Press "Enter" to skip to content

DDOS Saldırıları ve Aynalama Sistemi

Samet Ocak 0

Merhaba arkadaşlar,

Bu akşam sizlere DDOS hakkında alıntı yaptığım bazı Türk kuruluşlarından sağladığım belgelerle bilgilendireceğim.

Günümüzde en yaygın olarak görülen siber saldırılardan biri dağıtık hizmet dışı bırakma (DDoS) saldırısıdır. DDoS saldırısı çevrimiçi bir uygulama veya hiz metin çalışmasını engellemek amacıyla yapılan ve bant genişliğinin tamamını kullanarak sistemin cevap vermesini engellemeyi hedefleyen siber saldırı türü olarak tanımlanabilmektedir. Bu dokümanda OSI katmanlarına göre DDoS saldırıları, öneklerle açıklanara k, saldırılara karşı yapılabilecek işlemler anlatılmaktadır. Ayrıca DDoS trafik tiplerine ilişkin bilgiler verilmektedir.

2. 1 . FİZİKSEL KATMAN

Verilerin fiziksel cihazlar üzerinden sinyal olarak gönderilmesini ve alınması bu katmanda sağlanır. Kablo, bağlantı , hub vb. elemanlar içerir. Fiziksel katman aynı zamanda 1. Katman olarak da adlandırılmaktadır. Bu katmanda protokol veri birimi “bittir (bits)”.

Protokoller : 100Base – T & 1000 Base – X protokolleri kullanıl ır.

Saldırı Örnekleri: Fiziksel saldırılar.

Muhtemel Etkileri: Fiziksel varlıklar kullanılamaz, yeniden ayarlanamaz hale getirilebilir.

Yapılabilecek İşlemler: Fiziksel önlemler, erişim kontrolleri, denetim ve bakım kuralları tanımlanıp uygulanabilir .

2.2 . VERİ BAĞLANTI KATMANI

Fiziksel katman üzerinden transferin kurulması, sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi bu katmanda yapılır. Veri bağlantı katmanı 2. Katman olarak da adlandırılmaktadır. Bu katmanda protokol veri birimi “çerçeve dir frame)”.

Protokoller : 802.3 & 802.5 protokolleri kullanılır.

Saldırı Örnekleri: MAC flood saldırısı.

Muhtemel Etkileri: Kullanıcı kaynağından hedefine giden veri akışını bozar .

Yapılabilecek İşlemler: MAC sınırlaması , MAC yetkilendirmesi, kimlik doğrul ama ve hesap verilebilme hizmetlerini sun abilen ileri seviyeli anahtarlama cihaz ları (switch) kullanılabilir.

2.3. AĞ KATMANI

Bu katman f arklı ağlar asındaki paketlerin yönlendirme ve anahtarlama süreçlerini sağlar. Ağ katmanı aynı zamanda 3. Katman olara k da adlandırılmaktadır. Bu katmanda protokol veri birimi “pakettir (packet)”.

Protokoller : IP, ICMP, ARP & RIP protokolleri kullanılır.

Saldırı Örnekleri: ICMP flood ing saldırısı.

Muhtemel Etkileri: Ağ bant genişliği sınırını etkiler ve güvenlik duvarına ekstra yük getirir .

Yapılabilecek İşlemler: ICMP trafiği için hız sınırı konula rak , bant genişliği ve güvenlik duvarının performansını etkileye bilecek saldırılara karşı önlemler alınabilir.

2.4. TAŞIMA KATMANI

Bu katman i stemciler arasında hatasız iletişim i sağlar. 1. ve 3. katman arasında mesajların taşınması yöneti lir. Taşıma katmanı aynı zamanda 4. Katman olarak da adlandırılmaktadır. Bu katmanda protokol veri birimi “bölümdür (segment)”.

Protokoller : TCP ve UDP protokolleri kullanılır.

Saldırı Örnekleri : SYN flood , Smurf saldırısı

Muhtemel Etkileri: İstemci veya ağ ekipmanının bant genişliği veya bağlantı sınırına erişi lmesi.

