Hizmet Aksatma Saldırıları (DoS, DDoS)
Kullanıcıların sistem kaynaklarına erişimini azaltan, sınırlayan veya önleyen ağa veya bilgisayara yapılan bir saldırıdır. Saldırgan kaynaklara aşırı yükleme yapmak için servis talepleri veya trafik basar (flood). Saldırgan belli web sitelerine erişilmemesini ve ağ performansını yavaşlatmayı amaçlar. Distributed Denial of Service (DDoS/Dağıtılmış Hizmet Aksatma), bir hedefe saldıran birden çok anlaşmalı sistemi kapsar. Saldırgan botnetler kullanır. DoS itibar (goodwill) kaybına, ağ devre dışı kalmasına, finansal kayba ve organizasyonun devre dışı kalmasına yol açabilir. DDoS için saldırgan işleyici (handler) bir sistem ayarlar. Handler internetteki birçok bilgisayara bulaşırlar. Bulaşılan PCler zombilere dönüşürler. Zombi PCler üzerinden bir sistem hedef alınır. [23]
1.1.1. Dos/ddos Saldırı Vektörleri Temel Kategorileri
Hacimsel (Volumetric) Saldırılar
Hedef ağın veya servisin bant genişliğini tüketirler.
Parçalama (Fragmentation) Saldırılar
Hedefin parçalı paketleri yeniden birleştirmesini etkilerler (overwhelm).
TCP Durumu Tüketme (TCP State-Exhaustion) Saldırılar
Yük dengeleyiciler (load-balancers), güvenlik duvarları ve uygulama sunucuları gibi ağ altyapısı bileşenlerindeki bağlantı durumu tablolarını tüketirler.
Uygulama Katmanı Saldırıları
Ugulama kaynaklarını veya servisi tüketirler böylece diğer kullanıcılar erişemez.
1.1.2. Dos/ddos teknikleri
Bant Genişliği Saldırıları:
Saldırgan birkaç bilgisayarla DDoS yapar. Ağ trafiğindeki önemli istatistiksel değişimlerden switchler, routerlar gibi ağ ekipmanları etkilenebilir. Saldırgan botnetler kullanıp ICMP ECHO paketlerini ağa basarak (flood) DDoS yapar. Tüm bant genişliği kullanılıp geriye kullanıcıların kullanabilecekleri bant genişliği kalmaz.
Servis Talebi Basma (flood):
Zombiler veya saldırgan TCP bağlantıları kurup kopararak sunucu kaynaklarını tüketme girişiminde bulunur. Geçerli bir kaynaktan sunuculara yüksek oranda bağlantı flood edilir. Her bağlantı bir taleple başlatılır (initiate).
SYN Basma (Flooding) Saldırısı:
Saldırgan hedef sunucuya sahte kaynak IP adresleriyle SYN talepleri yollar. Hedef talebe yanıt olarak SYN ACK ile dönüp oturumun tamamlanması için ACK bekler. Kaynak adres sahte olduğunda yanıt alamaz. Bu saldırı üç yönlü el sıkışma (three-way handshake) yönteminden faydalanır (exploit) -SYN talebi alan sunucu, dinleme kuyruğundaki (listen queue) kısmen açık bağlantıyı en az 75 saniye tutmalıdır-.
ICMP Basma (Flood) Saldırısı;
Saldırganın hedefi etkileyip sonrasında TCP/IP taleplerine yanıt vermesini durdurmak için doğrudan veya ağların yansıtması ile ICMP paketleri yolladığı bir DoS saldırı tipidir. Bundan korunmak için aşma olduğunda ICMP Flood saldırısı korunma özelliğini devreye sokacak eşik (threshold) sınırı ayarlanır.
Eşler Arası (Peer-to-Peer) Saldırılar;
Saldırgan eşler arası dosya paylaşım merkezi istemcilerine eşler arası ağlarından çıkıp kurbanın taklit web sitesine bağlanmaları için talimat verir. Saldırganlar DC++ (Doğrudan Bağlı/Direct Connect) protokolünü –eşler arası dosya paylaşım protokolü, anlık mesajlaşan istemciler arasındaki tüm dosya türleri paylaşımlarını kullanır- kullanarak ağda bulunan hatalardan (flaws) yararlanır. Bununla saldırganlar muazzam DoS saldırıları yapabilirler.
