30 Mart 2020 Pazartesi

DoS/ DDoS Nedir? OSI Katmanlarına Göre DoS/DDoS Saldırıları


DoS ve DDoS Nedir?


Kübra Eskalan, Sızma Testi Uzmanı

Denial of Service yani DoS atağı kötü niyetli kişiler tarafından yapılarak sistemin normal işleyişini kesintiye uğratarak kullanılamaz hale getirmesini amaçlamaktadır. DoS atağını başlatmak için tek bir cihaz yeterlidir. Bu atak türünde hedef bilgisayara eş zamanlı ve mümkün olduğunca çok sayıda istek gönderilir. Sistemlerin ağ trafiğinin bir kapasitesi vardır. Sistemin sahip olduğu bu kaynaklara saldırganlar tarafından aşırı yüklenildiğinde dolan kapasitenin karşısında, firewall gelen paketlerin hangisinin gerçek veya saldırı olduğunu anlamakta yetersiz kalmaktadır. Bu yüzden sistem hizmetleri yavaşlamakta hatta verilen hizmetler bu saldırılar sonrasında tamamen çökebilmektedir. Fark edilmesi ve engellenmesi DDoS ataklara göre kolaydır. Nedeni ise tek sunucu üzerinden yapıldığı için bu sunucu adresinden gelen paketleri engelleyerek atağın önlenmesi mümkündür. DoS atakları genel olarak önemli bilgi yahut varlıkların ele geçirilmesi ile sonuçlanmasa bile mağdur için büyük miktarlarda para ve zamana mal olabilmektedir.

Distributed Denial of Service yani DDoS atakları, en etkin saldırı yöntemleri arasında bulunmaktadır. Bu saldırı bir saldırı kaynağından değil de birçok farklı kaynaktan gelen bir DoS saldırısı türüdür. Yani birden fazla sistem senkronize edilerek bir DoS saldırısını tek bir hedefe düzenlediğinde gerçekleşmektedir.  Temel fark bir yerden saldırıya uğranması yerine aynı anda birçok yerden saldırıya uğranmasıdır. DDoS saldırıları, Ping, HTTP, Slowloris, SYN vb. saldırı türleriyle yapılabilir üstelik çok uzun süreler devam edebilir. Sunucuların açık bulunun portları sebebiyle kötücül kişiler, hassas verilere erişebilir, bu verileri kullanabilir ya da satabilir. Başarılı bir DDoS saldırısı, tüm çevrimiçi kullanıcı tabanını etkileyen oldukça dikkat çekici bir olaydır.
DoS ve DDoS saldırılarıyla hedeflenen sisteme sızmaktan çok sistemin verdiği hizmetleri aksatmaktır. Saldırı hedefi olan taraf hizmet veremediği süre boyunca maddi ve itibar olarak zarara uğramaktadır. Durum böyle olunca bu saldırılar bazı ülkelerin de kullanmaktan kaçınmadığı bir silah haline gelmiştir. Çünkü ülkelerin elindeki bu silah çok daha maliyetsiz ve çok daha etkili olabilecek seviyede olduğu görülmüştür. Günümüzde çok rahat bir şekilde yapılabilir hale gelmesi ile basit vasıtalarla bu saldırılar gerçekleştirilmektedir. Bu saldırıların kurbanları genel olarak ticaret şirketleri, devlet kuruluşları ve bankacılık gibi yüksel profilli kuruluşların sunucularıdır. Toparlayacak olursak saldırganlar saldırıyı tek bir ana bilgisayardan yaparsa buna bir DoS saldırısı denir. Lakin saldırgan çoklu makineler ile kurbana DoS saldırısı düzenlerse bu saldırılar DDoS saldırısı olarak sınıflandırılır.

DoS ve DDoS saldırılarının çok yaygın olmasından dolayı birçok insan bu saldırılara dair birtakım fikirlere sahiptir. Bu fikir çokluğundan dolayı oluşan yanlış bilgiler ise azımsanamayacak kadar fazladır. Linux sistemlerinin bu saldırılara karşı çok daha dayanıklı olduğu bilgisi kesinlikle gerçeği yansıtmamaktadır. Kısaca hiçbir Firewall ve IPS’in tek başına DDoS’u engelleyemeyeceğini belirtmekte fayda vardır.

Son olarak belirtmek isterim ki, kanuni açıdan bu saldırılar her ne kadar sayıca fazla olsa da firmaların hizmetlerini engellemeye neden olduğu için suç sayılmıştır.


Peki Bu Saldırıları Engellemek Mümkün Mü?



DoS/DDoS saldırılarının yüzde yüz engellenmesi gibi bir durum söz konusu olmasa bile bu saldırıları hafifletmek adına kurumlar bir dizi önlem alabilirler.  Olası bir duruma karşı hazırlıklı olmak için aşağıdaki önlemleri sayabiliriz;


  •  Düzenli olarak sızma testi yaptırılarak, sistemlerin hangi noktada durduğu tespit edilmeli buna göre gerekli önlemler alınmalıdır.
  •   Bütün sistemler vaktinde güncellenmelidir.
  •   Güvenilirliği yüksek anti virüs yazılımları ve donanımı kullanılmalıdır.
  • Gelebilecek saldırılar önceden düşünülüp bant genişliği kurumun ihtiyacından fazlası olmalıdır.
  •   Verilerin birden çok sunucuda saklanılması ve kullanılması.
  •  Olağan dışı durumlar için ağ cihazları yapılandırılmalı ve ağ trafiği izlenmelidir.

