DDOS Nedir? Korunma Yolları Nelerdir?

Teknolojiyi kötü amaçlarını gerçekleştirmek için kullanan internet korsanlarının, bir diğer deyişle hackerların bizleri zor durumda bırakan teknikleri var. Virüsler internet korsanlarının bir numaralı silahı olma özelliğindedir. Ancak bazı internet korsanları bu saldırıların hedefinde sıradan kullanıcılarla koymakla yetinmeyip daha büyük şirketler, kurumlar ve hatta hükümetleri gözlerine kestirirler. Üstün teknik bilgilerinin kattığı büyük bir özgüvenle internet korsanları, pek çok kez bu saldırılara kalkışmışlardır. Bu saldırganların yakalanması halinde alacakları ceza oldukça büyüktür. Fakat internet korsanları bu tehlikeye aldırış etmeden teknolojinin nimetlerini kötü emellerinde son derece etkili kullanmayı sürdürürler. Son döneme damgasını vuran bu tarz bir tehlikenin adı da DDOS’dir.

DDOS (Distributed Denial of Service):
Açılımı Distributed Denial of Service olan DDOS, Türkçe olarak ‘Dağıtık Hizmet Engelleme’ saldırıları olarak tanımlanmaktadır. DDOS saldırısı bütünüyle bilgi güvenliği unsurlarına erişebilirliği hedef almaktadır. İlk zamanlarında yanızca DOS ( Denial of Service) olan saldırı türü, o haliyle bir tek kaynaktan hedefe yönelik saldırı şeklinde ortaya çıkmıştır. Zamanla gelişimini sürdüren DDOS, çoklu kaynaklardan bir hedefe saldırabilme yetisine sahip etkili bir saldırı türü halini almıştır. Çoklu sistemlerde hedeflenen sistemin kaynakları veya bant genişliği istilaya uğradığında DDOS saldırı türü meydana gelir. Bunlar sıklıkla bir ya da birden çok web sunucusu olur. Bu sistemler saldırganlarca çeşitli taktikler kullanılarak bağdaştırılır. Kötü amaçlı yazılımlar bu saldırı mekanizmasını taşıyabilir; DDOS taşıyan kötü amaçlı yazılımlar arasında en iyi bilinen örneklerin başında MyDoom virüsü gelir. Onda bulunan saldırı mekanizması belirli saat ve belirli tarilerde tetiklenirdi. Bir sistem, saldırgan zombi ismi verilen ajanları indirmeye olanak sağlayan bir trojan virüsüyle bozulabilir. Aynı zamanda saldırganlar uzak yerlerdeki host bağlantıları dinleyebilmek için program içerisindeki hatalardan faydalanıp otomatik araçları kullanır ve böylece sistemlerde hasara sebep olur. Bu saldırı senaryosu aslında web sunucusuymuş gibi davranan sistemlerle alakalıdır. Ddos aracının klasik örneklerinden biri Stacheldraht’tır. Stacheldraht, saldırganların işleyicilere bağlanması için istemci programı kullanılan Ddos saldırısının kolaylaşmasını sağlayan katmanlı bir yapıdan yararlanır. Ajanlar, hedefteki bilgisayarda uzaktan bağlantıların aktif hale gelmesini kabul eden programlarda, tespit ettiği açıklardan yararlanmak için otomatik rutinleri kullanıp saldırganlar tarafından işleyiciler üstünden tehlikeye sokulabilir. Her bir işleyici bin tane ajanı kontrol edebilmektedir. Bu sistem bozucuların tamamı botnet olarak tanınır. Stacheldraht benzeri Ddos araçları hala fraggle ve smurf gibi saldırıları IP spoofing (sahtekarlık) ve amplifikasyon merkezli klasik DDOS saldırı yöntemlerini kullanır. Bir diğer saldırı çeşidi olarak da Syn saldırısı örnek verilebeilir. DDOS saldırısı amaçları için çalışan yeni araçlar, bunun için DNS sunucularını kullanabilir. Basit ataklardan olan Syn saldırıları, Ddos görünülürlüğünü yansıtan geniş bir kaynak niteliğinde IP adres aralığı vasıtasıyla oluşabilir. Bu  akış saldırılar için TCP’nin 3’lü el sıkışmasının bitmesi gerekmez. Hedef Syn kuyruğunu veya sunucunun bant genişliğini bitirmek için girişimde bulunurlar. Bunun nedeni kaynak olan IP adreslerini taklit edebilmesidir. Kaynak kümesi sınırlı bir saldırı gelebilir. Saldırı bir bilgisayar kaynaklı da olabilir. MyDoom’da bulunan Ddos mekanizmasının aksine, herhangi bir IP adresini aleyhine çevirebilir.  Script kiddie bunları bilinen web sitelerinin kullanımını yasal kullanıcılardan alıkoymak için kullanır. Gelişmiş saldırganlar Ddos araçlarını  gasp amacıyla kullanırlar. Saldırgan tek bir kaynaktan saldırısını gerçekleştiriyorsa bu saldırı türü DOS olarak adlandırılır. Şayet saldırgan saldırısını birçok kaynaktan gerçekleştiriyor ise bu durumda bu saldırı türü DDOS olarak adlandırılır. İki saldırı türü arasındaki temel fark bundan kaynaklanır. DDOS DOS’nin gelişmiş versiyonu olarak tanımlanabilir. DDOS saldırganları için en önemli avantajlardan biri de DDOS’nin kullanıcılarına sunduğu çoklu kaynak imkanıdır. Bir bilgisayar üzerinden saldırmaktansa birçok bilgisayar üzerinden saldırmak çok daha tesirli bir yöntemdir. Daha yüksek bir saldırı trafiği oluşturan bu durumda tek bir bilgisayarı ekisiz hale getirmek birçok tehditi etkisiz hale getirmekten haliyle daha kolaydır. Çoklu saldırı makinelerinin saldırı izlenimi de bir hayli zordur. Saldırı kaynağının saldırı davranışını tespitte zorlanan güvenlik sistemleri tehditi etkisiz hale getirme konusunda zorluk yaşarlar. Bazı durumlarda bilgisayar, sahibininin kendi isteğile Ddos saldırısının bir parçası haline gelebilir. WikiLeaks destekçileri tarafından kredi kartı şirketlerine karşı düzenlenen 2010 yılındaki DDOS saldırısı bunun en önemli örneklerindendir. Bu tarz durumlarda akımın destekçileri saldırı yazılımının yükleme ve çalışmasına onay verirler. DoS saldırıları, günümüzde oldukça kolay bir hal almıştır. Bu saldırıları gerçekleştirmek için üst düzey teknik bilgiye de ihtiyaç kalmamıştır. DoS saldırıları için internetten indirilecek basit programalar kullanılıp bir sistem hedef alınabilmektedir. Hedef alınan sistemin yalnızca IP adresi veya alan ismi girilerek erişilmez hale getirilebilmektedir.
Bu saldırıların genel teması  hedeflenen sisteme erişimi engellemekir. Her sistemin kuruluş aşamasında belirlenen sınırları vardır. Ziyaretçi sayısı mesaj sayısı gibi değerlerin ulaşabileceği maksimum bir seviye vardır. Bu seviyenin üstüne çıkılması halinde sistem hizmet veremez hale gelebilir. DOS-DDOS saldırılarının genel taktiği de bu kapasiteyi aşarak sistemi erişilmez hale getirmektir.