Uygulama Seviyesi Flood Saldırıları;
E-postalar, ağ kaynakları gibi belli ağ servislerinin kaybına, geçici uygulama ve servis kesintilerine ve fazlasına neden olur. Saldırgan uygulamanın talepleri işlemesini önlemek için kaynak kodu programlamasındaki zayıflıklardan faydalanır. Web uygulamalarını kullanıcı trafiğine basmada, özellikli bir sistem veya insanın servis erişimini kesmede -geçersiz oturum açma girişimleri yaparak bir kullanıcının erişimini engelemek gibi-, kötücül SQL sorguları yaparak (craft) uygulama veri tabanı bağlantısını bozmada (jam) kullanılır.
Sürekli (Permanent) DoS Saldırısı;
Temizleme (Phlashing) olarak da bilinir. Sistem donanımında geri dönülemez (irreversible) bir zarara yol açar. Diğer DoS saldırılarının aksine sistem donanımını baltalar (sabotage) –kurban donanımı değiştirmeli veya yeniden kurmalıdır-. Bu saldırı bricking a system (sistemi kullanılamaz hâle getirme) olarak bilinen bir yöntem kullanır. Bu yöntemle saldırgan kurbana sahte (fraudulent) donanım güncellemeleri gönderir.
Dağıtılmış DoS Yansıtma (Reflection) (DrDoS):
Spoof edilen saldırı olarak da bilinir. Aracı (intermediary) ve yardımcı (secondary) birçok makine kullanır. Aracı hostlara talepler gönderir, talepler daha sonra sırayla trafiği hedefe yansıtan yardımcı makinelere yönlendirilir. Saldırıyı asıl yapan kişi görülemez. Aracı olarak seçilen kurban sunucuları saldırı bant genişliğini artırır.
1.1.3. Botnetler
Botlar, internet üzerinden otomatik görevleri çalıştırıp web örümcekleme (spidering), arama motoru dizinleme (search engine indexing) gibi tekrar eden basit görevleri yapan yazılım uygulamalarıdır. Botnet, çok büyük anlaşmalı sistemler ağıdır ve DoS saldırıları için kullanılabilir.
Makinelerin Zafiyetlerini Bulan Tarama Yöntemleri
Rastgele (Random) Tarama
Bulaştırılan makine hedef ağ IP aralığı ve zafiyet kontrollerini rastgele araştırır.
En Çok Saptanan Listesi (Hit-list) Taraması
Saldırgan önce makinelerin olası zafiyet listesini toplar sonra da zafiyet bulmak için tarama yapar.
Topolojik Tarama
Yeni makine zafiyetleri bulmak için bulaşmış makine üzerinde elde edilen bilgiyi kullanır.
Yerel Alt Ağ (Subnet) Taraması
Bulaşmış makine kendi yerel ağında yeni makine zafiyetleri arar.
Değişim (Permutation) Taraması
Yeni makine zafiyetleri bulmak için IP adreslerinin yalancı rastgele değişim listesini (pseudorandom permutation list) kullanır.
Kötücül Kodu Yeni Keşfedilmiş Sistem Zafiyetine Yayma Teknikleri
Merkezi Kaynak Yayması (Central Source Propagation)
Saldırgan merkezi kaynağa saldırı aracını (toolkit) yerleştirir ve saldırı aracının kopyası yeni keşfedilmiş sistem zafiyetine iletilir.
Geri Zincirleme Yayması (Back-Chaining Propagation)
Saldırgan sistemin kendisine aracı yerleştirir ve saldırı aracının kopyası yeni keşfedilmiş sistem zafiyetine iletilir.
Otomatik Yayma (Autonomous Propagation)
Saldırı aracı, yeni sistem zafiyeti keşfedildiği anda iletilir.
Blackshades NET, gizleme algoritması veya şifreleyiciler (Crypters) çalıştıran ileten binaryler (implant binaries) yaratma özelliğine sahiptir. Botnet trojanıdır. Cythosia Botnet, Andromeda Bot aynı şekilde Botnet trojanlarıdır. PlugBot botnet donanım projesidir. Fiziksel sızma testleri sırasında gizli kullanım için tasarlanmış gizli (covert) bir sızma testi cihazıdır (bot).
Botnetlere Karşı Savunma Teknikleri
RFC 3704 Filtering (Filtreleme)
Kullanılmayan veya ayrılmış (reserved) IP adreslerinden gelen herhangi bir trafik sahtedir ve internet bağlantısı girmeden önce ISP’de filtrelenmiş olmalıdır.
