Denial of Service (DOS) Attack

DOS (Denial of Service) saldırı tipi, sistemi ve dolayısıyla verilen hizmeti aksatma amacı taşır. Web uygulamalarından çok sunucuları hedef alır. Bu saldırı başarıyla sürer veya sonuca ulaşırsa, hizmet veren sunucu geçici veya kalıcı olarak servis dışı bırakılabilir. DOS saldırısının temelinde, sunucuyu meşgul etmek yatar. Sunucuya gönderilen arka arkaya ve büyük boyuttaki cevap isteği paketleriyle, sunucunun RAM, CPU, bant genişliği gibi kaynaklarını tüketerek onun HTTP, mail gibi hizmetlerini yerine getirememesi sağlanır. DOS attack yapılırken seçilecek en belirgin yöntem ICMP Flood’tır. Kendi içinde sınıflanır.

ICMP FLOOD

ICMP (Internet Control Message Protocol), yoklama amacıyla gönderildiği cihazdan geri bildirim isteyen bir protokoldür. Ağdaki iletişimin geçerliliği için kullanılan kontrol paketleridir.
ICMP Flood ise ICMP baskını, akınıdır. En bilinenler;

Smurf Attack

TCP altyapısını kullanarak network’tekibroadcast adreslerinin kullanılmasıyla Spoof edilmiş IP üzerinden echorequest’lerinserver’lara yayın yapılmasıyla gerçekleştirilir. Yayını duyan sunuculardan biri EchoReply ile cevap verdiğinde, o sunucuya ait tüm servislerinin bloke edilmesi amaçlanır. İlk kurban aslında, o network’ün bir parçası olan host’lardan biridir. Çünkü network’e verilecek zarar için bir öncü gerekmektedir, bu da SmurfAmplifier adı verilen host’tur. Bu host, Request paketlerinin boyutlarını yükselterek, Hacker’a hizmet ederler bir bakıma.

Fraggle Attack

Smurf saldırılarının birebiri denebilir. Farkları, Smurf Attack TCP kullanırken, Fraggle Attack UDP kullanır. 7. ve 19. portları hedef alır.

Ping Flood

Basit bir yöntemdir. ICMP Request’leri gönderilerek, ICMP Reply’ları beklenir. –t komutu ile gönderilerin sürekliliği sağlanabilir. Bu yoğun ve büyük paketler ile yapıldığında hedef sistemin band genişliği azaltılarak hizmeti aksatılır. Günümüzde pek başarıya ulaşamaz çünkü bandwith’i hedeften yüksek olan bir sistem gerektirir. Başarmak için, ISDN bandwith’e sahip bir hedefe, DSL bandwith’e sahip bir sistem ile saldırmak gibi düşünebilirsiniz.

POD Attack (Ping of Death)

Bandwith tüketimi ile sistemi aksatmaktan ziyade, sistemi göçertmeye yöneliktir. ICMP Request paketlerinin, standart boyutlarını gereğinden fazla arttırarak, hedef sistemin verilecek cevabını tanımlayamaması ve bu sebeple hata vererek (Blue Screen gibi) göçmesi hedeflenir. Ping paketlerinin standart boyutu 32 byte’tır. Bu boyut 65.535 byte’e kadar, -l komutu ile arttırılabilir. Bu boyutun üzerinde gönderilen paketler, hedef sistem tarafından tanımlanamaz ve hata vermesi sağlanır. Günümüzde, 65536 byte’lık paketlerin illegal olarak algılanmasını sağlayan yama ile bu attack kısmen önlendi. Fakat paketler parçalı olarak gönderildiğinde network’te bu fark edilmiyor ve paketleri parçalı olarak alan hedef sistem, bu paketleri birleştirerek kendi içinde büyütüyor. Bu da sistemde BufferOverflow oluşmasına ve içten yıkılmasına neden oluyor.

SYN Flood

SYN Flood’ı, Three-Way-Handshake adı verilen üçlü el sıkışma ile oturum açma yöntemini sömürür. Sunucuya SYN paketleri birden fazla kez gönderilerek, birden fazla kez oturum açma isteği oluşturulur. Gönderilen SYN paketine, sunucudan SYN-ACK pakedi ile henüz cevap verilmeden, bir yenisinin gönderilerek sunucunun oturum açma isteklerini yoğun olarak işlemesi ve diğer istemcilerden gelen oturum açma isteklerine cevap verememesi hedeflenir.

