DOS/DDOS ATAKLARI

DOS(Denial-Of-Service) atak nedir?

Dos(Denial-Of-Service) ataklar, bir sunucu bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek göndermesi, sunucunun kapasitesinin aşılması sonucunda da hizmet veremez hale getirilmesi ilkesine dayanır. Atak sonucu dolan kapasite karşısında, firewall (güvenlik duvarı) gelen paketlerin hangi paketin gerçek hangi paketin saldırı olduğunu anlamakta yetersiz kalır. Bu doğrultuda saldırı paketleri firewall (güvenlik duvarı) arkasına sızdırılarak botnet, malware gibi zararlı yazılımlar lokal sistemlere sızdırılması sağlanır. Saldırganlar saldırıyı tek bir ana bilgisayardan düzenlerse bu bir dos saldrısı olarak sınıflandırılır. Genel olarak kapasiteyi doldurarak sistemi çalışamaz hale getirmek amacı ile yapılır; farkedilmesi ve engellenmesi DDOS ataklara göre kolaydır. Nedeni ise tek sunucu (IP) üzerinden yapıldığı için belirli olan sunucu (IP) adresinden gelen paketler drop edilerek atağı engellemek mümkündür.

DDOS(Distributed Denial Of Service) atak nedir?

DDOS(Distributed Denial Of Service) ataklar, çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır. Çoklu sistem ile yapılması ve birden çok ip barındırması sebebi ile yapılan atağın firewall (güvenlik duvarı) kullanılarak engellenmesini imkansızlaştırmaktadır. Syn saldırıları gibi basit ataklar, Ddos görünülürlüğünü veren geniş bir kaynak IP adres aralığı ile oluşabilir. Bu flood (akış) saldırılar TCP’nin üçlü el sıkışmasının(hand shake) bitmesine gerek duymazlar, hedef Syn kuyruğunu ya da sunucunun bant genişliğini tüketmek için girişimde bulunurlar. Çünkü kaynak IP adresleri taklit edilebilir, kaynak kümesi sınırlı olan bir saldırı gelebilir hatta tek bir bilgisayar kaynaklı saldırı olabilir. Saldırganlar aynı anda uzaktaki bir bilgisayara yönelik saldırılar için birçok sistem kullanıyorsa, bu bir Ddos saldırısı olarak sınıflandırılır. Ddos kullanan saldırganlar için başlıca avantajlar şunlardır: çoklu makineler bir makineye göre daha fazla saldırı trafiği oluşturabilir, çoklu saldırı makinelerini kapatmak tek bir saldırı makinesini kapatmaya göre daha zordur, çoklu saldırı makinelerinde her saldırı makinesinin davranışını izlemek zordur. Bu saldırgan avantajları savunma mekanizmaları için zorluklara neden olur.

DOS/DDOS atak tipleri
– SYN Flood
– SYN-ACK Flood
– ACK or ACK-PUSH Flood
– Fragmented ACK Flood
– RST/FIN Flood
– Same Source/Destination Flood (LAND Attack)
– Fake Session Attack
– UDP Flood
– UDP Fragmentation Flood
– Non-Spoofed UDP Flood
– ICMP Flood
– ICMP Fragmentation Flood
– Ping Flood
– IP Null/TCP Null Attack
– DNS Flood DNS Amplified
– Slow Session Attack
– Slow Read Attack
– HTTP Fragmentation
– HTTP GET Flood
– Recursive GET
– Random Recursive GET
– Specially Crafted Packet
– NTP Flood

SYN Flood

SYN Flood tipi DDOS ataklar genellikle Firewall(güvenlik duvarı), IPS/IDS ve tüm ağa ait olan bant genişliğini tüketmek amacı ile kullanılır. SYN Flood DDOS saldırısı ile saldırı yapılan sunucu (IP)/Firewall biriken yük ile reboot edilmeye zorlanacaktır.

SYN-ACK Flood

SYN-ACK Flood atak ile saldırganlar büyük bir botnet saldırısı yapabilir veya hedefteki sunucular/Ip range’e sızma tipi atak sağlanır. Bu saldırıda daha küçük bir botnet SYN taleplerine yanıt olarak çok sayıda üretmek internette ve proxy’lerde SYN-ACK paketleri gönderir, karşılığında gönderilen SYN paketleri ile atak gerçekleşmiş olur.

ACK or ACK-PUSH Flood
Saldırganlar ACK (veya ACK-PUSH) sızma amaçlı gönderilen yüksek paket oranları; sunucu üzerinde bulunan bağlantı listesi ve firewall üzerinde geçerli oturumları başarısızlığa uğratmak amacı ile çalışmaktadır.