Cisco IPS Kaynağı IP Adı (Reputation) Filtreleme
Ad servisleri (Reputation services) bir IP veya servisin tehdit olup olmadığını belirlemede yardımcı olur. Cisco IPS düzenli olarak botnetler, botnet toplayıcılar (harvesters), Zararlı Yazılım (Malware)lar vb. bilinen tehditler için veri tabanını güncelleyip DoS trafiğini filtrelemeye yardımcı olur.
Black Hole (Kara Delik) Filtreleme
Kara delik, verinin istenen alıcıya ulaşmadığını bildirmeden gelen trafiğin düşürüldüğü ağ düğümleridir. Kara Delik Filtreleme, yönlendirme (routing) seviyesindeki paketleri almamaktır.
ISP veya DDoS Servisinden Gelen DDoS Tekliflerini Önleme
Sızdırılmış/Aldatılmış paketler yollayan botu önleyen DHCP veri tabanı veya IP kaynak verilerine bağlı olarak trafiği filtrelemek için IP Source Guard (Cisco’da) veya diğer yönlendiricilerde (routerlarda) benzer özellikleri etkinleştirmek
1.1.4. Dos/ddos saldırı araçları
Pandora DDoS Bot Toolkit
Dirt Jumper DDoS Toolkit’in güncellenmiş değişik sürümüdür. Beş tane DDoS saldırı moduna sahiptir: HTTP min, HTTP download, HTTP Combo, Socket Connect, Max Flood.
Dereil
TCP, UDP ve HTTP protokolleri üzerinden saldırı için en yeni şablonlar içeren profesyonel DDoS aracıdır.
HOIC
Seçilmiş kullanıcı portu ve protokolü ile herhangi bir IP adresine DDoS saldırısı yapar.
DoS http
Windows için HTTP Flood DoS test etme aracıdır. URL doğrulama, HTTP yönlendirme, port tasarımı, performans izleme ve geliştirilmiş raporlama içerir.
BanglaDos bu araçlardandır.
1.1.5. Dos/ddos’a karşı önlemler
Belirleme Teknikleri, yasal paket trafiğini ani olaylar (flash events) ve artan yasal olmayan trafikten ayırt edip belirleme esasına dayanır. Tüm belirleme teknikleri, normal ağ trafik istatiklerinin eşiğinden anormal ve göze çarpan bir sapmayı saldırı olarak tanımlar.
Belirleme Teknikleri:
Activity Profiling (Eylem Belirleme)
Bir saldırıya işaret eden şeyler; Ağ akış kümelerindeki (network flow clusters) eylem seviyelerindeki artış, Kümelerin sayısındaki belirgin artış. Activity Profile, benzer paket alanlarıyla peş peşe gelen paketler içeren bir ağ akışı için ortalama paket oranı tabanlı yapılır. Eylem profili (Activity profile), ağ paketlerinin başlık (header) bilgisi izlenerek elde edilir.
Changepoint Detection (Değişim Noktası Belirleme)
Algoritmaları, saldırıların sebep olduğu ağ trafik istatistiklerindeki değişimleri ayırır (Isolate Traffic). Algoritmalar hedef trafik verisini adres, port veya protokol ile filtreler ve zaman dizileri olarak akış sonucu (resultant flow) tutar (Filter Traffic). Ardışık (Sequential) değişim noktası belirleme tekniği, DoS saldırılarını belirleyip yerini öğrenmek için Cusum algoritmasını kullanır; algoritma trafik zaman dizilerinde (time series) beklenmiş olan yerel ortalamaya karşı aslındaki sapmaları hesaplar (Identify Attack). Bu teknik ayrıca ağ wormlerinin tipik tarama eylemlerini belirlemek için de kullanılabilir (Identify Scan Activity).
Wavelet-based Signal Analysis (Dalga Tabanlı Sinyal Analizi)
Dalga analizi spektral bileşenler bakımından giriş sinyalini ifade eder. Dalgalar kesişen zaman ve frekans tanımına karşılık gelir. Her spektral pencerenin enerjisini analiz etmek gariplikleri (anomalies) belirler. Sinyal analizi, belirli frekans bileşenlerinin var olduğu zamanı belirler.
