DoS/ DDoS Nedir? OSI Katmanlarına Göre DoS/DDoS Saldırıları

DoS ve DDoS Nedir?

Kübra Eskalan, Sızma Testi Uzmanı

Denial of Service yani DoS atağı kötü niyetli kişiler tarafından yapılarak sistemin normal işleyişini kesintiye uğratarak kullanılamaz hale getirmesini amaçlamaktadır. DoS atağını başlatmak için tek bir cihaz yeterlidir. Bu atak türünde hedef bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek gönderilir. Sistemlerin ağ trafiğinin bir kapasitesi vardır. Sistemin sahip olduğu bu kaynaklara saldırganlar tarafından aşırı yüklenildiğinde dolan kapasitenin karşısında, firewall gelen paketlerin hangisinin gerçek veya saldırı olduğunu anlamakta yetersiz kalmaktadır. Bu yüzden sistem hizmetleri yavaşlamakta hatta verilen hizmetler bu saldırılar sonrasında tamamen çökebilmektedir. Fark edilmesi ve engellenmesi DDoS ataklara göre kolaydır. Nedeni ise tek sunucu üzerinden yapıldığı için bu sunucu adresinden gelen paketleri engelleyerek atağın önlenmesi mümkündür. DoS atakları genel olarak önemli bilgi yahut varlıkların ele geçirilmesi ile sonuçlanmasa bile mağdur için büyük miktarlarda para ve zamana mal olabilmektedir.

Distributed Denial of Service yani DDoS atakları, en etkin saldırı yöntemleri arasında bulunmaktadır. Bu saldırı bir saldırı kaynağından değil de birçok farklı kaynaktan gelen bir DoS saldırısı türüdür. Yani birden fazla sistem senkronize edilerek bir DoS saldırısını tek bir hedefe düzenlediğinde gerçekleşmektedir.  Temel fark bir yerden saldırıya uğranması yerine aynı anda birçok yerden saldırıya uğranmasıdır. DDoS saldırıları, Ping, HTTP, Slowloris, SYN vb. saldırı türleriyle yapılabilir üstelik çok uzun süreler devam edebilir. Sunucuların açık bulunun portları sebebiyle kötücül kişiler, hassas verilere erişebilir, bu verileri kullanabilir ya da satabilir. Başarılı bir DDoS saldırısı, tüm çevrimiçi kullanıcı tabanını etkileyen oldukça dikkat çekici bir olaydır.

DoS ve DDoS saldırılarıyla hedeflenen sisteme sızmaktan çok sistemin verdiği hizmetleri aksatmaktır. Saldırı hedefi olan taraf hizmet veremediği süre boyunca maddi ve itibar olarak zarara uğramaktadır. Durum böyle olunca bu saldırılar bazı ülkelerin de kullanmaktan kaçınmadığı bir silah haline gelmiştir. Çünkü ülkelerin elindeki bu silah çok daha maliyetsiz ve çok daha etkili olabilecek seviyede olduğu görülmüştür. Günümüzde çok rahat bir şekilde yapılabilir hale gelmesi ile basit vasıtalarla bu saldırılar gerçekleştirilmektedir. Bu saldırıların kurbanları genel olarak ticaret şirketleri, devlet kuruluşları ve bankacılık gibi yüksel profilli kuruluşların sunucularıdır. Toparlayacak olursak saldırganlar saldırıyı tek bir ana bilgisayardan yaparsa buna bir DoS saldırısı denir. Lakin saldırgan çoklu makineler ile kurbana DoS saldırısı düzenlerse bu saldırılar DDoS saldırısı olarak sınıflandırılır.

DoS ve DDoS saldırılarının çok yaygın olmasından dolayı birçok insan bu saldırılara dair birtakım fikirlere sahiptir. Bu fikir çokluğundan dolayı oluşan yanlış bilgiler ise azımsanamayacak kadar fazladır. Linux sistemlerinin bu saldırılara karşı çok daha dayanıklı olduğu bilgisi kesinlikle gerçeği yansıtmamaktadır. Kısaca hiçbir Firewall ve IPS’in tek başına DDoS’u engelleyemeyeceğini belirtmekte fayda vardır.

