View - Ulusal Bilgi Güvenliği Kapısı

Transkript

BİLİŞİM VE BİLGİ GÜVENLİĞİ İLERİ TEKNOLOJİLER ARAŞTIRMA MERKEZİ
DDOS (SERVİS DIŞI BIRAKMA SALDIRILARI) İLE MÜCADELE KILAVUZU
 2015 TÜBİTAK BİLGEM
Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi
P.K. 74, 41470 Gebze / KOCAELİ
Tel: (0262) 648 10 00, Faks: (0262) 648 11 00
www.bilgem.tubitak.gov.tr
SBLN Rev 2.0/ 15.01.2014
DOKÜMAN ONAY BİLGİLERİ
Adı Soyadı
Görevi
Tarih
İmza
Hazırlayan(lar)
Kontrol Eden(ler)
Onaylayan(lar)
DEĞİŞİKLİK KAYITLARI
Revizyon Revizyon
No
Tarihi
Hazırlayan(lar)
Revizyon Nedeni
2 / 45
BILGEM-[SurecKodu]-KLVZ4_Rev1.0-31122014
Kurumsal portaldan erişilen elektronik kopyalar güncel ve KONTROLLÜ olup, elektronik ortamdan alınan çıktılar KONTROLSÜZ KOPYA’dır.
SBLN Rev 2.0/ 15.01.2014
İÇİNDEKİLER
Kısaltmalar .........................................................................................................................5
Semboller ...........................................................................................................................6
Şekiller ...............................................................................................................................7
1. GİRİŞ..............................................................................................................................8
1.1 Bilgi Güvenliği Kapısı’nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler .......................8
1.2 Amaç ve Kapsam .........................................................................................................9
1.3 Hedeflenen Kitle ...........................................................................................................9
2. BİLGİ GÜVENLİĞİ UNSURLARI ..................................................................................10
3. DOS / DDOD SALDIRILARI .........................................................................................11
3.1 Fiziksel Katman ..........................................................................................................11
3.2 Veri Bağı Katmanı ......................................................................................................12
3.2.1 MAC Seli (Flooding) ve Servis Dışı Bırakma (DoS) ................................................12
3.2.2 Kablosuz Ağlar ve ARP ...........................................................................................13
3.2.3 VTP Atağı ................................................................................................................14
3.3 Ağ Katmanı ................................................................................................................15
3.3.1 IP Sahteciliği (Spoofing) ..........................................................................................15
3.3.2 ICMP Seli ................................................................................................................16
3.3.3 ICMP Smurf.............................................................................................................16
3.3.4 Teardrop .................................................................................................................17
3.3.5 LAND Saldırısı ........................................................................................................17
3.4 Taşıma Katmanı .........................................................................................................18
3.4.1 TCP .........................................................................................................................18
3.4.1.1 TCP SYN Seli.......................................................................................................19
3.4.1.2 TCP Bağlantı Seli .................................................................................................21
3.4.2 UDP ........................................................................................................................22
3.4.2.1 Fraggle .................................................................................................................23
3.4.2.2 UDP Seli...............................................................................................................23
3.5 Uygulama Katmanı.....................................................................................................24
3.5.1 UDP Seli .................................................................................................................24
3.5.1.1 DHCP Açlık (Starvation) Atağı .............................................................................26
3.5.1.2 Sahte / Yetkisiz DHCP Sunucular ........................................................................26
3.5.2 SNMP ......................................................................................................................27
3.5.3 SMTP ......................................................................................................................28
3.5.4 DNS ........................................................................................................................29
3.5.4.1 Yinelemeli DNS Sorguları.....................................................................................30
3.5.4.2 DNS Sorgusu Seli ................................................................................................31
3.5.4.3 DNS Yükseltme (Amplification) ............................................................................33
3.5.5 HTTP .......................................................................................................................34
3.5.5.1 HTTP GET Seli ....................................................................................................35
3.5.5.2 SlowHTTP ............................................................................................................37
3.5.5.3 Slowloris ...............................................................................................................38
3.5.6 Yönlendirme Protokolleri .........................................................................................38
4. GENEL HATLARIYLA DDOS ÖNLEMLERİ .................................................................40
4.1 IP Engelleme ve Beyaz / Kara Liste Kullanımı ...........................................................40
4.2 İstek Aşımı (Rate Limit) ..............................................................................................40
3 / 45
SBLN Rev 2.0/ 15.01.2014
4.3 DNS İsteklerini TCP Protokolüne Çevirme .................................................................40
4.4 İlk Paketi Düşürme .....................................................................................................41
4.5 SYN Cookie ...............................................................................................................41
4.6 SYN Proxy .................................................................................................................41
4.7 Anycast DNS Sunucu Kullanımı .................................................................................43
4.8 Atak Modeli ile Engelleme ..........................................................................................43
4.9 HTTP GET / POST Seline Karşı Önlemler .................................................................44
4.10 Saldırının Etkisini Azaltacak Proaktif Önlemler ........................................................44
4.11 Korumaya Yönelik Hizmet Sağlayıcılarından Hizmet Alınması ................................44
4 / 45
SBLN Rev 2.0/ 15.01.2014
Kısaltmalar
AAA
:
Authentication, Authorization, Accounting
ACL
:
Access Control List
AES
:
Advanced Encryption Standart
AH
:
Authentication Header
BIOS
:
Basic Input / Output System
BGP
:
Sınır Ağ Geçidi Protokolü
CAST
:
Bir blok şifreleme algoritması (block
Kısaltma Carlisle
cipher),
Adams, Stafford Tavares in ilk
harflerinden oluşmaktadır.
DES
:
Data Encryption Standart
DHCP
:
Dynamic Host Control Protocol
DMZ
:
Demilitarized Zone / Demarcation Zone
DNS
:
Domain Name Server
DoS
:
Servis Dışı Bırakma (Denial of Service)
DDOS
:
Dağıtık Servis Dışı Bırakma (Distributed Denial of
Service)
EAP-TLS
:
Extensible Authentication Protocol –Transport Layer
Security
EGP
:
Harici Ağ Protokolü
ESP
:
Encapsulating Security Payload
FTP
:
File Transfer Protocol
GAŞ
:
Geniş Alan Şebekesi
Gbps
:
Giga bit per second
http
:
Hypertext Transfer Protocol
ICMP
:
Internet Control Message Protocol
IDEA
:
International Data Encryption Algorithm
IDS
:
Intrusion Detection System
IEEE
:
Institute of Electrical and Electronics Engineers
IGP
:
Dahili Ağ Geçidi Protokolü
IGRP
:
Dahili Ağ Geçidi Yönlendirme Protokolü
IKE
:
Internet Key Exchange
IP
:
İnternet Protokolü
IPS
:
Intrusion Prevention System
5 / 45
SBLN Rev 2.0/ 15.01.2014
IPSec
:
Internet Prtocol Security
ISDN
:
Integrated Services for Digital Networks
L2TP
:
Layer 2 Tunneling Protocol
MAC
:
Media Access Control
Mbps
:
Mega bit per second
NTP
:
Network Time Protocol
OSI
:
Open System Interconnection
PEAP
:
Protected Extensible Authentication Protocol
POP3
:
Post Office Protocol 3
PPTP
:
Point to Point Tunneling Protocol
RADIUS
:
Remote Authentication Dial In User Service
RIP
:
Yönlendirme Bilgi Protokolü
SHA - 1
:
Secure Hash Algorithm 1
SMTP
:
Sent Mail Transfer Protocol
SNMP
:
Simple Network Management Protocol
SSH
:
Secure Shell
SSL
:
Secure Socket Layer
TCP
:
Transport Control Protocol
TFTP
:
Trivial File Transfer Protocol
TKIP
:
Temporal Key Integrity Protocol
UDP
:
User Datagram Protocol
VLAN
:
Virtual Local Area Network
VTP
:
Cisco’ya özgü VLAN Yönetim Protokolü
WEP
:
Wired Equivalent Privacy
WLAN
:
Wireless Local Area Network
WMAN
:
Wireless Metropolitan Area Network
WPA
:
Wireless Protected Access
WPAN
:
Wireless Personal Area Network
WPA - PSK
Wireless Protected Access-PreShared Key
Semboller
koyu
:
İngilizce terimleri belirtmek için kullanılır.
komut
:
Kod parçalarını ve betikleri belirtmek için kullanılır
Koyu altı çizili
:
Vurgu yapmak içindir.
6 / 45
SBLN Rev 2.0/ 15.01.2014
Şekiller
Şekil 1 DDos saldırısı ve Botnetler .................................................................................................. 11
Şekil 2 Kablosuz Ağlara Yönelik De-auth Saldırısı .......................................................................... 14
Şekil 3 Smurf Saldırısı .................................................................................................................... 16
Şekil 4 LAND Saldırısı .................................................................................................................... 18
Şekil 5 TCP SYN Seli Saldırısı ........................................................................................................ 19
Şekil 6 Dynamic IP Restriction yapılandırması ................................................................................ 22
Şekil 7 UDP Seli Saldırısı ............................................................................................................... 24
Şekil 8 DHCP Çalışma Mantığı ....................................................................................................... 26
Şekil 9 SNMP Protokolü.................................................................................................................. 27
Şekil 10 Alan Adı Uzayı .................................................................................................................. 29
Şekil 11 DNS Kayıt Tipleri ............................................................................................................... 29
Şekil 12 Yinelemeli DNS Sorguları .................................................................................................. 31
Şekil 13 DNS Sorgu Seli saldırısı .................................................................................................... 32
Şekil 14 DNS Yükseltme Saldırısı ................................................................................................... 33
Şekil 15 http-TCP Bağlantı Kurulma Süreci..................................................................................... 34
Şekil 16 Ülke IP Kodları .................................................................................................................. 36
Şekil 17 SYN Proxy Çalışma Mantığı .............................................................................................. 42
Şekil 18 IP Yönlendirme Şemaları................................................................................................... 43
7 / 45
SBLN Rev 2.0/ 15.01.2014
1. GİRİŞ
1.1 Bilgi Güvenliği Kapısı’nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler
Bilgi Güvenliği Kapısı (www.bilgiguvenligi.gov.tr) web sitesi ve bu sitede yer alan kılavuzlar; ilk
olarak “Ulusal Bilgi Sistemleri Güvenlik Projesi” kapsamında hazırlanmıştır. Daha sonra Kalkınma
Bakanlığı’nın 2012 bütçesinden desteklenen “Kamu Bilgi Sistemleri Güvenliği Programı”
kapsamında, Bilgi Güvenliği Kapısı web sitesinin siber güvenlik bilgi bankasına dönüşmesi ve siber
güvenliğin farklı alanlarında Türkçe içerik oluşturma hedefiyle güncellenmiştir. Bu süreç içinde
ihtiyaç doğrultusunda yeni kılavuzlar da oluşturulmuş, kullanıcıların siber güvenlik bilincini arttırmak
hedefiyle daha interaktif görsel materyalle desteklenmiş e-öğrenme formatında içerik eklenerek, bilgi
bankası zenginleştirilmiştir.
Kılavuzlar siber güvenliğin hem teknik hem de teknik olmayan alanlarında bilgi aktarımı hedefiyle
hazırlanmıştır. İçerikte; bazen bir servisin, bir işletim sisteminin ya da bir protokolün güvenlik
yapılandırmasının gerçekleştirilmesi amacıyla verilen bilgilerin yanı sıra, siber güvenliğin bir bütün
olarak görülmesi ve yönetilmesi ihtiyacından yola çıkarak yönetimsel kontrollere ait bilgiler de yer
almaktadır. Diğer taraftan kılavuzlarda bilgiye ek olarak gerektiğinde tecrübelere de yer verilmiştir.
Kılavuzların daha hızlı okunabilmesi ve etkili kullanılabilmesi için önemli komutlar ya da hap
niteliğinde olan özet bilgiler farklı formatta sunulmuştur. Bu sayede sistem, ağ, etki alanı vs.
yöneticileri, son kullanıcılar, bilgi güvenliği yönetim sistemi yürütücüleri ya da yöneticiler tarafından
başucu referansı olarak kullanılması hedeflenmiştir.
Bu dokümanda ticari markalara ismen yer verilmiş olabilir. Bu markalar ve ürünler tamamen özgün
sahiplerine aittir. Kılavuzlarda sunulan bilgi, tecrübe, uygulama ve komutlar tamamen tavsiye
niteliğinde olup en yoğun kullanılan ürün, sistem, servis ya da protokoller göz önünde
bulundurularak
hazırlanmıştır.
Bu
nedenle
verilen
komut,
bilgi
ya
da
tecrübe
değişik
ürünler/yapılandırmalar için farklılık gösterebilir.
TÜBİTAK BİLGEM kılavuzlarda verilen bilgi ve bu bilgiye bağlı olarak sunulan yöntemler ya da
uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman TÜBİTAK BİLGEM’in izni
olmadan değiştirilemez, ticari getiri elde etmek amacıyla basılamaz, çoğaltılamaz, dağıtılamaz.
Güncelleme, ekleme ya da düzeltme taleplerinizi [email protected] e-posta adresine
gönderebilirsiniz.
8 / 45
SBLN Rev 2.0/ 15.01.2014
1.2 Amaç ve Kapsam
1.3 Hedeflenen Kitle
9 / 45
SBLN Rev 2.0/ 15.01.2014
2. BİLGİ GÜVENLİĞİ UNSURLARI
Bilgi güvenliği, bilgilerin izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden,
değiştirilmesinden veya hasar verilmesinden korunması işlemidir. Mahremiyetin, bütünlüğün ve
bilginin ulaşılabilirliğinin korunması hususu ortak hedeftir. Temel güvenlik fonksiyonları aşağıdaki
şekilde sıralanabilir.

