Özet

İnternet Servisleri, 1990 ların ortalarında yayılmaya başlayan ve popüleritesi artan hizmet durdurma (DoS) saldırıları ile yavaşlatılmaya, hizmet durdurmaya maruz kalmaktadır. (DDoS) Dağıtık hizmet durdurma  ise özelleştirilmiş hizmet durdurma saldırısı olarak doğası gereği daha çok hasar vermektedir. Büyük sayıda köle (zombi) bilgisayar topluluklarının oluşturduğu (botnet) robot ağlar tarafından ve saldırganın kimliğini saklayarak gerçekleştirdiği saldırı türüdür. Dağıtık hizmet durdurma saldırıları, internet güvenliği için gerçek bir tehdit oluşturmaktadır. Hizmet durdurma saldırıları için net korumalar mevcutken, dağıtık hizmet durdurma saldırılarında saldırganın kimliğinin saklı olması ve saldırı yapan robot ağlarının değişmesinden ötürü hiçkimse saldırı süresi içerisinde tam korumayı sağlayamamaktadır.

1.     Giriş

20.yüzyılın sonlarına doğru ortaya çıkan hizmet durdurma saldırıları, 21.yüzyılın başlarında yerini daha geliştirilmiş dağıtık hizmet durdurma saldırılarına bırakmıştır. Dağıtık hizmet durdurma saldırıları sürekliliği hedef alır. Bu saldırılar, birçok sayıda kişisel bilgisayarı ele geçirip bu bilgisayarları belirli bir zaman içerisinde belirli bir hedefi hizmet dışı bırakarak çalışamaz hale getirmeyi hedefler. Günümüzde saldırı tekniklerinin otomatikleşmesi, saldırı yazılımlarının daha yetenekli hale gelmesi ile dağıtık hizmet durdurma saldırıları kolaylıkla yapılabilmektedir. Hatta, birçok istek üzerine dağıtık hizmet durdurma  saldırısı yapan ve kiralayan web siteleri bulunmaktadır. Saati 4 dolara  dağıtık hizmet durdurma saldırıları yaptırılabilmektedir.*

Resmi kayıtlara göre bilinen ilk dağıtık hizmet durdurma saldırısı 1999 Ağustosunda 227 köle bilgisayar ile Minnesota Üniversitesinde gerçekleşmiştir.**

*Menog RIPE Event, Khaled Fadda, Arbor, 23 Mart 2016

** Dağıtık Servis Dışı Bırakma Saldırıları ve Korunma Yöntemleri, Bakır Emre, Tübitak

Şekil 1: Hizmet durdurma saldırısı ve botnet.

2.     Saldırı Türleri

Dağıtık hizmet durdurma saldırılarını sonuçlarına göre ve yapılış şekillerine göre ikiye ayırabiliriz.

2.1.   Sonuçlarına Göre Saldırı Türleri

Hattın bant genişliğini doldurma ve kaynak tüketme olarak ikiye ayırabliriz.. Hattın bant genişliğini doldurma; hedef sistemin sahip olduğu bant genişliği miktarından daha fazla trafik göndermektir. Kaynak tüketme saldırısında  ise; hedef sistemin kaynaklarını diğer kullanıcıların kullanamayacağı şekilde tüketmektir.

İlk yöntemi gerçekleştirebilmek için saldırganın organize çalışması ve sağlam bir köle bilgisayar ağına sahip olması gerekir. Buna karşılık ikinci yöntem olan kaynak tüketimi saldırılarında saldırgan hedeflenen sistemin bant genişliğinin 1/10’na sahip olduğunda genellikle başarılı saldırılar gerçekleştirebilir.

2.2.   Yapılış Şekline Göre Saldırı Türleri

Yapılış şekilleri incelendiğinde gerçekleştirilen her bir saldırı türünün osi referans modelinin katmanlarına dağıldığını görebliriz.

2.2.1 Mac Seli

Saldırgan anahtar üzerinde herhangi bir port yönlendirmesi yapmadan, sadece anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği dinleyebilir duruma gelebilir. Bu durum anahtarın hizmet vermesini engelleyecektir.

Çoğu anahtarlama cihazı modelinin desteklediği ‘port security’ özelliği ile belirli bir porta bağlanabilecek MAC adresleri sınırlandırılabilir.

2.2.2 IP Sahteciliği (Spoofing)

İstenilen IP adresinden TCP/IP gönderebilme işlemine IP sahteciliği denir. IP protokolünde herhangi bir doğrulama mekanizması olmadığından sahte IP paketini alan taraf paketin gerçekten gönderilen IP adresinden gelip gelmediğini bilemez.

