Post on 24-Jan-2017
DoS/DDoS SALDIRILARI VE BENZETİM TEKNİKLERİ
Oğuzcan PAMUK
oguzcanpamuk@gmail.com
Özet
Günümüz dünyasında internet hayatımızın her alanına girmiş ve gelişen teknolojiyle girmeye
devam etmektedir. Bankacılık, kamu, milli güvenlik gibi hayati öneme sahip birimlerde
teknoloji ve internet kavramları çok yaygın olarak kullanılmakta ve hatta bu birimlerin
temelini oluşturmaktadır. İnterneti kullanan ve hayati öneme sahip olan bu sistemlerin
korunması da günlük hayatın normal seviyede ilerleyebilmesi açısından büyük önem arz
etmektedir. Bu çalışmada erişilebilirliği hedef alan DoS/DDoS saldırılarının neler olduğu,
nasıl gerçekleştirildiği ve bu saldırılara karşı nasıl önlem alınabileceği konularına
değinilmiştir.
1. Giriş
Soğuk savaşın en etkili silahı olan Dos/DDoS saldırıları genel olarak sistemlerin
erişilebilirliğini hedef almaktadır. Bu saldırılar yoluyla kurban olarak seçilen kişi veya
kurumların işlevlerini yerine getirememesi amaçlanmaktadır. Hayatımızın her alanına girmiş
olan ve girmeye devam eden internet ve ağ kavramlarının geçtiği her alanda, gelebilecek
muhtemel saldırılara karşı hazırlıklı olunmalı, sistemler bu saldırılar düşünülerek
tasarlanmalıdır.
Saldırılara karşı önlem almanın en iyi yolu, oluşturulan veya oluşturulacak olan sistemi iyi
tanımak, kullanılan protokolleri ve açıklıklarını analiz edebilmek ve literatürde en yaygın
olarak kullanılan saldırıların nasıl gerçekleştirildiği hakkında bilgi sahibi olmaktan
geçmektedir.
1
2. Temel Bilgiler ve İlgili Çalışmalar
DoS/DDoS saldırılarının neler olduğu ve bu saldırıları daha iyi anlayabilmek adına bilinmesi
gereken temel kavramlar bu başlık altında incelenecektir. Ayrıca, literatür araştırması
sonuçları bu başlığın konusunu oluşturacaktır.
2.1 Temel Bilgiler
DoS
Herhangi bir sistemin hizmetini yavaşlatma veya durdurma amacıyla yapılan saldırılardır.
DDoS
DOS saldırılarının organize bir şekilde birden fazla kaynak tarafından
gerçekleştirilmesidir.
Zombi
Sahibinden habersiz, çeşitli amaçlar için kullanılmak üzere ele geçirilmiş bilgisayarlardır.
Botnet
Zombilerden oluşan sanal bilgisayar ordularıdır. DoS saldırılarının DDoS saldırılarına
dönüşmesini sağlayan en etkili kavramdır.
Şekil 1 DDoS Şeması
2
IP Spoofing
IP adresinin olduğundan farklı gösterilmesidir. Bu sayede saldırıyı yapan kişinin yakalanma
riski yok edilmiş olacaktır.
2.2 İlgili Çalışmalar
DoS ve DDoS saldırılarına ilişkin çeşitli kaynaklar üzerinde yapılan araştırmalara göre
saldırıların genel amacı; bankacılık sistemleri, e-posta ve telefon hizmetleri gibi bilgisayar
mimarisi üzerine kurulmuş ve hayati önem taşıyan yapıların işlevsiz hale getirilmesidir. Bazı
politik ve ticari sebepler bu saldırıların en büyük nedenleri olarak gösterilebilir. Bahsi geçen
bu saldırılar yıllar önce geliştirilmiş ve günümüzde halen daha yaygın bir şekilde kullanılan
protokollerin eksiklerinden veya sistemlerde kullanılan mevcut yazılımların açıklarından
faydalanılarak oluşturulur. Saldırıları gerçekleştirmek için ağ kavramının bulunması
yeterlidir. Zorunlu olarak internete ihtiyaç bulunmamaktadır.