DDOS Saldırısı (Distributed Denial of Service)

DDOS saldırılarının, DOS saldırılarından tek farkı, birden çok lokasyondan, birden çok makina ve IP’den tek bir hedefe yüklenilen saldırıdır. Bu sebeple daha başarılı ve yaygındır. Yaygın olmasının sebeplerinden biri de tespit ve yakalanma riskinin DOS’a oranla daha az olmasıdır. Çünkü DDOS saldırı türünde Hacker’a yardımcı olan Zombie isimli cihazlar kullanılır. Zombiler, hacker’lar tarafından ele geçirdikleri makinalara veya internete salınarak saldırtılırlar. Tıpkı hacker gibi hedefe odaklıdır ve hacker’dan seridir. Hacker’a hizmetine programlanmış virüs türleridir. Zombie’lerin oluşturduğu topluluğa da BOTNET adı verilir. DDOS(Distributed Denial Of Service) ataklar, çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır. Çoklu sistem ile yapılması ve birden çok ip barındırması sebebi ile yapılan atağın firewall (güvenlik duvarı) kullanılarak engellenmesini imkansızlaştırmaktadır. Syn saldırıları gibi basit ataklar, DDoS görünülürlüğünü veren geniş bir kaynak IP adres aralığı ile oluşabilir. Bu flood (akış) saldırılar TCP’nin üçlü el sıkışmasının(handshake) bitmesine gerek duymazlar, hedef Syn kuyruğunu ya da sunucunun bant genişliğini tüketmek için girişimde bulunurlar. Çünkü kaynak IP adresleri taklit edilebilir, kaynak kümesi sınırlı olan bir saldırı gelebilir hatta tek bir bilgisayar kaynaklı saldırı olabilir. Saldırganlar aynı anda uzaktaki bir bilgisayara yönelik saldırılar için birçok sistem kullanıyorsa, bu bir Ddos saldırısı olarak sınıflandırılır. Ddos kullanan saldırganlar için başlıca avantajlar şunlardır: çoklu makineler bir makineye göre daha fazla saldırı trafiği oluşturabilir, çoklu saldırı makinelerini kapatmak tek bir saldırı makinesini kapatmaya göre daha zordur, çoklu saldırı makinelerinde her saldırı makinesinin davranışını izlemek zordur. BOT, IRC (Internet Relay Chat) ortamları için üretilmiş, kanalların güvenliğinden sorumlu güvenlik yazılımlarıdır. BOT’lar zamanla görevlerinin dışında kullanılmaya başlanmıştır. Güvenlik açığı bulunan sistemleri tespit etme gibi.

PDOS Saldırıları (PermanentDenial of Service)

PDOS saldırıları, DOS, DDOS saldırıları gibi bir sunucuyu değil, ağ üzerinde çalışan bir cihazı hedef alırlar. Router gibi örneğin. Saldırının amacı, hedef cihazın firmware yazılımına etki ederek onu bozmaktır. Zombie ağına gerek yoktur. Saldırı tipleri bu kadarla sınırlı değildir fakat geçerliliklerini alınan güvenlik önlemleri ile yitirmişlerdir. Onlardan bazıları;

Teardrop

Hedef sistemin TCP/IP paketlerini düzgün birleştirilememesi sonucu ortaya çıkan saldırı türüdür.

Nuke

NT işletim sistemlerinde NETBIOS’un 139. portuna paket gönderilerek Blue Screen hatası verdiren saldırı türüdür.

Land

IP paketlerinin içinde source ve destination bilgilerinin benzetilerek sistemi çökertme amacı taşıyan saldırı türüdür.

DOS/DDOS Atak Tipleri Nelerdir?

  • SYN Flood
  • SYN-ACK Flood
  • ACK or ACK-PUSH Flood
  • Fragmented ACK Flood
  • RST/FIN Flood
  • Same Source/DestinationFlood (LAND Attack)
  • FakeSession Attack
  • UDP Flood
  • UDP FragmentationFlood
  • Non-Spoofed UDP Flood
  • ICMP Flood
  • ICMP FragmentationFlood
  • PingFlood
  • IP Null/TCP Null Attack
  • DNS Flood DNS Amplified
  • SlowSession Attack
  • Slow Read Attack
  • HTTP Fragmentation
  • HTTP GET Flood
  • Recursive GET
  • RandomRecursive GET
  • SpeciallyCraftedPacket
  • NTP Flood

SYN Flood

SYN Flood tipi DDOS ataklar genellikle Firewall(güvenlik duvarı), IPS/IDS ve tüm ağa ait olan bant genişliğini tüketmek amacı ile kullanılır. SYN Flood DDOS saldırısı ile saldırı yapılan sunucu (IP)/Firewall biriken yük ile reboot edilmeye zorlanacaktır.

SYN-ACK Flood

SYN-ACK Flood atak ile saldırganlar büyük bir botnet saldırısı yapabilir veya hedefteki sunucular/Iprange’e sızma tipi atak sağlanır. Bu saldırıda daha küçük bir botnet SYN taleplerine yanıt olarak çok sayıda SYN-ACK paketleri gönderir, karşılığında gönderilen SYN paketleri ile atak gerçekleşmiş olur.