Son olarak belirtmek isterim ki, kanuni açıdan bu saldırılar her ne kadar sayıca fazla olsa da firmaların hizmetlerini engellemeye neden olduğu için suç sayılmıştır.

Peki Bu Saldırıları Engellemek Mümkün Mü?

DoS/DDoS saldırılarının yüzde yüz engellenmesi gibi bir durum söz konusu olmasa bile bu saldırıları hafifletmek adına kurumlar bir dizi önlem alabilirler.  Olası bir duruma karşı hazırlıklı olmak için aşağıdaki önlemleri sayabiliriz;

•  Düzenli olarak sızma testi yaptırılarak, sistemlerin hangi noktada durduğu tespit edilmeli buna göre gerekli önlemler alınmalıdır.
•   Bütün sistemler vaktinde güncellenmelidir.
•   Güvenilirliği yüksek anti virüs yazılımları ve donanımı kullanılmalıdır.
• Gelebilecek saldırılar önceden düşünülüp bant genişliği kurumun ihtiyacından fazlası olmalıdır.
•   Verilerin birden çok sunucuda saklanılması ve kullanılması.
•  Olağan dışı durumlar için ağ cihazları yapılandırılmalı ve ağ trafiği izlenmelidir.

OSI Nedir? Katmanlarına Göre DoS/DDoS Saldırıları

OSI (Open System Interconnect) nedir sorusuna basitçe farklı kişilerin geliştirdiği network bileşenlerinin uyumlu olarak çalışmasını sağlayan kurallar bütünüdür diyebiliriz. Yani OSI, ağ sistemleri için bir kılavuz niteliği taşır. Network ürünleri geliştirmekte olan bütün firmalar OSI kurallarına uygun bir şekilde cihaz geliştirmek zorundadır. OSI kurallarına uygun geliştirilmemiş cihazlar, farklı cihazlarla oluşturulmuş networkler ile konuşamazlar.

OSI bilindiği üzere yedi katmana ayrılmıştır ve iletişim sırasında kullanılan protokoller ve donanımlar bu katmanlarda bulunur. OSI modelinde katmanlar birbirlerinden bağımsız değildir ve her katman kendinden önce olan katmana hizmet eder. İki cihaz arasında veri iletimi gerçekleştirileceğinde, veriyi gönderen için iletim uygulama katmanından başlayarak fiziksel katmana doğru devam eder. Bu işleme encapsulation denir. Veri alan cihaz için durum tam tersidir. Yani verinin iletimi fiziksel katmandan başlayarak uygulama katmanına doğru olur.

Her katman için farklı DoS saldırı çeşitleri vardır.

7. Katman için DoS ve DDoS

Misal verecek olursak, herhangi bir web sitesine girebilmek için tarayıcıyı açan son kullanıcı bu işlemi http protokolünden dolayı 7. katmanda gerçekleştirir. Son kullanıcı tarafından çalıştırılabilecek tüm uygulamalar bu seviyede yer almaktadır. Bu katmanda Telnet, FTP, DHCP, DNS, HTTP, SMTP, POP protokolleri kullanılır. Elektronik posta, veri tabanı yönetimleri, dosya paylaşımları gibi işlemler gerçekleştirilir. Olabilecek sonuçları arasında kaynakların kullanım sınırlarına erişmesinden dolayı sistemi çalışması için gerekli kaynaklarda kıtlığın yaşanması gösterilebilir.

6. Katman için DoS DDoS

Bu katmanda sıkıştırma ve şifreleme protokolleri kullanılır. Veri sıkıştırma, şifreleme ve çözme işlemleri, veri formatının değiştirilmesi gibi işlemler bu katmanda gerçekleştirilmektedir. Bu katmanda yapılacak saldırılara örnek olarak, kötü niyetle biçimlendirilmiş SSL istekleri gösterilebilir. Bu saldırıda kötü niyetli saldırgan sunucuyu hedef almak için http ataklarını SSL ile tüneller.