Fragmented ACK Flood
Bu saldırı da saldırganların amacı hedefteki sunucu/IP’nin tüm bant genişliğini tüketmek üzerinedir. Bu saldırı sonrası DDOS, Malware, Overflow, BruteForce yapılmasına imkan sağlar. Fragmented ACK protokolü; border router’lar, Firewall ve IPS/IDS cihazlarına gelen paketlerini incelerken protokol dahilinde gelen parçalanmış paketleri incelerken aşırı kaynak tüketmektedir. Tükenen kaynaklar ile sunucular kapanmaya zorlanacaktır.

RST/FIN Flood
Saldırganlar Firewall’a doğru durum tablolarına/sunucunun tablolarına herhangi bir oturuma ait olmayan yüksek oranda RST ve FIN paketleri gönderir. RST veya FIN Flood saldırıları hedef sunucu/Firewall’ın paketleri karşılaştırmak üzerine çalışırken kaynakları tükenir. Tükenen kaynaklar ile saldırı başarıya ulaşmış olur.

Same Source/Destination Flood (LAND Attack)
Land Attack ile hedefteki sunucuya büyük oranda sahte SYN paketleri hedefe ait IP bloğunu hedef ve kaynak olarak göstererek bütün paketlerin hedef sunucu/bilgisayarda dönerek paket ayıklama protokollerini kullanılamaz hale getirmeyi hedefler.

Fake Session Attack
Saldırganlar sahte SYN paketleri, çoklu ACK paketleri ve sonrasında bir veya birden çok RST/FIN paketi göndererir. Bu paketler birlikte görüldüğünde tek bir TCP session olarak algılanmaktadır. Hedefte bulunan sunucu gelen cevapları ayıklamaya çalışırken bütün kaynaklarını tüketecektir.

UDP Flood
DDOS saldırganları kaynakta bulunan IP range üzerinden yüksek kapasiteli sahte UDP paketleri göndermektedir. Hedef network(Router’lar, Firewall’lar, IPS/IDS cihazları, WAF ve sunucular) yüksek kapasitede ve yüksek sayıda gelen UDP paketlerinden çökmeye başlar ve mevcut hedef network’ü kapanmaya zorlar.

UDP Fragmentation Flood
Saldırganlar kaynak makinadan yüksek bant genişliğine sahip (1500 bytes+ ve daha fazla) UDP paketler göndererek hedefte bulunan cihazın bant genişliğini doldurmayı hedefler.

Non-Spoofed UDP Flood
Saldırganlar, kaynak cihazdan non-spoofed UDP paketlerini yüksek oranda hedef bilgisayara göndererek hedefte DOS(Denial Of System) etkisi yaratabilmektedirler.

ICMP Flood
DDOS saldırganları kaynakta bulunan IP range üzerinden yüksek kapasiteli sahte ICMP paketleri göndermektedir. Hedef ağdaki kaynaklar gelen yüksek sayıda ICMP paketlerine dayanamaz ve network offline duruma geçer.

ICMP Fragmentation Flood
Saldırganlar kaynak makinadan yüksek bant genişliğine sahip (1500 bytes+ ve daha fazla) ICMP paketler gönderir. Bu gönderilen paketler hedef adreste yeniden bir araya getirilemez. Bu paketler hedefte bulunan cihazın bant genişliğini doldurmayı hedefler.

Ping Flood
Saldırganlar hedefte bulunan cihaza değişken ve yüksek kapasiteli sahte ping (ICMP echo requests) gönderirler. Gönderilen bu paketlerin kaynak IP ve/veya IP range’leri değişken durumdadır. Gönderilen ping paketleri hedef network’ü doldurarak hedefi offline duruma getirmeye zorlar.

IP Null/TCP Null Attack
IP Null attack, saldırganlar gönderdikleri (TCP, UDP) paketlerinde 0 değeri yükler. Firewall’ların konfigürasyonları gereği TCP, UDP, ICMP paketlerini geçirir. Sunucuya ulaşan bu paketler sunucunun işlemcinin kaynaklarını tüketebilir.
TCP Null attack, saldırganlar TCP segmenti boş olan paketler gönderir. Bu gönderilen paketler firewall’ı aşmak ve dolayısıyla sunucu reboot etmek için kullanılabilir.

DNS Flood DNS Amplified
Saldırganlar değişken DNS paketleri ile UDP flood başlatır. Saldırganlar geçerli fakat sahte DNS paket isteklerini çok yüksek paket oranı ile büyük ip gruplarından gönderirler. Hedefteki DNS sunucusu gelen yoğun talep sonrasında çökebilir. Network altyapısı offline konuma geçer ve sonrasında hedef internet erişim noktası (www) düşer.