Kimlik Sınaması (Authentication)

Yetkilendirme (Authorization)

İzlenebilirlik/Kayıt Tutma (Accountability)

Gizlilik (Confidentiality)

Veri Bütünlüğü (Data Integrity)

Güvenilirlik (Reliability-Consistency)

İnkâr Edememe (Non-repudiation)

Süreklilik (Availability)
DDoS bilgi güvenliği unsurlarından Sürekliliği hedef almaktadır. Sürekliliği şu şekilde özetlemek
mümkündür: “Bilginin her an ulaşılabilir ve kullanılabilir olmasını amaçlayan prensiptir. Bilişim
sistemlerinin kendilerinden beklenen işi sürekli bir şekilde tam ve eksiksiz olarak yapmasını
amaçlamaktadır. Süreklilik hizmeti, bilişim sistemlerini, kurum içinden ve dışından gelebilecek
başarım düşürücü tehditlere karşı korumayı hedefler. Süreklilik hizmeti sayesinde, kullanıcılar,
erişim yetkileri dâhilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde
ulaşabilirler.”
Genel olarak OSI katmanları ve bu katmanlar üzerinde gerçekleştirilebilecek servis dışı bırakma
saldırılarından teorik bahsedildikten sonra ağ ve uygulama katmanı seviyesindeki DDoS ataklarına
yoğunlaşarak anlatımı gerçekleştirilecektir. Olası bir DDoS durumunda alınacak aksiyonlar ve saldırı
sırası/sonrası paket analizi (packet analysis) yöntemlerinden bahsedilecektir. Özetle bu kılavuzda
sık kullanılan ve etkili olan DDOS yöntemleri, çalışma mantıkları ve korunma yöntemlerinden teorik
olarak bahsedilecektir.
10 / 45
SBLN Rev 2.0/ 15.01.2014
3. DOS / DDOD SALDIRILARI
Öncesinde sadece DoS, yani tek bir kaynaktan hedefe doğru saldırı yapılması şeklinde ortaya çıkan
bu saldırı türü, zamanla şiddetinin ve etkisinin arttırılması için çok sayıda kaynaktan tek hedefe
yapılan saldırı şekline dönüşmüştür. DoS/DDoS saldırılarında amaç, sistemin kaldırabileceği yükün
çok üzerinde anlık istek, anlık bağlantı ile sistem yorulması ve cevap veremez hale getirilmesidir.
Hat kapasitesinin doldurulması suretiyle yine sistemin erişilebilirliği hedef alınabilir. Ayrıca hedef
sistemlerde bulunan zafiyetler de sistemin erişilebilirliği açısından risk oluşturabilir. İşletim
sistemlerinde (Windows, Linux vb.), web sunucusunda (IIS, Apache vb.), uygulama sunucusunda ya
da sistemin diğer bileşenlerinde bulunan zafiyetlerden yararlanarak, sistemin işleyemeyeceği şekilde
bir istek gönderildiğinde, sistemin herhangi bir bileşeninde bu isteğin işlenememesinden kaynaklanıp
sistem erişilemez hale gelebilmektedir.
Şekil 1 DDos saldırısı ve Botnetler
Resmi kayıtlara göre bilinen ilk DDoS saldırısı 1999 Ağustosunda 227 köle bilgisayar ile Minnesota
Üniversitesinde gerçekleşmiştir.
Sıradaki bölümde OSI katmanları açısından servis dışı bırakma saldırıları ele alınacaktır.
3.1 Fiziksel Katman
Bir kuruma yapılabilecek ve kurumun iş sürekliliğini etkileyecek en büyük saldırı fiziksel olarak
yapılan saldırıdır. Bu bağlamda kurumun internet erişimini sağlayan bağlantıların, hatların yanlış bir
kazı sonucu kesilmesi bir çeşit DoS saldırısı olarak adlandırılabilir.
11 / 45
SBLN Rev 2.0/ 15.01.2014
Bu tür saldırılara karşı ağ ve elektrik kablolarının fiziksel olarak korunması gerekmektedir. Ayrıca
kritik sistem odalarının fiziksel güvenliği de sağlanmalıdır. Bu tür kritik bölümlere erişim sadece
yetkili kişiler tarafından yapılabiliyor olmalıdır.
3.2 Veri Bağı Katmanı
Bu katmandaki servis dışı bırakma saldırıları genel olarak ARP, STP vb. gibi protokollere
yoğunlaşmıştır. Switch MAC adres tablosunun doldurulması ile erişim engellenebileceği gibi STP
protokolüne yönelik ataklar ile Root Switch seçimine müdahale edilerek erişim kesilebilir.
Kablosuz ağlar için, bağlı istemcilere gönderilecek sahte de-authenticate mesajları ile kablosuz ağa
DoS ataklarının yapılması mümkündür. Erişim noktasından geliyormuş gibi tüm bağlı istemcilere
gönderilecek de-authenticate mesajları ile ağa bağlı belirli ya da bütün istemcilerin ağdan kopması
sağlanabilir. Bu işlem ağ içerisinde kullanılan şifreleme mekanizmalarının öncesinde ağdaki erişim
noktasını belirtir mesajlar olduğu için şifreleme mekanizmasına bakılmaksızın gerçekleştirilebilir.
3.2.1 MAC Seli (Flooding) ve Servis Dışı Bırakma (DoS)
Anahtarlar, portları arasındaki iletişimi üzerlerindeki MAC adres tablolarına bakarak yapar. MAC
adres tablosunda; port numarası, porta bağlı olan istemcilerin MAC adres(ler)i ve ilgili portun hangi
VLAN'e ait olduğu gibi bilgiler yer alır. Anahtar, portlarına gelen bir çerçevenin önce hedef MAC
adres kısmına bakar. Daha sonra çerçevenin içinde yer alan bu hedef MAC adresinin kendi MAC
adres tablosunda olup, olmadığına bakar. MAC adresini tabloda bulursa çerçeveyi ilgili porta
gönderir. Yapılan bu işleme anahtarlama (switching) denir. Tüm ikinci katman anahtarları bu
prensibe göre çalışır. Anahtarlama cihazlarının önemli bir zafiyeti, anahtarın MAC adres tablosunun
dolması durumunda ortaya çıkmaktadır. Anahtarların MAC adres tablolarının bir sınırı vardır. Bu
kapasite, cihazın marka, model ve donanımına bağlı olarak değişiklik göstermektedir.
Gelen çerçevenin hedef MAC adresi anahtarın MAC adres tablosunda bulunduğu takdirde anahtar
bu çerçeveyi ilgili porta gönderecektir. Fakat anahtara gelen çerçevenin hedef MAC adresi,
anahtarın MAC adres tablosunda bulunmadığı durumlarda, anahtar çerçeveyi tüm portlarına
yollayacaktır.
Saldırgan anahtar üzerinde herhangi bir port yönlendirmesi yapmadan, sadece anahtarın MAC
adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği
dinleyebilir duruma gelebilir. Bu durum ayrıca anahtarın performansına da olumsuz etki edecektir.
Bu saldırılara karşı alınabilecek önlemler şu şekilde sıralanabilir.
12 / 45
SBLN Rev 2.0/ 15.01.2014

Çoğu anahtarlama cihazı modelinin desteklediği ‘port security’ özelliği ile belirli bir porta
bağlanabilecek MAC adresleri sınırlandırılabilir.

