Genel Sistem Saldırıları

Şubat Şubat 2000 tarihinde ne oldu? Binlerce zombi bilgisayar yahoo.com’a saldırdı Sonuç: Yahonun açık kalma ve taleplere cevap verme süresi %99.3’den %0 - %10’a düştü Yahoo saldırının sürdüğü 3 saat içinde yaklaşık dolar kaybetti 100 milyon siteye girilemedi.

8 Şubat 2000 tarihinde ne oldu? buy.com, eBay, CNN, amazon.com saldırıya uğradı Sonuç:buy.com %9.4 uptime oranına düştü. eBay uzun bir süre %0 uptime ile erişilemez hale geldi. amazon.com ve cnn.com'un uptime oranları da en az bu kadar kötüydü.

http Tcp İlişkisi HTTP TCP kullanan bir protokoldür. Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır. Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). Günümüzde normal bir haber portalının yüklenmesi için ortalama HTTP GET isteği gönderilmektedir. portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir ki bu değer haber kullanıcıyı okumaktan vazgeçirecek kadar fazladır.

http Tcp İlişkisi

HTTP’de bu performans sorununu aşabilmek için çeşitli yöntemler geliştirilmiştir. Bunların başında HTTP KeepAlive(persistent connection) özelliği gelmektedir. HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10,..) HTTP isteğinin aktarılabilmesini sağlar.

DoS Saldırısı Web sunucularına yönelik DOS/DDOS saldırılarında amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır.

DoS DoS kelime manası ile Denial of Service (Hizmet Reddi) manasına gelir. DoS saldırıları genelde 3 şekilde organize edilir. – Bant genişliği, disk alanı, işlemci zamanı gibi bilgi işlem kaynaklarını tükettirerek. – Yönlendirme bilgisi (routing) gibi yapılandırmaya ilişkin verileri bozarak – Fiziksel ağ aygıtlarını bozarak

Genelde DoS saldırıları ardı ardına gönderilen paketler şeklinde olur. Bir kullanıcı sürekli gelen cevapları göz ardı ederek sürekli bir web sunucusuna istekte bulunursa bir süre sonra sunucuda oluşan ağ sunucusuna ait çocuk süreçler RAM'de fazlasıyla yer kaplamaya başlayarak hafıza sızıntılarına dolayısı ile sunucunun devre dışı kalmasına neden olabilir. Ya da sunucu gelen taleplere yanıt verirken ki refleks süresi artacağından dakikalarca sonra gelen isteklere cevap verebilir.

Genel bir DoS saldırısı, ICMP (Internet Control Message Protocol) kısaca ping paketlerinin deforme edilmiş hallerini içerir – 1998 yılları arasındaki isletim sistemlerinin çoğu Ping of Death denilen bir ICMP paketine karşı hassastı ve işletim sisteminin çökmesine neden oluyordu. CounterStrike oyununda kullanılan PoD BOT'lar bu kısaltmaya gönderme yapar.

Ping seli şeklinde yapılan saldırıda, bir çok ICMP istek paketi kurban bilgisayara gönderilir. Bunun neticesinde karşı bilgisayar tümünü yanıtlamak için cevap paketleri yollanır. Bant genişliğini ve kurban bilgisayarın refleks süresi uzadığından kurban bilgisayarın sunduğu hizmetlere erişilemez hale gelinir.

Bir diğer genel DoS saldırısı ise SYN selidir. SYN, TCP iletişim kuralında es zamanlama(synchronize) işlemi yapan bir bilgidir. Yeni bir bağlantı kurulduğunda TCP paketlerinin sıra numaralarını eşlemek için kullanılır. Saldırgan hedef bilgisayarda bir hizmete bir çok SYN/ACK paketi yollayarak yeni bağlantılar oluşturur. Bu şekilde sunucunun bir çok yeni bağlantı ile meşgul olması sağlanır. Sunucu bir süre sonra bu isteklerin çoğuna cevap veremeyecek duruma gelir.

Kaba Kuvvet DoS/DDoS Saldırıları Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. Literatürde adı “GET Flood”, “POST Flood” olarak geçen bu saldırılar iki şekilde yapılabilir.

Bir kişi ya da birden fazla kişinin anlaşarak belli bir hedefe eş zamanlı yüzlerce, binlerce istek gönderir ya da bu işi hazır kölelere(zombie) devredilerek etki gücü çok daha yüksek Dos saldırıları gerçekleştirilir.

İlk yöntemde bir iki kişi ne yapabilir diye düşünülebilir fakat orta ölçekli çoğu şirketin web sayfası tek bir kişinin oluşturacağı eşzamanlı yüzlerce isteğe karşı uzun süre dayanamayacaktır. Güzel olan şu ki bu tip saldırıların gerçekleştirilmesi ne kadar kolaysa engellemesi de o kadar kolaydır(güvenlik duvarları/IPS’lerin rate limiting özelliği vs)

İkinci yöntem yani Zombi orduları(BotNet’ler) aracılığıyla yapılan HTTP Flood saldırıları ise binlerce farklı kaynaktan gelen HTTP istekleriyle gerçekleştirilir. Gelen bağlantıların kaynağı dünyanın farklı yerlerinden farklı ip subnetlerinden gelebileceği için network seviyesinde bir koruma ya da rate limiting bir işe yaramayacaktır.

Yazılımsal ya da tasarımsal eksikliklerden kaynaklanan DOS/DDOS Saldırıları Tasarımsal zafiyetler protokol düzenlenirken detaylı düşünülmemiş ya da kolaylık olsun diye esnek bırakılmış bazı özelliklerin kötüye kullanılmasıdır. Tasarımsal zafiyetlerden kaynaklanan DOS saldırılarına en iyi örnek Slowloris aracıdır. Bu araçla tek bir sistem üzerinden Apache HTTP sunucu yazılımını kullanan sistemler rahatlıkla devre dışı bırakılabilir.

Benzeri şekilde Captcha kullanılmayan formlarda ciddi DOS saldırılarına yol açabilir. Mesela form üzerinden alınan bilgiler bir mail sunucu aracığılıyla gönderiliyorsa saldırgan olmayan binlerce e-posta adresine bu form üzerinden istek gönderip sunucunun mail sistemini kilitleyebilir

Zaman zaman da web sunucu yazılımını kullanan ve web sayfalarını dinamik olarak çalıştırmaya yarayan bileşenlerde çeşitli zafiyetler çıkmaktadır. Yazılımları güncel tutma, yapılandırma dosyalarını iyi bilme en iyi çözümdür.

Dos saldırı türlerinden bazıları şunlardır 1- Arabellek aşımı : Bir sisteme karşılayamayacağı kadar yoğun bir trafik gönderilmesiyle arabelleğinde veri aşımı oluşturulmasıdır. Arabellek sunucuların hafızada ard arda türdeş verilerin depolandığı hafıza bloğudur. En yaygın saldırı şekli budur.

2- SYN saldırıları : Bu saldırı türünde saldırgan, internet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.

3- Treadrop saldırıları : Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.

4- Smurf saldırıları : Bu saldırı türünde, saldırgan hedef bilgisayardan ping isteğinde bulunur. Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır. Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar. Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.

5- Servislere Aşırı Yüklenme : Bu saldırı tipi belirli kullanıcı ve servisleri düşürmek için kullanılır. Saldırı yapan kişi özel port ve kullanıcıya bir çok ICMP paketi (Internet Control Message Protocol) gönderir. Bu olay ağ izleyicisi ile kolayca anlaşılır.