ACK or ACK-PUSH Flood

Saldırganlar ACK (veya ACK-PUSH) sızma amaçlı gönderilen yüksek paket oranları; sunucu üzerinde bulunan bağlantı listesi ve firewall üzerinde geçerli oturumları başarısızlığa uğratmak amacı ile çalışmaktadır.

Fragmented ACK Flood

Bu saldırı da saldırganların amacı hedefteki sunucu/IP’nin tüm bant genişliğini tüketmek üzerinedir. Bu saldırı sonrası DDOS, Malware, Overflow, BruteForce yapılmasına imkan sağlar. Fragmented ACK protokolü; borderrouter’lar, Firewall ve IPS/IDS cihazlarına gelen paketlerini incelerken protokol dahilinde gelen parçalanmış paketleri incelerken aşırı kaynak tüketmektedir. Tükenen kaynaklar ile sunucular kapanmaya zorlanacaktır.

RST/FIN Flood

Saldırganlar Firewall’a doğru durum tablolarına/sunucunun tablolarına herhangi bir oturuma ait olmayan yüksek oranda RST ve FIN paketleri gönderir. RST veya FIN Flood saldırıları hedef sunucu/Firewall’ın paketleri karşılaştırmak üzerine çalışırken kaynakları tükenir. Tükenen kaynaklar ile saldırı başarıya ulaşmış olur.

Same Source/DestinationFlood (LAND Attack)

Land Attack ile hedefteki sunucuya büyük oranda sahte SYN paketleri hedefe ait IP bloğunu hedef ve kaynak olarak göstererek bütün paketlerin hedef sunucu/bilgisayarda dönerek paket ayıklama protokollerini kullanılamaz hale getirmeyi hedefler.

FakeSession Attack

Saldırganlar sahte SYN paketleri, çoklu ACK paketleri ve sonrasında bir veya birden çok RST/FIN paketi göndererir. Bu paketler birlikte görüldüğünde tek bir TCP session olarak algılanmaktadır. Hedefte bulunan sunucu gelen cevapları ayıklamaya çalışırken bütün kaynaklarını tüketecektir.

UDP Flood

DDOS saldırganları kaynakta bulunan IP range üzerinden yüksek kapasiteli sahte UDP paketleri göndermektedir. Hedef network(Router’lar, Firewall’lar, IPS/IDS cihazları, WAF ve sunucular) yüksek kapasitede ve yüksek sayıda gelen UDP paketlerinden çökmeye başlar ve mevcut hedef network’ü kapanmaya zorlar.

UDP FragmentationFlood

Saldırganlar kaynak makinadan yüksek bant genişliğine sahip (1500 bytes+ ve daha fazla) UDP paketler göndererek hedefte bulunan cihazın bant genişliğini doldurmayı hedefler.

Non-Spoofed UDP Flood

Saldırganlar, kaynak cihazdan non-spoofed UDP paketlerini yüksek oranda hedef bilgisayara göndererek hedefte DOS(Denial Of System) etkisi yaratabilmektedirler.

ICMP Flood

DDOS saldırganları kaynakta bulunan IP range üzerinden yüksek kapasiteli sahte ICMP paketleri göndermektedir. Hedef ağdaki kaynaklar gelen yüksek sayıda ICMP paketlerine dayanamaz ve network offline duruma geçer.

ICMP FragmentationFlood

Saldırganlar kaynak makinadan yüksek bant genişliğine sahip (1500 bytes+ ve daha fazla) ICMP paketler gönderir. Bu gönderilen paketler hedef adreste yeniden bir araya getirilemez. Bu paketler hedefte bulunan cihazın bant genişliğini doldurmayı hedefler.

PingFlood

Saldırganlar hedefte bulunan cihaza değişken ve yüksek kapasiteli sahte ping (ICMP echorequests) gönderirler. Gönderilen bu paketlerin kaynak IP ve/veya IP range’leri değişken durumdadır. Gönderilen ping paketleri hedef network’ü doldurarak hedefi offline duruma getirmeye zorlar.

IP Null/TCP Null Attack

IP Nullattack, saldırganlar gönderdikleri (TCP, UDP) paketlerinde 0 değeri yükler. Firewall’larınkonfigürasyonları gereği TCP, UDP, ICMP paketlerini geçirir. Sunucuya ulaşan bu paketler sunucunun işlemcinin kaynaklarını tüketebilir. TCP Nullattack, saldırganlar TCP segmenti boş olan paketler gönderir. Bu gönderilen paketler firewall’ı aşmak ve dolayısıyla sunucu reboot etmek için kullanılabilir.

