denial-of-service attack ne demek?

Denial-of-service attack (DoS saldırısı), internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı ya da bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir. DoS saldırısını; bir grup insanın, bir dükkân veya işyerindeki kapıları tıkayıp, meşru tarafların mağazaya veya işletmeye girmesine izin vermeyerek normal işlemleri aksatması şeklinde örnekleyebiliriz.1

DoS saldırılarının failleri genellikle bankalar veya kredi kartı ödeme sistemleri gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedef alır. İntikam, şantaj234 ve aktivizm 5 bu saldırıları motive edebilir.

Tipleri

Bu saldırı, hedef makineyi o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makine normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırılarının iki genel formu vardır; servisin çökmesine sebep olanlar ve servisin aşırı yavaşlamasına sebep olanlar. En önemlileri ise dağıtık şekilde yapılan saldırılardır.6

Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile, dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.7

Dağıtık DoS

Dağıtık DoS (DDoS), failin birden fazla benzersiz IP adresi kullandığı bir siber saldırıdır. (genellikle binlerce). DDoS saldırılarının ölçeği, 2016 yılına kadar saniyede bir terabiti aşarak hızla artmaya devam ediyor.8 9

Gelişmiş Kalıcı DoS

Gelişmiş Kalıcı bir DoS (APDoS)'un, Gelişmiş Sürekli Tehdit (APT) tarafından işgal edilme olasılığı yüksektir. Gelişmiş sürekli tehdit iyi kaynaklara sahip, son derece yetenekli ve önemli derecede ticari nitelikli bilgisayar kaynakları ve kapasitesine erişen aktörlerdir. APDoS saldırıları özel izleme, olay tepki hizmetlerine ve özel DDoS azaltma servis sağlayıcılarının savunma yeteneklerine ihtiyaç duyan açık ve yeni bir tehdit oluşturur.

Bu saldırı türü uygulama katmanı (HTTP) floodlarına kadar geniş ağ katmanlı DDoS saldırılını ve (değişken aralıklarla) SQL'i ve XSS saldırılarını içerir.10 Suçlular genellikle saniyede on milyondan fazla talep içeren 2 den 5'e kadar saldırı vektörünü eş zamanlı kullanabilirler. Bu saldırıların çoğu kurbana saldırmakla kalmaz, herhangi bir DDoS azaltma yönetimi sağlayan bir servis sağlayıcıya "SYN flood"ları eşlik eder. Bu saldırılar birkaç hafta sürebilir. Şu ana kadar en uzun süre 38 gündür. Bu APDoS saldırıları yaklaşık 50 Petabit (50000 Terabit) zararlı trafik içerir.

Saldırganlar bu senaryoda, genelde, taktiksel olarak birçok hedef arasında geçiş yapar. Bunu DDoS defanslarından kurtulmak için oluşturmuştur. Tüm bunların sonunda saldırının ana gücünü tek bir kurban üzerinde yoğunlaştırır.

Birkaç çok güçlü ağ kaynağına sürekli erişim olan tehdit aktörleri, genişlemiş DDoS trafiğinin aşırı güçlü seviyelerini üretme yeteneğine sahiptir.

APDoS saldırıları aşağıdaki gibi karakterize edilir:

  • Gelişmiş keşif (saldırı öncesi OSINT ve algılamayı uzun süreler boyunca algılamaktan kurtuluncaya kadar hazırlanmış tarama).
  • Taktik yürütme (Birincil ve ikincil kurbanlara saldırırken birincile odaklan).
  •  Açık motivasyon (hesaplanmış bir son oyun/amaç hedef).
  •  Büyük bilgisayar kapasitesi (önemli bilgisayar gücüne erişim ve ağ bant genişliği kaynakları).
  •  Eş zamanlı çoklu iş parçacıklı OSI katmanlı saldırılar. OSI modelinin 3 ile 7 arasındaki katmanlarda çalışan karmaşık araçlardır.
  • Uzun süreler boyunca kalıcılık (Yukarıdakilerin tümünü gerçekleştirdiğimizde bir dizi hedef boyunca iyi yönetilen saldırı gerçekleşir11).

