Servis Dışı Bırakma (DoS/DDoS) Saldırıları
DoS ve DDoS saldırıları 1990 yıllarından beri internet dünyasında var olan saldırı türleri olarak literatüre girmiştir. DoS (Denial of Service) ve DDoS (Distrubuted Denial of Service) saldırıları kısaca hedef sistemin hizmet vermesini engellemek amacı ile gerçekleştirilen saldırılardır. Tek cihaz ile gerçekleştirilir ise DoS, dağıtılmış birden fazla cihaz (Botnet) ile gerçekleştirilir ise DDoS olarak adlandırılan bu saldırı yöntemleri hedef sistemin kaynaklarının gerçek kullanıcılara cevap veremeyecek şekilde tüketmek ya da hedef sistemin bant genişliğinin gerçek kullanıcıların erişemeyeceği şekilde doldurulması şeklinde gerçekleştirilir.
Saldırganların hedef sistemlere yönelik atak yöntemlerinden bazılarını örneklendirmek gerekirse ilk olarak UDP flood atak sayılabilir. UDP flood atağında hedef sisteme çok sayıda UDP paketi gönderilir, hedef sistemin işlem ve cevap kabiliyetinin üstünde gönderilen paketler sonucu sistem cevap veremez duruma gelir.[1]
ICMP flood (diğer adı ile Ping flood) saldırılarında ise hedef sisteme çok sayıda ICMP (Internet Control Message Protocol) echo request (ping) gönderilir.[2] Hedef sistem bu isteklere karşılık vereceğinden dolayı da bant genişliği normal kullanıcı isteklerine karşılık veremeyecek duruma gelir. Normalin çok üstünde boyutlarda biçimlendirilmiş ping paketleriyle hedef sistemin karşılık veremeyeceği duruma getirilmesi sonucunu doğuran saldırı ise Ping of Death[3] saldırısı olarak adlandırılır. Saldırının belirli periyotlar ile çok yüksek boyutlarda veri göndrilmesi şeklinde düzenlendiği yöntem Pulse Wave DDoS saldırısı şeklinde adlandırılır.[4]
Hedef sisteme karşılığı olmayan IP adresleri kullanılarak çok sayıda SYN isteği gönderilmesi ardından hedef sistem bu isteklere SYN/ACK ile karşılık verir. Verilen karşılıklar gerçek olmayan IP adreslerine gönderildiği için oluşturulması gereken three-way handshake kurulamaz. Bu durum da hedefte kapanmayan işlem kuyruklarına sebep olarak kaynakların tüketilmesine sebep olur.
Parçalanma (fragmentation attack) saldırısında kullanılan protokolün izin verdiği ölçüde sisteme küçük boyutlara ayrılmış paketler hedef sisteme gönderilir.[5] Hedef sistemde bu parçaların anlamlı bir bütün oluşturmak için birleştirilmesi kaynak tüketimine sonuç olarak da hizmet verememesine neden olur. Bu saldırı yöntemi paketlerin boyutlandırılması sebebi ile güvenlik cihazlarından (firewall vb.) geçebilmektedir.
Hedef sistemin bir web sunucusu olduğu durumlarda ise kötü niyetli yapılandırılmış fakat legal görünümlü http GET/POST istekleri ile hizmet dışı bırakılması saldırısı ise http flood[6] olarak adlandırılır. GET isteklerinin zaman gecikmeli olarak yapılandırılması ya da POST isteklerinin eksik yapılandırılması ve hedef sistemin isteğin devamını bekler pozisyonda bekletilmesi bu atak türünde uygulanan metotlardır.
Hedef sistemlerde kalıcı hasarlara neden olan bir DoS saldırısı olan plashing yönteminde hedef sisteme sahte donanım güncellemesi tarzı dosyalar gönderilerek hedef sistemde donanımların kullanılamaz hale getirilmesi hedeflenir.[7]
Yukarıda sunulan yöntemler dışında bu saldırı yöntemlerinin birinin ya da birkaçının çok sayıda saldırgan cihaz tarafından gerçekleştirilmesi durumunda da DDoS (Distrubuted Denial of Service) saldırısı oluşur. DDoS saldırılarında saldırgan zombi bilgisayar olarak tabir edilen cihazlardan oluşturduğu botnet ağı ile hedef sisteme saldırır. Botnet ağları çoğunlukla zararlı yazılım yüklenmiş kurbanlardan oluşacağı gibi nadiren de gönüllü zombi (hacktivist eylemler söz konusu olduğunda gönüllü olarak kişilerin dahil olduğu botnet ağları gibi) bilgisayarlar söz konusu olabilir. DDoS saldırılarında saldırganın hükmettiği botnet ağı hedef sisteme yönelik eylemler yapacaktır. Sayının yüksek oluşu basit bit http isteğinin bile hedef sistemi servis dışı bırakmasına neden olabilecektir. Saldırganlar sahte reklamlar aracılığı ile zararlı yazılımlarını yayabilir.
