DoS ve DDoS Nedir?
Kübra Eskalan, Sızma Testi Uzmanı
Denial
of Service yani DoS atağı kötü niyetli kişiler tarafından yapılarak sistemin normal
işleyişini kesintiye uğratarak kullanılamaz hale getirmesini amaçlamaktadır.
DoS atağını başlatmak için tek bir cihaz yeterlidir. Bu atak türünde hedef
bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek gönderilir. Sistemlerin
ağ trafiğinin bir kapasitesi vardır. Sistemin sahip olduğu bu kaynaklara
saldırganlar tarafından aşırı yüklenildiğinde dolan kapasitenin karşısında, firewall
gelen paketlerin hangisinin gerçek veya saldırı olduğunu anlamakta yetersiz kalmaktadır.
Bu yüzden sistem hizmetleri yavaşlamakta hatta verilen hizmetler bu saldırılar sonrasında
tamamen çökebilmektedir. Fark edilmesi ve engellenmesi DDoS ataklara göre
kolaydır. Nedeni ise tek sunucu üzerinden yapıldığı için bu sunucu adresinden
gelen paketleri engelleyerek atağın önlenmesi mümkündür. DoS atakları genel olarak
önemli bilgi yahut varlıkların ele geçirilmesi ile sonuçlanmasa bile mağdur
için büyük miktarlarda para ve zamana mal olabilmektedir.
Distributed
Denial of Service yani DDoS atakları, en etkin saldırı yöntemleri arasında
bulunmaktadır. Bu saldırı bir saldırı kaynağından değil de birçok farklı kaynaktan
gelen bir DoS saldırısı türüdür. Yani birden fazla sistem senkronize edilerek
bir DoS saldırısını tek bir hedefe düzenlediğinde gerçekleşmektedir. Temel fark bir yerden saldırıya uğranması
yerine aynı anda birçok yerden saldırıya uğranmasıdır. DDoS saldırıları, Ping,
HTTP, Slowloris, SYN vb. saldırı türleriyle yapılabilir üstelik çok uzun
süreler devam edebilir. Sunucuların açık bulunun portları sebebiyle kötücül
kişiler, hassas verilere erişebilir, bu verileri kullanabilir ya da satabilir. Başarılı
bir DDoS saldırısı, tüm çevrimiçi kullanıcı tabanını etkileyen oldukça dikkat
çekici bir olaydır.
DoS ve
DDoS saldırılarıyla hedeflenen sisteme sızmaktan çok sistemin verdiği
hizmetleri aksatmaktır. Saldırı hedefi olan taraf hizmet veremediği süre
boyunca maddi ve itibar olarak zarara uğramaktadır. Durum böyle olunca bu
saldırılar bazı ülkelerin de kullanmaktan kaçınmadığı bir silah haline gelmiştir.
Çünkü ülkelerin elindeki bu silah çok daha maliyetsiz ve çok daha etkili
olabilecek seviyede olduğu görülmüştür. Günümüzde çok rahat bir şekilde
yapılabilir hale gelmesi ile basit vasıtalarla bu saldırılar
gerçekleştirilmektedir. Bu saldırıların kurbanları genel olarak ticaret şirketleri,
devlet kuruluşları ve bankacılık gibi yüksel profilli kuruluşların sunucularıdır.
Toparlayacak olursak saldırganlar saldırıyı tek bir ana bilgisayardan yaparsa
buna bir DoS saldırısı denir. Lakin saldırgan çoklu makineler ile kurbana DoS
saldırısı düzenlerse bu saldırılar DDoS saldırısı olarak sınıflandırılır.
DoS ve DDoS saldırılarının
çok yaygın olmasından dolayı birçok insan bu saldırılara dair birtakım
fikirlere sahiptir. Bu fikir çokluğundan dolayı oluşan yanlış bilgiler ise
azımsanamayacak kadar fazladır. Linux sistemlerinin bu saldırılara karşı çok
daha dayanıklı olduğu bilgisi kesinlikle gerçeği yansıtmamaktadır. Kısaca hiçbir
Firewall ve IPS’in tek başına DDoS’u engelleyemeyeceğini belirtmekte fayda
vardır.
Son olarak belirtmek isterim ki, kanuni açıdan bu saldırılar her ne kadar sayıca fazla olsa da firmaların hizmetlerini engellemeye neden olduğu için suç sayılmıştır.
Peki Bu Saldırıları Engellemek
Mümkün Mü?
DoS/DDoS saldırılarının yüzde yüz engellenmesi gibi
bir durum söz konusu olmasa bile bu saldırıları hafifletmek adına kurumlar bir
dizi önlem alabilirler. Olası bir duruma
karşı hazırlıklı olmak için aşağıdaki önlemleri sayabiliriz;
- Düzenli olarak sızma testi yaptırılarak, sistemlerin hangi noktada durduğu tespit edilmeli buna göre gerekli önlemler alınmalıdır.
- Bütün sistemler vaktinde güncellenmelidir.
- Güvenilirliği
yüksek anti virüs yazılımları ve donanımı kullanılmalıdır.
- Gelebilecek
saldırılar önceden düşünülüp bant genişliği kurumun ihtiyacından fazlası
olmalıdır.
- Verilerin
birden çok sunucuda saklanılması ve kullanılması.
- Olağan dışı
durumlar için ağ cihazları yapılandırılmalı ve ağ trafiği izlenmelidir.
