Denial-of-service(DoS) Saldırısı

Bu madde veya bölüm Denial-of-service attack maddesine çok benzemektedir ve bu iki maddenin tek başlık altında birleştirilmesi önerilmektedir. Birleştirme işlemi yapıldıktan sonra sayfaya {{Geçmiş birleştir}} şablonunu ekleyiniz.

Bilgisayar terminolojisinde, DoS saldırısı, hedeflenen kullanıcı veya kullanıcılara bir makine veya ağ kaynağını kullanılamaz hale getirmek için gerçekleşen bir girişimdir.

Bir DoS saldırısı, genellikle geçici veya süresiz olarak internete bağlı bir bilgisayarın hizmetlerini kesintiye veya askıya alma çabaları ile oluşur.

Açıklama olarak, Dağıtık DoS saldırıları, iki veya daha fazla kişi veya botlar, DoS saldırıları ise bir kişi ya da sistem tarafından gönderilen saldırılardır. 2014 yılı itibariyle, tanınan Dağıtık DoS saldırıların sıklığı saatte ortalama 28'e ulaşmıştır.

DoS saldırılarının failleri tipik olarak bankaları, kredi kartı ödeme ağ geçitlerini ve hatta kök nameserver gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedefler.

Denial-of-service, DoS tehditleri iş alanında da yaygındır ve bazende web saldırılarından da sorumludur.

Bu teknik, günümüzde sunucu sahipleri tarafından kullanılan, belli oyunlarda yaygın kullanımı görülen, ya da popüler Minecraft tarzı çok oyunculu oyunlarda fazla miktarda görülmektedir. Richard Stallman DoS terimini 'İnternet Sokak Protestoları' bir biçimi olduğunu belirtmiştir, Bu terim genellikle bilgisayar ağlarıyla ilişkili olarak kullanılmasının yanı sıra, İşlemci Kaynak Yönetiminde de referans olarak kullanılmaktadır.

Bu saldırının bir ortak noktası, hedef makinayı o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makina normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırıları, ya hedef makinayı kendisini sıfırlaması için zorlar, ya da makinanın ayakta kalabilmesi için gerekli olan bütün kaynakları tüketip artık makinanın istenen servislere veya kurban ile kullanıcı arasında gerçekleşmesi beklenen iletişime yeterli gücü bulamamasına neden olur.

DoS saldırıları, İnternet Mimarisi Kurulu'nun öngördüğü interneti doğru kullanım politikasını ihlal eden bir teknik olarak görülmektedir. Ayrıca, hemen hemen kabul edilen tüm internet servis sağlayıcılarını ihlal ettiği görülmektedir. Bu saldırı, bireysel ulusların yasalarını da çiğnemektedir.

Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile, dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.

Semptomlar ve bulgular

Amerika Birleşik Devletleri Bilgisayar Acil Durum Hazırlık Takımı (US-CERT) içerecek şekilde denial-of-service saldırıları belirtilerini tanımlar:

Alışılmadık yavaş ağ performansı (dosyaları açma veya web sitelerine erişim) Belirli bir web sitesinin kullanılamaması Herhangi bir web sitesine erişilememesi Kablosuz veya kablolu internet bağlantısı ayırma Web erişimi veya herhangi bir internet hizmetlerinin uzun vadeli reddi Denial-of-service saldırıları da saldırıya uğrayan gerçek bilgisayar etrafında, ağ sorunlarına yol açabilir. Örneğin, bant genişliği, İnternet ve arasındaki bir yönlendirici, LAN üzerinde hedeflenen bilgisayarı, aynı zamanda tüm ağı ya da diğer bilgisayarları saldırı hedefi olarak gösterebilir.

Saldırı yeterince büyük bir ölçekte yapılır ise, İnternet bağlantısı tüm coğrafi bölgeleri yanlış yapılandırılmış veya çürük ağ altyapı ekipmanı ile saldırganın bilgisi veya niyet olmadan tehlikeye girebilir.

Saldırı yöntemleri

Bir denial-of-service saldırısı bir hizmetin meşru kullanıcılarını önlemek için saldırganlar tarafından açık bir girişimi ile karakterizedir. DoS saldırılarının iki genel formları vardır; "Crash Services" ve "Flood Services".

Bir DoS saldırısı bir dizi yolla işlenebilir. Saldırılar temelde beşe ayrılabilir:

Bant genişliği, bellek, disk alanı ya da işlemci zamanı gibi hesaplama kaynaklarının tüketimi, Yönlendirme bilgileri gibi yapılandırma bilgilerinin bozulması, Durum bilgileri/bozulması gibi istenmeyen TCP oturumlarının sıfırlanması, Fiziksel ağ bileşenlerinin bozulması, Amaçlanan kullanıcılar ile mağdur arasındaki iletişimin bozulması, Bir DoS saldırısının yürütülmesi için kötü amaçlı yazılımlar amaçlanmıştır:

İşlemcinin fazla çalışmasıyla herhangi bir işin engellenmesi Makina Mikrokodunda hataların tetiklenmesi Kaynak açlığı yada israfına yol açan İşletim sisteminde hatalar çıkarır, İşletim sistemini kendini "Crash" eder. Internet Denetim İletisi Protokolü (İDİP) flood[değiştir | kaynağı değiştir] Bir Şirin saldırı İnternet üzerinde bir flood DDoS saldırısının belirli bir çeşididir. Bu, belirli bir ağ üzerinde bulunan tüm bilgisayarlara paket göndermesine izin veren ağ cihazlarının konfigürasyonlarının bozulmasına dayanır. Ağ daha sonra bir Şirin amplifikatör olarak hizmet vermektedir. Böyle bir saldırıda, failler sanki kurbanın kaynak adresiymiş gibi gözüken birden fazla IP paketleri gönderir. Meşru paketlerin varacağı yere gitmesinin önlenmesi, ağın bant aralığının kullanılmasıyla gerçekleşir. İnternet ortamında denial-of-service saldırıları ile mücadele için, Şirin Amplifikatör Sicil gibi servisler şebeke servis sağlayıcılarına hatalı ağları tanımlamak için olanak sağlar ve filtreleme gibi uygun önlemleri almasını kolaylaştırır.

Ping flood, kurbana aşırı miktarda Ping gönderilmesidir ve genellikle UNİX tarzı kaynaklardan gelen "ping" komutuyla gerçekleşir. Başlatılması çok basittir ve gerekli olan ilk şey kurbanın bant genişliğinden daha büyük bir bant genişliğidir.

Ping of death ise kurbana sistemin çökmesine neden olacak bozuk ping paketlerinin yollanmasıdır.

(S)SYN flood

SYN saldırısı (SYN flood), hizmeti engelleme saldırısının bir biçimidir. Bu saldırı biçiminde bir saldırgan sistemin yasal trafiğini isteklere cevap veremeyecek duruma getirmek için yeterli sunucu kaynaklarını tüketme girişiminde bulunarak, hedef alınan sisteme ardışık SYN istekleri (SYN requests) gönderir.

Teardrop(Gözyaşı) Saldırısı

Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.

P2P Saldırısı

Saldırganlar DDoS saldırısını başlatmak için P2P serverları içerisinde birden çok bug bulmuşlardır. Bunlardan en saldırgan olanı ise DC++'dır. P2P saldırıları sıradan Botnet tabanlı saldırılardan çok farklıdır. P2P saldırısı mantığında herhangi bir botnet bulunmamaktadır ve saldırgan müşteri ile herhangi bir iletişim halinde değildir. Bunun yerine, saldırgan sanki bir kukla ustası edasıyla oyuna dahil olur ve bu yöntemle müşterilere P2P ağından kopmaları için büyük miktarda P2P paylaşım dosyaları yönlendirir. Sonuç olarak, binlerce bilgisayar, saldırganın hedeflediği websitesine yoğun şekilde bağlanmaya çalışır. Sıradan bir webserver'ı saniyede en fazla 100 bağlantıyı kaldırabilir. Bu nedenle çoğu websitesi 5000-6000 bağlantıyı kaldıramayacağından dolayı çöker. Büyük bir P2P saldırısı ile, kısa sürede bu websitesi 750.000 bağlantıyı kaldırmaya çalışmakla uğraşır ve başarısız olur.

Ancak, bir P2P saldırısını anlamak imza ile gayet basittir. Büyük miktarda IP adreslerini bloklamak gerekmesi demek bu tarz bir saldırıyı önlemek anlamına gelir ama IP adresleri büyük ölçekli bloklansa bile, düşünülmesi gereken başka problemlerde olacaktır. Örneğin, imzanın server kısmından geçmesi için gereken cüzi miktarda bir süre vardır. Bağlantı server kısmında imzanın gönderilip ve fark edilmesiyle sağlanabilir ve hafızada yer tutar. Her tutan yer, hafızanın şişmesine neden olur ve servera zarar verebilir.

Bu tarz bir saldırı, belirli portların izin verildiği bir P2P Protokolü ile engellenebilir. Eğer 80. port izin verilmemişse, o siteye yapılabilecek bir saldırı oldukça limitlenir.

Açlık Saldırılarda Kaynak Kullanım Asimetrisi

Kurbanın bilgisayarında kaynak tüketimini başarıyla gerçekleştiren bir saldırı:

yada:

Bir saldırgan, saldırı potensiyalini yükseltebilmek için yukarıdaki maddeleri bir kombinasyon halinde kullanıyor olabilir.

Kalıcı DoS Saldırısı

Kalıcı denial-of-service (PDoS) sistemi değiştirme veya donanımı yeniden yükleme gerektiren çok büyük zarar verebilen bir saldırıdır. DDoS aksine, PDoS güvenlik açıklarından yaralanır ve sisteme admin yetkisiyle uzaktan erişim sağlayabilir. Saldırgan bu yolla cihazın firmware'ni değiştirebilir, güncelleyebilir, yani "flashing" adı verilen bir işleme tabi tutabilir. Bu bu nedenle cihazı tamamen bozabilir. Kullanılmaz hale getirebilir. PDoS, tam anlamıyla donanıma olan bir saldırıdır ve çok hızlı, az kaynak gereksinimi ihtiyacı olan bir saldırı türüdür. DDoS saldırılarında kullanılan bir botnete göre çok üstündür. Çünkü tüm bu özellikler nedeniyle, bütün hackerların ilgi oladığı olmuştur.

Uygulama Seviyesi Flood

Çeşitli DoS nedenli açıklar, bellek taşması gibi, sunucu tarafında çalışan yazılımın karışması ve disk alanı doldurması veya mevcut tüm belleği tüketmeye neden olabilir. DoS'un başka türleri, Brute Force'a dayanır, kurbana aşırı miktarda paket yollar ki kullanıcının sistem kaynağını tüketmeye çalışır. Bandwidth tabanlı saldırı ise, saldırganın kurbandan daha fazla bandwidth'e sahip olmasıyla botnet yükleyerek gerçekleştirdiği bir saldırıdır. Diğer tip floodlar ise, kurbanın bilgisayarında açık olan tüm portları meşgul ederek kaynağını tüketmeye yöneliktir. "Muz saldırısı" DoS'un başka bir saldırı türüdür. kurbanın dışarıya olan erişimini engeller ve sışa gönderdiği mesajları sürekli kendisine yönlendirerek bir döngü oluşturur.

NUKE

Eski bir ICMP paket tabanlı atak türüdür. Sistemi bozmayı amaçlar.

HTTP POST DDOS Saldırısı

Hyper Text Transfer Protokolü üzerinden get veya post şeklinde çeşitlendirebileceğimiz saldırı çeşidi. HTTP POST FLOOD form ve benzeri web sayfalarına captcha koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde post isteği almasına neden olarak cevap vermemesine neden olmaktır.Önlem almak için CAPTCHA kullanılmalıdır.

Henüz-Ölmedin-mi? (HÖM)

Bu saldırı web sunucuları üzerinde mevcut var olan sessionları tüketmeye yönelik yapılan bir saldırıdır. HÖM sessionları sürekli aktif halde tutar.

Yavaş Okuma Saldırısı

Bu saldırı, gelen cevapları olabildiğince yavaş okuma işidir. Bu sayede Aplikasyon Havuzunu yormaya çalışır.

Korunma

DoS saldırılarına defansif tepkiler genellikle onlar gayrimeşru tanımlamak ve izin verdiği trafiği engellemek amacıyla, saldırı algılama, trafik sınıflandırma ve tepki araçlarının bir arada kullanılmasını gerektirir. Önleme ve müdahale araçları aşağıda verilmiştir:

Güvenlik duvarları

Güvenlik duvarları izin veya protokolleri, portları veya IP adreslerini inkar etmek gibi basit kurallara sahip ayarlanabilir. Örneğin alışılmadık bir IP adresleri az sayıda gelen basit bir saldırı durumunda, bir saldırganın tüm gelen trafiği drop etmesi için basit bir kural koymak olabilir.

80. portta devam eden bir saldırı varsa, bu port üzerindeki bütün trafiği düşürmek mümkün değildir çünkü bunu yapmak sunucunun trafik akışını sağlamasını engeller. Ayrıca, güvenlik duvarları, ağ hiyerarşisinde çok derin olabilir. Bununla birlikte, güvenlik duvarları etkili bir güvenlik duvarı arkasında makineleri basit sel tipi saldırılar başlatmasının engelleyebilir.

Bazı durum bilgisi güvenlik duvarları bağlantıları için bir vekil olarak hareket edebilir: el sıkışma (istemci) ile doğrulanır yerine sadece paketi hedefe iletir. Bu aynı zamanda, diğer BSD için kullanılabilir. Bu bağlama, "synproxy" olarak adlandırılır.

Anahtarlar

Çoğu anahtarların bazı hız sınırlayıcı ve ACL yeteneği var. Bazı anahtarlar, trafik şekillendirme , gecikmeli bağlama ( TCP yapıştırma ), derin paket inceleme ve Bogon filtreleme, otomatik hız filtreleme ve WAN üzerinden denial-of-service saldırılarını tespit ve düzeltmek için sahte IP filtreleme sağlayabilir.

Bu şemalar sürece DoS saldırıları bunları kullanarak önlenebilir. Örneğin SYN flood, gecikmiş bağlanma veya TCP yapıştırma kullanılarak önlenebilir. Benzer şekilde içerik tabanlı DoS derin paket inceleme kullanılarak önlenebilir. Kaynaklanan saldırılar Bogon filtreleme kullanılarak önlenebilir. Otomatik hız filtreleme sürece set oran eşikleri doğru ve kademeli ayarlanmış olarak çalışabilir. Wan-bağlantı yük devretme sürece her iki linkler DoS / DDoS önleme mekanizması var olarak çalışacaktır.

Yönlendiriciler

Anahtarlar yönlendiriciler benzer, anahtarların bazı hız sınırlayıcıları ve ACL yeteneği vardır. Onlar da elle ayarlanır. Çoğu yönlendirici bir DoS saldırısı altında kolayca boğulmuş olabilir. Cisco IOS sel etkisini azaltabilen isteğe bağlı özelliklere sahiptir.

This article is issued from Vikipedi - version of the 9/27/2016. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.