(config-if)# switchport mode access

(config-if)# switchport port-security

(config-if)# switchport port-security violation restrict

(config-if)# switchport port-security maximum 3

(config-if)# switchport port-security mac-address sticky

Çoğu
ürün
AAA
(Authentication-Authorization-Accounting)
sunucu
üzerinden
kimlik
doğrulanan MAC adreslerini keşfetme özelliğine ve sonrasında filtreleme özelliğine sahiptir.
Bu özelliğe sahip cihazların kullanılması, MAC seli saldırılarına karşı korunmaya yardımcı
olur.
3.2.2 Kablosuz Ağlar ve ARP
Kablosuz ağlar şimdiye kadar bahsedilen yerel ağ saldırı yöntemlerindeki bütün tehlikelere maruz
kalabilir. Bu yöntemlerin başında paket yakalama ve ARP saldırıları gelmektedir. Ağa bağlı olan
saldırgan, ağdaki diğer bilgisayarlara sahte ARP paketleri göndererek ARP tablolarını zehirleyip
araya girerek trafiği üstünden geçirebilir. Biraz daha ileri gidebilecek bir saldırgan oturumlara
müdahale edebilme, SSH/SSL gibi kriptolu oturumların el değiştirmelerine müdahale edebilme
saldırıları da düzenleyebilmektedir. Veya MAC seli saldırı ile erişim noktasını devre dışı bırakabilir.
Kablosuz ağa bağlı istemcilere gönderilecek sahte de-authenticate mesajları ile kablosuz ağa DoS
ataklarının yapılması mümkündür. Erişim noktasından geliyormuş gibi tüm bağlı istemcilere
gönderilecek de-authenticate mesajları ile ağa bağlı belirli ya da bütün istemcilerin ağdan kopması
sağlanabilir. Bu işlem ağ içerisinde kullanılan şifreleme mekanizmalarının öncesinde ağdaki erişim
noktasını belirtir mesajlar olduğu için şifreleme mekanizmasına bakılmaksızın gerçekleştirilebilir bir
atak türüdür.
13 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 2 Kablosuz Ağlara Yönelik De-auth Saldırısı
Önlem olarak şu an için en güçlü şifreleme algoritması olan WPA2 Enterprise kullanılmalıdır. Tüm
erişimin kablosuz ağ üzerinden sağlandığı durumlar için VPN kullanılması da önerilebilir. Ayrıca
kablosuz ağa girebilecek MAC adresleri de filtrelenmelidir. MAC adreslerinin nasıl filtrelenebileceği
2.2.2.1 MAC Seli ve Servis Dışı Bırakma bölümünde gösterilmiştir.
Ağa dâhil olan kullanıcıların, varsayılan ağ geçidi MAC adresini statik olarak (statik ARP kaydı)
eklemeleri de bu saldırıya karşı kullanıcıların alabileceği bir önlemdir. Statik ARP kaydı şu şekilde
eklenebilmektedir.
#arp –s 10.0.0.200 00-10-54-CA-E1-40
3.2.3 VTP Atağı
VTP, ağ yöneticilerinin VLAN'lerin eklenmesi, silinmesi ve isimlerinin değiştirilmesi gibi olayları
merkezi bir şekilde yapmasını sağlayan, Cisco cihazlara özgü bir protokoldür. Saldırgan, anahtarın
portuna bağladığı bilgisayarının portunu trunk port olarak tanımlayıp ağa sahte VTP mesajları
göndermek suretiyle, anahtara VLAN ekleyebilir, silebilir ya da değişiklik yapabilir.
VTP ataklarına karşı Port Security ile belirli bir porttan hizmet alabilecek MAC adresleri
sınırlandırılabilir. Uygun bir yapılandırma ile porta varsayılan güvenlik politikası uygulanarak o
porttan sadece belirli sayıda MAC adresinin iletişime geçebilmesi sağlanır. Aksi bir durumda port
ERR-DISABLE duruma geçecek ve üzerinden trafik geçirmeyecektir. Cisco IOS için örnek bir
yapılandırma şu şekildedir.
14 / 45
SBLN Rev 2.0/ 15.01.2014
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security violation shutdown
(config-if)# switchport port-security maximum 3
(config-if)# switchport port-security mac-address sticky
(config-if)# switchport port-security aging time 10
(config-if)# switchport port-security aging type inactivity
3.3 Ağ Katmanı
Bu katmandaki saldırılar genel olarak ICMP ve IP protokollerinin zayıflıklarına yönelmektedir.
3.3.1 IP Sahteciliği (Spoofing)
İstenilen IP adresinden TCP/IP paketleri (TCP, UDP, IP, ICMP, HTTP, SMTP, DNS vb.)
gönderebilme işlemine IP sahteciliği denir. IP protokolünde herhangi bir doğrulama mekanizması
olmadığından sahte IP paketini alan taraf paketin gerçekten gönderilen IP adresinden gelip
gelmediğini bilemez. Bu işlem için çeşitli ücretsiz/açık kaynak kod/ticari yazılımlar bulunmaktadır.
Teorik olarak IP sahteciliği tüm protokollerde mümkünken pratikte UDP kullanan uygulamalarda
gerçekleştirilebilir fakat TCP tabanlı uygulama seviyesi protokollerde gerçekleştirilemez. Bunun
temel nedeni TCP başlık bilgisinde yer alan sıra numaralarının tahmin edilemez şekilde
üretilmesidir. TCP, bağlantı kurulmadan önce her iki uç arasında üçlü el sıkışma işlemini
tamamlamayı zorunlu kıldığı için bu aşamaları geçmeden iki uç arasında veri transferi normal
yollardan gerçekleştirilemez.
IP sahteciliğine karşı savunma yöntemi olarak, ağdaki kullanıcıların IP adreslerini değiştirme hakkı
kaldırılmalıdır. Bu işlem farklı güvenlik politikalarıyla uygulanabilir. Paket filtreleme de bu saldırılara
karşı bir savunmadır. Bir ağ için ağ geçidi genellikle ağ içindeki bir kaynak adresi ile dış ağdan gelen
paketleri filtreler. Bu, bir dış saldırganın bir iç makinenin adresine sızmasını önler. F5 Firewall
üzerinde örnek bir paket filtreleme işlemi şu şekilde uygulanabilir.
#create /net packet-filter icmpdrop order 5 action discard rule "( proto ICMP ) and ( src net 10.10.0.0/20 )"
#save sys config
15 / 45
SBLN Rev 2.0/ 15.01.2014
IP sahteciliği günümüzde yoğunlukla DDoS saldırılarında kullanılmaktadır. DDoS
saldırılarının da stateful olmayan protokollerle gerçekleştirilen bölümünde
geçerlidir. Yani HTTP GET seli sahte IP adreslerinden gerçekleştirilemez. Ama
SYN, ACK, UDP, DNS seli gibi saldırılar gerçekleştirilebilir.
3.3.2 ICMP Seli
İstemcinin, hedef sisteme gönderdiği ICMP Echo Request paketine karşılık hedef sistem ICMP
Echo Reply paketi gönderir. Bu yapıdan faydalanılarak, saldırgan makineler çok sayıda ICMP Echo
Request paketi gönderir. Kurban sistem, gelen tüm bu isteklere cevap vermek için çaba harcar ve
yorulmaya başlar. Sistem kaynakları bunlara cevap veremez hale gelir ve erişilemez duruma düşer.
Önlem olarak ICMP paketlerine cevap vermesi gerekli olmayan sunucuların bu paketlere cevap
verme özelliği kapatılmalıdır. Linux Iptables ile ICMP istekleri şu şekilde engellenebilir.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
3.3.3 ICMP Smurf
Çok sayıda cevap paketi ile hedefin gerçek trafiği alması engellenir. Bu tür ataklar “amplification
attacks” veya “smurf attack” olarak da adlandırılır. Saldırgan, saldırmayı hedeflediği bilgisayarın
IP’sinden paket geldiğinin sanılması için, kaynak adresi bu IP olan “broadcast ping” paketleri
oluşturur ve gönderir. Gönderilen ping paketlerinin cevabı gerçekte bu IP’ye sahip olan bilgisayara
gider ve orada gereksiz trafik yaratarak bilgisayarın ağa ulaşması engellenir.
Şekil 3 Smurf Saldırısı
16 / 45
SBLN Rev 2.0/ 15.01.2014
Ağ cihazları üzerinde yapılacak bir yapılandırma ile broadcast adreslerine paket gönderilmesi
engellenerek bu saldırının önüne geçilebilir. Cisco yönlendirici üzerinde örnek bir yapılandırma şu
şekildedir:
(config-if)#no ip directed-broadcast
3.3.4 Teardrop
Bu tür saldırılar büyük IP paketlerinin parçalara bölünmesi sistemini kullanır. Parçalanan IP paketi
bir paket ile alıcı sisteme paketin parçalarını belirtir. Teardrop saldırılarında saldırganlar bu
parçalanmayı karıştıran offset değeri (overlapped, oversized) üreterek alıcı sistemi bozmayı
amaçlar. Fragment Offset değeri eğer bir datagram parçalanmışsa, ilgili parçanın bütündeki yerini
gösterir. Bu saldırı yöntemine karşı işletim sistemleri önlemlerini almış olup, güncel işletim sistemleri
bu saldırıları engellemektedir. Örneğin Linux tabanlı işletim sistemlerinde 2.0.32 / 2.1.63 ve üzeri
sürümlerinde bu saldırıya karşı önlemler alınmıştır.
3.3.5 LAND Saldırısı
Bu saldırı; aynı kaynak ve hedef; yani hedefin IP adresi ve portunu kaynak IP olarak belirten sahte
paketler gönderilmesi mantığı ile çalışır. Hedef ve kaynak aynı olduğundan hedef kendi gönderdiği
istek paketini alır. Alınan veri beklenen tür ile uyuşmadığı için ACK isteği tekrar gönderilir. Böylece
birim zamanda hedef sisteme gelen paket sayısı 2 katına çıkar. Güncel işletim sistemlerinde sahte
IP koruması olduğundan bu saldırının uygulanabilirliği azalmış durumdadır.
17 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 4 LAND Saldırısı
LAND saldırılarına karşı güvenlik duvarları üzerinde önlemler alınabilir. Juniper güvenlik duvarı
üzerinde aşağıdaki yapılandırmalar yapılarak bu saldırı türü engellenebilir.
user@host# set security screen land tcp land
user@host# set security zones security-zone zone screen land
3.4 Taşıma Katmanı
Taşıma katmanında yapılacak servis dışı bırakma testleri Botnetler kullanılarak gerçek IP
adreslerinden yapılabileceği gibi sınırlı sayıdaki makine üzerinden oluşturulacak sahte IP adresli
paketler gönderilerek te yapılabilir.
3.4.1 TCP
TCP protokolü connection-oriented (bağlantı yönelimli) olarak adlandırılan ve iki bilgisayar
arasında veri transferi yapılmadan önce bağlantının kurulması ve veri iletiminin garantili olarak
yapıldığı bir protokoldür. Gönderen ve alan uygulamalarda da port bilgisi eklenir. Port, kaynak ve
hedef uygulamanın iletişimini sağlar.
18 / 45
SBLN Rev 2.0/ 15.01.2014
Buradaki bağlantı yönelimli ifadesi şu anlama gelmektedir: İstemciler iletişime geçmeden önce
aralarında bir oturum kurulur. Oturumun açılması sırasında istemciler kendi iletişim parametrelerini
birbirlerine iletir ve iletişim esnasında bu parametrelere göre hareket edilir.
TCP protokolüne yönelik saldırı tipleri şu şekildedir:
3.4.1.1 TCP SYN Seli
SYN akışı saldırısında saldırgan rastgele kaynak adrese sahip SYN bayraklı paketleri hedef sisteme
gönderir. Hedef sisteme ulaşan SYN paketlerine sunucu SYN-ACK paketi ile karşılık verir. Fakat
kaynak
adresi
rastgele
olarak
ayarlandığı
için
sunucunun
gönderdiği
paketler
atağın
gerçekleştirildiği sisteme gitmeyecektir. Sunucunun gönderdiği SYN-ACK paketi eğer kaynağı
rastgele oluşturulmuş sisteme ulaşırsa, paketi alan sistem böyle bir oturum bilgisinin kendisinde
olmadığını hedef sisteme RST paketi göndererek belirtir. Hedef sistem bu paketi alınca oturumu
hemen kapatır. Fakat SYN-ACK paketi kaynak adresi rastgele oluşturulmuş sisteme ulaşamazsa
hedef sistem bir süre bekledikten sonra paketin yolda kaybolmuş olacağını düşünerek tekrar SYNACK paketi gönderir. Bu bir süre böyle devam ettirildiğinde sunucu üzerinde yarım açık bağlantılar
kurulmuş olur. Eğer saldırgan sunucu üzerinde yeteri kadar yarım açık bağlantı kurabilirse
kaynakları tükeneceği için sunucu kendisine gelen legal isteklere cevap veremeyecektir.
Şekil 5 TCP SYN Seli Saldırısı
19 / 45
SBLN Rev 2.0/ 15.01.2014
Bu tipteki saldırıların yönetimi sağlanan ağdan dışarı yönlü oluşması engellenebilir. Buna göre, eğer
internet çıkışında yer alan yönlendiricide uRPF (Unicast Reverse Path Forwarding) özelliği
etkinleştirilmişse üretilen sahte paketlerin yönlendiriciden çıkışı engelleneceği için hedef sisteme
herhangi bir etki ulaşmayacaktır. uRPF'teki temel mantık paketin kaynak IP adresinin yönlendirme
tablosu ile karşılaştırılarak uygun arabirimden gelip gelmediğinin kontrolü sonucu paketin
düşürülmesidir. Yani gönderilecek paketler kullanılan sistemle aynı alt ağdan üretilirse (mesela
DDoS testi için kullanılan sistemin IP adresi 192.168.1.3/24 olsun, burada 192.168.1.0/24 alt
ağından rastgele IP kullanılabilir) uRPF’e takılmadan hedef sisteme erişecektir.
Saldırı esnasında elde edilen örnek bir ddos.pcap paket kayıt dosyası kullanılarak saldırıya dair
aşağıdaki analizler gerçekleştirilebilir.
Saldırının şiddetini belirleme;