DDOS Saldırı Yöntemleri:
1- Arabellek Aşımı Saldırıları:
En yaygın saldırı çeşididir. Arabellek; hafızada peşpeşe dizili olan türdeş verilerin depolandığı hafıza bloğunun adıdır. Arabellek aşımı saldırıları; internet sitesinin kapasitesinden fazla veriye maruz kalması sonucu çökmesiyle gerçekleşir.

2- SYN Saldırıları: Bu saldırı yönteminde saldırgan, internet üzerinde aktif kullanımı olmayan IP adreslerini kullanıp birçok SYN paketini hedeflenen makineye yollar. Hedef, alınan her paket için kaynak ayırıp bir onay paketini paketin geldiği IP adresine gönderir. Hedef makine, kullanılmayan adresten cevap alamayacağından dolayı paketi defalarca tekrarlar. Saldırıyı gerçeleştiren kişi bu yöntemi üsüste uyguladığında hedef makine bir süre sonra kullanılamaz hale gelir.

3- Teardrop Saldırıları: İnternet üzerinden gelen paketler, bölünerek bilgisayarda aktarılır. Paket ayrıştırılırken paketteki ofsetler kullanılır. Ofset bilgilerinin çakışmaması gerekir. Bu saldırılarda gönderici saldırgan pakete ardarada gelecek ofsetler ekler. Alıcı bilgisayar bu durumu kontrol edebilecek mekanizmayı barındırmıyorsa mevcut bilgisayar sistemi çöker.

4-  Smurf Saldırıları: Smurf saldırı çeşidinde, saldırıyı gerçekleştiren korsan hedef bilgisayardan ping isteği yapar. Ancak ping paketi, istek yollanan bilgisayarın IP’sinden geliyormuş şeklinde görünür. Bu durumda ağ üzerinde bulnan bütün bilgisayarlar, hedef bilgisayara ping atar. Hedef bilgisayar bu trafiği karşılayamayacağında mevcut bağlantı kesintiye uğrar.

5- Servislere Aşırı Yüklenme:  Belirli servis ve kullanıcılar düşürmek için kullanılan yöntemdir. Saldırgan özel port ile kullanıcıya pek çok ICMP paketi yollar. Bu durum ağ izleyicisi sayesinde kolayca fark edilir.

6- Message Flooding: Bir önceki aşırı yülenme yönteminden farklı olarak normal çalışmayı engellemez. Aynı biçimde paketler gönderilir fakat bu sefer kullanıcı veya servisler bu gönderimi normal statüde algılar. Örneğin; Nis sunucusunda ‘flood’ gerçekleştirilirse (Unix network) Nis yapılan  isteği şifre isteği şeklinde görür. Böylece saldırgan kullanıcıya hükmedebilme yetisine sahip olur.