Karşı Önlem Stratejileri
Saldırının Etkisini Azaltmak (Absorbing the Attack)
Saldırının etkisini azaltmak için ek kapasite kullanılır. Önceden planlamak gerekir. Ek kaynaklar gerekir. Servisleri İndirgemek (Degrading Services): Kritik servisleri belirleyip kritik olmayanları durdurmaktır.
Servisleri Kapatmak (Shutting Down the Services)
Saldırı durana kadar tüm servisleri kapatmaktır.
Karşı Önlemler:
- Yardımcı (Secondary) kurbanları korumak; Antivirüs ve antitrojan yazılımı kurup güncel tutmak, Güvenlik konuları farkındalığını artırmak ve tüm internet kullanıcılarındaki teknikleri önlemek, Gereksiz servisleri devre dışı bırakıp kullanılmayan uygulamaları kaldırmak ve dış kaynaklardan alınan tüm dosyaları taramak, Düzgün şekilde sistemlerin yazılımı ve iç donanımındaki yerleşik (built-in) savunma mekanizmalarını yapılandırıp düzenli olarak güncellemek.
- İşleyicileri (Handlers) etkisizleştirmek; İşleyiciler ve istemciler veya işleyiciler ve aracılar (agents) arasındaki trafik şekillerini ve haberleşme protokollerini, işleyicilerin bulaştırmış olabileceği ağ düğümlerini (nodes) belirlemek için incelemek (Ağ Trafik Analizi), Aracılarla karşılaştırıldığında etkin olarak kullanılan birkaç DDoS işleyici vardır. Birkaç işleyiciyi etkisizleştirmek –bu çok aracı kullanışsız hâle getirebilir böylece DDoS saldırıları engellenir- (Botnet İşleyicileri Etkisizleştirmek), DDos saldırı paketlerinin spoof edilmiş kaynak adresleri belli alt ağın (sub-network) geçerli kaynak adresini temsil etmeyebilir (Spoof Edilmiş Kaynak Adresi)
- Olası saldırıları önlemek; Bir ağdan ayrılan IP paketlerinin başlıklarını taramak (Egress Filtering/Ağ Çıkışını Filtreleme –yetkisiz veya kötücül trafiğin iç ağı terk etmesine asla izin vermez-), Geçerli prefikslerden (IP adresleri) kaynaklanan flooding saldırılarından korumak (Ingress Filtering/Ağ Girişini Filtreleme –gönderenin gerçek kaynağına kadar izlenmesini sağlar-), TCP Intercept (Ele Geçirme) yapılandırmak -TCP bağlantı taleplerini ele geçirip doğrulayarak DoS saldırılarını önler- (TCP Intercept) –TCP Intercept’i Cisco’da etkinleştirmek için;
access-list acl numarası {deny | permit} tcp any destination wildcard, ip tcp Intercept list acl numarası. TCP intercept active intercept mod veya passive watch mod olarak çalışabilir. Varsayılan olarak intercept moddadır: ip tcp intercept mode {intercept | watch}-
- Saldırıları saptırmak (Deflect): Sınırlı güvenlikle kurulan sistemler (Honeypots/Çekiciler) saldırganları kendine çeker. Honeypotlar saldırganların, saldırı tekniklerinin ve araçların sistem eylemlerini kaydederek bilgi elde etmesine hizmet ederler. Şüpheli DoS trafiğini başka honeypotlara saptırmak için farklı ağ noktalarında geniş kapsamlı savunma (defence-in-depth) yaklaşımını IPSes ile kullanmak
- Saldırıları azaltmak (Mitigate): Load Balancing (Yük Dengeleme): Saldırının yarattığı ek trafiğin etkisini azaltmak için kritik bağlantılardaki bant genişliğini arttırmak, Ek yedekli koruma sağlamak için sunucuları kopyalamak, DDoS saldırısını azaltmak için çoklu sunucu mimarisindeki herbir sunucunun yük dengesini yapmak Throttling (Daraltma): Sunucu için güvenli olan gelen trafik seviyelerini daraltmak için sunucuya mantıksal olarak erişen routerlar ayarlamak, DoS trafiğini kontrol ederek sunuculara zarar verilmesini önleyen yardımları daraltmak, DDoS saldırı trafiği daraltması genişletilip daha iyi sonuçlar için yasal kullanıcıya izin vermek
- Saldırı sonrası adli bilişim (Forensics): DDoS saldırısı trafik şekilleri, ağdan ayrılan veya ağa giren saldırı trafiğini önlemek için yeni filtreleme teknikleri geliştirmede ağ yöneticilerine (administrators) yardımcı olabilir. DoS trafiği kaynağını belirlemek için router, güvenlik duvarı ve IDS loglarını incelemek, Aracı (intermediary) ISPlerin ve emniyetin yardımıyla saldırgan IP’sinin izini sürmeye çalışmak Trafik şekli analizi: Saldırı trafiğindeki spesifik özellikleri aramak için veri analiz edilebilir –saldırı sonrası-. Bu özellikler kullanılarak trafik şekli analiz sonucu load balancing ve throttling karşı önlemlerini güncellemek için kullanılabilir.