5. Katman için DoS ve DDoS

Session katmanında oturum açma ve kapatma protokolleri kullanılır. Ağdaki işletim sistemleri içerisinde oturumun kurulması, sonlandırılması ve senkronizasyonunun sağlanması bu katmanda gerçekleşir. Bir saldırı örneği olarak Telnet servisinin durdurulması gösterilebilir.

4. Katman için DoS ve DDoS

Transport katmanı, üstündeki ve altındaki katmanları arasındaki bağlantıyı sağlar. SPX, SCTP, TCP, DCCP gibi verinin iletimi üzerinde rol alan protokolleri kullanır. Verinin alıcısına ulaşıp ulaşmadığını kontrol eder. Bu katmanda gerçekleştirilen saldırılar için SYN Flood ve Smurf saldırısı örnek gösterilebilir.

3. Katman için DoS ve DDoS

Transport katmanından gelen istekleri cevaplandırarak bunları data link katmanına iletir. IPX, ARP, IP, ICMP gibi protokoller kullanılır.  Network katmanında ağdaki cihazların adresleme işlemleri gerçekleştirilir ayrıca gelen veri paketlerinin ağ adresleri kullanılarak uygun ağlara yönlendirilmesi sağlanır. Router bu katmanda yer alır. ICMP Flood saldırısı bu katmanda yapılan saldırılara örnek gösterilebilir.

2. Katman için DoS ve DDoS

Data Link katmanında 802.3 & 802.5 protokolleri kullanılır. Bu katmanda fiziksel katmana erişim ile ilgili kurallar düzenlenir. Bunlar fiziksel katman üzerinden transferin kurulması, sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi gibi kurallardır. Ayrıca bu katmanda gerçekleştirilen işlemlerin büyük kısmı ağ arayüz kartı içerisinde gerçekleştirilir. Bu katmanda gerçekleştirilebilecek saldırılara MAC Flood saldırısı örnek gösterilebilir. Bu saldırılar sonucunda ise kullanıcı kaynağından hedefine giden veri akışının bozulması ihtimali vardır.

1. Katman için DoS ve DDoS

Bu katmanda verilerin fiziksel cihazlar üzerinden sinyal olarak gönderilmesi ve alınması sağlanır. 100Base – T & 1000Base – X gibi protokoller kullanılır. Bu katmanda direkt olarak fiziksel saldırılar yapılır. Bu saldırılar sonucunda fiziksel varlıklar yeniden ayarlanamaz yahut kullanılamaz hale gelebilir. Bu saldırılara, ağ kablolarına ve donanımlara zarar vermek, frekans bozumu (jamming) saldırısı örnek gösterilebilir.

DOS ve DDOS hizmetini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

KAYNAK

https://www.cloudflare.com/learning/ddos/layer-3-ddos-attacks/

https://tr.wikipedia.org/wiki/Denial-of-service_attack

https://hostnoc.com/ddos-vulnerabilities-on-separate-layers-of-the-osi-model-how-to-mitigate-them/

SMB Anonim Oturumla Nasıl Sömürülür?

                                                             Tuğcan Özel, Sızma Testi Uzmanı

SMB Nedir?

Server Message Block (Sunucu İleti Bloğu), sunucu istemci (server-client) arasındaki iletişimi sağlayan bir ağ protokolüdür. SMB protokolü, Windows sistemlerinin 139 ve 445 portlarını kullanarak, paylaşılan dosyalara erişimi, ağlar, yazıcılar ve çeşitli bağlantıları sağlar. Bu bağlantıların yanında oplock, dosya ve kayıt kitleme, dosya ve dizin değişikliği gibi işlemler de SMB üzerinden gerçekleşmektedir.

Kullanılan Araçlar

Nmblookup – TCP/IP üzerinden NetBIOS isimleri hakkında bilgi toplamaktadır.
Smbclient – FTP protokolü gibi SMB paylaşımlarına erişmeye yaramaktadır.
Smbmap – Host üzerindeki paylaşıma açık dosyaları ve izinlerini göstermektedir.
Nmap – Scriptleri ile genel bir tarayıcıdır.
Rpcclient – Kullanıcı tarafındaki MS-RPC fonksiyonlarını çalıştırmaya yaramaktadır.
Enum4Linux – Çeşitli SMB fonksiyonlar

Host İsimleri Hakkında Bilgi Toplama

Nmblookup – A [IP]
- A parametresi, IP adresine göre bilgi toplamamıza izin vermektedir.