Tcpstat ile:
# tcpstat -r ddos.pcap -o "Byte/s:%B MinPacketSize:%m PPS:%p TCP:%T UDP:%U \n" 5

Tcpdstat ile:
# tcpdstat -n ddos.pcap
Saldırı kaynağını belirleme;

Tcpdump ile:
# tcpdump -n -r ddos.pcap |awk -F" " '{print $3}'|cut -f1,2,3,4 -d"."|sort -n|uniq -c

Tshark ile:
# tshark -r ddos.pcap -z iphosts, tree -qn
Saldırıyı yapan kaynakların işletim sistemlerini belirlemek için p0f aracından yararlanılabilir.
# p0f -s ddos.pcap -N
20 / 45
SBLN Rev 2.0/ 15.01.2014
Her işletim sistemi bu tipteki saldırılara karşı benzer çözüm önermektedir. Bu önerileri şu şekilde
sıralayabiliriz:

Açılabilecek en fazla yarı açık (half-open) bağlantı sayısının arttırılabilir. Linux işletim
sistemlerinde şu şekilde bir komut ile en fazla olabilecek yarı açık bağlantı sayısı 61000 –
15000 = 46000 olarak ayarlanmış olur.
sysctl net.ipv4.ip_local_port_range = 15000 61000

Yarı açık bağlantılarda bekleme süresinin kısaltılabilir. Linux işletim sistemlerinde şu şekilde
bir komut ile yarı açık bağlantılarda bekleme süresi 10 saniye ile sınırlandırılmış olur.
net.ipv4.tcp_fin_timeout = 60

SYN Cookie ve SYN Proxy kullanılabilir. pfSense güvenlik duvarı üzerinde SYN Proxy’i
etkinleştirmek için cihazın arayüzü üzerinde Firewall > Rules > State Type sekmesindeki
‘synproxy state’ aktif hale getirilmelidir. SYN Cookies’i etkinleştirmek için ise System >
Advanced > System Tunables değeri 1 olarak ayarlanmalıdır.
3.4.1.2 TCP Bağlantı Seli
TCP bağlantı seli saldırılarında, hedef sunucuda rate limiting sistemi yoksa çok kısa sürede hedef
sistemin oturum limitleri doldurulabilmektedir. Sahte IP adreslerinden Botnet benzetimi yapılamadığı
için tam manasıyla bir DDoS değil, DoS olmaktadır.
TCP tabanlı sel saldırılarına karşı alınabilecek önlemler şu şekildedir:
1. IP adresi filtrelemesi yapılmalıdır. Windows IIS7 için ‘Dynamic IP Restrictions’ özelliği
(feature)
üzerinde
bir
IP
adresinden
aynı
anda
kaç
bağlantı
kurulabileceği
ayarlanabilmektedir. Aynı özellik ile bir IP adresinden belirli bir süre (ms) içerisinde en fazla
yapılabilecek istek sayısı sınırlandırılabilmektedir. Şekil 8’deki örnek yapılandırmaya göre bir
IP adresi aynı anda 5 istekte bulunabilecektir ve 20 milisaniye içerisinde en fazla 20 istekte
bulunabilecektir.
21 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 6 Dynamic IP Restriction yapılandırması
2. Açılabilecek yarı açık bağlantı sayısı artırılmalıdır. 2.2.4.1.1 TCP SYN Seli kısmında bu
önlemin nasıl alınacağı gösterilmiştir.
3. Yarı açık bağlantılarda bekleme süresi kısa tutulmalıdır. 2.2.4.1.1 TCP SYN Seli kısmında bu
önlemin nasıl alınacağı gösterilmiştir.
4. SYN Cookies aktif hale getirilmelidir. 2.2.4.1.1 TCP SYN Seli kısmında bu önlemin nasıl
alınacağı gösterilmiştir.
5. Doğru yapılandırılmış Güvenlik duvarı ve Proxy sunucu kullanılmalıdır.
3.4.2 UDP
UDP de bir gönderim katmanı protokoldür. Ancak UDP iletiminde sağlama yapılmadığı
(connectionless) için gönderim garantisi olmaz. Gerçek zamanlı iletimde, az miktardaki verilerin
iletiminde kullanılır.

İletişim sırasında bağlantı oluşturmaz

Hata denetimi yoktur. Kaybolan paketin yeniden gönderilmesi söz konusu değildir.

