DoS-DDoS
"Hack çilingirlikse, DDoS kapıya omuz atmaktır" demiş anonim yazar. DDoS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme), bir internet hizmetinin sunmuş olduğu kapasitenin üzerine çıkarak o servisi saf dışı bırakmak için kullanılan saldırı tekniğinin adıdır. Saldırı yapılmaya başladığı sıralarda öncelikle tek bir bilgisayarla yapılıyor ve bu şekli DoS (Denial of Service) olarak adlandırılıyordu. Yani tek bir kaynaktan hedefe doğru saldırı yapılması şeklinde ortaya çıkan bu saldırı türü, zamanla şiddetinin arttırılması için çok sayıda kaynaktan tek hedefe yapılan saldırı şekline dönüşmüştür.
İlk DDoS saldırısı 2000 yılında Mafiaboy kullanıcı adlı Michael Calce gerçekleştirdi. Birçok üniversitenin bilgisayar ağlarını hackledi ve sunucularını CNN, Dell, eBay, Amazon ve Yahoo gibi büyük internet sitelerini çökertmek için kullandı. DDoS saldırıları, internet sitelerinin önlem almakta zorlandığı siber güvenlik tehditlerinden biri. Örnek olarak baktığımızda Black Friday gibi indirim günlerinde ülkemizde birçok sitenin kapasitesi yetersiz kalıp hizmet veremez duruma gelmişti. Her internet sitesinin hizmet sunacağı ve sunabileceği kapasite bellidir. Örneğin Facebook platformunun bir gün içerisinde en yoğun zamanlarda ne kadar kişiye aynı anda hizmet vereceği gibi durumlarda bellidir. DDoS saldırılarındaysa asıl amaç bu kapasitenin çok daha üstüne çıkılması ve aynı anda yapılan saldırılarla birlikte hizmetin kısa veya uzun süreli olarak durdurulması durumudur.
Nasıl Gerçekleşir?
Nasıl Gerçekleşir?
DoS saldırıları temelde iki şekilde çalışarak hedefe zarar verme işlemini uygular. Burada amaç tamamen hedefi kullanılamaz duruma getirmek ve hizmeti engellemektir. Birinci çalışma yöntemi olarak, hedef sistemin sahip olduğu bandwith miktarından daha fazla trafik göndermektir. İkinci yöntem olarak ise, hedef servis üzerinde açık varsa bu açıktan yararlanarak servis durdurulur.
DDoS'ta ise uzaktan kontrol edilen hacklenmiş bilgisayarlardan ya da botlardan yararlanarak bir botnet ağı oluşturulmaktadır. Hedeflerindeki web sitelerine, sunuculara ve ağlara barındırabileceklerinden daha fazla veriyle bombardıman yapmaktadırlar. Bu atakların güçlü ve şiddetli olması halinde hedef servis uzun bir süre kapanabilir. Yapılan saldırı çok yönlü olduğu için saldırganın bulunması oldukça zorlaşır. Çünkü saldırının merkezinde bulunan saldırgan aslında saldırıya katılmaz. Sadece ip yönlendirmesi yapar. Eğer saldırı tek bir ip üzerinden yapılırsa Firewall bunu rahatlıkla engelleyebilir. Fakat saldırı daha yüksek sayıda ip adresinden gelmesi halinde Firewall'un devre dışı kalacaktır.
DDoS Saldırılarının Belirtileri
DDoS Saldırılarının Belirtileri
Artık günümüzde normalin dışında gerçekleşen her türlü data trafiğini DDoS olarak adlandırabiliriz. Ağır çalışan ya da hiç çalışmayan web siteleri DDoS saldırısının nedeni olabilir. Aşırı network kullanımı ise DDoS saldırılarının en büyük belirtisidir. Bunların yanı sıra yine aşırı UDP, SYN ve GET/POST sorguları da genellikle DDoS saldırılarının belirtileri arasında gösterilebilir.
Ekstra Not: Bilgisayarınızın anormal bir şekilde yavaşladığını farkettiğiniz zaman bir zombie bilgisayar olabileceğinizi düşünmeniz gerekebilir. Eğer böyle bir durumla karşı karşıya kalırsanız sisteminizde W+R tuşuna basarak çalıştır kısmına Regedit yazıp enter'a basın. Eğer açılan ekran 1-2 sn içerisinde kapanıyorsa bir zombie olma ihtimaliniz yüksektir.
DDoS hakkında teorik bilgileri öğrendiğimize göre Slowloris HTTP DoS atağını deneyelim ve konuyu iyice kavrayalım.
Slowloris HTTP DOS Atak Nedir?
Slowloris HTTP DOS Atak Nedir?
Slowloris, sunucuya 80. porttan sürekli olarak bağlantı açmaktadır. Time out olan bağlantıların yerine hemen yeni bir bağlantı açarak, bağlantı sayısı yaklaşık 30-45 saniye içerisinde 1000'lere ulaşabilmektedir. Oldukça güçlü bir saldırıdır. Saldırıyı başlattıktan bir süre sonra maksimum bağlantı sayısına ulaşarak artık yeni bir bağlantı açamadığından sayfa görüntülenemeyecektir ve hizmet kesintisi kısa bir süre de olsa kesilecektir.