Teorik olarak IP sahteciliği tüm protokollerde mümkünken pratikte UDP kullanan uygulamalarda gerçekleştirilebilir fakat TCP tabanlı uygulama seviyesi protokollerde gerçekleştirilemez. Bunun temel nedeni TCP başlık bilgisinde yer alan sıra numaralarının tahmin edilemez şekilde üretilmesidir.

IP sahteciliğine karşı savunma yöntemi olarak, ağdaki kullanıcıların IP adreslerini değiştirme hakkı kaldırılmalıdır

2.2.3  ICMP Seli

Saldırganın oluşturduğu robot ağlar çok sayıda ICMP sorgu paketi gönderir. Hedef sistem, gelen tüm bu isteklere cevap vermek için çaba harcar ve yorulmaya başlar. Sistem kaynakları bunlara cevap veremez hale gelir ve erişilemez duruma düşer.

Önlem olarak ICMP paketlerine cevap verme kapatılmalıdır.

2.2.4  SYN Seli

1 syn paketi 60 byte, 50Mb bağlantısı olan biri saniyede teorik olarak 1.000.000 kadar  paket gönderebilir. Bu değer günümüzde kullanılan çoğu güvenlik cihazının kapasitesinden yüksektir.

Saldırgan hedef sisteme kapasitesinden fazla SYN bayraklı TCP paket gönderip sistem kaynaklarını hizmet veremez hale getirmektir. Günümüzde genellikle web sunuculara yönelik yapılmakta ve sonuç olarak web sayfaları çalışamaz hale gelmektedir.

Her işletim sistemi bu tipteki saldırılara karşı benzer çözüm önermektedir. Bu önerileri şu şekilde sıralayabiliriz:

Açılabilecek en fazla yarı açık (half-open) bağlantı sayısı arttırılabilir

Yarı açık bağlantılarda bekleme süresinin kısaltılabilir

SYN Cookie ve SYN Proxy kullanılabilir.

2.2.5  UDP  Seli

İki şekilde gerçekleştirilebilir. Birincisi hedef üzerinde açık UDP portu var ve bu port üzerinde çalışan bir uygulama varsa şekil bozukluğuna uğratılmış ve rastgele kaynak adresli oluşturulmuş UDP paketleri hedefe gönderilerek sunucu üzerinde çalışan servisin işleyişinin sekteye uğratılması hedeflenir.

İkincisi hedef sistem üzerinde açık UDP portu var fakat bu port üzerinde çalışan bir uygulamanın olmadığı durumda sunucunun açık olan UDP portuna rastgele kaynaklı UDP paketleri gönderilir. UDP paketlerini alan hedef sistem bu port üzerinde bir uygulamanın çalışmadığını belirtmek için UDP protokolünün bir özelliği olarak ICMP port unreachablepaketi ile cevaplar. Bu durumun sunucu üzerinde bir yoğunluk oluşturup cevap veremez hale gelmesi hedeflenir.

Bu tür saldırıların etkisi ‘rate limit’ (istek aşımı) yöntemi ile azaltılabilir. Çoğu işletim sistemi de ICMP cevaplarının gönderildiği adresleri bu yöntemle kısıtlayarak saldırının etkisini azaltmaktadır. Güvenlik duvarı da bu saldırılara karşı koruma sağlar. Güvenlik duvarı zararlı UDP paketlerini düşürür.

2.2.6  DNS Seli

Bu saldırı tipi genelde iki şekilde gerçekleştirilir:

Hedef DNS sunucuya kapasitesinin üzerinde (bant genişliği olarak değil) DNS istekleri göndererek , normal isteklere cevap veremeyecek hale gelmesini sağlamak

Hedef DNS sunucu önündeki güvenlik duvarı ve saldırı tespit sistemlerinin oturum “session” limitlerini zorlayarak güvenlik duvarı  arkasındaki tüm sistemlerin erişilemez olmasını sağlamak.

2.2.7 Yinelemeli DNS Sorguları

DNS sunucusu yapılan sorguya cevap verebilecek durumda değilse istemciye olumsuz mesaj göndermek yerine ilk önce Root DNS’lerden yardım ister. Saldırgan bu durumda rasgele ve anlamsız alan adı sorguları gönderilerek DNS sunucu belleğinin dolması ve hizmet dışı kalmasını sağlar.

2.2.8 DNS Yükseltme (Amplification)

Bu saldırı tipinde gönderilen DNS isteğine dönecek cevabın kat kat fazla olması özelliğini kullanır. Sisteme gönderilecek 50 byte’lık bir DNS isteğine 500Byte~ cevap döndüğü düşünülürse saldırgan elindeki bant genişliğinin 10 katı kadar saldırı trafiği oluşturabilir. DNS yükseltme saldırılarında saldırganın izlediği adımlar aşağıdaki gibi gerçekleşir.