İp gizleme tekniği kullanılarak yapılan saldırıların kim tarafından yapıldığını bulmak
neredeyse imkânsız hale gelmektedir. Yapılan araştırmalara göre ICMP, TCP, UDP ve SIP
gibi protokoller üzerinden DoS/DDoS saldırıları gerçekleştirilebilmesi mümkündür.
Günümüzde en yaygın olan saldırılar ise; Synflood, Udpflood, Ackflood, Http Get/Post flood,
DNS flood saldırılarıdır. Bu saldırılar yapılış şekillerine göre iki ayrı kategoriye
ayrılmaktadırlar. Bunlardan ilki ağ trafiğini işlevsiz hale getirmek için çeşitli yöntemlerle ağ
trafiğini doldurmaya yönelik saldırılar, diğeri ise işlemci gibi kurban sistemin kaynaklarının
gereksiz yere tüketilmesinden oluşmaktadır.
DoS/DDoS saldırılarını gerçekleştiren çeşitli araçlar mevcuttur. Özellikle Kali Linux araçları
sayesinde birçok farklı saldırı tipi gerçekleştirilebilir. Nmap, Hping, DoS Http, Scapy gibi
araçlar vasıtasıyla mevcut sunucuların bu saldırılara nasıl reaksiyon gösterdiğini görmek
mümkündür.
Çeşitli araçlar kullanılarak DoS/DDoS saldırılarının simülasyonu yapılabilir. NS2 isimli
simülatör sayesinde çeşitli saldırıların nasıl gerçekleştirildiğini görmek ve bu saldırıların
yapısını anlamak mümkündür. Bu saldırıları gerçekleştirebilmek için NS2 Tcl script kodları
3
yazmak gerekmektedir. Daha sonra çizilen ağ topolojisi üzerinde simülasyon
gerçekleştirilebilir.
Sanal makinalar kullanarak çeşitli ağ ortamları kurulabilir ve bu ağlarda simülasyon
gerçekleştirilebilir. En az iki sanal zombi bilgisayar, kurban olarak gösterilecek bir sanal
bilgisayar, atağı başlatacak ve zombileri kontrol edebilecek bir bilgisayar simülasyon için
yeterli olacaktır. Fakat bu sistemlerin ve oluşturulacak ağın gücü ne kadar kuvvetli olursa
gerçekleştirilmek istenen simülasyonun gerçekçiliği de bir o kadar fazla olacaktır.
3. Saldırıların İncelenmesi
TCP, UDP, ICMP gibi protokollerin yıllar önce ve o yıllardaki ihtiyaçlara göre
tasarlanmasından kaynaklanan eksikleri hedef alarak oluşturulan DoS/DDoS saldırılarının
çeşitli teknikleri mevcuttur. En yaygın kullanılan teknikler alt başlıklarda incelenmiştir.
Ping of Death
Hedef sisteme büyük boyutlu ICMP paketi gönderilmesine dayanır. Gelen bu paketlerin
normal ICMP paket boyutundan büyük olması, sistemin paketleri bölüp işlemesini
zorlaştıracaktır. Bu işlem, işletim sistemini yoracağı gibi hedef sistemi ağdan
düşürebilmektedir. Son yıllarda tasarlanan işletim sistemlerinin neredeyse tamamı bu
saldırılara karşı önlem almaktadır. Bu durum da saldırının geçerliliğini kaybetmesine yol
açmaktadır.
Http Get / Post Saldırıları
Web servislerine yapılan ve günümüzde en çok kullanılan saldırı çeşitlerinden biridir. 80
portu üzerinden yapılan bu saldırı, servislerin cevap verebileceklerinden çok daha fazla
istek yapılmasına dayanır. Saldırı sonucunda servisin gözle görülür yavaşlaması veya
isteklere cevap verememesi hedeflenir.
Syn Flood Saldırıları
Hedef sisteme cevap verebileceğinden fazla SYN paketi gönderilmesine dayanır.
4
Şekil 2 SynFlood Saldırısı
Üçlü el sıkışma olarak geçen, TCP oturum kurma sürecinde gönderilen birçok SYN
paketine karşılık ACK paketlerini göndermeme işlemidir. Burada hedef sistem belirli bir
süre boyunca gönderilen paketleri tutar. Gönderilen paket sayısı sistemin kaynaklarını
tüketir ve işlevsiz hale getirir.
Şekil 3 TCP Handshake
Ack Flood Saldırıları
TCP Synflood benzeri saldırı çeşitidir. Buradaki amaç ACK paketleriyle sistemi
yormaktır. Fakat üçlü el sıkışmanın temeli olan SYN paketleri gönderilmeyeceğinden
Firewall benzeri, durum bilgisi tutan sistemlerde bu saldırı etkisiz kalacaktır.
Udp Flood Saldırıları
Sistemin açık portlarına UDP paketleri gönderilmesine dayanır. Sistem gelen UDP
paketi sonrasında, portu dinleyen her hangi bir uygulama olup olmadığını kontrol eder
ve UDP paketini gönderen saldırgana cevap döner. Burada farklı portlardan gelen bir
sürü istek sonucunda sistem isteklere cevap veremez hale gelecektir. TCP’deki gibi
5
oturum kurulması gibi bir işlem olmadığı için ip gizlemeye uygun bir saldırı
yöntemidir.
Smurf Saldırıları
Hedef sistemin bulunduğu ağdaki broadcast adresine ICMP paketi göndermesi sağlanır.
Bu sayede ağda bulunan tüm cihazlar hedef sisteme ICMP paketi gönderecek ve gelen
ICMP paketlerine cevap vermek isteyen sistem zorlanacaktır. Bu durum sistemin ağdan
düşmesine veya var olan işletim sisteminin işlevsiz hale gelmesine neden olur.
Şekil 4 Smurf Saldırısı
4. Deneysel Sonuçlar ve Tartışma
DoS/DDoS ve Siber Saldırılar hakkında hazırlamış olduğum farkındalık eğitimi öncesi,
eğitime katılanlar üzerinde yapmış olduğum Siber Güvenlik Farkındalık Anketi sonuçlarını bu
başlık altında inceleyeceğim.
Hazırlamış olduğum bu anketin amacı, üniversite öğrencilerinin siber güvenlik alanı
hakkındaki düşüncelerini ve bu alana bakış açılarını incelemektir. Hazırlanmış olan bu anket
toplam 10 soru içermektedir. Anketi cevaplayan kişi sayısı ise 36’dır. Soruların ilk 6’sı siber
güvenlik üzerine olup, son 4 soru ise DDoS farkındalığı üzerinedir.
6
Anket soruları ve cevap dağılımları aşağıdaki şekillerde belirtilmiştir. Ayrıca cevaplara göre
yorumlarda bulunulmuştur. Bu anket, hiçbir kamu kuruluşunu veya bankacılık sektöründe
bulunan firmaları eleştirmek amaçlı yapılmamıştır.
Şekil 5 Anket Soru – 1
İlk ve en temel soru olan “Siber Güvenlik alanında çalışmak ister misiniz?” sorusuna göre
%66,7 oranında “Evet” cevabı verilmiştir. Bu sonuca göre siber güvenlik alanının ülkemiz
öğrencileri üzerinde popüler olmaya başladığı ve tercih edilen alanlardan biri olduğu
anlaşılmaktadır.
Şekil 6 Anket Soru - 2
7
Diğer bir soru olan ve ülkemizdeki siber güvenlik çalışmalarının yeterliliğini araştıran
“Ülkemizdeki siber güvenlik çalışmalarını yeterli buluyor musunuz?” sorusuna %97,2’lik
kısım hayır cevabı vermiş ve yeterli olmadığı kanaatindedir.
Şekil 7 Anket Soru – 3
Şekil 8 Anket Soru - 4
Ankette bulunan 3. ve 4. soruyu birlikte değerlendirmek daha mantıklı olacaktır. Bu
sorulardan hareketle üniversite öğrencilerinin bu alanla ilgili daha fazla destek ve eğitime
ihtiyaç duyduğunu görüyoruz.