Servis Olarak DoS

Bazı satıcılar basit web tabanlı ön uçlara sahip olan ve web üzerinden ödeme kabul eden "booter" veya "stresser" hizmetleri sunar. Stres test araçları olarak satılır ve geliştirilirler. Yetkisiz DoS saldırıları yapılmasına ve teknik olarak ileri düzeyde bilgisi olmayan saldırganların, gelişmiş saldırı araçlarına -saldırganın kullanımını anlamasına gerek kalmadan- erişmesine olanak sağlar.12

Semptomlar ve Bulgular

The United States Computer Emergency Readiness Team(US-CERT) DoS saldırılarının semptomlarını şu maddeler olarak tespit etmiştir:13    

  • Alışılmadık derecede yavaş ağ performansı (dosyaları açma veya web sitelerine erişme)
  • Belirli bir web sitesinin kullanılamaması.
  • Herhangi bir web sitesine erişememe.
  • Alınan spam e-postaların sayısındaki belirgin artış (bu tür bir DoS saldırısı bir e-mail bomb olarak düşünülür).

Ek olarak semptomlar şunları içerebilir:

  • Kablosuz veya kablolu internet bağlantısının kesilmesi.
  • Web'e veya herhangi bir internet servisine uzun süre erişim reddi.

Saldırı yeterince büyük ölçekte yürütülürse, tüm coğrafi bölgedeki internet bağlantısını, yanlış yapılandırılmış veya zayıf ağ altyapı ekipmanları tarafından, saldırganın bilgisi veya amacı olmadan tehlikeye atılabilir.

Saldırı yöntemleri

Saldırı araçları

MyDoom gibi durumlarda araçlar kötü amaçlı yazılım içine yerleştirilir ve saldırılarını sistem sahibi bilgisi olmadan başlatır. Stacheldraht, DDoS aracının klasik bir örneğidir. Saldırganın işleyicilere bağlanmak için bir istemci programı kullandığı katmanlı bir yapı kullanılır. Bu da, zombi temsilcilerine komutlar veren ve DDoS saldırısını kolaylaştıran tehlikeli sistemlerdir. Temsilciler, hedeflenen uzak bilgisayarlarda çalışan bağlantıları kabul eden programlardaki güvenlik açıklarını kullanmak için otomatik rutinler kullanarak saldırgan tarafından işleyiciler tarafından ele geçirilir. Her işleyici binlerce aracı kontrol edebilir.14

Diğer durumlarda bir makine anonim grup tarafından organize edilen, (örneğin Anonymous'un düzenlediği Operation Payback) sahibin izniyle DDoS saldırısı kapsamında olabilir. LOIC genellikle bu şekilde kullanılmıştır. HOIC ile birlikte farklı özelliklere sahip ücretli ve ücretsiz sürümleri de içeren çok çeşitli DDoS araçları mevcuttur. Korsanlarla ilgili forumlarda ve IRC kanallarında bunlar için bir yer altı pazarı vardır.

İngiltere'nin GCHQ'sunda DDos için YIRTICILARIN YÜZÜ ve GÖK GÜRLEMESİ adlı araçlar bulunur.15

Uygulama Seviyesi Flood

Çeşitli DoS nedenli açıklar, bellek taşması gibi, sunucu tarafında çalışan yazılımın karışması ve disk alanı doldurması veya mevcut tüm belleği tüketmeye neden olabilir. DoS'un başka türleri, Brute Force'a dayanır, kurbana aşırı miktarda paket yollar ki kullanıcının sistem kaynağını tüketmeye çalışır. Bandwidth tabanlı saldırı ise, saldırganın kurbandan daha fazla bandwidth'e sahip olmasıyla botnet yükleyerek gerçekleştirdiği bir saldırıdır. Diğer tip floodlar ise, kurbanın bilgisayarında açık olan tüm portları meşgul ederek kaynağını tüketmeye yöneliktir. "Muz saldırısı" DoS'un başka bir saldırı türüdür. kurbanın dışarıya olan erişimini engeller ve sışa gönderdiği mesajları sürekli kendisine yönlendirerek bir döngü oluşturur. 

