DOS/DDOS Nedir?

Bilgi güvenliği confidentiality, availability, integrity, yani gizlilik, kullanılabilirlik, erişilebilirlik üzerine kurulmuştur. Bunların herhangi birisindeki zafiyet oluşması durumunda koruduğunuz bilgi tehlike altında olur. DOS/DDoS ise bu üçgende availability kısmına doğru yapılan bir saldırıdır türüdür. DDoS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme) ve DOS (Denial of Service) olarak bilinen bir bilişim suçudur. Bu saldırı türü tamamen bir hizmeti ya da servisi, ulaşılmaz hale getirmeye yönelik yapılır. Bu tür saldırıda hedef hizmete/servisin core altyapısına ya da o hizmete giden yolları tıkınması üzerine olur. Kısaca hedefe giden her yolu engellemeye çalışır.

İster internet bağlantısını yoğunlaştırsın isterse de servisin cevap verme süresini yavaşlatsın amaç gayet nettir. DOS/DDOS Saldırısına gerçek hayatta bir kaç örnek ile benzetmeye çalışırsak, bant genişliği için; 3 saat boyunca 200 km uzunluğundaki 3 şeritli bir otobana saniyede 20 araba sokarak trafiğin akmasını beklemektir. Hizmet veya servise doğru yapılan bir saldırıya gerçek hayata uygun bir örnek verirsek, maksimum 10 ton yük taşıya bilen bir kamyona 50 ton tük koyup kamyonun durduğu yerden kalkamamasıdır. Gerçek hayattan verilen örneklerden sonra bu işin siber ortamda nasıl olduğuna bir örnek vermek istiyorum. KPSS sonuçlarının açıklandığı an ÖSYM sisteminde sorgulama ekranına ulaşmamamız, ulaşsanız bile sonucu görmememizi diyebilirim. Bu durum DDOS’a çok güzel bir örnektir. Aynı anda on binlerce kişi sisteme erişmeye çalışıyor ve sistem bu kadar isteği aynı anda cevap veremez hale geliyor. KPSS sonucunu öğrenmek isteyenler istemeden bir DDOS atağın parçası oluyorlar.

 

DDoS (Distributed Denial of Service) saldırıları temelde DoS ataklarının mantıksal olarak geliştirilmiş tipleri olarak düşünülebilir. DoS saldırılarından farkı birden fazla noktadan tek bir noktaya doğru yapılıyor olmasıdır. DoS saldırıları tekbir noktadan tekbir noktaya doğru yapılır, doğadaki teke tek kavga olarak düşünülebilir ve bunun sonucunda güçlü olan kazanır. DDoS saldırıları ise birden fazla bilgisayarın güçlerini birleştirerek tek bir noktaya saldırmasıdır. “Birlikten kuvvet doğar.” atasözünün teknolojiye kötü niyetli uyarlanmasıdır bir bakıma. Birlik kelimesi DDoS saldırılarında yüzleri, binleri ve yüzbinleri niteleyebilir. Doğal olarak, DDoS saldırılarının ne kadar tehlikeli güçlü ve yıkıcı bir tehdit olabileceğini bazı durumlarda hayal bile edemeyebilirsiniz. – LABİRS TEKNOLOJİ (http://labrisnetworks.com/tr/blog-ddos-nedir/)

For nearly a decade, DDoS (Distributed Denial of Service) was a basic flood attack that simply tried to overwhelm a connection with traffic with the goal of taking that web property offline. DDoS was a basic attack against availability. Arbor Networks (http://www.arbornetworks.com/what-is-ddos )

DDOS ve DOS Arasındaki Fark Nedir?

DOS/DDOS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme) ve DOS (Denial of Service) Arada tek bir fark var. DDOS dağınık olarak yapılan bir saldırı aynı anda yüzlerce binlerce noktadan hedefe yapılan saldırıdır türüdür. Birlikten kuvvet doğar mantığı vardır. DOS atak ise bire bir yapılan saldırıdır türüdür.

DDOS/DOS Nasıl yapılır? Metotları nelerdir?

DDoS atak 3 türde Sınıflandırılabiliriz. Bunlar aşağıdaki gibidir.

1. Volume Based Atak

• Logical floods
• ICMP floods
• Diğer spoofed-packet floods

2. Protokol Atak

• SYN floods
• Fragmented packet attacks
• Ping of Death
• Smurf DDoS

3. Application Layer Atak

• Slowloris
• Zero-day DDoS attacks

Basit DOS/DDOS Atak Örneği

Aşağıda ICMP/PING floods örnek bir saldırının nasıl yapıldığını göstereceğim.

Hedef sistemin 1 Gbps network bağlantısı olduğunu düşünelim. Ve örnekte verdiğim bilgisayarında bağlantı hızının 10 Mbps olduğunu düşünelim. Normalde Windows bir bilgisayarla ping ping attığımızda 32 byte büyüklüğünde 4 adet ICMP paketi atıyor. Ve toplam atma süresi başarılı bir durumda 3-4 saniye sürüyor. Buda saldırı sayılacak bir girişim olarak görülmez networkte.

ping 192.168.0.1 Pinging 192.168.0.1 with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time Reply from 192.168.0.1: bytes=32 time Reply from 192.168.0.1: bytes=32 time Reply from 192.168.0.1: bytes=32 timePing statistics for 192.168.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 2ms, Average = 0ms

Bu işlemi root hakkına sahip bir kullanıcı ile Linux da bazı parametreleri ekleyip yaptığımızda ICMP masum bir ping atma olayını çığırından çıkartabiliriz. Nasıl mı? –s komutuyla ICMP paketini 32 den 65535 çıkartarak ve –i parametresi ile de interval sayısını azaltarak iki ICMP paketinin arasındaki süreyi milisaniyeler seviyesine indirelim ve komutumuzu çalıştıralım.