8
Şekil 9 Anket Soru - 5
Şekil 10 Anket Soru - 6
Anketin 6. ve 7. sorusuna istinaden yapılan çıkarımlarda ise, öğrencilerin banka ve kamu
kuruluşlarından beklentilerinin daha yüksek olduğu ve bu kuruluşlara olan güvenlerinin az
olduğu kanısına varılmaktadır.
9
Şekil 11 Anket Soru - 7
Şekil 12 Anket Soru - 8
10
Şekil 13 Anket Soru – 9
Şekil 14 Anket Soru – 10
Yapılan araştırmanın DDoS ile ilgili olan son 4 sorusunun sonuçlarına bakarsak; öğrencilerin
bu alanda yeteri kadar yetkinliklerinin bulunmadığını ancak bu saldırılarla ilgili genel kültür
seviyesinde bilgi sahibi olduklarını anlıyoruz.
11
5. Sonuç ve Gelecek Çalışmalar
İncelenen DoS/DDoS saldırıları günümüzde kullanılan en etkili sanal silahlar arasında
gösterildiğinden bu saldırıları ve metotlarını kavramak büyük önem arz etmektedir.
Yapılan incelemeler sonucunda DoS/DDoS saldırılarının hangi sistemleri ve protokolleri
hedef aldığı, ne gibi teknikleri kullandığı konusunda bilgi sahibi olunmuştur. Saldırıların
benzetiminin nasıl gerçekleştirileceği hakkında bilgiler verilmiştir.
Yapılan anket sonucunda, siber güvenlik alanında çalışmak isteyen bir öğrenci kitlesinin
oluşmuş olduğu görülmektedir. Ayrıca bu kitlenin, bu alan üzerine yeteri kadar eğitim
alamadığını düşündüğü ve üniversitelerin bu alan üzerine daha çok yönelmesini
bekledikleri görülmektedir.
Bu çalışmanın devamında, makalede anlatılan DoS/DDoS saldırılarının benzetimini
gerçekleştirebilmek amacıyla saldırı aracı oluşturulması ve saldırının
gerçekleştirilebileceği, laboratuvar ortamı oluşturulması hedeflenmektedir. Bu laboratuvar
ortamının sanal makinalar üzerine inşa edilmesi düşünülmektedir.
12
6. Kaynaklar
[1] Singh, J,Kumar, K, Monika, S, Sidhu, N, DDoS Attack’s Simulation Using Legitimate and Attack Real Data Sets 2229-5518,2012.
[2] B. B. Gupta, R. C. Joshi, M. Misra, A Comparative Study of Distributed Denial of Service Attacks,Intrusion Tolerance and Mitigation Techniques,European Intelligence and Security Informatics Conference,2011.
[3] Önal, H, DOS/DDOS Saldırıları, Savunma Yolları ve Çözüm Önerileri , Bilgi Güvenliği Akademisi,2014.
[4 B. B. Gupta, R. C. Joshi, M. Misra, Distributed Denial of Service Prevention Techniques, 1793-8163.
[5] Alomari, E, Gupta, B, Manicham, S, Singh, P, Anbar, M, Design, Deployment and use of HTTP-based Botnet (HBB) Testbed , ISBN 978-89-968650-3-2
[6] Mirkovic, J., and Reiher, P. (2004, April). A taxonomy of DDoS attack and DDoS defense mechanisms. ACM SIGCOMM Computer Communications Review, 34(2), 39–53.
[7] C. Douligeris, A. Mitrokotsa “DDoS attacks and defense mechanisms: classification and state of the art”. Elsevier Science Direct Computer Networks 44 (2004) 643-666.
[8] B. B. Gupta, R. C. Joshi, M. Misra, “Distributed Denial of Service Prevention Techniques,” International Journal of Computer and Electrical Engineering (IJCEE), vol. 2, number 2, ISSN: 1793- 8198, Singapore, pp. 268-276, 2010.
[9] Molsa, J. (2005). Mitigating denial of service attacks: A tutorial. Journal of Computer Security, 13, 807–837.
[10] Juniper Network, “Combating Bots and Mitigating DDoS Attacks (Solution brief)”, Juniper Networks, Inc, 2006.
13