Veri aktarımı daha hızlıdır.
NetBIOS name ve SNMP servisleri UDP kullanan uygulamalara örnektir.
UDP’de herhangi bir doğrulama mekanizması olmadığı için spoofing vb. saldırılara açıktır.
Bahsedilen iki protokol olan TCP ve UDP için geçerli DDoS saldırıları ayrı bir bölüm olarak ele
alınacaktır.
22 / 45
SBLN Rev 2.0/ 15.01.2014
3.4.2.1 Fraggle
Bu saldırı türü de smurf saldırı türüne benzerlik göstermektedir. Ancak ICMP paketleri yerine UDP
ECHO paketleri, kurban sistem IP adres bilgisi ile paketler tüm ağa gönderilmektedir. Unix
sistemlerde kullanılan chargen (udp/19) ve echo (udp/7) servisleri için gerçekleştirilen saldırı
türüdür. Tüm ağdan gelen paketler kurbanı sistemi hedef alacağından bir süre sonra kurban
sistemin yeni isteklere cevap veremez hale gelmesi hedeflenmektedir. Broadcast adreslerine paket
gönderilmesinin engellenmesi, smurf saldırısında olduğu gibi bu saldırı yöntemine karşı da alınması
gereken bir önlemdir. 2.2.3.3 ICMP Smurf bölümünde Cisco yönlendirici üzerinde yapılabilecek
örnek bir yapılandırma gösterilmiştir.
3.4.2.2 UDP Seli
İki şekilde gerçekleştirilebilir. Birincisi hedef üzerinde açık UDP portu var ve bu port üzerinde çalışan
bir uygulama varsa şekil bozukluğuna uğratılmış ve rastgele kaynak adresli oluşturulmuş UDP
paketleri hedefe gönderilerek sunucu üzerinde çalışan servisin işleyişinin sekteye uğratılması
hedeflenir.
İkincisi hedef sistem üzerinde açık UDP portu var fakat bu port üzerinde çalışan bir uygulamanın
olmadığı durumda sunucunun açık olan UDP portuna rastgele kaynaklı UDP paketleri gönderilir.
UDP paketlerini alan hedef sistem bu port üzerinde bir uygulamanın çalışmadığını belirtmek için
UDP protokolünün bir özelliği olarak ICMP port unreachable paketi ile cevaplar. Bu durumun
sunucu üzerinde bir yoğunluk oluşturup cevap veremez hale gelmesi hedeflenir.
Bu tür saldırıların etkisi ‘rate limit’ (istek aşımı) yöntemi ile azaltılabilir. Çoğu işletim sistemi de ICMP
cevaplarının gönderildiği adresleri bu yöntemle kısıtlayarak saldırının etkisini azaltmaktadır.
Güvenlik duvarı da bu saldırılara karşı koruma sağlar. Güvenlik duvarı zararlı UDP paketlerini
düşürür. Böylelikle zararlı UDP paketleri kurbana ulaşmaz ve kurbanın bu paketlere cevap vermesi
önlenmiş olur. Linux bir cihaz üzerinde şu şekilde bir rate limit ayarı yapılabilir.
# iptables -p udp --dport 53 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
23 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 7 UDP Seli Saldırısı
3.5 Uygulama Katmanı
Bilgisayar uygulaması ile ağ arasındaki arabirim görevi yerine getirir. Katmanların sıralanışında
kullanıcıya en yakın olanıdır. Dolayısıyla kullanıcının gereksinimlerin karşılar (veritabanı uygulaması
ya da e-mail uygulaması gibi). Sadece bu katman diğer katmanlara servis sağlamaz. Bu katmandaki
protokol tipleri alt katmanlara oranla fazlalık gösterdiği ve de onlara bağlı olduğu için servis dışı
bırakma amaçlı saldırılar çeşitlilik göstermektedir.
3.5.1 UDP Seli
TCP/IP protokolünü kullanan bir ağda her bilgisayar için ortalama beş parametre tanımlamak
gerekir:
I.
IP adresi
II.
Subnet maskesi
24 / 45
SBLN Rev 2.0/ 15.01.2014
III.
Varsayılan ağ geçidi adresi
IV.
DNS sunucu adresi
V.
WINS sunucu adresi
DHCP, bilgisayarlara IP adresi ve subnet maskesi başta olmak üzere TCP/IP parametrelerini
otomatik olarak dağıtan bir protokoldür. DHCP, daha eski bir protokolün, BOOTP protokolünün
geliştirilmişidir.
Otomatik olarak IP adresi alma ayarıyla ağa bağlanmış olan bir bilgisayar, IP adresi almak için
255.255.255.255 adresine UDP 67 numaralı hedef portuna bir istek mesajı gönderir. Bu mesaja
DHCP DISCOVER mesajı denir.
DHCP DISCOVER mesajını alan DHCP sunucusu bu mesaja UDP 68 numaralı hedef portu
üzerinden DHCP OFFER mesajıyla karşılık verir. DHCP sunucusu tarafından gönderilen bu DHCP
OFFER mesajında; istemcinin MAC adresi, istemciye verilecek olan IP adresi, ağ maskesi bilgisi,
verilecek olan IP adresinin geçerlilik süresi ve IP dağıtan DHCP sunucusunun IP adresi yer alır.
Bir istemci aynı anda sadece bir DHCP sunucusundan gelen DHCP OFFER mesajını
değerlendirebilir. İstemci kendisine en önce ulaşan DHCP OFFER mesajını hesaba katar. Bir DHCP
sunucusundan gelen DHCP OFFER mesajını alan istemci bu mesaja DHCP REQUEST mesajıyla
karşılık verir. DHCP REQUEST mesajı da 255.255.255.255 adresine yollanmak durumundadır.
Çünkü IP adresi alma sürecinin bu aşamasında istemcinin henüz bir IP adresi bulunmamaktadır.
DHCP REQUEST mesajını alan DHCP sunucusu bu mesaja DHCPACK mesajıyla karşılık vererek
istemcinin IP adresi isteğini onaylamış olur. Böylece istemci, IP adresini ve diğer ağ parametrelerini
DHCP sunucusundan almış olur.
25 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 8 DHCP Çalışma Mantığı
3.5.1.1 DHCP Açlık (Starvation) Atağı
Ağda DHCP sunucu üzerinden hizmet alan bilgisayarların MAC adres bilgilerini değiştirerek sürekli
olarak farklı ip adresi alınmasıyla DHCP sunucu ip havuzu tüketilerek, ağa dâhil olan yeni cihazların
veya ip adres bilgilerini yenilemek isteyen cihazların bu bilgiyi doğru şekilde temin etmesi
engellenmektedir. Bu şekilde ağ içerisinde hizmet verememe gibi durumlar meydana gelebileceği
gibi korsan DHCP sunucu yardımıyla istemcilerle hedef arasına girilebilir.
Anahtarlama cihazları üzerinde port security özelliği ile belirli bir porttan gelebilecek DHCP istekleri
sınırlandırılarak bu saldırının önüne geçilebilir. 2.2.2.3 VTP Atağı bölümünde port security özelliği ile
ilgili örnek bir yapılandırma gösterilmiştir.
3.5.1.2 Sahte / Yetkisiz DHCP Sunucular
Ağa sahte bir DHCP sunucusunun koyulmasıyla saldırgan, istemcilere IP adreslerini ve diğer ağ
bilgilerini sağlar. DHCP cevap paketlerinin içerisinde varsayılan ağ geçidi ve DNS sunucularının
26 / 45
SBLN Rev 2.0/ 15.01.2014
adresleri de yer almaktadır. Saldırgan sahte DHCP sunucusuyla istemcilere varsayılan ağ geçidi ve
DNS sunucusu olarak kendi bilgisayarının adresini verebilir. Böylece ağdan dışarı çıkacak olan tüm
paketler saldırganın bilgisayarı üzerinden geçecektir.
‘Snooping’ özelliğini destekleyen ağ cihazları üzerinde, bu özelliğin etkinleştirilmesiyle bu tür
saldırıların önüne geçilebilir. ‘Snooping’ özelliği ile DHCP sunucusunun hangi portlar üzerinden
yayın yapacağı cihaza öğretilerek, diğer portlardan DHCP yayını yapılması engellenmiş olur. Cisco
IOS üzerinde örnek bir yapılandırma şu şekildedir.
(config)# ip dhcp snooping vlan 20-61
(config)# interface GigabitEthernet 6/17
(config-if)# ip dhcp snooping trust
3.5.2 SNMP
Ağ içerisinde bulunan yönlendirici, anahtar ve HUB gibi cihazların yönetimi için kullanılır. SNMP
desteği olan ağ cihazları SNMP mesaj alış verişiyle uzaktan yönetilebilir. Bunun için cihazlarda
SNMP ajanı (agent) olmalıdır. SNMP farklı türdeki makinelerin kolaylıkla yönetilmesi ve sorunlar
hakkında bilgi edinilmesi amacı ile tasarlanmış bir protokoldür.
Şekil 9 SNMP Protokolü
SNMP, UDP üzerinden çalışan bir protokol olduğundan dolayı IP sahteciliği yapılabilmektedir.
Bundan dolayı SNMP servisi açık olan sunucular hedef alınarak UDP akış seli saldırısı
gerçekleştirilebileceği gibi topluluk adının bilinmesi ile SNMP sorguları yapılarak sistem
yorulabilmekte hatta bu sorgulara yönelik cevaplar başka bir kurbana yönlendirilerek saldırının etkisi
yükseltilebilmektedir.
Bu protokole yönelik yapılan saldırılara karşı alınması gereken birtakım önlemler vardır. Öncelikle
bu protokol kullanılmıyorsa kapatılmalıdır. Kullanılıyorsa da en güncel sürümü olan SNMPv3’ün
27 / 45
SBLN Rev 2.0/ 15.01.2014
kullanılması tercih edilmelidir. SNMPv3 ile gönderilen/alınan SNMP paketlerinin gizlilik ve bütünlüğü
koruma altına alınmıştır.
SNMPv1 ve SNMPv2’yi destekleyen tüm cihazlarda varsayılan topluluk ismi ‘public’ ve ‘private’
olarak ayarlanmıştır. Eğer bu sürümler kullanılıyor ise, varsayılan bu topluluk isimleri tahmin
edilmesi zor topluluk isimleriyle değiştirilmelidir. Cisco cihaz üzerinde varsayılan topluluk isimleri şu