• Saldırgan yinelemeli sorguya açık DNS sunucu bulur ve daha önce hazırladığı özel alan adını sorgulatır. Sorgulanan alan adı kullanımda olmayan bir addır. Bu isteğin boyutu 50 Byte tutmaktadır.
• DNS sunucu kendi ön belleğinde olmayan bu isteği gidip ana DNS sunucuya sorar (50 Byte) ve ana DNS sunucusu gerekli cevabı döner (500~byte)
• DNS sunucu cevabı ön belleğine alarak bir kopyasını Saldırgana döner. Burada amaç ara DNS sunucunun dönen 500 Byte’lık cevabı ön belleğe almasını sağlamaktır. .
• Saldırgan Kurban’ın IP adresinden geliyormuş gibi sahte DNS paketleri gönderir.
• Ara DNS sunucu gelen her paket için 500 Byte’lık cevabı Kurban sistemlere dönmeye çalışacaktır. Böylece ara DNS sunucusu yapılan sorgunun büyüklüğüne bağlı olarak yüksek bir trafik   üreterek saldırganın kendi trafiğinin 10 katı kadar çoğaltarak hedef sisteme saldırıyor gözükecektir.

DNS yükseltme saldırısına karşı en verimli savunma yöntemi yanıt oranı sınırlandırması (Response Rate Limiting) mekanizması olarak görülmektedir. Bu yöntem ile saldırıya hedef olabilecek sunucuya gelebilecek benzer DNS cevapları için bir eşik değeri belirlenir ve bu eşik değerinden fazla gelen DNS cevapları düşürülür. DNS yükseltme saldırıları aynı ya da benzer sorgular üzerinden gerçekleştiği için bu yöntem ile kurban sunucuya yapılabilecek DNS yükseltme saldırılarının önüne geçilmiş olur.

2.2.9 HTTP GET/POST Seli

Bu tipte gerçekleştirilen saldırılara kaba kuvvet saldırısı da diyebiliriz. Hedef sistemde ne çalıştığına bakılmaksızın hedefe eş zamanlı olarak binlerce istek gönderilir ve sistemin kaynaklarını tüketerek hizmetin durması sağlanır.

Bir IP adresinin açabileceği oturum sayısının kısıtlanması Http Get Seli saldırılarına karşı alınabilecek önlemlerin en önemlisidir. Belirli bir oturum sayısını geçen IP adreslerinin kara listeye alınması Get Seli saldırılarına karşı alınabilecek önlemlerdendir.

3.     Genel Hatlarıyla Dağıtık Hizmet Durdurma Saldırılarını  Önleme

3.1.   IP Engelleme ve Beyaz / Kara Liste Kullanımı

Saldırganın kendisini gizlemesi nedeniyle  genelde pek olası olmasa da ender uygulanabilir bir yöntemdir. Kaynak IP adresleri ya da IP aralıkları tespit edilebilirse, bu adresler için yazılacak bir güvenlik duvarı kuralı ile trafik engellenebilir. Tipik bir kara liste oluşturma yöntemidir.

Beyaz liste yönteminde ise  belirli kaynak IP adres aralıklarından gelen istekler haricindekiler engellenecektir. Burada kullanılan kaynak IP adresleri genellikle bölgesel veya ülkesel olarak lokasyona bağlı seçilmektedir.

3.2.   İstek Aşımı (Rate Limit)

Bu yöntemde birim zamanda aynı kaynak IP adresli bilgisayar veya sunucu sistemlerinden gelecek olan cevaplar için bir eşik değeri belirlenir ve bu değerin aşılması durumunda istekler engellenir. İstek aşımı, uygulanabiliyorsa dinamik olarak uygulanabilir. Böylece normal zamandaki trafik öğrenilerek, bu trafiğe uygun bir değer sınır olarak kabul edilir. Bu değerin üstündeki trafik göz ardı edilir, yani düşürülür. Dinamik olarak belirlenemeyen durumlarda trafik gözle incelenir ve uygun bir sabit  değer atanır.

3.3.   İlk Paketi Düşürme

DNS saldırılarına karşı önerilen bu yöntemde ilk gelen paket engellenecek ve ardından aynı kaynak IP adresli sistemlerden gelen ikinci paket ve devamındaki paketler kabul edilecektir. Bu saldırı türüne karşı dağıtık hizmet durdurma saldırılarını hafifletme-savunma cihazları veya güvenlik duvarları üzerinde önlemler alınabilmektedir.