Yapacağım örnek uygulamayı Kali Linux üzerinden kendi blog adresime gerçekleştireceğim. Bu örneği bir başkası üzerinde kesinlikle denemeyiniz. Ciddi anlamda yaptırımlar bulunmaktadır.
Öncelikle terminal ekranına gelip apt-get install slowhttptest yazıp paketimi zi yüklüyoruz. Yükleme işlemi tamamlandıktan sonra yeni bir terminal ekranına "slowhttptest" yazarak arayüze ulaşıyoruz.
Şuan da herhangi bir işlem başlatmadığımız için "service available= yes" ve diğer tüm parametreler 0 durumundadır. "slowhttptest -h" komutuyla parametreleri inceleyelim.
Burada birçok parametre bulunmaktadır. Ben en çok kullanılan ve birazdan saldırıda kullanacağımız parametreleri inceleyeceğim.
- -c: Test sırasında kurulacak hedef bağlantı sayısını belirtir.
- -H: Tamamlanmamış HTTP isteği göndererek yavaş modda slowhttptest başlatır.
- -g ve -o: Bu iki parametre, tarama tamamlandığında CSV ve HTML dosyaları oluşturmak için birlikte kullanılır.
- -r: Bağlantı hızını belirtir.
- -u: Hedef url ya da IP adresinin belirtildiği parametredir.
- -w: Başlangıçta paketlerin byte miktarı.
- -y: Tarama sonunda paketlerin ulaşacağı byte miktarı.
- -k: Bağlantıda aynı isteği tekrarlama sayısı. Kullanmak için sunucu kalıcı bağlantı destekliyorsa, yanıt boyutunu çarp anlamına gelmektedir.
Saldırıya Geçelim
Parametreleri de öğrendikten sonra artık saldırıyı başlatalım. Ben kendi blog adresime saldırı gerçekleştireceğim. Saldırı da sürekli connection oluşturulacağı için ziyaretçi geliyormuş gibi görüneceğinden öncelikle ziyaretçi sayısına bakalım.
Bizim için önemli olan bugünkü ziyaretçi sayısı. Bakalım saldırı sonunda bu sayı ne olacak? "slowhttptest -c 1000 -X -g -o slow_reads_stats -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://siberguvenligi.blogspot.com -p 3" komutunu terminal ekranına yazalım ve saldırıyı başlatalım.
Saldırıyı bu şekilde başlatmış olduk. Aşağıda görüldüğü üzere "Service Available: No" şeklinde görülmektedir.
Bu şu anlama gelmektedir. Artık blog sitem ulaşabileceği maksimum oturum açma sayısına ulaştığı için, yeni bir bağlantı oluşmadığından dolayı sayfayı görüntüleyememektedir.
Gerçekten de sayfaya birkaç saniye ulaşılamamaktadır. "Error 503" ün anlamı şudur. Sunucu (aşırı yüklü olduğu veya onarım nedeniyle kapalı olduğu için) şu anda kullanılmamaktadır. Bu genellikle geçici bir durumdur. Yani saldırımız başarılı bir şekilde gerçekleşti. Terminal ekranında "service available: yes" durumuna geldiğinde site eski haline dönecektir. Bir de açılan connection sayısına tekrar bakalım.
Görüldüğü gibi saldırı başladıktan birkaç saniye içinde 523 connection oluşturulmuştur. Slowloris perl diliyle yazılmış gerçekten güçlü bir DoS saldırısıdır. Tarama tamamlandıktan sonra sonuçları daha net görmek isterseniz -g -o slow_read_stats komutuyla oluşturduğumuz csv ve html dosyalarını /root dizininden inceleyebilirsiniz.
DDoS Korunma Yöntemleri
DDoS siber güvenlikçiler için ciddi bir tehdit olmaya devam ediyor. Şu anda kesin bir çözümü yoktur. Zaten bakıldığında yüzde yüz güvenlik diye bir şeyden söz etmek günümüzde mümkün değildir. Bana kalırsa önemli olan ve en önemli güvenlik önlemi olarak bu saldırılara karşı önlem almaktır. Kurumlarda güvenlik oluşturulurken DDoS saldırıları göz önünde bulundurularak oluşturulmalıdır.
Farklı türlerde DDoS saldırı çeşitleri bulunmaktadır. Ben bu yazımda bu çeşitlerden sadece web sunucularına olanına değindim. Her saldırı çeşidi için örneğin bir Synflood saldırısında Syn-Cookie kullanılarak bu saldırının önüne geçilebilir. Ya da davranış tabanlı korumalar sağlayan sandbox gibi sistemler kullanılarak önlemler alınabilir. Örneğin web sunucuları için, bir DDoS saldırılarına maruz kalmadan önce bir performans testi yapılarak gerekli olan önlemler alınmalıdır. hping, curl gibi araçlarla kendi sitenizi istediğiniz şekilde test edebilirsiniz. Ayrıca bant genişliğiniz ile ilgili de bir durum olduğu için ISP şirketinizle de iletişim halinde olmanız gerekmektedir. Captcha kullanımı da önlem olarak önerilmektedir.
Bu yazımda DoS-DDoS kavramlarını, belirtilerini, Slowloris HTTP DoS atağının nasıl yapılacağını ve bir takım önlemlerden bahsetmeye çalıştım. Umarım yararlı olmuştur. Bir sonraki yazımda görüşmek üzere.
Hiç yorum yok:
Yorum Gönder