OSI Nedir? Katmanlarına Göre DoS/DDoS Saldırıları
OSI (Open System Interconnect) nedir sorusuna basitçe
farklı kişilerin geliştirdiği network bileşenlerinin uyumlu olarak çalışmasını
sağlayan kurallar bütünüdür diyebiliriz. Yani OSI, ağ sistemleri için bir
kılavuz niteliği taşır. Network ürünleri geliştirmekte olan bütün firmalar OSI
kurallarına uygun bir şekilde cihaz geliştirmek zorundadır. OSI kurallarına
uygun geliştirilmemiş cihazlar, farklı cihazlarla oluşturulmuş networkler ile konuşamazlar.
OSI bilindiği üzere yedi katmana ayrılmıştır ve
iletişim sırasında kullanılan protokoller ve donanımlar bu katmanlarda bulunur.
OSI modelinde katmanlar birbirlerinden bağımsız değildir ve her katman
kendinden önce olan katmana hizmet eder. İki cihaz arasında veri iletimi
gerçekleştirileceğinde, veriyi gönderen için iletim uygulama katmanından
başlayarak fiziksel katmana doğru devam eder. Bu işleme encapsulation denir.
Veri alan cihaz için durum tam tersidir. Yani verinin iletimi fiziksel
katmandan başlayarak uygulama katmanına doğru olur.
Her katman için farklı DoS saldırı çeşitleri
vardır.
7. Katman için DoS ve DDoS
Misal verecek olursak, herhangi bir web sitesine
girebilmek için tarayıcıyı açan son kullanıcı bu işlemi http protokolünden
dolayı 7. katmanda gerçekleştirir. Son kullanıcı tarafından çalıştırılabilecek
tüm uygulamalar bu seviyede yer almaktadır. Bu katmanda Telnet, FTP, DHCP, DNS,
HTTP, SMTP, POP protokolleri kullanılır. Elektronik posta, veri tabanı
yönetimleri, dosya paylaşımları gibi işlemler gerçekleştirilir. Olabilecek
sonuçları arasında kaynakların kullanım sınırlarına erişmesinden dolayı sistemi
çalışması için gerekli kaynaklarda kıtlığın yaşanması gösterilebilir.
6. Katman için DoS DDoS
Bu katmanda sıkıştırma ve şifreleme protokolleri
kullanılır. Veri sıkıştırma, şifreleme ve çözme işlemleri, veri formatının
değiştirilmesi gibi işlemler bu katmanda gerçekleştirilmektedir. Bu katmanda
yapılacak saldırılara örnek olarak, kötü niyetle biçimlendirilmiş SSL istekleri
gösterilebilir. Bu saldırıda kötü niyetli saldırgan sunucuyu hedef almak için
http ataklarını SSL ile tüneller.
5. Katman için DoS ve DDoS
Session katmanında oturum açma ve kapatma
protokolleri kullanılır. Ağdaki işletim sistemleri içerisinde oturumun
kurulması, sonlandırılması ve senkronizasyonunun sağlanması bu katmanda
gerçekleşir. Bir saldırı örneği olarak Telnet servisinin durdurulması gösterilebilir.
4. Katman için DoS ve DDoS
Transport katmanı, üstündeki ve altındaki
katmanları arasındaki bağlantıyı sağlar. SPX, SCTP, TCP, DCCP gibi verinin
iletimi üzerinde rol alan protokolleri kullanır. Verinin alıcısına ulaşıp
ulaşmadığını kontrol eder. Bu katmanda gerçekleştirilen saldırılar için SYN
Flood ve Smurf saldırısı örnek gösterilebilir.
3. Katman için DoS ve DDoS
Transport katmanından gelen istekleri
cevaplandırarak bunları data link katmanına iletir. IPX, ARP, IP, ICMP gibi protokoller
kullanılır. Network katmanında ağdaki
cihazların adresleme işlemleri gerçekleştirilir ayrıca gelen veri paketlerinin
ağ adresleri kullanılarak uygun ağlara yönlendirilmesi sağlanır. Router bu
katmanda yer alır. ICMP Flood saldırısı bu katmanda yapılan saldırılara örnek
gösterilebilir.
2. Katman için DoS ve DDoS
Data Link katmanında 802.3 & 802.5
protokolleri kullanılır. Bu katmanda fiziksel katmana erişim ile ilgili
kurallar düzenlenir. Bunlar fiziksel katman üzerinden transferin kurulması,
sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi gibi kurallardır.
Ayrıca bu katmanda gerçekleştirilen işlemlerin büyük kısmı ağ arayüz kartı
içerisinde gerçekleştirilir. Bu katmanda gerçekleştirilebilecek saldırılara MAC
Flood saldırısı örnek gösterilebilir. Bu saldırılar sonucunda ise kullanıcı
kaynağından hedefine giden veri akışının bozulması ihtimali vardır.
1. Katman için DoS ve DDoS
Bu katmanda verilerin fiziksel cihazlar üzerinden
sinyal olarak gönderilmesi ve alınması sağlanır. 100Base – T & 1000Base – X
gibi protokoller kullanılır. Bu katmanda direkt olarak fiziksel saldırılar
yapılır. Bu saldırılar sonucunda fiziksel varlıklar yeniden ayarlanamaz yahut
kullanılamaz hale gelebilir. Bu saldırılara, ağ kablolarına ve donanımlara
zarar vermek, frekans bozumu (jamming) saldırısı örnek gösterilebilir.DOS ve DDOS hizmetini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.
KAYNAK
https://www.cloudflare.com/learning/ddos/layer-3-ddos-attacks/
https://tr.wikipedia.org/wiki/Denial-of-service_attack
https://hostnoc.com/ddos-vulnerabilities-on-separate-layers-of-the-osi-model-how-to-mitigate-them/