Genel Sistem Saldırıları. Şubat 2000 7 Şubat 2000 tarihinde ne oldu? Binlerce zombi bilgisayar yahoo.com’a saldırdı Sonuç: Yahonun açık kalma ve taleplere.

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları ve İnternet
Advertisements

TCP/IP Mimarisi ve Katmanları
Bölüm 6 IP Adresleme ve Yönlendirme
Hüseyin Gömleksizoğlu
WEB TASARIM Temel Kavramlar.
Özel Site.NET İnternet Nedir? Soner Sevindik.
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
BBY 302 Bilgi Teknolojisi ve Yönetimi
TEMEL AĞ TANIMLARI.
Ardesenmyo.wordpress.com.
TCP (Transmission Control Protocol)
HTTP’yi (istemci tarafı) kendi kendinize deneyin
Web Host Manager (WHM) Nedir Ne İşe Yarar ?
İNTERNET.
İNTERNET VE İLETİŞİM.
YARDIM MASASI Internet Explorer tarayıcısı açılır ve Yardım Masası adresi yazılarak sayfası açılır. Gelen.
 Meltem KORCAY  Ayşe KUBİLAY
Proxy-DNS Nedir?.
AĞ PROTOKOLÜ.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
2- OSI BAŞVURU MODELİ & TCP/IP MODELİ
ARP DİNLEME.
HR-WEB Web Tabanlı İnsan Kaynakları Uygulamaları
Bilgisayar ve internet güvenliği için yardımcı programlar
ALT AĞLAR.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
BİLGİSAYAR AĞLARI.
İnternet Teknolojisi Temel Kavramlar
BTEP 203 – İnternet ProgramcIlIğI - I
BİLGİSAYAR AĞLARI MEHMET SÖNMEZ Telif Hakkı © 2004 Copyright © 2004
TCP/IP Sorun Çözme ve Ağ Komutları
3. Bölüm Taşıma Katmanı Computer Networking: A Top Down Approach 4th edition. Jim Kurose, Keith Ross Addison-Wesley, July Transport Layer.
SAMED ÖZCAN T-12/D 2446
Taşıma Katmanı Öğr. Gör. Mustafa SARIÖZ
BLM619 Bilgisayar Ağları ve Uygulamaları
 Bilgisayarlar arasında bilgi alışverişini, dosya iletimini sağlamaktadır.  Bu protokol kullanılarak, internet üzerinde bulunan herhangi bir bilgisayarda.
BİLGİSAYAR AĞLARINA GİRİŞ
TCP/IP – DHCP Nedir?.
TCP Akış Kontrolü Akış kontrolü
BİLGİSAYAR AĞLARINA GİRİŞ
İnternet Teknolojisi Temel Kavramlar
Chapter 5. Ağ Protokolleri
TCP/IP Sorun Çözme ve Ağ Komutları
Bilgi ve İletişim Teknolojisi
Bilgisayar ve Veri Güvenliği
Ağlar ve Veri İletişimi
Yönlendirici (Router) Güvenliği
WEB TASARIMI İNTERNET TEKNOLOJİLERİ.
NetKafem Kullanımı Basit, Maliyeti Düşük, İşlevleri Güçlü
KIRKLARELİ ÜNİVERSİTESİ
KÖTÜ AMAÇLI YAZILIMLAR
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
TCP/IP. Network Katmanı ● Bu katmanda IP'ye göre düzenlenmiş veri paketleri bulunur. ● İletim katmanından gelen veriler burada Internet paketleri haline.
Bilgi İşlem Organizasyonu Güz Dönemi Server Çeşitleri ve Aralarındaki Farklar – Burak Eray KAYIŞ.
SUNUCU İŞLETİM SİSTEMLERİ
Mehmet Tahta Dokuz Eylül Üniversitesi
Öğretim Görevlisi Alper Talha Karadeniz Ağ Temelleri
Tehditler Taklit Hesap Spam ya da Bot Enfeksiyonları
Sunucu İşletim Sistemleri-2
Bilgi İşlem Organizasyonu
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
SERVER ÇEŞİTLERİ VE ARASINDAKİ FARKLAR
MAİL SERVER Oğuz ZARCI –
PROXY SERVER YASİN ÇAKIR
PORTLAR Gizem GÜRSEL
Temel Internet Kullanımı Y. Doç. Dr. M. Sıtkı İlkay Ekim 2006.
TCP/IP PROTOKOLÜ.
Amazon Web Servisleri ve Javascript Dilinin Birlikte Kullanımı
OSİ Modeli.
Sunum transkripti:

Genel Sistem Saldırıları

Şubat Şubat 2000 tarihinde ne oldu? Binlerce zombi bilgisayar yahoo.com’a saldırdı Sonuç: Yahonun açık kalma ve taleplere cevap verme süresi %99.3’den %0 - %10’a düştü Yahoo saldırının sürdüğü 3 saat içinde yaklaşık dolar kaybetti 100 milyon siteye girilemedi.

8 Şubat 2000 tarihinde ne oldu? buy.com, eBay, CNN, amazon.com saldırıya uğradı Sonuç:buy.com %9.4 uptime oranına düştü. eBay uzun bir süre %0 uptime ile erişilemez hale geldi. amazon.com ve cnn.com'un uptime oranları da en az bu kadar kötüydü.

http Tcp İlişkisi HTTP TCP kullanan bir protokoldür. Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır. Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). Günümüzde normal bir haber portalının yüklenmesi için ortalama HTTP GET isteği gönderilmektedir. portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir ki bu değer haber kullanıcıyı okumaktan vazgeçirecek kadar fazladır.

http Tcp İlişkisi

HTTP’de bu performans sorununu aşabilmek için çeşitli yöntemler geliştirilmiştir. Bunların başında HTTP KeepAlive(persistent connection) özelliği gelmektedir. HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10,..) HTTP isteğinin aktarılabilmesini sağlar.

DoS Saldırısı Web sunucularına yönelik DOS/DDOS saldırılarında amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır.

DoS DoS kelime manası ile Denial of Service (Hizmet Reddi) manasına gelir. DoS saldırıları genelde 3 şekilde organize edilir. – Bant genişliği, disk alanı, işlemci zamanı gibi bilgi işlem kaynaklarını tükettirerek. – Yönlendirme bilgisi (routing) gibi yapılandırmaya ilişkin verileri bozarak – Fiziksel ağ aygıtlarını bozarak

Genelde DoS saldırıları ardı ardına gönderilen paketler şeklinde olur. Bir kullanıcı sürekli gelen cevapları göz ardı ederek sürekli bir web sunucusuna istekte bulunursa bir süre sonra sunucuda oluşan ağ sunucusuna ait çocuk süreçler RAM'de fazlasıyla yer kaplamaya başlayarak hafıza sızıntılarına dolayısı ile sunucunun devre dışı kalmasına neden olabilir. Ya da sunucu gelen taleplere yanıt verirken ki refleks süresi artacağından dakikalarca sonra gelen isteklere cevap verebilir.

Genel bir DoS saldırısı, ICMP (Internet Control Message Protocol) kısaca ping paketlerinin deforme edilmiş hallerini içerir – 1998 yılları arasındaki isletim sistemlerinin çoğu Ping of Death denilen bir ICMP paketine karşı hassastı ve işletim sisteminin çökmesine neden oluyordu. CounterStrike oyununda kullanılan PoD BOT'lar bu kısaltmaya gönderme yapar.

Ping seli şeklinde yapılan saldırıda, bir çok ICMP istek paketi kurban bilgisayara gönderilir. Bunun neticesinde karşı bilgisayar tümünü yanıtlamak için cevap paketleri yollanır. Bant genişliğini ve kurban bilgisayarın refleks süresi uzadığından kurban bilgisayarın sunduğu hizmetlere erişilemez hale gelinir.