- Gizlice Dinleme’ye (Eavesdropping) karşı koymak için geniş bant ağlarda WPA2, AES 256 vb. güçlü şifreleme mekanizmaları kullanmak
- Garip davranışları saptamak için düzenli olarak makineleri taramak ve yazılım ve protokolleri güncel tutmak
- Kullanılmayan ve güvensiz servisleri devre dışı bırakmak
- Yansıtma sunucularından kaynaklanan trafiği engellemek için servis portları kaynaklı gelen paketleri bloklamak
- Kernel’i en son sürümüne güncellemek
- ISP seviyesinde sahte adreslenmiş paketlerin iletimini önlemek
- Bozup ilerleme (Jamming and Scrambling) saldırılarıyla başa çıkmak için fiziksel katmanda bilişsel telsizler – üzerlerindeki özel yazılımlar sayesinde haberleşme protokollerini çevre koşullarına göre adapte edip daha verimli iletişim sağlarlar- kullanmak
- Dış ICMP trafik erişimini reddetmesi için güvenlik duvarını yapılandırmak
- Uzaktan administration ve bağlantı denemesini güvenceye almak
- Kapsamlı girişte geçerlik denetimi (input validation) yapmak
- Saldırgan tarafından işlenen veriyi uygulanmadan durdurmak
- gets, strcpy vb. gereksiz fonksiyonların kullanımı önlemek
- Gönderenin adresinin üzerine yazılmasını önlemek
ISP Seviyesinde Koruma:
Çoğu ISP basit şekilde DDoS saldırısı sırasında servise erişmek için yasal bir trafik gelse bile tüm talepleri bloklar. ISPler internet bağlantıları için DDoS koruması sunarlar bu yüzden saldırıyla sindirilmezler. Saldırı trafiği saldırı sırasında filtrelenip geri gönderilmesi için ISP’ye yönlendirilir. Administratorlar ISPlere sahte IP’yi bloklayıp DNS Propagation yaptıktan sonra sitelerini başka IP’ye taşımasını talep edebilirler.
İleri Seviye DDoS Koruma Cihazları:
FortiDDoS-300A, DDoS Protector, Cisco Guard XT 5650, Arbor Pravail: Availability Protection System.
1.1.6. Dos/ddos koruma araçları
FortGuard Anti-DDoS Firewall 2014, DDos saldırılarını azaltmak için saldırı trafiğini almamaktan ziyade yasal trafiği geçirmeye odaklanan bir tasarımla üst düzey bir yaklaşım sağlar. SYN, TCP Flooding ve DDoS saldırılarının diğer türlerine karşı korur. Saldırı paketlerini filtreler -UDP/ICMP/IGMP paketleri oranı yönetimi-. ARP saldırısına karşı korur.
1.1.7. Hizmet aksatma saldırıları sızma testi
Amaç belirlenir > Sunucudaki yoğun (heavy) yükler test edilir (Webserver Stress Tool, JMeter) > Sistemlerin DoS zafiyetleri kontrol edilir (Nmap, GFI LanGuard, Nessus) > Sunucuda SYN saldırısı başlatılır (Dirt Jumper DDoS Toolkit, Dereil, HOIC, DoS http) > Sunucuda port flooding saldırıları başlatılır (LOIC, Moihack Port Flooder) > E-posta sunucularında e-posta bombardımanı (bomber) başlatılır (Mail Bomber) > Sahte girdilerle ziyaretçi defteri (guestbook) ve web sitesi formları basılır (flood) (rastgele seçilmiş (arbitrary) ve uzun girdilerle) > Tüm bulgular dokümante edilir.