şekilde bir yapılandırma ile okuma hakkı olan topluluk adı ‘XXXX’ ve okuma-yazma hakkı olan
topluluk adı ‘YYYY’ olarak ayarlanmış olur.
Router(config)#no snmp-server community public RO
Router(config)#snmp-server community XXXX RO
Router(config)#no snmp-server community private RW
Router(config)#snmp-server community YYYY RW
3.5.3 SMTP
İstemciler arasında mesaj iletişimini sağlayan bir uygulama katmanı protokolüdür. SMTP'nin ana
amacı postalama yapmaktır. Mesajın düzenlenmesi gibi işlemlerle uğraşmaz. Elektronik postaların
güvenli bir şekilde adreslerine ulaşabilmesi için TCP servislerinden yararlanır.
SMTP iletişiminde mesaj üç aşamadan Gönderici-SMTP ile Alıcı-SMTP arasında yapılır.
I.
Birinci aşamada bir TCP bağlantısı kurulur.
II.
İkinci aşamada veri aktarımı yapılır.
III.
Üçüncü aşamada bağlantı sona erdirilir.
E-posta akışı saldırısında amaç hedef aynı anda çok sayıda e-posta göndererek sunucu sisteminin
hizmet vermesinin engellenmesidir. Hedef e-posta sunucu servisinin kuyruğunda işlenmek üzere
çok fazla sayıda e-posta birikmesi sağlanmaktadır. Bu şekilde yeni e-postaların işlenmesi
engellenmektedir. Bu e-postaların boyutu büyük olabileceği gibi virüslü eklentilerin yollanması ile
spam e-posta ağ geçitlerinin de yorulması amaçlanmaktadır.
SMTP herkese açık TCP protokolü üzerinden hizmet veren bir servis olduğundan dolayı, SYN akış
saldırıları için de hedef arz etmektedir. Bu saldırıda TCP 25 numaralı porta gönderilecek olan SYN
28 / 45
SBLN Rev 2.0/ 15.01.2014
bayrağı aktif hale getirilmiş paketler ile hedef sistemin kaynaklarını tüketmek amaçlanmaktadır. SYN
seli saldırıları kısmında belirtilen önlemler burada da geçerlidir.
3.5.4 DNS
DNS, 256 karaktere kadar büyüyebilen host isimlerini IP'ye çevirmek için kullanılan sistemdir. Host
ismi, tümüyle tanımlanmış etki alanı ismi (Fully Qualified Domain Name) olarak da bilinir ve hem
sunucu adını hem de bulunduğu domaini gösterir. Örneğin, sge.tubitak.gov.tr isminde
tubitak.gov.tr ifadesi domain, sge ifadesi ise bu domaindeki tek bir sunucuyu belirtir.
Şekil 10 Alan Adı Uzayı
DNS sisteminin tarihi 1984 yılına kadar uzanmakta olup öncesinde böyle bir sistem
bulunmamaktadır. O yıla kadar host ismi-IP adresi çözümlemesi için HOSTS adında bir metin
dosyası kullanılmaktaydı. Dolayısıyla böyle bir sistemin sağlıklı işleyebilmesi için HOSTS dosyası
içeriğinin hep güncel kalması gerekiyordu. Bu amaçla da istemciler dosyanın aslının saklandığı
ABD'deki Stanford Üniversitesine belli aralıklarla bağlanarak kopyalama yapıyordu.
Bazı DNS kayıt tipleri Tablo’da görüldüğü şekildedir.
Kayıt Tipi
Açıklama
A (Address Record)
MX (Mail Exchanger)
PTR (Pointer Record)
AAA (Address Record)
SOA (Start Of Authority)
TXT (Text)
Adres kaydı olup host isimleri ile IPv4 eşleşmesi yapılır.
Sistemde bulunan mail sunucuları tanımlamak için kullanılır.
IP adresinden isme eşleme yapan kayıttır.
Adres kaydı olup host isimleri ile IPv6 eşleşmesi yapılır.
Bir DNS sunucunun o zone’dan sorumlu olduğunu belirler.
Belirli bir kaynak hakkında, nerede bulunduğu ve sahipliği gibi bilgileri
içeren kayıttır.
Alias yani takma isim yoluyla başka bir kayda yönlendirir.
Ağ üzerinde bulunan ve kullanımda olan DNS sunucuları tanımlar.
CNAME (Canonical Name)
NS (Name Server)
Şekil 11 DNS Kayıt Tipleri
29 / 45
SBLN Rev 2.0/ 15.01.2014
Oldukça uzun süredir ve sık olarak kullanıldığı için bu protokol üzerinde zaman içerisinde çok çeşitli
istismar yöntemleri ortaya çıkmıştır. Doğrudan DNS sistemlerin erişilebilirliğini hedef alan DDoS
saldırıları da bunlardandır. Bu kapsamda UDP/53 portuna yönelik akış saldırısı, DNS sorgusu akış
saldırısı, DNS yükseltme saldırısı gibi ataklar ile karşılaşılmaktadır.
Çeşitli güvenlik firmaları tarafından geliştirilen DDoS engelleme ürünlerinde DNS seli saldırısı için
bazı ayarlar olsa da bunlar ciddi saldırılarda genellikle işe yaramamaktadır. Bunun en temel sebebi
DNS seli saldırılarında saldırganın istediği ip adresinden geliyormuş gibi saldırıyı gösterebilmesidir.
Bu yüzden DNS sorgularını TCP protokolüne çevirme uygun bir çözüm yolu olmaktadır. Bu
yöntemde DNS sunucu servisi ile inline modda çalışacak şekilde yapılandırılmış olan özel olarak
yapılandırılmış bir DNS servisi mevcut bulunmaktadır. Gelen tüm DNS isteklerinin TCP protokolü ile
yeniden gerçekleştirilmesi için, istekleri gönderen kaynak IP adreslerine bu istek gönderilir. Eğer IP
sahteciliği gerçekleştirilmemişse legal DNS istekleri geleceğinden saldırı engellenmiş olacaktır.
‘UDP Seli’ kısmında anlatılan önlemlerin alınması bu saldırı tiplerine karşı da savunmaya yardımcı
olabilir.
3.5.4.1 Yinelemeli DNS Sorguları
DNS sunucusunun dünyadaki bütün alan adlarını tutmasını ve bunlara yönelik cevap vermesinin
mümkün
olmamasından
dolayı
bu
işlemi
kolaylaştırmak
için
DNS
Recursion
yöntemi
kullanılmaktadır. Bu yöntemde kullanılan DNS sunucusu istemci bilgisayarın kimliği ile diğer DNS
sunuculara sorgular göndererek kendisinde bulunmayan alan adının isim çözümlemesinin
yapılmasını sağlar. Yani kendi eğer bu sorguya cevap verebilecek durumda değilse istemciye
olumsuz mesaj göndermek yerine ilk önce Root DNS’lerden yardım ister. Saldırgan tarafından bu
özellik kötü amaçlarla kullanılabilir. Şöyle ki rasgele ve anlamsız alan adı sorguları gönderilerek
DNS sunucu belleğinin dolması ve hizmet dışı kalması amaçlanabilir.
30 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 12 Yinelemeli DNS Sorguları
Eğer kamuya açık bir DNS sunucu hizmeti verilmiyorsa bu yinelemeli DNS sorgularına izin
verilmemelidir. BIND DNS sunucunda recursion özelliğini kapatmak için named.conf dosyası
altında Options bölümü içine recursion on satırı eklenmelidir. Ya da sunucunun kendisi dışında
herkese kapatmak için ise aşağıdaki satır eklenebilir.
allow-recursion { 127.0.0.1 ; } ;
Microsoft IIS sunucuda yinelemeli DNS sorgular şu şekilde kapatılabilir.
C:\Users\Administrator> dnscmd . /Config /NoRecursion 1
3.5.4.2 DNS Sorgusu Seli
Atak yapılacak DNS sunucusuna içeriğinde herhangi bir alan adına yönelik sorgu içeren paketler
gönderilerek düzenlenebilir. Burada kaynak IP adresi sabit tutulabileceği gibi saldırgan sahte kaynak
IP adresli paketler de gönderebilir.
31 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 13 DNS Sorgu Seli saldırısı
Sahte kaynak IP adreslerinden paket gönderilerek yapılan saldırılara karşı ‘İlk Paketi Düşürme’
yöntemi kullanılabilir. Bu yöntemde ilk gelen paket engellenecek ve ardından aynı kaynak IP adresli
sistemlerden gelen ikinci paket ve devamındaki paketler kabul edilecektir. Sürekli yeni IP adresi
üretilerek rasgele IP adresinden paketler göndererek yapılan saldırılarda, bir IP adresinden sadece
bir sorgu gönderildiği için, bu sorgu paketi düşürülecek ve dolayısıyla sunucuya hiç paket
ulaşmamış olacaktır.
Saldırı durumunda iletişim bağlantı tabanlı protokoller ile üzerinden yapılarak bu saldırı türüne karşı
bir önlem alınabilir. Bunun için DNS sorgusu saldırısı fark edildiği anda, UDP/53 üzerinden çalışan
DNS servisi sunucusunun TCP/53 üzerinden çalışması sağlanarak, bağlantı tabanlı erişimler
dışında erişimler engellenebilir. Bu şekilde bir önlem ile sorguların geldiği sahte IP’lerle bağlantı
kurulamayacağı için bu saldırı da engellenmiş olur.
EDNS tipi sunucularda DNS cevapları yaklaşık 4000 bayt olduğu için iletişim TCP üzerinden
yapılacaktır. Bu tür durumlar incelendiğinde dönen cevabın TRUNCATED olarak belirtildiği
görülebilir. Dolayısıyla bu tür TCP/53 üzerinden hizmet veren sunuculara SYN Seli, Bağlantı Seli tipi
ataklar yapılabilir. Bu saldırı tiplerine karşı savunma yöntemlerinden ilgili bölümlerde bahsedilmiştir.
32 / 45
SBLN Rev 2.0/ 15.01.2014
Anlık olarak DNS sorgu süresini ölçmek için aşağıdaki gibi bir komut setinden faydalanılabilir.
#while true; do dig . @ns.example.com | grep "Query time:"; sleep 2;done
3.5.4.3 DNS Yükseltme (Amplification)
Süreç aşağıdaki şekilde işlemektedir.

