik ve networkte yoğun bir trafik yarattık. Bu komutu uzun süreli çalıştırınca hedefteki sisteme erişim uzun bir süre erişimde problem yaşanacaktır. Gerçi örnekte verdiğim değerde bizim yaptığımız saldırı 10 Mbps büyüklüğünde ama hedefinde 1Gbps hattı olduğunu düşünürsek. Saldırıdan diğer kullanıcılar fazla etkilenmez. Tek başımıza bunu yaptığımız için bu DOS ataktır. Birlikten kuvvet doğar deyip, atak yapan bilgisayar sayısını 400’e çıkartalım. Bizimle birlikte 400 bilgisayar bunu yaparsa saldırının şiddeti okadar artar ve bu tür saldırıya da DDOS denir. 400 * 10 Mbps = 4 Gbps bir trafik denir ve buda bizim hedefimizdeki sisteme ait olan bant genişliğinin 4 katı. Bu durumda sisteme erişmek imkansız hale gelir.

 

Nasıl önlem alınır? Nasıl engellenir?

 

Bu tür bir saldırıyı tespit edebilmek için, öncelikler networkünüzü çok iyi bir şekilde analiz edip gözlemlemeniz lazım. Haftanın hangi günü, günün hangi saatinde ne tür trafik olduğunu bilmelisiniz. Yönettiğiniz sistemin normal trafik değerlerini kesinleştirmeniz lazım. DOS/DDOS atağı sistem networkünüzün en dış ucundaki donanıma gelmeden engellemek gerekiyor. DDoS Mitigation hizmetini bağlı olduğunuz operatörden alabilirsiniz. Bunun avantajı Bandwidth yönünden rahat olması. Saldırı sizin bağlı olduğunuz routera gelmeden engellendiği için saldırı anında bant genişliğinizi rahat rahat kullanabilirsiniz. Yani saldırıyı buluttayken engellersiniz. Bir diğer yöntemde DDoS Mitigation cihazı alarak sisteminizin en dış noktasına entegre etmeniz. Bunun yanında Firewall, Router, Switch, IPS, Load Balancer gibi network ve güvenlik donanımlarının firmwarelerini de güncel tutmanız, olası bir BUG’ı ortandan kaldırır ve bu donanımlara doğru yapılan saldırıları da engellemiş olursunuz. Uygulamanızı çalıştırırken konfigürasyon limitlerinizi dikkatli belirlemeniz lazım. Gerek duymadıkça kullanmadığınız protokolleri kapatın. DMZ yapınız varsa saldırıların içerden de yapılacağını düşünerek internal ve external trafiğini düzenleyin.

 

Zararı Nelerdir?

 

Verdiği zarar sunduğunuz hizmete göre değişmektedir. Öncelikle internet bant genişliğini ve serverlar üzerindeki kaynağı boşa harcamış olursunuz. Bir banka sisteminde finansal hizmetlerin durmasını engeller. Hastanelerde hasta kabul işlemlerini durdurur. Telekomünikasyondan telefon ve internet hizmetini alamazsınız. Online satış mağazasında, siteye girişi sağlayamazsınız. Artık sunduğunuz hizmet nekadar kritikse okadar zararda olursunuz. Buda firmanız için kötü bir reklam olur. Kısaca hizmet veremez hale geliyorsunuz.

 

 

 

http://www.mehmetolcay.com/ Alınmıştır.