DNS Flood DNS Amplified

Saldırganlar değişken DNS paketleri ile UDP flood başlatır. Saldırganlar geçerli fakat sahte DNS paket isteklerini çok yüksek paket oranı ile büyük ip gruplarından gönderirler. Hedefteki DNS sunucusu gelen yoğun talep sonrasında çökebilir. Network altyapısı offline konuma geçer ve sonrasında hedef internet erişim noktası (www) düşer.

SlowSession Attack

Slowsessionattack’lar hedefte bulunan bilgisayarı uzun periyodlarda açık tutmak ve cihazı yormak amacıyla yapılan bir ataktır. Saldırganlar TCP-SYN paketleri gönderir TCP three-wayhandshake’e neden olur, ACK paketleri SYN paketlerinden daha uzun periyodlarla gönderim yapar.

Slow Read Attack

Slowreadattack’lar hedefte bulunan bilgisayarı uzun periyodlarda açık tutmak ve cihaz içerisinden data alabilmek amacıyla yapılan bir ataktır. Saldırganlar TCP-SYN paketleri gönderir TCP three-wayhandshake’e neden olur, ACK paketleri SYN paketlerinden daha uzun periyodlarda büyük dataları sniff etmeye yarar.

HTTP Fragmentation

Saldırganlar web sunucusu ile geçerli HTTP bağlantısı kurar. Saldırgan çoklu kaynakları kullanarak web uygulamalarına baskı uygulayarak sistemin çökmesine sebep olabilir.

HTTP GET Flood

Saldırganlar hedefte bulunan web sunucusuna yüksek miktarda geçerli HTTP talebi gönderir. HTTP talepleri çoğunlukla GET talebi oluşturur, bu talepler hedefteki web sunucu CPU üzerinde yoğun işlem üretir. Saldırganlar yüksek miktarda geçerli GET talebi oluşturabilir. Oluşan bu talepler CPU’yu yorarak sistemin kapanmasına zorlayabilir.

RandomRecursive GET

Bu saldırı da GET talepleri ile yapılır. Web sitelerine gönderilen GET taleplerine sahte referans kodu ve açıklama eklenerek çok miktarda talep gönderilir. Bu talepler sunucu CPU artırarak siteye ulaşılmaz hale getirir.

SpeciallyCraftedPacket

Bu atakta web sitelere ait database’lerin kötü yapılandırmasından faydalanılır. Örneğin HTTP, SQL, SIP, DNS gibi protokollerde yapılan kötü düzenlemeler kullanılır yüksek data paket trafiği ile DOS/DDOS atak sağlanabilir. Bu durum hedefte bulunan sunucu offline moda geçebilir.

NTP Flood Attack

NTP Floodattack için saldırganlar, sahte NTP talep paketleri gönderir. Bu gönderilen NTP UDP paketlerin paket büyüklükleri ve gönderilen paket miktarları oldukça yüksektir. Yoğun gönderilen paketler ile sunucu başa çıkamaz ve bu doğrultuda offline olur.

DOS/DDOS KORUNMA YOLLARI

DOS Atak

DOS saldırıları tek kaynak (source) üzerinden yapılan saldırılardır. Gönderilen sahte paketleri ayıklamak ve kaynak sunucu/IP’yi engellemek için DOS saldırılarına karşı güvenlik önlemi sağlayan ve packetfiltering (paket filtreleme) yapabilen bir Firewall (güvenlik duvarı) engellemek mümkündür. Ancak firewall üzerinde yapılacak konfigürasyon mevcut yapıya uygun olarak threshold değerleri ayarlanmalıdır.

DDOS Atak

DDOS saldırıları birçok farklı kaynaktan gönderildiği için %100 oranında bir çözümü bulunmamaktadır. Firewall’lar sanılanın aksine DDOS atak karşısında tamamen korumasız durumdadır. DDOS yapısında birçok kaynak IP/sunucu kullanılarak yapılan ve/veya tek kaynağın randomsource ile yaptığı ataklarda sürekli kaynak IP’ler değişmekte doğal olarak Firewall tarafında IP yasaklanana kadar çoktan trafik başka IP’den gelmeye başlamaktadır. Bu nedenle sadece Firewall ile yapılan güvenlik yetersiz kalacaktır. Yapılacak bir DDOS saldırısına karşı yapılabilecek en sağlıklı çözüm ISP (Internet Service Provider) tarafından sağlanan DDOS Attack Protection hizmeti almaktır. Bu hizmet doğrultusunda servis aldığınız ISP DDOS Attack Protection üzerinde almış olduğunuz hizmetin özelliklerine göre gerekli threshold değerlerini düzenleyerek sistemlerinizi daha güvenli hale getirecektir. Ancak bu bile %100 korunma için yeterli olamamaktadır.