Hizmet bozulması Saldırıları

"Pulsing" zombiler, hedef web sitelerini ara ara ve kısa ömürlü floodingler ile çökertmekten ziyade yavaşlatmak amacıyla yönlendirilmiş tehlikeli bilgisayarlardır. "denial-of-service" yerine "degradation-of-service" olarak adlandırılan bu tür saldırılar alışılagelmiş zombi istilalarından daha zor tespit edebilir ve web sitelerine uzun süreler boyunca bağlantıyı kesebilir ve engelleyebilir.1617 Degradation-of-service saldırılarına maruz kalma, sunucunun gerçekten saldırıya uğramış olup olmadığının veya normal trafik yükleri altında olup olmadığının belirlenmesi ile daha da karmaşık hale gelir.18

Hizmet Reddi Seviye-2 Saldırıları

Hizmet reddi Seviye 2 Saldırısının amacı , saldırının ortaya çıktığı ağ kesimini bloke eden bir savunma mekanizmasının çalışmasına neden olmaktır. Dağınık saldırı veya IP üst bilgisi değişikliği durumunda saldırıya uğrayan şebekeyi , sistem olmadan İnternetten tamamen bloke eder..19

Dağıtık Hizmet Reddi Saldırıları(DDoS)

DDoS saldırısı (Distributed Denial of Service attack), çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur.20 Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.   

Dağıtılmış Hizmet Reddi Gaspı

2015'te DD4BC gibi Dağıtılmış hizmet reddi botnetleri ön plana çıkarak finansal kurumları hedef almışlardır.21 Siber-gaspçıları genellikle düşük seviyeli bir saldırıdır. Bitcoin'de fidye ödemesi yapılmazsa daha büyük bir saldırı yapacaklarına dair bir uyarı yapılır.22 Güvenlik Uzmanları fidye ödememek için hedefin web sitelerini önerir. Saldırganlar, hedef ödemeyi yapmaya hazır olduğunu fark edince genişletilmiş bir gasp komplosuna girme eğilimindedirler.23

HTTP POST DoS Saldırıları

Hyper Text Transfer Protokolü üzerinden get veya post şeklinde çeşitlendirebileceğimiz saldırı çeşidi. HTTP POST FLOOD form ve benzeri web sayfalarına captcha koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde post isteği almasına neden olarak cevap vermemesine neden olmaktır. Önlem almak için CAPTCHA kullanılmalıdır.

İnternet Denetim İletisi Protokol Flood(ICMP)

Smurf saldırısı paketlerin belirli bir ağdaki tüm ana makinelere; belirli bir makineden gönderilmesi yerine ağın yayın adresi aracılığıyla gönderilmesini sağlayan hatalı yapılandırılmış ay aygıtlarına dayanır. Saldırgan , hedefin adresi gibi görünmesi için kaynak adrese çok sayıda IP paketi gönderir. Böylece ağın bant genişliği hızlıca tükenir ve yasal paketlerin hedeflerine ulaşması engellenir.24

Ping floodu, genellikle Unix benzeri ana makinelerden ‘ping’ komutunu kullanarak hedefe çok fazla sayıda ping paketi göndermektir.(Windows sistemlerinde –t bayrağı çok daha az hedef ezme yeteneğine sahiptir ve –l bayrağı Windows’da 65500 ‘ den fazla paketin gönderilmesine izin vermez). Başlatılması çok kolaydır. İlk gereksinim, hedeften daha büyük bir bant genişliğine erişebilmektir.

Ölüm Ping’i; hedefe, korumasız bir sistemde hasar sağlayacak, bünyesi kusurlu bir ping paketi göndermektir.

Siyah Hemşire saldırısı, ulaşılamaz hedef bağlantı noktası ICMP paketlerinden yararlanan bir saldırı örneğidir.

Nükleer Silah Saldırıları(NUKE)

Nükleer Silah Saldırısı bilgisayar ağlarına karşı eski bir hizmet reddi saldırısıdır. Geçersiz ICMP paketlerini hedefe gönderir. Bu saldırıyı sonuca ulaştırabilmek için değiştirilmiş ping kullanarak bozulmuş veriyi tekrar tekrar yollar ve karşı bilgisayarı yavaşlatarak durdurur.

Nükleer Silah saldırısına örnek WinNuke'dur. WinNuke, Windows 95'te NetBIOS işleyicisindeki güvenlik açığından yararlanır. Bir dizi bant dışı veri hedefin makinesinin 139 numaralı TCP girişine gönderilir. Bilgisayarın kitlenmesine ve mavi ekran gelmesine sebep olur.

Eşler Arası(P2P)

Saldırganlar eşler arası sunucularda açık bulmak için birkaç hatadan yararlandı. En agresif eşler arası DDoS atağı DC++'dır. Eşler arası hiçbir botnet yoktur ve saldırgan istemciyle iletişim halinde olmasına gerek yoktur. Bunun yerine saldırgan kukla sahibi olarak davranır. Büyük eşler arası dosya paylaşımı yaparak onların eşler arası ağ bağlantısının kopmasına sebep olur.Kurban kendi istediği siteye bağlanmak yerine saldırganın yönlendirdiği siteye bağlanmış olur.252627

Kalıcı Hizmet Reddi

Kalıcı hizmet reddi (PDoS) , sisteme ciddi hasar veren ve donanımın tekrar yüklenmesini gerektiren28, e-ticaret dolandırıcılığı olarak da bilinen bir saldırı türüdür.29 Kalıcı hizmet reddi saldırılarında, Dağıtılmış hizmet reddi saldırılarından farklı olarak ,hedefin donanımının (yazıcılar, yönlendiriciler, diğer ağ donanımları gibi ..) uzaktan kontrolünün yapılmasına olanak veren güvenlik açıkları vardır.

Saldırgan bu zayıf noktaları, aygıtın yazılımını değiştirmek, bozmak ve hatalı bir aygıt yazılımı ile değiştirmek için kullanır. Meşru bir şekilde yapıldığında ‘yanıp sönme’ olarak adlandırılır. Bu sebeple cihaz onarım yapılıncaya ya da değiştirilinceye kadar kendi orijinal elektroniklerini kullanamaz.

Kalıcı hizmet reddi saldırıları, Dağıtılmış hizmet reddi saldırılarına göre bir root – vserver kullanmaktan daha hızlıdır ve daha az kaynak gerektirir. Bu özelliklerden ve potansiyel yüksek güvenlik olasılıklarından dolayı bu teknik çok sayıda bilgisayar korsanının dikkatini çekmiştir.

Phlash Dansı, Hewlett Packard’ın Sistem Güvenlikleri Laboratuvar’ında çalışan Rich Smith tarafından ; Londra’daki 2008 EUSecWest Uygulamalı Güvenlik Konferansı’ndaki kalıcı hizmet reddi güvenlik açıklarını tespit etmek ve göstermek için oluşturulmuştur.30

Yansıtılma Saldırıları

Bir DDoS saldırısı, taleplere cevap verecek çok sayıda bilgisayara sahte bir istek gönderilmesini gerektirebilir. IP spoofing özelliğini kullanarak, kaynak adres hedeflenen kurbanın adresine ayarlanır. Bu da tüm yanıtların hedefe gideceği (ve taşıracağı) anlamına gelir.(Bu yansıtılma saldırı formu “DRDOS” olarak da bilinir.31)

ICMP Yankı Talebi saldırısı(Smurf attack), Y saldırısının bir biçimi olarak düşünülebilir, çünkü taşan host veya hostlar, yanlış yapılandırılmış ağların yayın adreslerine yankı talebi gönderir ve bu şekilde hostları, mağdura yankı yanıtı paketleri göndermeye ikna eder. Bazı eski DDoS programları bu saldırının dağıtılmış halini uygulamıştır. 

Genişletme Saldırıları

Genişletme saldırıları, bir mağdura gönderilen bant genişliğini büyütmek için kullanılır. Bu genellikle, DNS yanıt trafiğini kullanarak hedef sistemde tıkanıklığa neden olmak için kullanılan, herkese açık erişilebilir DNS sunucuları aracılığıyla yapılır. Pek çok servis, reflektörler gibi davranmak için kullanılabilir. Bazıları diğerlerine oranla daha zorlayıcı olabilir.32 US-CERT farklı hizmetlerin farklı genişletme faktörlerine işaret ettiğini gözlemlemiştir.33

DNS genişletme saldırıları, daha önce göründüğünden daha büyük bir DNS sunucusu listesini kullanarak, genişletme etkisini artıran yeni bir mekanizma içerir. İşlem genellikle, bir saldırganın hedeflenen mağdurun kaynak IP adresini sahte IP adresi olarak kullanıp, genel DNS sunucusuna bir DNS adı arama isteği göndermesini gerektirir. Saldırgan, mümkün olduğunca çok alan bilgisi istemeyi dener ve böylece hedeflenen mağdura gönderilen DNS kayıt yanıtını genişletmeye çalışır. İstek boyutunun yanıttan önemli ölçüde küçük olması nedeniyle saldırgan, hedefe yönlendirilen trafik miktarını kolayca artırabilir.3435 SNMP ve NTP, bir yükseltme saldırısında reflektör olarak da kullanılabilir.

NTP yoluyla güçlendirilmiş bir DDoS saldırısına bir örnek monlist olarak adlandırılan bir komuttur. Bu komut, o bilgisayardan istemciye zaman ayırmasını isteyen son 600 kişinin bilgilerini gönderir. Bu saat sunucusuna yönelik küçük bir istek, herhangi bir kurbanın sahte kaynak IP adresini kullanarak gönderilebilir. Bu da mağdura geri istenen veri miktarının 556.9 katıdır. Bu şekilde, hepsinin aynı sahte IP kaynağına istek yolladığı botnet’ler kullanıldığında, güçlendirilmiş olacak ve bu da kurbana büyük miktarda veri gönderecektir.

Bu tür saldırılara karşı savunma yapmak çok zordur çünkü yanıt verileri meşru sunuculardan gelmektedir. Bu saldırı talepleri ayrıca, sunucuya bağlantı gerektirmeyen UDP aracılığıyla gönderilir. Yani, sunucu tarafından bir istek alındığında kaynak IP'nin doğrulanmadığı anlamına gelir. Bu güvenlik açıkları hakkında bilinç kazandırmak amacıyla, kullanıcıların çözümleyicilerini düzeltmelerine veya çözümleyicilerini tamamen kapatmalarına neden olan genişletme vektörlerini bulmaya adanmış kampanyalar başlatıldı.

RUDY

RUDY saldırısı, web sunucusunda mevcut oturumların starvasyonu(Bir algoritmada sıra bekleyen işlere bir türlü sıra gelmemesi durumu.) ile web uygulamalarını hedefler. Slowloris'e çok benzer şekilde, RUDY, bitmeyen POST iletimleri kullanarak ve rastgele olarak büyük bir içerik uzunluğu header değeri göndererek oturumları durdurur.    

Shrew Saldırısı

Shrew Saldırısı TCP üzerinden yapılan bir hizmet reddi saldırısıdır. TCP'nin yeniden iletim mekanizmasındaki bir zayıflıktan yararlanarak bir açık oluşturur (man-in-the-middle saldırısı). Aynı bağlantıdaki TCP bağlantılarını kesmek için senkronize edilmiş trafik patlamalarını kullanır.36 

Yavaş Okuma Saldırısı

Yavaş Okuma saldırısı , yasal uygulama katmanı istekleri gönderir fakat yanıtları çok yavaş okuyarak sunucunun bağlantı havuzunu tüketmeye çalışır. Yavaş okuma TCP Alım Penceresi boyutu için çok az miktarda reklam vererek ve müşterilerin TCP alma yedek zaman aralığını yavaş yavaş boşaltarak elde edilir. Bu da çok düşük bir veri akış hızı sağlar.

Gelişmiş Düşük Bant Genişliği DDoS

Gelişmiş Düşük Bant Genişliği DDoS saldırısı, DoS’un daha az trafik kullanan ve mağdurun sistem tasarımında zayıf bir noktayı hedefleyerek etkinliğini arttıran bir formudur. Yani saldırgan, karmaşık isteklerden oluşan trafiği sisteme gönderir.37 Aslında, gelişmiş DDoS saldırısı, daha az trafik kullanması nedeni ile daha düşük maliyetlidir, daha küçük boyutlu olması tanımlanmasını zorlaştırır ve flow control mekanizmaları tarafından korunan sistemlere zarar verebilme kabiliyetine sahiptir.3839

SYN Flood

(Aynı zamanda bakınız: SYN Flood)

Host, genellikle sahte bir gönderen adresi olan aşırı miktarda TCP / SYN paketleri gönderdiğinde bir SYN flood oluşur.

Bu paketlerin her biri, TCP / SYN-ACK paketini geri göndererek ve gönderen adresinden gelen bir paketi bekleyerek sunucunun yarı açık bir bağlantı oluşturmasına neden olan bir bağlantı isteği gibi ele alınır. Ancak, gönderen adresi sahte olduğu için yanıt gelmez. Bu yarı açık bağlantılar da sunucunun yapabileceği mevcut bağlantı sayısını iyice doldurur. Böylece saldırı sona erinceye kadar meşru isteklere yanıt veremez.40

Gözyaşı Saldırısı

Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Gözyaşı saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.41

Telefon Hizmet Reddi Saldırısı(TDoS)

IP üzerinden ses protokolü; arayan kişilerin kimlik bilgilerini sızdırma gibi yanlışlıklara izin verirken, çok sayıda sesli aramanın ucuz, kolay ve otomatik olarak yapılmasına neden olmuştur.

FBI’a göre ; telefon hizmet reddi (TDoS) çeşitli dolandırıcılık şemalarının bir parçası olarak ortaya çıkmıştır ;

  • Bir dolandırıcı , mağdurun bankasına veya broker’ına başvurur. Para transferi talebinde bulunmak için mağdurun kimliğine bürünür. Bankacı , işlemi doğrulamak için mağdura ulaşmaya çalışır. Mağdurun telefon hatlarında binlerce sahte arama olduğu için , mağdur ulaşılamaz hale gelir.42
  • Bir dolandırıcı , binlerce dolarlık olağanüstü bir maaş kredisi toplamak için sahte bir iddiayla tüketiciyle görüşür. Tüketici itiraz ettiğinde dolandırıcı mağdurun işverenine binlerce çağrı göndererek karşılık verir. Bazı durumlarda , görünen arayan kimliği polise veya kolluk kuvvetlerine benzemesi için taklit edilir.43
  • Bir dolandırıcı, sahte bir borç toplama talebi ile tüketiciyle görüşür ve polis göndermekle tehdit eder. Hedef anlaşmaya yönelmezse dolandırıcı polis numaralarını floodlayarak , mağdurun isminin görünmesini sağlar. Polis yakın sürede mağdurun evine gelerek aramaların orijinalini bulmaya çalışır.