Bir diğer genel DoS saldırısı ise SYN selidir. SYN, TCP iletişim kuralında es zamanlama(synchronize) işlemi yapan bir bilgidir. Yeni bir bağlantı kurulduğunda TCP paketlerinin sıra numaralarını eşlemek için kullanılır. Saldırgan hedef bilgisayarda bir hizmete bir çok SYN/ACK paketi yollayarak yeni bağlantılar oluşturur. Bu şekilde sunucunun bir çok yeni bağlantı ile meşgul olması sağlanır. Sunucu bir süre sonra bu isteklerin çoğuna cevap veremeyecek duruma gelir.

Kaba Kuvvet DoS/DDoS Saldırıları Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. Literatürde adı “GET Flood”, “POST Flood” olarak geçen bu saldırılar iki şekilde yapılabilir.

Bir kişi ya da birden fazla kişinin anlaşarak belli bir hedefe eş zamanlı yüzlerce, binlerce istek gönderir ya da bu işi hazır kölelere(zombie) devredilerek etki gücü çok daha yüksek Dos saldırıları gerçekleştirilir.

İlk yöntemde bir iki kişi ne yapabilir diye düşünülebilir fakat orta ölçekli çoğu şirketin web sayfası tek bir kişinin oluşturacağı eşzamanlı yüzlerce isteğe karşı uzun süre dayanamayacaktır. Güzel olan şu ki bu tip saldırıların gerçekleştirilmesi ne kadar kolaysa engellemesi de o kadar kolaydır(güvenlik duvarları/IPS’lerin rate limiting özelliği vs)

İkinci yöntem yani Zombi orduları(BotNet’ler) aracılığıyla yapılan HTTP Flood saldırıları ise binlerce farklı kaynaktan gelen HTTP istekleriyle gerçekleştirilir. Gelen bağlantıların kaynağı dünyanın farklı yerlerinden farklı ip subnetlerinden gelebileceği için network seviyesinde bir koruma ya da rate limiting bir işe yaramayacaktır.

Yazılımsal ya da tasarımsal eksikliklerden kaynaklanan DOS/DDOS Saldırıları Tasarımsal zafiyetler protokol düzenlenirken detaylı düşünülmemiş ya da kolaylık olsun diye esnek bırakılmış bazı özelliklerin kötüye kullanılmasıdır. Tasarımsal zafiyetlerden kaynaklanan DOS saldırılarına en iyi örnek Slowloris aracıdır. Bu araçla tek bir sistem üzerinden Apache HTTP sunucu yazılımını kullanan sistemler rahatlıkla devre dışı bırakılabilir.

Benzeri şekilde Captcha kullanılmayan formlarda ciddi DOS saldırılarına yol açabilir. Mesela form üzerinden alınan bilgiler bir mail sunucu aracığılıyla gönderiliyorsa saldırgan olmayan binlerce e-posta adresine bu form üzerinden istek gönderip sunucunun mail sistemini kilitleyebilir

Zaman zaman da web sunucu yazılımını kullanan ve web sayfalarını dinamik olarak çalıştırmaya yarayan bileşenlerde çeşitli zafiyetler çıkmaktadır. Yazılımları güncel tutma, yapılandırma dosyalarını iyi bilme en iyi çözümdür.

Dos saldırı türlerinden bazıları şunlardır 1- Arabellek aşımı : Bir sisteme karşılayamayacağı kadar yoğun bir trafik gönderilmesiyle arabelleğinde veri aşımı oluşturulmasıdır. Arabellek sunucuların hafızada ard arda türdeş verilerin depolandığı hafıza bloğudur. En yaygın saldırı şekli budur.

2- SYN saldırıları : Bu saldırı türünde saldırgan, internet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.

3- Treadrop saldırıları : Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.

4- Smurf saldırıları : Bu saldırı türünde, saldırgan hedef bilgisayardan ping isteğinde bulunur. Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır. Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar. Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.

5- Servislere Aşırı Yüklenme : Bu saldırı tipi belirli kullanıcı ve servisleri düşürmek için kullanılır. Saldırı yapan kişi özel port ve kullanıcıya bir çok ICMP paketi (Internet Control Message Protocol) gönderir. Bu olay ağ izleyicisi ile kolayca anlaşılır.