B R HACKER B LG SAYARINIZA NASIL SALDIRIR

DOS/DDOS Nedir?
Bilgi güvenliği confidentiality, availability, integrity, yani gizlilik, kullanılabilirlik, erişilebilirlik
üzerine kurulmuştur. Bunların herhangi birisindeki zafiyet oluşması durumunda
koruduğunuz bilgi tehlike altında olur. DOS/DDoS ise bu üçgende availability kısmına doğru
yapılan bir saldırıdır türüdür. DDoS yani Distributed Denial of Service (Dağıtık Hizmet
Engelleme) ve DOS (Denial of Service) olarak bilinen bir bilişim suçudur. Bu saldırı türü
tamamen bir hizmeti ya da servisi, ulaşılmaz hale getirmeye yönelik yapılır. Bu tür saldırıda
hedef hizmete/servisin core altyapısına ya da o hizmete giden yolları tıkınması üzerine olur.
Kısaca hedefe giden her yolu engellemeye çalışır.
İster internet bağlantısını yoğunlaştırsın isterse de servisin cevap verme süresini yavaşlatsın
amaç gayet nettir. DOS/DDOS Saldırısına gerçek hayatta bir kaç örnek ile benzetmeye
çalışırsak, bant genişliği için; 3 saat boyunca 200 km uzunluğundaki 3 şeritli bir otobana
saniyede 20 araba sokarak trafiğin akmasını beklemektir. Hizmet veya servise doğru
yapılan bir saldırıya gerçek hayata uygun bir örnek verirsek, maksimum 10 ton yük taşıya
bilen bir kamyona 50 ton tük koyup kamyonun durduğu yerden kalkamamasıdır. Gerçek
hayattan verilen örneklerden sonra bu işin siber ortamda nasıl olduğuna bir örnek vermek
istiyorum. KPSS sonuçlarının açıklandığı an ÖSYM sisteminde sorgulama ekranına
ulaşmamamız, ulaşsanız bile sonucu görmememizi diyebilirim. Bu durum DDOS’a çok güzel
bir örnektir. Aynı anda on binlerce kişi sisteme erişmeye çalışıyor ve sistem bu kadar isteği
aynı anda cevap veremez hale geliyor. KPSS sonucunu öğrenmek isteyenler istemeden bir
DDOS atağın parçası oluyorlar.
DDOS ve DOS Arasındaki Fark Nedir?
DOS/DDOS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme) ve DOS (Denial of
Service) Arada tek bir fark var. DDOS dağınık olarak yapılan bir saldırı aynı anda yüzlerce
binlerce noktadan hedefe yapılan saldırıdır türüdür. Birlikten kuvvet doğar mantığı vardır.
DOS atak ise bire bir yapılan saldırıdır türüdür.
DDOS/DOS Nasıl yapılır? Metotları nelerdir?
DDoS atak 3 türde Sınıflandırılabiliriz. Bunlar aşağıdaki gibidir.
1. Volume Based Atak
Logical floods
ICMP floods
Diğer spoofed-packet floods
2. Protokol Atak
SYN floods
Fragmented packet attacks
Ping of Death
Smurf DDoS
3. Application Layer Atak
Slowloris
Zero-day DDoS attacks
Aşağıda ICMP/PING floods örnek bir saldırının nasıl yapıldığını göstereceğim.
Hedef sistemin 1 Gbps network bağlantısı olduğunu düşünelim. Ve örnekte verdiğim
bilgisayarında bağlantı hızının 10 Mbps olduğunu düşünelim. Normalde Windows bir
bilgisayarla ping ping attığımızda 32 byte büyüklüğünde 4 adet ICMP paketi atıyor. Ve
toplam atma süresi başarılı bir durumda 3-4 saniye sürüyor. Buda saldırı sayılacak bir
girişim olarak görülmez networkte.
ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 timePing statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms
Bu işlemi root hakkına sahip bir kullanıcı ile Linux da bazı parametreleri ekleyip
yaptığımızda ICMP masum bir ping atma olayını çığırından çıkartabiliriz. Nasıl mı? –s
komutuyla ICMP paketini 32 den 65535 çıkartarak ve –i parametresi ile de interval sayısını
azaltarak iki ICMP paketinin arasındaki süreyi milisaniyeler seviyesine indirelim ve
komutumuzu çalıştıralım.
# ping 192.168.1.1 -s 65535 -i .0.1PING 192.168.1.1 : 65535 data bytes
65535 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.582 ms
65535 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.655 ms
65535 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.471 ms
65535 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.554 ms
65535 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.580 ms
65535 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.835 ms
65535 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=1.171 ms
65535 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.054 ms
…
…
…
65535 bytes from 192.168.1.1: icmp_seq=378 ttl=64 time=1.873 ms
65535 bytes from 192.168.1.1: icmp_seq=379 ttl=64 time=1.889 ms
Komutu çalıştırdıktan sonra gördüğünüz gibi bir kaç saniye içinde 65535 byte boyutunda
400’e yakın ICMP paketi gönderdik ve networkte yoğun bir trafik yarattık. Bu komutu uzun
süreli çalıştırınca hedefteki sisteme erişim uzun bir süre erişimde problem yaşanacaktır.