Dizin Listeleme

Smbmap –H [ip/hostname]
-H parametre host ismi veya ip adresimi belirtmemizi istemektedir.

Eğer kimlik bilgileri ele geçirilirse, erişim sağlanması için aracımız şu şekilde kullanılabilmektedir.

Smbmap –H [ip] –d [domain] –u [user] –p [password]

Smbclient –L \\[ip]
             -L parametresi ilgili hosttaki dizinleri getirmektedir.

Nmap  --script –smb-enum-shares –p 139,445 [ip]
-script smb-enum-shares -> smb hakkında bilgi toplamak için çalıştırılan bir scripttir.

            -p 139,445 ilgili portları belirtmektedir.

Smbmap –H [ip/hostname] belirli kimlik bilgileri ile veya null oturum ile dizinlerde neler gerçekleştirilebileceği hakkında bilgi vermektedir.
Rpcclient –U “” –N [ip]

-U “” null oturumlar anlamına gelmektedir.

-N parola yok anlamına gelmektedir.(No password)

Bu noktadan itibaren rpc komutları çalıştırılabilmektedir.

NULL Oturum Kontrolü

Smbclient //[ip]/[dizin_adı] şeklinde host üzerindeki dizine kimlik bilgileri yollanmadan erişilmeye çalışılmaktadır. Erişim sağlanırsa NULL session meydana gelmektedir.

Zafiyet Kontrolü

Nmap –script smb-vuln* -p 139,445 [ip]

--script smb-vuln* smb zafiyetleri ile ilgili bünyesinde barındırdığı tüm scriptleri çalıştıracaktır.

-p 139,445 smb portları

GENEL TARAMA

Enum4Linux –a [ip]

-a host hakkındaki bütün(all) bilgileri toplamamıza yaramaktadır.

Çıktı çok uzun olmakta, özet olarak ifade edilirse:

Nmblookup’a benzer host çıktıları

Otomatik Null oturum kontrolü

Dizinleri listeleme

Domain bilgileri

Password politikaları gibi bilgiler elde edinmektedir.

ÖZET

Hostname bilgi toplama

 nmblookup –A [ip]

Dizin Listeleme

Smbmap –H [ip/hostname]

Smbclient –L \\[ip]

Nmap –script smb-enum-shares –p 139,445 [ip]

Null Oturum Kontrolü

Smbmap –H [ip/hostname]

Rpcclient –U “” –n [ip]

Smbclient //ip/dizin_adı

Zafiyet kontrolü

 nmap –script smb-vuln* -p 139,445 [ip]

Genel Tarama

 enum4Linux –a [ip]

Sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kr00k Nedir, Tehlikeleri Nelerdir?

Kr00k Nedir, Tehlikeleri Nelerdir?

Kübra Eskalan, Sızma Testi Uzmanı

Kr00k-CVE-2019-15126, ESET güvenlik şirketi tarafından 17 Ağustos 2019’da keşfedilmiştir. 24-28 Şubat 2020 tarihide gerçekleşen RSA 2020 etkinliğinde güvenlik ürünleri geliştiricisi olan ESET firmasın araştırmacıların yaptığı sunum ile detayları açıklanmıştır. Bu açıklık şifreli Wi-Fi trafiğinin şifresinin çözülmesine izin veren bir güvenlik açığıdır. Aslında herkesin kullandığı yazılımlarda her gün keşfedilen birçok hata gibi bir hatadır. Aradaki fark ise, Kr00k'un bir Wi-Fi bağlantısı üzerinden gönderilen veri paketlerini korumak için kullanılan şifrelemeyi etkilemesidir. Çoğunluk ile bu paketler kullanıcının Wi-Fi şifresine bağlı benzersiz bir anahtarla şifrelenir. Çok sayıda iOS ve Android cihaz da bu donanımla kullanıcılarla buluştuğu için tehlike içinde olduğu belirlenmiştir. Üstelik sadece akıllı telefonlar değil, ASUS ve Huawei tarafından üretilen Wi-Fi cihazlarının da bu anteni kullandığı bilinmektedir.