DDOS Saldırı Örnekleri:

 

2010 Wikileaks: 2010 yılında gerçekleşen saldırılar DDOS saldırılarının örneklerindendir. Bu saldırılar sayesinde birçok gizli bilgiye erişim sağlanıp bu bilgiler palaşılmıştır. Bu gizli bilgilerin paylaşılması dünya gündeminde hayli büyük çalkantılara sebebiyet vermiştir.

Root Name Servers: İnternetin bel kemiği niteliğindeki Root Name Server (Dns) ‘lere gerçekleşen 2002 yılındaki saldırıda 2000 kişilik bir saldırı ekibi sistemi hedef aldı. 13 ana sunucudan 9 tanesinin büyük hasar gördüğü bu saldırı DDOS saldırılarının hasar gücünü kanıtlar nitelikteydi.

Rusya- Gürcistan: Rusya-Gürcistan arasında yaşanan Güney Osetya anlaşmazlığı nedeniyle Rusların devlet sitelerine DDOS saldırıları düzenlenmşti. Bu saldırıların büyük çoğunluğunun baş mimari Anonymous adlı hacker grubuydu.
2000’li yıllarda Ebay, Yahoo, Amazan gibi ünlü sistemlere yönelik de saldırılar düzenlenmişti.
Yine 2010 yılında yaşanan Mavi Marmara ve Youtube protestoları da DDOS saldırılarına örnek gösterilebilir. Mavi Marmara olayında İsrail ile Türkiye arasında yaşanan gerginlik bu sayede interne ortamına da taşınmıştı. İsrail tarafından yapılan saldırılar sonrası Türkiye tarafından misilleme yapılarak gönüllü DDOS saldırısı gerçeleştirilmişti. Gönüllü saldırılar sonucu hükümete ait birçok sitesi kullanılmaz hale gelen İsrail çözümü Türkiye’den İsrail sitelerine girişi engellemekte bulmuştu.
Youtube protestosunda ise Youtube’un verilen kararla telekominikasyon tarafından kapatılmasına gösterilen tepki üzerine TIB, Tubitak, Ulaştırma Bakanlığı ve BTK gibi oldukça önemli sitelere yapılan saldırılar sonucu bu sitelere erişim bir süre engellenmiştir. Yine 2009 yılında Twitter’ın bir süre kapalı kalmasının başlıca sebebi de DDOS saldırılarıdır.
Yine Türk Hava Yolları’na yapılan DDOS saldırısı da ülkemizde yaşanan DDOS saldırılarına örnek teşkil emektedir.
DDOS denince akla internet korsanlığının bir numaralı isimleri olan ülkemizde de nam salmış Anonymous ve RedHack gelmektedir. Anonymous ve RedHack tarzı internet korsanı grupları saldırılarında özelikle bu yöntemi sıklıkla kullanmaktadırlar.
Türkiye ile Rusya arasında yaşaan gerginliğe Anonymous grubu da dahil olmuş ve Türkiye’yi tehdit etmişti.

DDOS Saldırılarından Korunma Yolları:
Bu yöntemler temel anlamda ikiye ayrılır.

Bant genişliği saldırıları ile korunma yöntemleri: Bu çeşit saldırılar savunulması en güç olan DoS saldırılarıdır. Bu nedenle ataklara sebep olan paketlerin sistemin ağ geçidine geçmeden önce güvenliğin sağlanılması için alımı durdurulmaktadır. Paketlerin ağ geçidine geçmeden engellenmesi için UDP, ICMP veya TCP SYN gibi aynı çeşit paketlerin ardarda gelmesi durumunda kontrol ve takibini sağlayan yazılım kurulumu gerekir.

Servis ve sistem saldırıları ile korunma yöntemleri: Böyle saldırılar bütün ağdan çok bir veya birkaç sisteme yöneliktir. Birim zamanda çok fazla sayıda paket gönderilip, hafızada sorun oluşturup ve yüksek sayıda geçerli talep gönderilerek yapılabilmektedir.
Normal olarak ağ kartı her paket alışında işlemciye yönelik istek oluşturur. Bunun üzerine işlemci paketi ağ kartından alarak belirli bir süre ayırır. TCP SYN paketleri cevap olarak SYN ACK paketlerini göndermeden önce bir süre geçmesi gerekir. Yine aynı biçimde TCP, ICMP ve UDP paketleri SYN kadar vakit almasa da belirli bir süre kaybına sebep olur. Bunların haricinde paket saısı ve boyutunun da bant genişliğinde meydana gelebilecek sorunlarda büyük etkisi bulunmakadır.
Paket büyüklüğü, sayısı ve zaman ayırma gibi sorunlar için daha fazla güç sahibi cihazlar veya problemleri azaltmak, sorunların engellenmesi için eklenmesi gereken komutlar kullanılmalıdır. Donanım için fazla harcama yapmak dışında bu problemlerin büyük çoğunluğu “sysctl(8)” komutu ile çözülebilmektedir. “sysctl(8)” komutu ile yüksek paket geliş oranında sınırlamalar yapmak mümkündür.

YORUMLAR

Lütfen yorumunuzu girin:

İsminiz nedir?