Saldırgan hedef A kaydı için kurban kaynak IP adresine sahip bir DNS isteği gönderir.

Kurban kaynak IP adresi ile gönderilen DNS isteği yinelemeli sorgulara izin veren bir DNS
sunucusuna gönderilir.

Gönderilen DNS isteği 512 bayt boyutundan küçük ancak olabildiğinde büyük olması
saldırının şiddetini artırmaktadır. Çünkü 512 bayt boyutundan büyük DNS sorguları UDP ile
değil TCP protokolü üzerinden iletilmektedir. Saldırı esnasında kullanılacak DNS paketlerinin
boyutunun olabildiğince büyük olması ise saldırının şiddetini artırmaktadır.
Saldırıya ait detaylar Şekil14’te görüldüğü gibi olmaktadır.
Şekil 14 DNS Yükseltme Saldırısı
33 / 45
SBLN Rev 2.0/ 15.01.2014
DNS yükseltme saldırısına karşı en verimli savunma yöntemi RRL (Response Rate Limiting)
mekanizması olarak görülmektedir. Bu yöntem ile saldırıya hedef olabilecek sunucuya gelebilecek
benzer DNS cevapları için bir eşik değeri belirlenir ve bu eşik değerinden fazla gelen DNS cevapları
düşürülür. DNS yükseltme saldırıları aynı ya da benzer sorgular üzerinden gerçekleştiği için bu
yöntem ile kurban sunucuya yapılabilecek DNS yükseltme saldırılarının önüne geçilmiş olur.
3.5.5 HTTP
HTTP, WEB üzerinde verinin iletiminin kaynağı olan protokoldür. Sunucu istemci mimarisi içerisinde
sorgu cevap ikilisine dayanan bir çalışma yapısına sahiptir. İstemci HTTP isteklerini sunucuya
ileterek gelen cevaplara göre iletişim devam etmektedir.HTTP oturumu kurulmadan önce istemci
bağlantı kuracağı sunucunun IP adres bilgisini temin etmek için DNS sunucusuna sorgu
gerçekleştirmekte ve ardından hedef sunucu ile TCP oturumu kurulmaktadır. İstemci tarafından
gönderilen istekler birbirinden bağımsız olup her HTTP isteği için bir TCP bağlantısı kurulur.
Şekil 15 http-TCP Bağlantı Kurulma Süreci
TCP oturumunun kurulmasının ardından HTTP işlemleri gerçekleştirilecektir. Eğer güvenli bağlantı
kurulacaksa öncelikle SSL bağlantısı ve ardından HTTP işlemleri gerçekleştirilmektedir. İşlemlerin
tamamlanmasının ardından ise kurulan TCP bağlantısı sonlandırılmaktadır.
Hedef servisin yanıt süresinin ölçülmesi için wget benzeri araçlardan yararlanılabileceği gibi httping
[http://www.acme.com/software/http_ping] yazılımından da faydalanılabilir.
34 / 45
SBLN Rev 2.0/ 15.01.2014
# httpping http://www.example.com/
7816 bytes from http://www.example.com/: 246.602 ms (9.923c/23.074r/213.605d)
^C
--- http://www.example.com/ http_ping statistics --5 fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%)
total min/avg/max = 189.997/201.568/246.602 ms
connect min/avg/max = 8.994/9.9824/11.619 ms
response min/avg/max = 22.971/28.323/46.579 ms
data
min/avg/max = 133.985/163.262/213.605 ms
3.5.5.1 HTTP GET Seli
TCP oturumunun kurulması için gerekli üçlü el sıkışmanın tamamlanması için bağlantının gerçek IP
adreslerinden kurulması gerekir. Dolayısıyla TCP SYN seli saldırısında olduğu gibi aynı makine
üzerinde sahte IP adresleri ile saldırı yapılamaz. Web sunucuyu servis dışı bırakarak web
sayfasının işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğraması amacıyla
gerçekleştirilebilecek bir HTTP GET akış saldırısında sahte olmayan IP adresleri ile bir ya da birden
fazla makineden eşzamanlı olarak çok sayıda istek gönderilir. Apache JMeter veya ab araçları ile
buna benzer testler gerçekleştirilebilir.
TCP paketleri içerisindeki GET isteklerinin ayıklanabilmesi için tcpdump aşağıdaki şekilde
kullanılabilir.
# tcpdump -r getflood.pcap tcp port 80 and $ tcp[20:2] = 18225 $
Bir IP adresinin açabileceği oturum sayısının kısıtlanması Http Get Seli saldırılarına karşı
alınabilecek önlemlerin en önemlisidir. Belirli bir oturum sayısını geçen IP adreslerinin kara listeye
alınması Get Seli saldırılarına karşı alınabilecek önlemlerdendir. Reverse Proxy kullanımı ve
35 / 45
SBLN Rev 2.0/ 15.01.2014
arkasında yük dağılımlı birden fazla eşlenik Web sunucusu kullanımı ile performans artışı da
sağlanabilir.
Get seli saldırısı anında alınabilecek önlemler de vardır. Bağlantı belirli bir coğrafik alandan
geliyorsa bu coğrafi alandaki IP adresleri ‘geoip’ veritabanı kullanılarak geçici olarak engellenebilir.
Ya da sadece belirli bir coğrafik alandaki IP adreslerine hizmet verilebilmesi için bu adreslere izin
verilip, geri kalan tüm IP’ler engellenebilir. BotNet’e dâhil olduğu bilinen IP adresleri de saldırı
anında kara listeye alınıp, bağlantıları düşürülebilir.
•
Bir kaynak IP adresinin açabileceği oturum sayısı azaltılabilir. Bu önlemin nasıl
alınabileceğine dair bir örnekten 2.2.4.1.2 TCP Bağlantı Seli kısmında bahsedilmiştir.
•
Belirli bir oturum sayısını geçen IP adresleri kara listeye alınabilir.
•
Bağlantı belirli bir coğrafik alandan geliyorsa bu coğrafi alandaki IP adresleri GEOIP veri
tabanı kullanılarak geçici olarak engellenebilir. Ya da sadece belirli bir coğrafik alandaki IP
adreslerine hizmet verebilmesi için bu adreslere izin verilip geri kalan her şey engellenebilir.
İnternet üzerinde ülkelere ait IP bloklarını ücretsiz dağıtan çeşitli servisler vardır. Google
üzerinden yapılacak “country ip blocks” araması sonucunda gelen kaynaklardan alınacak IP
blokları beyaz/kara liste oluşturmakta kullanılabilir. Örnek olarak, engellenmek istenen IP
blokları için pfSense güvenlik duvarı üzerinde ‘Firewall > Rules > WAN > Add New Rule’
sekmesinde kural oluşturarak bu IP bloklarının erişimleri engellenebilir.
Şekil 16 Ülke IP Kodları
36 / 45
SBLN Rev 2.0/ 15.01.2014
•
Saldırı sırasında BotNet’e dâhil olduğu bilinen IP adresler kara listeye alınıp düşürülebilir.
pfSense üzerinde, BotNet’e dâhil olduğu bilinen IP adres listeleri için bir önceki maddede
belirtilen sekmeden kural oluşturularak erişimleri engellenebilir.
•
Saldırı için bağlanılan kullanıcı bilgileri kullanılarak (user-agent, browser, Referrer vs.) IPS
için imza oluşturup bu trafiğin engellenmesi sağlanır.
•
Web sunucunun desteklediği DoS koruma modülleri kullanılabilir. Apache sunucu üzerinde
DoS saldırılarına karşı mod_dosevasive modülü bulunmaktadır. Httpd.conf dosyası
içerisinde aşağıdaki gibi örnek bir yapılandırma ile aktif hale getirilmiş olur.
•
<IFMODULE
mod_evasive20.c>
DOSHashTableSize
6097
DOSPageCount
6
DOSSiteCount
150
DOSPageInterval
4
DOSSiteInterval
4
DOSBlockingPeriod
10
DOSBlockingPeriod
600
</IFMODULE>
Reverse Proxy kullanımı ve arkasında yük dağılımlı birden fazla eşlenik Web sunucusu kullanımı ile
performans artışı sağlanabilir.
3.5.5.2 SlowHTTP
SlowHTTP saldırıları için yazılmış araçlar vardır. Bu araçlar kısmi HTTP istekleri gönderir. İstekleri
yavaşlatarak HTTP sunucusunu servis dışı bırakacak yeterli kaynağı ele geçirmeyi amaçlar.
Buradaki zafiyet HTTP protokolünde sunucunun bir isteği işlemesi için tamamını alması
gereksiniminden kaynaklanır. Eğer HTTP isteği tam değilse veya transfer hızı çok yavaşsa sunucu
verinin geri kalanını beklemek için kaynaklarını meşgul durumda tutar. Çok fazla kaynak meşgul
durumda olduğunda servis hizmet dışı kalabilir.
Microsoft IIS 6 sunucusunda slowHttp saldırılarını en aza indirmek için connectionTimeout,
HeaderWaitTimeout, MaxConnections özellikleri en uygun seviyeye ayarlanmalıdır. IIS 7
sunucusunda benzer ayarlar olarak RequestLimits, headerLimits ve WebLimits özellikleri en uygun
seviyeye ayarlanmalıdır. IIS 7 üzerinde IIS Manager > Sites > Web Site > Configuration Manager
> system.webServer > security > requestFiltering > requestLimits > headerLimits sekmesinde
37 / 45
SBLN Rev 2.0/ 15.01.2014
http header boyutunun maksimum ne kadar büyüklükte olacağı ayarlanabilmektedir. Aynı şekilde IIS
Manager > SERVER2008 > Configuration Manager > system.applicationHost/webLimits
sekmesinden bağlantı süresi ve http header bekleme süresi mümkün olduğu kadar kısa tutulmalıdır.
3.5.5.3 Slowloris
Bu saldırı türü de yine web sunucu çalışan sistemlere yönelik yapılan bir saldırıdır.
Saldırgan
makinenin, çok az hat kullanarak hedef makinenin cevap veremez hale gelmesine imkân
tanımaktadır. Burada saldırgan makine hedef sisteme çok fazla bağlantı kurar. Kurduğu bağlantılar
üzerinden paketleri çok seyrek bir şekilde gönderir ve böylece bağlantının kopması engellenir.
Kapanmayan ve boşa çıkmayan bu bağlantılar nedeniyle hedef sunucu yorulur ve cevap veremez
hale gelir. SlowHTTP kısmında belirtilen önlemlerin alınması, bu saldırı türüne karşı da sistemi
savunmaya yardımcı olur.
3.5.6 Yönlendirme Protokolleri
Dağıtılmış bir algoritma ile yönlendirme işlemini gerçekleştiren ilk tasarlanan yönlendiriciler
bilgisayar sayısı arttıkça yetersiz kalmaya başladı. Bunun üzerine hiyerarşik bir algoritma geliştirildi
ve İnternet'e bağlı her bölgede IGP (Interior Gateway Protocol) protokolleri kullanılmaya başlandı.
Bağımsız dış bölgelerde ise EGP (Exterior Gateway Protocol) protokolü ile birbirine bağlandı.
Böylece hiyerarşik bir yapı geliştirilmiş oldu. Bu protokollere yönelik saldırılarda saldırgan
yönlendiricinin yönlendirme protokolünü bozmadan yollanan paketlerin bir kopyasının kendine de
yollanmasını sağlayabilir veya protokolleri kaldırarak yönlendiricinin diğer yönlendiricilerle
haberleşmesini keser ve servis dışı bırakabilir. Kaynaktan yönlendirme, sahte RIP yönlendirmeleri,
EGP istismarı, oturum çalma ve dinleme de olası saldırı tipleridir. Örneğin bir IGP protokolü olan
RIP’e yönelik bir atakta saldırgan istemcinin hedefe giden en iyi yolun kendisi olduğuna inandırabilir.
Özellikle BGP gibi hem internetin temelini oluşturan hem de TCP tabanlı olan bir protokole
yapılacak saldırılar oldukça önem arz etmektedir. Bu tehditlerden bazıları şu şekildedir:

Route Manipulation: Kötü niyetle yapılandırılmış bir cihaz tarafından BGP yönlendirme
tablosunun içeriği değiştirilerek mevcut trafiğin hedefe ulaşmasının engellenmesi sağlanır.

Route (Prefix) Hijacking: Kötü niyetli bir BGP eşi tarafından zarar vermek amacıyla
kurbana ait prefikslerin anons edilmesi ile trafiğin bir kısmının veya bütününün yeniden
yönlendirilmesi ve trafiğinin içeriğinin görülmesidir.

Servis Dışı Bırakma: Zararlı bir düğümün, beklenmeyen veya istenmeyen BGP trafiğini
kurbanın CPU vb. gibi kaynaklarını tüketmek amacıyla yönlendirmesi suretiyle hedefi servis
dışı bırakmasıdır.
38 / 45
SBLN Rev 2.0/ 15.01.2014