3.4.   Syn Cookie

Syncookie  aktif edilmiş bir sistemde gelen SYN paketi için sistemden bir

kaynak ayrılmaz, bunun aksine her paket gönderilirken oluşturulacak olan ISN numarası özel bir işlem sonucu oluşturulmaktave dönecek ACK cevabının bu değere göre gelmesi beklenmektedir. Gelen ACK cevabı hesaplanan  ISN numarasını takip eden bir numara ise bağlantı açılmakta ve hafızadan bu bağlantı için yer açılmaktadır

ve eğer ISN numarası uygunsa bağlantı kurulur, değilse bağlantı kurulmaz.

Böylece sahte ip adresinden gelen SYN paketleri için sistemde bellek tüketilmemiş olacaktır ki bu da sistemin  syn seli saldırıları esnasında daha dayanıklı olmasını sağlar.

3.5.   Syn Vekili (Proxy)

SYN Proxy gerçek sunucu ile internet arasında durarak 3 yollu el sıkışmanın son ACK paketi gelmeden trafiğin web sunucusuna gitmesine izin vermez. Böylece tamamlanmayan el sıkışmalar oluşmadığı için hedef sistemin kaynakları tüketilmemiş olur.

3.6.   HTTP GET / POST Seline Karşı Önlemler

Bu saldırıların yapılabilmesi için gerçek IP adresleri ile bağlantı kurulması gerekmektedir. Web sunucu üzerinde ve ağ geçidi olarak kullanılan güvenlik duvarı üzerinde IP bazında ve açılacak oturum bazında limit ayarlamalarını gerçekleştirmek gerekmektedir.

Bir kaynak IP adresinin açabileceği oturum sayısı azaltılabilir. Belirli bir oturum sayısını geçen IP adresleri kara listeye alınabilir.

Bağlantı belirli bir coğrafik alandan geliyorsa bu coğrafi alandaki IP adresleri GEOIP veri tabanı kullanılarak geçici olarak engellenebilir. Ya da sadece belirli bir coğrafik alandaki IP adreslerine hizmet verebilmesi için bu adreslere izin verilip geri kalan her şey engellenebilir.

3.7. Saldırı Sırasında Alınabilecek Önlemler

Hedef alınan sistem üzerindeki saldırıyı azaltmak için önlemler alınmalıdır. Bu önlemleri aşağıdaki gibi sıralayabiliriz.

• Kullanılmayan servisler kapatılmalıdır.
• İnternet Servis Sağlayıcısından saldırı yapılan IP adreslerine gelen trafiği kara deliğe yönlendirilmesi ya da limit koyma işlemi yapılması talep edilebilir.
• IDS imzası oluşturulup trafiğin engellenmesini sağlanabilir.
• DNS zaman aşımı süresi kısa tutulabilir.
• Web sitesinin statik html kopyası bulundurulmalı ve saldırı anında başka bir web sunucu üzerinde bu statik içerik sunulmalıdır.
• İnternet Servis Sağlayıcısı ile irtibata geçerek ek bant genişliği talebinde bulunulabilir.

4.     Sonuçlar

Dağıtık hizmet durdurma saldırıları  bilgi güvenliği unsurlarından sürekliliği hedef almaktadır. Süreklilik ise bilginin her an ulaşılabilir ve kullanılabilir olmasını amaçlar. Bilişim sistemlerin kendilerinden beklenen işi sürekli bir şekilde tam ,eksiksiz ve zamanında yapmasını amaçlamaktadır.

Günümüz dünyasında artık ağ cihazlarının hızlarının artmasıyla birlikte bant genişliğini doldurabilecek ve kaynakları tüketebilecek saldırıların  gerçekleştirilmesi daha da kolaylaşmıştır. Buna ek olarak sürekli geliştirilen zararlı yazılımlar ve dağıtık hizmet durdurma  saldırıları için özel hazırlanmış yazılımların artması ve giderek yaygın hale gelmesi saldırıların sıklığını artırmaktadır. Mevcut sistemler saldırıları önlemeye yeterli değildir. Mevcutta var olan ürünler tespit etme ve gelen saldırıyı hafifletme yönünde işlemler yapabilmektedir.

Dağıtık hizmet durdurma saldırılarında  engellemeye yönelik atılacak en sağlıklı adım kullanılan sistemleri iyi bilmek ve saldırı olmadan kendi sistemlerimizi test etmek ya da ettirmektir.

5.     Kaynakça

[1]Huzeyfe Önal, DOS/DDOS Saldırıları, Savunma Yolları ve

Çözüm Önerileri

[2]Muhammad Tariq, DOS and DDOS Attack Types And Preventions

[3] Tübitak Bilgem Siber Güvenlik Enstitüsü, Ddos (Servis Dışı Bırakma Saldırıları) ile Mücadele Kılavuzu