Telefon hizmet reddi, İnternet telefonu olmasa bile var olabilir. 2002 New Hampshire Senato Seçimlerinde, telemarketçiler sahte çağrılarla politik muhalifleri engellemeye çalışmıştır.

Telefon Hizmet reddi, diğer telefon tacizlerinden kaynaklanan çağrı sayısından farklıdır. (muziplik çağrıları , müstehcen telefon görüşmeleri gibi). Sürekli tekrarlanan otomatik çağrılarla hatları işgal ederek mağdurun rutin ve acil telefon görüşmeleri yapmasını ya da almasını engeller.

İlgili istismarlara SMS flood saldırıları, siyah faks veya faks iletim gönderimleri dahildir.

Korunma yolları

DoS saldırılarına karşı savunmalar, genellikle, saldırı tespiti, trafik sınıflandırması ve yanıt araçları kombinasyonunun kullanılmasını içerir. Bunlar, meşru olduklarını belirledikleri trafik akışına izin vermeyi ve diğer trafikleri engellemeyi  amaçlar.44 Önleme ve müdahale araçlarının bir listesi aşağıda verilmektedir:    

Uygulama Ön Uç Donanımı

Uygulama ön uç donanımı, trafik sunucularına ulaşmadan önce ağa yerleştirilen akıllı bir donanımdır. Anahtarlar ve yönlendiriciler ile birlikte ağlarda kullanılabilir. Uygulama ön uç donanımı sisteme girerken veri paketlerini analiz eder ve sonra bunları öncelikli, normal veya tehlikeli olarak tanımlar. 25'den fazla bant genişliği yönetimi sağlayıcısı bulunmaktadır.

Kara Delik ve Sinkholing

Kara Delik yönlendirmesiyle, saldırıya uğramış DNS veya Ip adresine bir "kara delik"'e(boş arayüz veya mevcut olmayan bir sunucuya) tüm trafik yollanır. Daha verimli olmak ve ağ bağlantısını etkilemekten kaçınmak için, ISS tarafından yönetilebilir.45

Bir DNS sinkhole trafiği analiz eden ve hatalı paketleri reddeden geçerli bir IP adresine yönlendirilir. Sinkholing, en güçlü saldırılar için etkili değildir.    

IPS Tabanlı Savunma

Saldırı tespit sistemleri (IPS), saldırıların kendileri ile ilişkili imzaları olması durumunda etkilidir. Fakat, saldırılar arasındaki eğilim meşru içeriğe sahip olmakla birlikte kötü niyetlidir. İçerik tanıma üzerinde çalışılan saldırı tespit sistemleri davranış temelli DoS saldırılarını engelleyemez.4647

DDS(Hizmet reddi koruma sistemi) Tabanlı Savunma

Hizmet reddi koruma sistemi , bağlantı tabanlı hizmet reddi saldırılarını ve içeriği kötü niyetli olanları engelleyebilir. IPS’den daha çok soruna odaklanır. Bir DDS , protokol saldırılarına (gözyaşı damlası ve ölüm pingi ) ve ücret tabanlı saldırılara(ICMP ve SYN floodları) da dayanabilir.

Güvenlik Duvarları

Basit bir saldırı durumunda, güvenlik duvarları saldırganlardan gelen tüm trafiği, protokollere, portlara veya kaynak IP adreslerine dayanarak reddetmek için basit bir kurala sahip olabilir.

Ancak basit kurallarla daha karmaşık saldırıların engellenmesi zor olacaktır. Örneğin, 80. portta(web hizmeti) devam eden bir saldırı varsa, bu porta gelen bütün trafiği engellemek mümkün değildir, çünkü meşru trafikleri de engellemiş oluruz.48 Ayrıca, ağ hiyerarşisinde güvenlik duvarları çok derinde olabilir, bu yüzden trafik güvenlik duvarına gelmeden önce yönlendiriciler olumsuz etkilenmiş olabilir.

Yönlendiriciler

Yönlendiriciler de , anahtarlar gibi bazı hız sınırlayıcı ve ACL özelliklerine sahiptir. Yönlendiriciler de el ile ayarlanır. Çoğu yönlendirici , bir hizmet reddi saldırısı altında kolayca ezilebilir. Cisco IOS , isteğe bağlı olarak floodların etkisini azaltabilen özelliklere sahiptir.49

Anahtarlar

Çoğu anahtarların bazı hız sınırlayıcı ve ACL yeteneği var. Bazı anahtarlar, trafik şekillendirme , gecikmeli bağlama ( TCP yapıştırma ), derin paket inceleme ve Bogon filtreleme, otomatik hız filtreleme ve WAN üzerinden denial-of-service saldırılarını tespit ve düzeltmek için sahte IP filtreleme sağlayabilir.50

Bu şemalar sürece DoS saldırıları bunları kullanarak önlenebilir. Örneğin SYN flood, gecikmiş bağlanma veya TCP yapıştırma kullanılarak önlenebilir. Benzer şekilde içerik tabanlı DoS derin paket inceleme kullanılarak önlenebilir. Kaynaklanan saldırılar Bogon filtreleme kullanılarak önlenebilir. Otomatik hız filtreleme sürece set oran eşikleri doğru ve kademeli ayarlanmış olarak çalışabilir. Wan-bağlantı yük devretme sürece her iki linkler DoS / DDoS önleme mekanizması var olarak çalışacaktır.51

Yukarı Yönde Filtreleme

Tüm trafik temizlik merkezi boyunca veya ovma merkezi üzerinden proxy, tüneller, dijital çapraz bağlantılar veya doğrudan devreler gibi çeşitli yöntemlerle geçilir. Doğrudan devreler "kötü" trafiği(DDoS ve diğer yaygın internet atakları) ayırır ve sunucuya sadece iyi trafik gönderir. Hizmet sağlayıcı "temizlik merkezi" veya "ovma merkezi" ile aynı yerde bulunmadıkça bu tür hizmetleri yönetmek için internete merkezi bir bağlantı ihtiyacı duyar.52

Hizmet sağlayıcı servis örnekleri

Saldırıların yan etkileri

Gerisaçılım bilgisayar ağı güvenliğinde sahte hizmet saldırılarının yan etkisidir. Bu tür bir saldırıda, saldırgan kurbana gönderilen IP paketlerine kaynak adresini yanıltır veya taklit eder. Genellikle, kurban makine sahte paketleri ve legal paketleri birbirinden ayırt edemez. Bu nedenle kurban sahte paketleri normalde olduğu gibi yanıtlar. Bu tepki paketleri geri saçılımcı olarak bilinir.66

Saldırgan kaynak adresini rastgele taklit ediyorsa, kurbandan gelen yanıt paketleri rastgele hedeflere gönderir. Bu etki bu gibi saldırıların dolaylı kanıtı olarak ağ teleskopları tarafından kullanılabilir.

"Geriye dönük analiz" terimi, DoS saldırılarının ve kurbanların özelliklerini belirlemek için IP adres alanının istatistiksel açıdan önemli bir bölümüne ulaşan geri saçılım paketlerini gözlemlemek anlamına gelir.

Yasal durumu

DoS saldırısı yapmak çoğu ülkede ciddi bir bilişim suçudur ve cezası vardır fakat saldırının doğal yapısı gereği saldırıyı yöneten kişileri tespit etmek diğer saldırı yöntemleriyle kıyaslandığında çok daha zordur.

Ayrıca bakınız

Kaynakça

Orijinal kaynak: denial-of-service attack. Creative Commons Atıf-BenzerPaylaşım Lisansı ile paylaşılmıştır.

Footnotes

Kategoriler