# ping 192.168.1.1 -s 65535 -i .0.1PING 192.168.1.1 : 65535 data bytes 65535 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.582 ms 65535 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.655 ms 65535 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.471 ms 65535 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.554 ms 65535 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.580 ms 65535 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.835 ms 65535 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=1.171 ms 65535 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.054 ms … … … 65535 bytes from 192.168.1.1: icmp_seq=378 ttl=64 time=1.873 ms 65535 bytes from 192.168.1.1: icmp_seq=379 ttl=64 time=1.889 ms

Komutu çalıştırdıktan sonra gördüğünüz gibi bir kaç saniye içinde 65535 byte boyutunda 400’e yakın ICMP paketi gönderdik ve networkte yoğun bir trafik yarattık. Bu komutu uzun süreli çalıştırınca hedefteki sisteme erişim uzun bir süre erişimde problem yaşanacaktır. Gerçi örnekte verdiğim değerde bizim yaptığımız saldırı 10 Mbps büyüklüğünde ama hedefinde 1Gbps hattı olduğunu düşünürsek. Saldırıdan diğer kullanıcılar fazla etkilenmez. Tek başımıza bunu yaptığımız için bu DOS ataktır. Birlikten kuvvet doğar deyip, atak yapan bilgisayar sayısını 400’e çıkartalım. Bizimle birlikte 400 bilgisayar bunu yaparsa saldırının şiddeti okadar artar ve bu tür saldırıya da DDOS denir. 400 * 10 Mbps = 4 Gbps bir trafik denir ve buda bizim hedefimizdeki sisteme ait olan bant genişliğinin 4 katı. Bu durumda sisteme erişmek imkansız hale gelir.

Bir diğer saldırı şekli: “SYN floods Attack”

SYN floods saldırısında biraz bahsetmek istiyorum. Normalde network haberleşmesinde Client server’a SYN gönderi Server da buna karşılık SYN-ACK. Bunun sonucunda sunucu kullanıcıdan ACK mesajı bekler. Bekleme süresince session belli bir süre açık kalır. SYN FLOODS yapan saldırgan ACK mesajı göndermez sürekli SYN gönderir. Sunucuda da her SYN mesajı için SYN-ACK gönderir ve yeni bir session açar. Yeterince SYN mesajı gönderildikten sonra artık sunucuların limitleri zorlanır ve yeni session açamaz hale gelir. Bu durumda ise hiç bir isteğe cevap vereme hala gelir.

DOS/DDOS Araçları:

• 360 Booter GBooter XBL
• Anonymous High Orbit Ion Cannon
• BFF DoS (Ping) v1.0
• BuffMods DDos
• DarkMagic Flooder
• DDos V2.0 By Mike12
• DDoser
• Desktop Booter
• DevModding DDos V3
• DoSHTTP
• DrBlowFish’s DoS
• Slayers DDoS V2
• Hping3 , Hping
• Loic
• UDP Flooder By FKN

Nasıl önlem alınır? Nasıl engellenir?

Bu tür bir saldırıyı tespit edebilmek için, öncelikler networkünüzü çok iyi bir şekilde analiz edip gözlemlemeniz lazım. Haftanın hangi günü, günün hangi saatinde ne tür trafik olduğunu bilmelisiniz. Yönettiğiniz sistemin normal trafik değerlerini kesinleştirmeniz lazım. DOS/DDOS atağı sistem networkünüzün en dış ucundaki donanıma gelmeden engellemek gerekiyor. DDoS Mitigation hizmetini bağlı olduğunuz operatörden alabilirsiniz. Bunun avantajı Bandwidth yönünden rahat olması. Saldırı sizin bağlı olduğunuz routera gelmeden engellendiği için saldırı anında bant genişliğinizi rahat rahat kullanabilirsiniz. Yani saldırıyı buluttayken engellersiniz. Bir diğer yöntemde DDoS Mitigation cihazı alarak sisteminizin en dış noktasına entegre etmeniz. Bunun yanında Firewall, Router, Switch, IPS, Load Balancer gibi network ve güvenlik donanımlarının firmwarelerini de güncel tutmanız, olası bir BUG’ı ortandan kaldırır ve bu donanımlara doğru yapılan saldırıları da engellemiş olursunuz. Uygulamanızı çalıştırırken konfigürasyon limitlerinizi dikkatli belirlemeniz lazım. Gerek duymadıkça kullanmadığınız protokolleri kapatın. DMZ yapınız varsa saldırıların içerden de yapılacağını düşünerek internal ve external trafiğini düzenleyin.

Zararı Nelerdir?

Verdiği zarar sunduğunuz hizmete göre değişmektedir. Öncelikle internet bant genişliğini ve serverlar üzerindeki kaynağı boşa harcamış olursunuz. Bir banka sisteminde finansal hizmetlerin durmasını engeller. Hastanelerde hasta kabul işlemlerini durdurur. Telekomünikasyondan telefon ve internet hizmetini alamazsınız. Online satış mağazasında, siteye girişi sağlayamazsınız. Artık sunduğunuz hizmet nekadar kritikse okadar zararda olursunuz. Buda firmanız için kötü bir reklam olur. Kısaca hizmet veremez hale geliyorsunuz.