Slow Session Attack
Slow session attack’lar hedefte bulunan bilgisayarı uzun periyodlarda açık tutmak ve cihazı yormak amacıyla yapılan bir ataktır. Saldırganlar TCP-SYN paketleri gönderir TCP three-way handshake’e neden olur, ACK paketleri SYN paketlerinden daha uzun periyotlarla gönderim yapar.

Slow Read Attack
Slow read attack’lar hedefte bulunan bilgisayarı uzun periyodlarda açık tutmak ve cihaz içerisinden data alabilmek amacıyla yapılan bir ataktır. Saldırganlar TCP-SYN paketleri gönderir TCP three-way handshake’e neden olur, ACK paketleri SYN paketlerinden daha uzun periyotlarda büyük dataları sniff etmeye yarar.

HTTP Fragmentation
Saldırganlar web sunucusu ile geçerli HTTP bağlantısı kurar. Saldırgan çoklu kaynakları kullanarak web uygulamalarına baskı uygulayarak sistemin çökmesine sebep olabilir.

HTTP GET Flood
Saldırganlar hedefte bulunan web sunucusuna yüksek miktarda geçerli HTTP talebi gönderir. HTTP talepleri çoğunlukla GET talebi oluşturur, bu talepler hedefteki web sunucu CPU üzerinde yoğun işlem üretir. Saldırganlar yüksek miktarda geçerli GET talebi oluşturabilir. Oluşan bu talepler CPU’yu yorarak sistemin kapanmasına zorlayabilir.

Random Recursive GET
Bu saldırı da GET talepleri ile yapılır. Web sitelerine gönderilen GET taleplerine sahte referans kodu ve açıklama eklenerek çok miktarda talep gönderilir. Bu talepler sunucu CPU artırarak siteye ulaşılmaz hale getirir.

Specially Crafted Packet
Bu atakta web sitelere ait database’lerin kötü yapılandırmasından faydalanılır. Örneğin HTTP, SQL, SIP, DNS gibi protokollerde yapılan kötü düzenlemeler kullanılır yüksek data paket trafiği ile DOS/DDOS atak sağlanabilir. Bu durum hedefte bulunan sunucu offline moda geçebilir.

NTP Flood Attack
NTP Flood attack için saldırganlar, sahte NTP talep paketleri gönderir. Bu gönderilen NTP UDP paketlerin paket büyüklükleri ve gönderilen paket miktarları oldukça yüksektir. Yoğun gönderilen paketler ile sunucu başa çıkamaz ve bu doğrultuda offline olur.

DOS/DDOS KORUNMA YOLLARI

DOS Atak
DOS saldırıları tek kaynak (source) üzerinden yapılan saldırılardır. Gönderilen sahte paketleri ayıklamak ve kaynak sunucu/IP’yi engellemek için DOS saldırılarına karşı güvenlik önlemi sağlayan ve packet filtering (paket filtreleme) yapabilen bir Firewall (güvenlik duvarı) engellemek mümkündür. Ancak firewall üzerinde yapılacak konfigürasyon mevcut yapıya uygun olarak threshold değerleri ayarlanmalıdır.

DDOS Atak
DDOS saldırıları birçok farklı kaynaktan gönderildiği için %100 oranında bir çözümü bulunmamaktadır. Firewall’lar sanılanın aksine DDOS atak karşısında tamamen korumasız durumdadır. DDOS yapısında birçok kaynak IP/sunucu kullanılarak yapılan ve/veya tek kaynağın random source ile yaptığı ataklarda sürekli kaynak IP’ler değişmekte doğal olarak Firewall tarafında IP yasaklanana kadar çoktan trafik başka IP’den gelmeye başlamaktadır. Bu nedenle sadece Firewall ile yapılan güvenlik yetersiz kalacaktır. Yapılacak bir DDOS saldırısına karşı yapılabilecek en sağlıklı çözüm ISP (Internet Service Provider) tarafından sağlanan DDOS Attack Protection hizmeti almaktır. Bu hizmet doğrultusunda servis aldığınız ISP DDOS Attack Protection üzerinde almış olduğunuz hizmetin özelliklerine göre gerekli threshold değerlerini düzenleyerek sistemlerinizi daha güvenli hale getirecektir. Ancak bu bile %100 korunma için yeterli olamamaktadır.

Kaynakça
https://www.corero.com/resources/glossary.html

Umut ARISOY
15/03/2016