Saldırganlar atak için hedef sitemleri rastgele tespit edebilecekleri gibi güvenlik açısından zayıf makinaların listesini (hit-list) de tarayabilir. Daha önceden zararlı yazılımını yerleştirdiği cihazlar üzerinden bunların irtibatlı olduğu cihazları tarayabilir (topolojik tarama) ya da bu cihazların bulunduğu yerel ağda tarama yapabilir.[8]
DDoS saldırılarının ulaşabileceği hacim ile ilgili olarak da 28/02/2018 tarihli github saldırısı örnek olarak verilebilir.[9] Gerçekleşen saldırı sonucunda github 17:21–17:30 arasında ulaşılamaz hale gelmiştir ve 1,35 Tb/sn büyüklüğünde bir veri akışı ile hedefe saldırılmıştır.
DoS/DDoS saldırıları esnasında kullanılan araçları örneklendirmek gerekir ise ilk örnek olarak aynı anda 256 adrese saldırabilecek şekilde tasarlanmış olan açık kaynak kodlu HOIC[10] aracı verilebilir. Bunun dışında daha düşük seviyede saldırılar için ise LOIC[11], XOIC, HULK gibi araçlar da kullanılmaktadır. Mobil platformlar için LOIC, AnDOSid ve Packets Generator araçları kullanılabilmektedir.
DoS/DDoS saldırılarının tespitinde ilk dikkat edilecek husus normal dışı trafik hareketliliğidir. Algılama ve tespit mekanizmaları bu kriterler ile çalışmaktadır. Saldırı esnasında da zararı en düşük seviyede tutabilmek önemlidir. Gelen yüksek trafiğin ek kapasiteler ile tutulması, hizmetlerin kritiklik seviyelerine göre belirlenerek durdurulması ya da kapatılması gibi stratejiler önceden planlanmalıdır. Güvenlik politikalarının yeterli seviyede olması ve kontrol edilerek güncellenmesi, hizmet alınan ISP (Internet Service Provider) düzeyinde de DoS/DDoS korunması alınması olası saldırılarda kaybın yaşanmaması ya da en düşük seviyede yaşanması adına önemli önlemlerdir. Anlatılan bu yöntemlere ek olarak fiziki ve yazılımsal DoS/DDoS güvenlik ürünleri de organizasyon büyüklüğüne göre tercih edilebilecek önlemler olmaktadır.
Tarihin en eski siber saldırı yöntemlerinden olan hizmet dışı bırakma saldırıları diğer tüm siber saldırı yöntemleri gibi tamamen engellenebilen saldırılar değildir. O sebepten sistemin sürekli yeterli güvenlik önlemleri ile çalıştırılması ve ağ trafiğinin izlenmesi gerekmektedir. Olası saldırılarda erken tespit oluşacak zararın en düşük seviyede kalmasını sağlayacaktır.
[1] https://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack/
[2] https://www.netscout.com/what-is-ddos/icmp-flood#:~:text=An%20Internet%20Control%20Message%20Protocol,echo%2Drequests%20(pings).
[3] https://www.fortinet.com/resources/cyberglossary/ping-of-death#:~:text=The%20ping%20of%20death%20is,that%20organizations%20may%20have%20patched.
[4] https://ddos-guard.net/en/blog/hidden-threat-of-pulse-wave-ddos-attacks
[5] https://www.imperva.com/learn/ddos/ip-fragmentation-attack-teardrop/
[6] https://www.imperva.com/learn/ddos/http-flood/
[7] https://www.section.io/engineering-education/denial-of-service/
[8] BGA Security DoS/DDoS Saldırıları Sunumu
[9] https://github.blog/2018-03-01-ddos-incident-report/
[10] https://github.com/Samsar4/Ethical-Hacking-Labs/blob/master/9-Denial-of-Service/2-DDoS-using-HOIC.md