Yapılandırma Hataları: BGP eşleri arasındaki sürecin bozulması; atanmamış, rezerve ASN
kullanımı; İnternet üzerinde yönlendirilmeyen prefikslerin anonsu olarak gösterilebilir.
IGRP için önlem olarak gönderilen ve alınan rotaları filtrelemektir. Örneğin IGRP yönlendirme
protokolünü filtrelemek için yazılmış ACL aşağıda verilmiştir.
# router eigrp network 200.100.17.0
# distribute list 20 out ethernet 0
# distance 255
# distance 90 200.100.17.0 0.0.0.255
# access-list 20 permit 200.100.17.0 0.0.0.255
39 / 45
SBLN Rev 2.0/ 15.01.2014
4. GENEL HATLARIYLA DDOS ÖNLEMLERİ
Servis dışı bırakma saldırıları OSI katmanlarının hepsini hedef alacak şekilde yapılabilmektedir.
Yapılan saldırılara karşı etkin bir çözüm yöntemi bulunmamasına karşın bazı yerel çözümler
geliştirilmiştir.
4.1 IP Engelleme ve Beyaz / Kara Liste Kullanımı
Bu genelde pek olası olmasa da ender uygulanabilir bir yöntemdir. Kaynak IP adresleri ya da IP
aralıkları tespit edilebilirse, bu adresler için yazılacak bir güvenlik duvarı kuralı ile trafik
engellenebilir. Tipik bir kara liste oluşturma yöntemidir. Engeller içeri ve dışarı yönlü olabilir.
Bu yöntemde belirli kaynak IP adres aralıklarından gelen istekler haricindekiler engellenecektir.
Burada kullanılan kaynak IP adresleri genellikle bölgesel veya ülkesel olarak lokasyona bağlı
seçilmektedir.
İnternet üzerinde ülkelere ait IP bloklarını ücretsiz dağıtan çeşitli servisler vardır. İnternet arama
motorları üzerinden yapılacak “country ip blocks” araması sonucunda gelen kaynaklardan alınacak
IP blokları beyaz/kara liste oluşturmakta kullanılabilir.
4.2 İstek Aşımı (Rate Limit)
Bu yöntemde birim zamanda aynı kaynak IP adresli bilgisayar veya sunucu sistemlerinden gelecek
olan cevaplar için bir eşik değeri belirlenir ve bu değerin aşılması durumunda istekler engellenir.
Rate limit, uygulanabiliyorsa dinamik olarak uygulanabilir. Böylece normal zamandaki trafik
öğrenilerek, bu trafiğe uygun bir değer sınır olarak kabul edilir. Bu değerin üstündeki trafik göz ardı
edilir, yani düşürülür. Dinamik olarak belirlenemeyen durumlarda trafik gözle incelenir ve uygun bir
statik değer atanır. Ancak bu yöntemin kötüye kullanımı ile legal trafiğin engellenmesi gibi durumlar
ile kötüye kullanımı mevcuttur.
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
4.3 DNS İsteklerini TCP Protokolüne Çevirme
Bu yöntemde DNS sunucu servisi ile inline modda çalışacak şekilde yapılandırılmış olan özel olarak
yapılandırılmış bir DNS servisi mevcut bulunmaktadır. Gelen tüm DNS isteklerini TCP isteği olarak
yeniden gerçekleştirilmesi için istekleri gönderen kaynak IP adreslerine gönderilir. Eğer IP sahteciliği
gerçekleştirilmemişse legal DNS istekleri geleceğinden saldırı engellenmiş olacaktır.
40 / 45
SBLN Rev 2.0/ 15.01.2014
4.4 İlk Paketi Düşürme
DNS saldırılarına önerilen bu yöntemde ilk gelen paket engellenecek ve ardından aynı kaynak IP
adresli sistemlerden gelen ikinci paket ve devamındaki paketler kabul edilecektir. Bu saldırı türüne
karşı DDoS savunma cihazları veya güvenlik duvarları üzerinde önlemler alınabilmektedir.
İlk paketi düşürme özelliğini destekleyen bazı güvenlik duvarı ve DDoS savunma cihazları
bulunmaktadır. Bu cihazlar üzerinde gerekli yapılandırmaların yapılması ile bu saldırı türüne karşı
bir önlem alınmış olur. Ancak bu yöntem de aşılması oldukça kolay bir yöntem olarak göze
çarpmaktadır.
Bu özelliği destekleyen Arbor Peakflow SP DDoS savunma cihazının üzerinde bu önlem “Passive
Mode” seçilerek alınabilir.
4.5 SYN Cookie
Syn Cookie özelliği etkin kılınmış bir sistemde gelen SYN paketi için sistemden bir kaynak ayrılmaz.
Her paket gönderilirken oluşturulacak ISN numarası özel kriptografik bir işlem sonucu
oluşturulmakta ve dönecek ACK cevabının bu kriptografik değere göre gelmesi beklenmektedir.
Gelen ACK cevabı hesaplanan ISN numarasını takip eden bir numara ise bağlantı açılmakta ve
hafızadan bu bağlantı için yer açılmaktadır. Yapılan işlem hafızayı çok iyi kullanmasına rağmen her
gelen SYN paketi için işlemciyi meşgul etmektedir. Bu da ayrı bir darboğaz oluşturmaktadır.
Dolayısıyla Güvenlik Duvarı, IPS gibi işlem gücü yüksek cihazları kullanarak bu korumayı etkin hale
getirmek önerilmektedir. SYN Cookie özelliğinin etkinleştirilmesi için Juniper güvenlik duvarı
üzerinde örnek yapılandırma aşağıda gösterilmiştir.
user@host# set security screen ids-option external-syn-flood tcp syn-flood timeout 20
user@host# set security zones security-zone external screen external-syn-flood
user@host# set security flow syn-flood-protection-mode syn-cookie
user@host# commit
4.6 SYN Proxy
SYN Proxy gerçek sunucu ile internet arasında durarak 3 yollu el sıkışmanın son ACK paketi
gelmeden trafiğin web sunucusuna gitmesine izin vermez. Böylece tamamlanmayan el sıkışmalar
oluşmadığı için hedef sistemin kaynakları tüketilmemiş olur.
41 / 45
SBLN Rev 2.0/ 15.01.2014
Şekil 17 SYN Proxy Çalışma Mantığı
Juniper güvenlik duvarı üzerinde SYN Proxy özelliğinin etkinleştirilmesi ile ilgili örnek yapılandırma
aşağıda gösterilmiştir.
user@host# set security screen ids-option external-syn-flood tcp syn-flood timeout 20
user@host# set security zones security-zone external screen external-syn-flood
user@host# set security flow syn-flood-protection-mode syn-proxy
user@host#commit
42 / 45
SBLN Rev 2.0/ 15.01.2014
4.7 Anycast DNS Sunucu Kullanımı
Anycast, Unicast-Multicast-Broadcast dışında IP ağları için kullanılan yönlendirme şemalarından
biridir. 1993 yılında tanımlanmasına karşın geniş bir kullanım alanına ve bilinilirliğe sahip değildir.
En yaygın ve verimli olarak Kök DNS sunucuları tarafından kullanılmaktadır.
13 Kök DNS
sunucusundan 7 tanesi bu teknolojiyi kullanmaktadır.
Aynı IP adresine sahip farklı coğrafik alanlarda bulunan DNS sunucularına gelecek istekler
kendilerine en yakın DNS sunucuya gönderilecektir. Yük dengelemek için kullanılan bu yöntem bir
DNS sunucusuna gelebilecek DDoS saldırısında, coğrafik olarak farklı alanlarda bulunan DNS
sunucuların saldırıdan etkilenmemesini sağlamakta dolayısıyla kuruma ait alan adı çözümleme
işlemi devam etmektedir. Anycast adresler IPv6 ile ayrıca kullanılabilecektir.
Saldırı esnasından kayıt yapan modüller geçici olarak kapatılabilir. DDoS saldırıları sırasında
milyonlarca bazen milyarlarca farklı adresten gelen ağ trafiği özellikle güvenlik duvarı gibi cihazlar
üzerinde bulunan kayıt modüllerinin trafiği işleyememelerine neden olmaktadır. Kayıt cihazlarını,
farklı bir donanım üzerinde çalıştırılabiliyorsa, farklı bir cihaz üzerine almak oldukça mantıklı bir iş
olacaktır.
Şekil 18 IP Yönlendirme Şemaları
4.8 Atak Modeli ile Engelleme
Yapılan saldırı analiz edilip trafiğin içerisinde belli bir imza tespit edilebilirse, bu imza, hedef sistemin
önünde bulunan bir IPS cihazı üzerinde tanımlanarak engellenebilir. IPS sistemleri genel olarak
imza tabanlı olduğundan, yazılabilecek bir imzayı içeren trafik engellenebilir. IPS sistemlerinin
verimli çalışabilmesi için imza veritabanlarının güncel tutulması gereklidir. Ayrıca IPS sistemi
seçilirken,
bulunulan
coğrafyadaki
yaygın
saldırılara
karşı
verdiği
destek
göz
önünde
bulundurulmalıdır.
43 / 45
SBLN Rev 2.0/ 15.01.2014
4.9 HTTP GET / POST Seline Karşı Önlemler
Bu saldırıların yapılabilmesi için gerçek IP adresleri ile bağlantı kurulması gerekmektedir. Web
sunucu üzerinde ve ağ geçidi olarak kullanılan güvenlik duvarı üzerinde IP bazında ve açılacak
oturum bazında limit ayarlamalarını gerçekleştirmek gerekmektedir.
•
Bir kaynak IP adresinin açabileceği oturum sayısı azaltılabilir.
•
Belirli bir oturum sayısını geçen IP adresleri kara listeye alınabilir.
•
Bağlantı belirli bir coğrafik alandan geliyorsa bu coğrafi alandaki IP adresleri GEOIP veri
tabanı kullanılarak geçici olarak engellenebilir. Ya da sadece belirli bir coğrafik alandaki IP
adreslerine hizmet verebilmesi için bu adreslere izin verilip geri kalan her şey engellenebilir.
•
Saldırı sırasında BotNet’e dâhil olduğu bilinen IP adresler kara listeye alınıp düşürülebilir.
•
Saldırı için bağlanılan kullanıcı bilgileri kullanılarak (user-agent, browser, Referrer vs.) IPS
için imza oluşturup bu trafiğin engellenmesi sağlanır.
•
Web sunucunun desteklediği DoS koruma modülleri kullanılabilir(Apache mod_dosevasive
vb.)
•
Reverse Proxy kullanımı ve arkasında yük dağılımlı birden fazla eşlenik Web sunucusu
kullanımı ile performans artışı sağlanabilir.
Bu önlemlerin nasıl alınabileceğine dair örnekler ilgili başlıklar altında belirtilmiştir.
4.10 Saldırının Etkisini Azaltacak Proaktif Önlemler
Hedef alınan sistem üzerindeki saldırıyı azaltmak için önlemler alınmalıdır. Bunun için:
•
Kullanılmayan servisler kapatılmalıdır.
•
ISP’den saldırı yapılan IP adreslerine gelen trafiği kara deliğe yönlendirilmesi ya da limit
koyma işlemi yapılması talep edilebilir.
•
IDS imzası oluşturulup trafiğin engellenmesini sağlanabilir.
•
DNS zaman aşımı süresi kısa tutulabilir.
•
Web sitesinin statik html kopyası bulundurulmalı ve saldırı anında başka bir web sunucu
üzerinde bu statik içerik sunulmalıdır.
•
ISP ile irtibata geçerek ek bant genişliği talebinde bulunulabilir.
4.11 Korumaya Yönelik Hizmet Sağlayıcılarından Hizmet Alınması
Servis dışı bırakma saldırılarına karşı hizmetler satın alınabilmektedir. Bu hizmetleri sağlayan
İSS’ler de bulunmaktadır. Bu hizmetler ile servis dışı bırakma saldırılarından görülecek zarar
minimuma indirilebilir. Çünkü İSS tarafından alınmayan önlemler tüm trafiği kapsamadığından yeterli
44 / 45
SBLN Rev 2.0/ 15.01.2014
olmayabilir. İSS’den alınacak bu hizmet, saldırı olduğunda trafiğin temizlenerek tekrar doğru bir
şekilde yönlendirilmesine imkân sağlamaktadır. Dolayısıyla servis dışı bırakma saldırılarına karşı bir
hizmet satın alınması düşünülüyor ise önce İSS ile görüşülmesi tavsiye edilir.
45 / 45

View - Ulusal Bilgi Güvenliği Kapısı

Transkript

Benzer belgeler

GS-Super Compact GS

DDoS Testleri

Slayt 1 - Certified Ethical Hacker

Router konfigürasyonu kaynak

Türkçe CCNA EĞİTİM Notları

Türkiye Yaz Şampiyonası-İstanbul