Broadcom üretimi Wi-Fi antenlerinde bu güvenlik açığı keşfedilip, istismar edilerek kullanıcıların şifrelenmiş verilerinin kolayca okunabildiği fark edilmiştir. En yaygın kullanılan protokoller arasında yer alan WPA2-Personal ve WPA2-Enterprise zafiyetten etkilenmektedir.

Bu konuyu daha teknik ifade edecek olursak, kablosuz haberleşmenin doğasında  bulunan  “Bağlantıyı kesmek” veya ” Deauthentication” durumu bir Wi-Fi bağlantısında doğal olarak gerçekleşen olaydır. Bu durum genellikle düşük Wi-Fi sinyali alındığında otomatik olarak gerçekleşerek bağlantı kesme durumu meydana gelir. Wi-Fi cihazlarının gün boyunca birkaç kez bağlantısı kesilir ve bu durum yaşandığında, istemciler geçmişte kullanılan ağa yeniden bağlanmak için otomatik olarak talep iletir.

ESET araştırmacıları, saldırganların; aygıtları uzun bir bağlantı kesme durumuna sokabileceklerini ve bu sayede aygıta gelmesi beklenen Wi-Fi paketlerini dinleyebileceklerini ve daha sonra gerçekleşen trafiği deşifre etmek için Kr00k açıklığını kullanabileceklerini belirtmişlerdir. Bu işlemlerin gerçekleşmesiyle normalde güvenli olduğu düşünülen trafik, saldırganlar tarafından okunabilir hale gelmektedir.

Bu açıklıkta dikkat edilmesi gereken en önemli nokta ise kr00k açıklığının sadece AES-CCMP şifrelemeli WPA2-Personal veya WPA2-Enterprise güvenlik protokollerini kullanan WiFi bağlantılarını etkilemesidir.

Kimler Etkilendi, Ne Yapılmalı?

ESET araştırmacıları tarafından, birçok popüler cihazın savunmasız olduğu doğrulanmıştır. Araştırma sonuçlarına göre kr00k, henüz yamalanmamış olan Broadcom ve Cypress Wi-Fi çiplerini kullanan tüm cihazlar bu açıklıktan etkilenmektedir. Bu cihazlara akıllı telefonlar, tabletler, dizüstü bilgisayarlar örnek gösterilebilir. Ayrıca bu güvenlik açığından yalnızca istemci aygıtları değil, Wi-Fi erişim noktaları ve yönlendiricileri de etkilenmiştir.

Bilinen savunmasız cihazlardan bazıları şunlardır:

·         Amazon Echo 2. nesil

·         Amazon Kindle 8. nesil

·         Apple iPad mini 2

·         Apple iPhone 6 , 6S , 8 , XR

·         Apple MacBook Air Retina 13 inç 2018

·         Google Nexus 5

·         Google Nexus 6

·         Google Nexus 6S

·         Samsung Galaxy S4 GT-I9505

·         Samsung Galaxy S8

·         Xiaomi Redmi 3S

Firmalar ise bu güvenlik açığını kapatmak için yamalar yayınlamaktadırlar. ESET’in yayınladığı raporda diğer markalar tarafından üretilen Wi-Fi donanımlarında da zafiyet araması yapıldığı ve Qualcomm, Realtek, Ralink, Mediatek donanımlarında herhangi bir zafiyet bulunmadığı belirtilmiştir.

Bu güvenlik açığından korunabilmek adına telefonlar, tabletler, dizüstü bilgisayarlar, Wi-Fi erişim noktaları ve yönlendiriciler dahil olmak üzere tüm Wi-Fi özellikli cihazların en son işletim sistemi, yazılım ve / veya ürün yazılımı sürümlerine güncellendiğinden emin olunması önerilmektedir

Wifi kablosuz ağ  güvenlik testini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kaynaklar

https://en.wikipedia.org/wiki/Kr00k

https://www.eset.com/tr/kr00k/