OSI Nedir? Katmanlarına Göre DoS/DDoS Saldırıları


OSI (Open System Interconnect) nedir sorusuna basitçe farklı kişilerin geliştirdiği network bileşenlerinin uyumlu olarak çalışmasını sağlayan kurallar bütünüdür diyebiliriz. Yani OSI, ağ sistemleri için bir kılavuz niteliği taşır. Network ürünleri geliştirmekte olan bütün firmalar OSI kurallarına uygun bir şekilde cihaz geliştirmek zorundadır. OSI kurallarına uygun geliştirilmemiş cihazlar, farklı cihazlarla oluşturulmuş networkler ile konuşamazlar.

OSI bilindiği üzere yedi katmana ayrılmıştır ve iletişim sırasında kullanılan protokoller ve donanımlar bu katmanlarda bulunur. OSI modelinde katmanlar birbirlerinden bağımsız değildir ve her katman kendinden önce olan katmana hizmet eder. İki cihaz arasında veri iletimi gerçekleştirileceğinde, veriyi gönderen için iletim uygulama katmanından başlayarak fiziksel katmana doğru devam eder. Bu işleme encapsulation denir. Veri alan cihaz için durum tam tersidir. Yani verinin iletimi fiziksel katmandan başlayarak uygulama katmanına doğru olur.



Her katman için farklı DoS saldırı çeşitleri vardır.

7. Katman için DoS ve DDoS
Misal verecek olursak, herhangi bir web sitesine girebilmek için tarayıcıyı açan son kullanıcı bu işlemi http protokolünden dolayı 7. katmanda gerçekleştirir. Son kullanıcı tarafından çalıştırılabilecek tüm uygulamalar bu seviyede yer almaktadır. Bu katmanda Telnet, FTP, DHCP, DNS, HTTP, SMTP, POP protokolleri kullanılır. Elektronik posta, veri tabanı yönetimleri, dosya paylaşımları gibi işlemler gerçekleştirilir. Olabilecek sonuçları arasında kaynakların kullanım sınırlarına erişmesinden dolayı sistemi çalışması için gerekli kaynaklarda kıtlığın yaşanması gösterilebilir.

6. Katman için DoS DDoS
Bu katmanda sıkıştırma ve şifreleme protokolleri kullanılır. Veri sıkıştırma, şifreleme ve çözme işlemleri, veri formatının değiştirilmesi gibi işlemler bu katmanda gerçekleştirilmektedir. Bu katmanda yapılacak saldırılara örnek olarak, kötü niyetle biçimlendirilmiş SSL istekleri gösterilebilir. Bu saldırıda kötü niyetli saldırgan sunucuyu hedef almak için http ataklarını SSL ile tüneller.

5. Katman için DoS ve DDoS
Session katmanında oturum açma ve kapatma protokolleri kullanılır. Ağdaki işletim sistemleri içerisinde oturumun kurulması, sonlandırılması ve senkronizasyonunun sağlanması bu katmanda gerçekleşir. Bir saldırı örneği olarak Telnet servisinin durdurulması gösterilebilir.

4. Katman için DoS ve DDoS
Transport katmanı, üstündeki ve altındaki katmanları arasındaki bağlantıyı sağlar. SPX, SCTP, TCP, DCCP gibi verinin iletimi üzerinde rol alan protokolleri kullanır. Verinin alıcısına ulaşıp ulaşmadığını kontrol eder. Bu katmanda gerçekleştirilen saldırılar için SYN Flood ve Smurf saldırısı örnek gösterilebilir.

3. Katman için DoS ve DDoS
Transport katmanından gelen istekleri cevaplandırarak bunları data link katmanına iletir. IPX, ARP, IP, ICMP gibi protokoller kullanılır.  Network katmanında ağdaki cihazların adresleme işlemleri gerçekleştirilir ayrıca gelen veri paketlerinin ağ adresleri kullanılarak uygun ağlara yönlendirilmesi sağlanır. Router bu katmanda yer alır. ICMP Flood saldırısı bu katmanda yapılan saldırılara örnek gösterilebilir.

2. Katman için DoS ve DDoS
Data Link katmanında 802.3 & 802.5 protokolleri kullanılır. Bu katmanda fiziksel katmana erişim ile ilgili kurallar düzenlenir. Bunlar fiziksel katman üzerinden transferin kurulması, sürdürülmesi ve nasıl gerçekleştirileceğine karar verilmesi gibi kurallardır. Ayrıca bu katmanda gerçekleştirilen işlemlerin büyük kısmı ağ arayüz kartı içerisinde gerçekleştirilir. Bu katmanda gerçekleştirilebilecek saldırılara MAC Flood saldırısı örnek gösterilebilir. Bu saldırılar sonucunda ise kullanıcı kaynağından hedefine giden veri akışının bozulması ihtimali vardır.

1. Katman için DoS ve DDoS
Bu katmanda verilerin fiziksel cihazlar üzerinden sinyal olarak gönderilmesi ve alınması sağlanır. 100Base – T & 1000Base – X gibi protokoller kullanılır. Bu katmanda direkt olarak fiziksel saldırılar yapılır. Bu saldırılar sonucunda fiziksel varlıklar yeniden ayarlanamaz yahut kullanılamaz hale gelebilir. Bu saldırılara, ağ kablolarına ve donanımlara zarar vermek, frekans bozumu (jamming) saldırısı örnek gösterilebilir.

DOS ve DDOS hizmetini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

KAYNAK

https://www.cloudflare.com/learning/ddos/layer-3-ddos-attacks/
https://tr.wikipedia.org/wiki/Denial-of-service_attack
https://hostnoc.com/ddos-vulnerabilities-on-separate-layers-of-the-osi-model-how-to-mitigate-them/

Hiç yorum yok:

Yorum Gönderme