Gerçi örnekte verdiğim değerde bizim yaptığımız saldırı 10 Mbps büyüklüğünde ama
hedefinde 1Gbps hattı olduğunu düşünürsek. Saldırıdan diğer kullanıcılar fazla etkilenmez.
Tek başımıza bunu yaptığımız için bu DOS ataktır. Birlikten kuvvet doğar deyip, atak yapan
bilgisayar sayısını 400’e çıkartalım. Bizimle birlikte 400 bilgisayar bunu yaparsa saldırının
şiddeti okadar artar ve bu tür saldırıya da DDOS denir. 400 * 10 Mbps = 4 Gbps bir trafik
denir ve buda bizim hedefimizdeki sisteme ait olan bant genişliğinin 4 katı. Bu durumda
sisteme erişmek imkansız hale gelir.
Bir diğer saldırı şekli: “SYN floods Attack”
SYN floods saldırısında biraz bahsetmek istiyorum. Normalde network haberleşmesinde
Client server’a SYN gönderi Server da buna karşılık SYN-ACK. Bunun sonucunda sunucu
kullanıcıdan ACK mesajı bekler. Bekleme süresince session belli bir süre açık kalır. SYN
FLOODS yapan saldırgan ACK mesajı göndermez sürekli SYN gönderir. Sunucuda da her SYN
mesajı için SYN-ACK gönderir ve yeni bir session açar. Yeterince SYN mesajı gönderildikten
sonra artık sunucuların limitleri zorlanır ve yeni session açamaz hale gelir. Bu durumda ise
hiç bir isteğe cevap vereme hala gelir.
DOS/DDOS Araçları:
360 Booter GBooter XBL
********* High Orbit Ion Cannon
BFF DoS (Ping) v1.0
BuffMods DDos
DarkMagic Flooder
DDos V2.0 By Mike12
DDoser
Desktop Booter
DevModding DDos V3
DoSHTTP
DrBlowFish’s DoS
Slayers DDoS V2
Hping3 , Hping
Loic
UDP Flooder By FKN
Nasıl önlem alınır? Nasıl engellenir?
Bu tür bir saldırıyı tespit edebilmek için, öncelikler networkünüzü çok iyi bir şekilde analiz
edip gözlemlemeniz lazım. Haftanın hangi günü, günün hangi saatinde ne tür trafik
olduğunu bilmelisiniz. Yönettiğiniz sistemin normal trafik değerlerini kesinleştirmeniz lazım.
DOS/DDOS atağı sistem networkünüzün en dış ucundaki donanıma gelmeden engellemek
gerekiyor. DDoS Mitigation hizmetini bağlı olduğunuz operatörden alabilirsiniz. Bunun
avantajı Bandwidth yönünden rahat olması. Saldırı sizin bağlı olduğunuz routera gelmeden
engellendiği için saldırı anında bant genişliğinizi rahat rahat kullanabilirsiniz. Yani saldırıyı
buluttayken engellersiniz. Bir diğer yöntemde DDoS Mitigation cihazı alarak sisteminizin en
dış noktasına entegre etmeniz. Bunun yanında Firewall, Router, Switch, IPS, Load Balancer
gibi network ve güvenlik donanımlarının firmwarelerini de güncel tutmanız, olası bir BUG’ı
ortandan kaldırır ve bu donanımlara doğru yapılan saldırıları da engellemiş olursunuz.
Uygulamanızı çalıştırırken konfigürasyon limitlerinizi dikkatli belirlemeniz lazım. Gerek
duymadıkça kullanmadığınız protokolleri kapatın. DMZ yapınız varsa saldırıların içerden de
yapılacağını düşünerek internal ve external trafiğini düzenleyin.
Zararı Nelerdir?
Verdiği zarar sunduğunuz hizmete göre değişmektedir. Öncelikle internet bant genişliğini
ve serverlar üzerindeki kaynağı boşa harcamış olursunuz. Bir banka sisteminde finansal
hizmetlerin durmasını engeller. Hastanelerde hasta kabul işlemlerini durdurur.
Telekomünikasyondan telefon ve internet hizmetini alamazsınız. Online satış mağazasında,
siteye girişi sağlayamazsınız. Artık sunduğunuz hizmet nekadar kritikse okadar zararda
olursunuz. Buda firmanız için kötü bir reklam olur. Kısaca hizmet veremez hale
geliyorsunuz.