Yapılabilecek İşlemler: Internet servis sağlayıcı lar (ISS) tarafından sunulan DDo S güvenlik hizmeti kullanılabilir. Bu hizmette ge nellikle literatürde “karadelik oluşturma (blackholing)” adı verilen yöntem kullanılarak abonelerin düşük hızlı bağlantı ya da hizmet aksaması problemleri yaşa maları önlenebilmektedir.

2.5. OTURUM KATMANI

Bu katmanda ağdaki i şletim sistemleri içerisinde oturumun kurulmasını, sonlandırılması ve senkronizasyonu sağla nır. Oturum katmanı aynı zamanda 5. Katman olarak da adlandırılmaktadır. Bu katmanda protokol veri birimi “veridir (data)”.

Protokoller : Oturum açma veya kapatma protokolleri kullanılır.

Saldırı Örnekleri: Telnet servis durdurma .

Muhtemel Etkileri: Sistem yöneticisi nin anahtar yönetim fonksiyonlarını y erine getirmesini engelleyebilir .

Yapılabilecek İşlemler: Donanım sağlayıcının donanımlar ile ilgili yama ya da güncelleme yapıp yapmadığı ile ilgi li kontroller yapılabilir.

2. 6 . SUNUM KATMANI

Gönderici ve alıcı arasında veri formatının dönüştürülmesi ( TIFF, JPEG ve MPEG dönüşümleri ) , veri sıkıştırma, şifreleme/çözme işlemleri sunum katmanında sağlan maktadır. Sunum katmanı aynı zamanda 6. Katman ola rak da adlandırılmaktadır. Bu katmanda protokol veri birimi “veridir (data)”.

Protokoller : Sıkıştırma & Şifreleme protokolleri kullanılır.

Saldırı Örnekleri: Kötü niyetle biçimlendirilmiş SSL İstekleri (Saldırgan sunucuyu hedef almak için http ataklarını S SL ile tüneller)

Muhtemel Etkileri: Etkilenen sistem SSL bağlantısı yapamayabilir ya da otomatik olarak yeniden başlatılır.

Yapılabilecek İşlemler: Bu katmandaki saldırıları en aza indirgemek için, SSL yük devri ayarlanması ve uygulamanın trafik akışındaki olası atakların ya da Uygulama Dağıtım Platformundaki güvenlik ihlallerinin tespit edilmesi için çalışmaların yapılması önerilir.

2. 7 . UYGULAMA KATMANI

Kullanıcı ya da gruplar tarafından kullanılan/koşturulan uygulamalar bu katmanda çalışmaktadır. Uygula ma katmanı 7. Katman olarak da adlandırılmaktadır. Uygulama katmanında protokol veri birimi “veridir (data)”.

Protokoller : Veritabanı erişimi, FTP, SMTP,POP3, HTTP, Telnet ve RAS gibi son kullanıcı protokolleri kullanılır.

Saldırı Örnekleri: PDF GET istekl eri , HTTP GET , HTTP POST , İnternet Site si Formları (login, video ya da resim yükleme) .

Muhtemel Etkileri: Kaynakların kullanım sınırlarına erişmesi dolayısıyla s istem in çalışması için gerekli kaynak larda kıtlığının yaşanması .

Yapılabilecek İşlemler: Yazılım uygulamalarını belirli bir algoritma, teknoloji ve yaklaşımlar bütünü halinde izleyerek sıfırıncı gün açıklığı ve uygulama katmanı açıklıkları tespit edilmelidir. Bu tür kaynaklardan gelen saldırıların tespit edildikten sonra durdurulması ve saldır ı kaynaklarına kadar izlenmesi diğer tür DDoS saldırıların durdurulmasından daha kolaydır.

3. DDOS TRAFİK TİPLERİ

DDoS saldırılarında görülmesi muhtemel trafik tiplerine ilişkin açıklamalar aşağıda verilmiştir.

Http Başlığı ( Http Header) : Http başlık iç eriği URL, JPG veya GIF gibi hangi internet kaynaklarının talep edildiği bilgilerinin yanı sıra hangi internet tarayıcı sının kullanıl dığına ilişkin bilgileri kapsar. GET, POST, ACCEPT, LABGUAGE ve USER_AGENT çoğunlukla kullanılan Genel HTTP başlıklarıdır. DDoS saldırganları

bu başlıklar içerisindeki bilgileri değiştirerek saldırı kaynağının tespit edilmesini zorlaştırmaktadırlar. Ayrıca HTTP başlıkları ön belleğe alma (caching) ve proxy sunucu servislerini manipüle etmek için de kullanılabilmektedir.

Http P ost Flood : S unucunun cevap verebileceği nin üzerinde Http Post tale binin yapıldığı bir DDoS saldırısı türüdür. Sistem kaynaklarının yüksek hacimli kullanımı neticesinde sunucu nun çökmesi ile sonuçlan abilir.

Http Post Request: Http Post Request form verileri nin yazılmış olduğu başlıktır. Örneğin Post request verilerini form’dan alır, çözümleme/kodlama yapar ve son olarak form içeriğini sunucuya gönderirler.

Https Post Flood : Http Post Flood’un SSL oturumu üzerinden gönderilmesidir. SSL kullanımı nedeniyle bu taleplerin incelenmesi için şifresinin çözülmesi gerekir.

Https Post Request: Https Post Request şifrelenmiş bir Http Post Request versiyonudur. Veriler şifrelenmiş biçimde transfer edilir.

Https Get Flood : Http G et Flood’un SSL oturumu üzerinden gönderi lmesidir. SSL kullanımı nedeniyle bu taleplerin incelenmesi için şifresinin çözülmesi gerekir.

Https Get Request: Https Get Request şifrelenmiş bir Http Get Request versiyonudur. SSL kullanılmasından dolayı taleplerin incelenmesi için şifrelerinin açılmas ı gerekmektedir.

Http Get Flood : Bu atak tipi Uygulama katmanı DDOS saldırı yöntemlerindendir. Saldırganlar yüksek hacimde talep gönderer e k kaynakların tükenmesine neden olmaktadır.

Http Get Request : HTTP GET Request sunucu dan bilgi talebi yapmaktadır. GET sunucuya görüntü, script ya da farklı bir dosya için talep yapar. Talep sonucunu aldıktan sonra ise tarayıcıda gösterir.

SYN Flood (TCP / SYN): SYN Flood herhangi bir noda yarı – açık bağlantı kurar ak çalışır. Hedef sistem SYN paketini açık olan porttan ald ığı zaman, SYN – ACK ile cevap verer e k bağlantı kurmaya çalışır. Bununla birlikte, SYN Flood sırasında,

istemci hiçbir zaman SYN – ACK paketine cevap vermez. Sonuç olarak hedeflenen bağlantı, zaman aşımı süresi bitene kadar, yarı – açık durumu nda kalır.

UDP Flood : UDP ’nin bağlantısız olması ve farklı diller ile kolaylıkla protokol 17 ( UDP ) mesajlarının oluşturul abilmesi nedeniyle UDP Flood genellikle büyük ban t genişliğine sahip DDo S saldırıları için kullanılmaktadır.

ICMP Flood : ICMP (Internet Control Message P rotocol) öncelikli olarak hata mesajlarında kullanılmakta ve sistemler arası veri değişimi yapmamaktadır. ICMP paketleri sunuc u lara bağlantı yapıldığı sırada TCP paketlerine eşlik edebilmektedir. ICMP taşması 3 . Katman altyapılarına yönelik bir DDoS saldır ısıdır . ICMP paketleri gönderile r ek h edef lenen ağ ın bant genişliğine aşırı yükleme yapılmasını amaçlamaktadır.

MAC Flood : Çok nadir görülen bir saldırıdır . Saldırgan hedefe değişik MAC adreslerinden Ethernet frame’leri gönderir. Ağ anahtarlama cihazları MA C adreslerini ayrı ayrı ele alır dolayısıyla her bir talep için belirli bir kaynak ayırır. Anahtarlama cihazındaki tüm hafıza kullanılınca cihaz kapanır veya cevap veremez hale gelir. Bazı yönlendirici tiplerinde MAC Flood tüm yönlendirme işlemlerinin ipta line dolayısıyla yönlendir icinin alanında yer alan tüm ağın etkilenmesine neden olabilmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir