Vikipedi

Servis dışı bırakma saldırısı: Revizyonlar arasındaki fark

Etkileşimli olarak geçmişe göz at
[kontrol edilmemiş revizyon][kontrol edilmiş revizyon]
← Önceki sürümle aradaki farkSonraki sürümle aradaki fark →
İçerik silindi İçerik eklendi
GörselVikimetin
Peykbot (mesaj | katkılar)
Botlar
463.024 değişiklik
k bağlaç ayrı yazıldı
Bariskececi (mesaj | katkılar)
2 değişiklik
1. satır:
{{Birleş|Denial-of-service attack}}
 
'''DDoS saldırısı''' ('''Distributed Denial of Service attack'''), çoklu sistemlerde hedef sistemin kaynakları ya da [[bant genişliği]] istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.
Bilgisayar terminolojisinde, DoS saldırısı, hedeflenen kullanıcı veya kullanıcılara bir makine veya ağ kaynağını kullanılamaz hale getirmek için gerçekleşen bir girişimdir.
 
Kötü amaçlı yazılımlar Ddos saldırı mekanizması taşıyabilir; en iyi bilinen örneklerden biri MyDoom virüsüydü. Onun Dos mekanizması belirli bir saat ve tarihte tetiklenirdi.
Bir DoS saldırısı, genellikle geçici veya süresiz olarak internete bağlı bir bilgisayarın hizmetlerini kesintiye veya askıya alma çabaları ile oluşur.
Bir sistem, saldırgan bir zombi adı verilen ajanları indirmeyi sağlayan bir [[trojan]] virüsü ile bozulabilir. Saldırganlar aynı zamanda uzak konaklardan [[host]] bağlantıları dinlemek için program içindeki hatalardan faydalanan otomatik araçları kullanarak sistemlere zarar verebilir. Bu senaryo aslında web sunucuları gibi davranan sistemlerle ilgilidir.
Stacheldraht, Ddos aracının klasik bir örneğidir. Bu araç, saldırganların işleyicilere bağlanmak için istemci programın kulanıldığı Ddos saldırısını kolaylaştıran katmanlı bir yapıdan faydalanır. Ajanlar, hedeflenen uzak bilgisayarda uzaktan bağlantıların çalıştırılmasını kabul eden programlarda, açıklardan faydalanmak için otomatik rutinleri kullanarak saldırganlar tarafından işleyiciler üzerinden tehlikeye sokulabilir. Her işleyici bin ajanı kontrol edebilir.
Bu sistem bozucuların bütünü [[botnet]] olarak bilinir. Stacheldraht gibi Ddos araçları hala smurf (smurf attack) ve fraggle saldırıları gibi amplifikasyon ve [[IP spoofing]] (sahtekarlık) merkezli klasik Dos saldırı metotlarını kullanır. Syn saldırısı da kullanılabilir. Dos amaçlar için yeni araçlar [[DNS]] sunucularını kullanabilir.
 
Syn saldırıları gibi basit ataklar, Ddos görünülürlüğünü veren geniş bir kaynak IP adres aralığı ile oluşabilir. Bu flood (akış) saldırılar [[TCP]]'nin üçlü el sıkışmasının bitmesine gerek duymazlar, hedef Syn kuyruğunu ya da sunucunun bant genişliğini tüketmek için girişimde bulunurlar. Çünkü kaynak IP adresleri taklit edilebilir, kaynak kümesi sınırlı olan bir saldırı gelebilir hatta tek bir bilgisayar kaynaklı saldırı olabilir.
Açıklama olarak, Dağıtık DoS saldırıları, iki veya daha fazla kişi veya botlar, DoS saldırıları ise bir kişi ya da sistem tarafından gönderilen saldırılardır. 2014 yılı itibariyle, tanınan Dağıtık DoS saldırıların sıklığı saatte ortalama 28'e ulaşmıştır.
 
MyDoom'un Ddos mekanizması aksine, herhangi bir IP adresi aleyhine çevrilebilir. [[Script kiddie]] bunları iyi bilinen web sitelerinin geçerli kullanımını yasal kullanıcılardan yoksun bırakmak için kullanır. Daha gelişmiş saldırganlar gasp yapmak amacıyla Ddos araçlarını kullanırlar.
DoS saldırılarının failleri tipik olarak bankaları, kredi kartı ödeme ağ geçitlerini ve hatta kök nameserver gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedefler.
 
Eğer saldırganlar saldırıyı tek bir ana bilgisayardan düzenlerse bu bir dos saldrısı olarak sınıflandırılır. Diğer taraftan, bir saldırgan aynı anda uzaktaki bir bilgisayara yönelik saldırılar için birçok sistem kullanıyorsa, bu bir Ddos saldırısı olarak sınıflandırılır.
Denial-of-service, DoS tehditleri iş alanında da yaygındır ve bazende web saldırılarından da sorumludur.
 
Ddos kullanan saldırganlar için başlıca avantajlar şunlardır: çoklu makineler bir makineye göre daha fazla saldırı trafiği oluşturabilir, çoklu saldırı makinelerini kapatmak tek bir saldırı makinesini kapatmaya göre daha zordur, çoklu saldırı makinelerinde her saldırı makinesinin davranışını izlemek zordur. Bu saldırgan avantajları savunma mekanizmaları için zorluklara neden olur.
Bu teknik, günümüzde sunucu sahipleri tarafından kullanılan, belli oyunlarda yaygın kullanımı görülen, ya da popüler Minecraft tarzı çok oyunculu oyunlarda fazla miktarda görülmektedir. Richard Stallman DoS terimini 'İnternet Sokak Protestoları' bir biçimi olduğunu belirtmiştir, Bu terim genellikle bilgisayar ağlarıyla ilişkili olarak kullanılmasının yanı sıra, İşlemci Kaynak Yönetiminde de referans olarak kullanılmaktadır.
 
Bazı durumlarda makine, sahibininin rızasıyla Ddos saldırısı parçası haline gelebilir. Bunun bir örneği [[WikiLeaks]] destekçileri tarafından büyük kredi kartı şirketleri aleyhine 2010 yılında düzenlenen Ddos saldırısıdır. Bu gibi durumlarda akımın destekçileri Ddos yazılımını yüklemeye ve çalıştırmaya onay verir.
Bu saldırının bir ortak noktası, hedef makinayı o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makina normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırıları, ya hedef makinayı kendisini sıfırlaması için zorlar, ya da makinanın ayakta kalabilmesi için gerekli olan bütün kaynakları tüketip artık makinanın istenen servislere veya kurban ile kullanıcı arasında gerçekleşmesi beklenen iletişime yeterli gücü bulamamasına neden olur.
 
== Root NameServers Ddos Atak ==
DoS saldırıları, İnternet Mimarisi Kurulu'nun öngördüğü interneti doğru kullanım politikasını ihlal eden bir teknik olarak görülmektedir. Ayrıca, hemen hemen kabul edilen tüm internet servis sağlayıcılarını ihlal ettiği görülmektedir. Bu saldırı, bireysel ulusların yasalarını da çiğnemektedir.
İnternetin bel kemiği olan Root Name Server (Dns) 'lere 2002 yılında 2000 kişilik bir saldırı yapıldı.Ana 13 sunucudan 9 tanesi büyük hasar aldı.
 
==Kaynakça==
Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile, dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.
* [http://en.wikipedia.org/wiki/Ddos#Distributed_attack Distributed attack]
 
[[Kategori:Hacking]]
= Semptomlar ve bulgular =
[[Kategori:Ağ güvenliği]]
Amerika Birleşik Devletleri Bilgisayar Acil Durum Hazırlık Takımı (US-CERT) içerecek şekilde denial-of-service saldırıları belirtilerini tanımlar:
[[Kategori:Hacker terimleri]]
 
Alışılmadık yavaş ağ performansı (dosyaları açma veya web sitelerine erişim)
Belirli bir web sitesinin kullanılamaması
Herhangi bir web sitesine erişilememesi
Kablosuz veya kablolu internet bağlantısı ayırma
Web erişimi veya herhangi bir internet hizmetlerinin uzun vadeli reddi
Denial-of-service saldırıları da saldırıya uğrayan gerçek bilgisayar etrafında, ağ sorunlarına yol açabilir. Örneğin, bant genişliği, İnternet ve arasındaki bir yönlendirici, LAN üzerinde hedeflenen bilgisayarı, aynı zamanda tüm ağı ya da diğer bilgisayarları saldırı hedefi olarak gösterebilir.
 
Saldırı yeterince büyük bir ölçekte yapılır ise, İnternet bağlantısı tüm coğrafi bölgeleri yanlış yapılandırılmış veya çürük ağ altyapı ekipmanı ile saldırganın bilgisi veya niyet olmadan tehlikeye girebilir.
 
= Saldırı yöntemleri =
Bir denial-of-service saldırısı bir hizmetin meşru kullanıcılarını önlemek için saldırganlar tarafından açık bir girişimi ile karakterizedir. DoS saldırılarının iki genel formları vardır; "Crash Services" ve "Flood Services".
 
Bir DoS saldırısı bir dizi yolla işlenebilir. Saldırılar temelde beşe ayrılabilir:
 
Bant genişliği, bellek, disk alanı ya da işlemci zamanı gibi hesaplama kaynaklarının tüketimi,
Yönlendirme bilgileri gibi yapılandırma bilgilerinin bozulması,
Durum bilgileri/bozulması gibi istenmeyen TCP oturumlarının sıfırlanması,
Fiziksel ağ bileşenlerinin bozulması,
Amaçlanan kullanıcılar ile mağdur arasındaki iletişimin bozulması,
Bir DoS saldırısının yürütülmesi için kötü amaçlı yazılımlar amaçlanmıştır:
 
İşlemcinin fazla çalışmasıyla herhangi bir işin engellenmesi
Makina Mikrokodunda hataların tetiklenmesi
Kaynak açlığı ya da israfına yol açan İşletim sisteminde hatalar çıkarır,
İşletim sistemini kendini "Crash" eder.
Internet Denetim İletisi Protokolü (İDİP) flood[değiştir | kaynağı değiştir]
Bir Şirin saldırı İnternet üzerinde bir flood DDoS saldırısının belirli bir çeşididir. Bu, belirli bir ağ üzerinde bulunan tüm bilgisayarlara paket göndermesine izin veren ağ cihazlarının konfigürasyonlarının bozulmasına dayanır. Ağ daha sonra bir Şirin amplifikatör olarak hizmet vermektedir. Böyle bir saldırıda, failler sanki kurbanın kaynak adresiymiş gibi gözüken birden fazla IP paketleri gönderir. Meşru paketlerin varacağı yere gitmesinin önlenmesi, ağın bant aralığının kullanılmasıyla gerçekleşir. İnternet ortamında denial-of-service saldırıları ile mücadele için, Şirin Amplifikatör Sicil gibi servisler şebeke servis sağlayıcılarına hatalı ağları tanımlamak için olanak sağlar ve filtreleme gibi uygun önlemleri almasını kolaylaştırır.
 
Ping flood, kurbana aşırı miktarda Ping gönderilmesidir ve genellikle UNİX tarzı kaynaklardan gelen "ping" komutuyla gerçekleşir. Başlatılması çok basittir ve gerekli olan ilk şey kurbanın bant genişliğinden daha büyük bir bant genişliğidir.
 
Ping of death ise kurbana sistemin çökmesine neden olacak bozuk ping paketlerinin yollanmasıdır.
 
=== (S)SYN flood ===
SYN saldırısı (SYN flood), hizmeti engelleme saldırısının bir biçimidir. Bu saldırı biçiminde bir saldırgan sistemin yasal trafiğini isteklere cevap veremeyecek duruma getirmek için yeterli sunucu kaynaklarını tüketme girişiminde bulunarak, hedef alınan sisteme ardışık SYN istekleri (SYN requests) gönderir.
 
=== Teardrop(Gözyaşı) Saldırısı ===
Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
 
=== P2P Saldırısı ===
Saldırganlar DDoS saldırısını başlatmak için P2P serverları içerisinde birden çok bug bulmuşlardır. Bunlardan en saldırgan olanı ise DC++'dır. P2P saldırıları sıradan Botnet tabanlı saldırılardan çok farklıdır. P2P saldırısı mantığında herhangi bir botnet bulunmamaktadır ve saldırgan müşteri ile herhangi bir iletişim halinde değildir. Bunun yerine, saldırgan sanki bir kukla ustası edasıyla oyuna dahil olur ve bu yöntemle müşterilere P2P ağından kopmaları için büyük miktarda P2P paylaşım dosyaları yönlendirir. Sonuç olarak, binlerce bilgisayar, saldırganın hedeflediği websitesine yoğun şekilde bağlanmaya çalışır. Sıradan bir webserver'ı saniyede en fazla 100 bağlantıyı kaldırabilir. Bu nedenle çoğu websitesi 5000-6000 bağlantıyı kaldıramayacağından dolayı çöker. Büyük bir P2P saldırısı ile, kısa sürede bu websitesi 750.000 bağlantıyı kaldırmaya çalışmakla uğraşır ve başarısız olur.
 
Ancak, bir P2P saldırısını anlamak imza ile gayet basittir. Büyük miktarda IP adreslerini bloklamak gerekmesi demek bu tarz bir saldırıyı önlemek anlamına gelir ama IP adresleri büyük ölçekli bloklansa bile, düşünülmesi gereken başka problemlerde olacaktır. Örneğin, imzanın server kısmından geçmesi için gereken cüzi miktarda bir süre vardır. Bağlantı server kısmında imzanın gönderilip ve fark edilmesiyle sağlanabilir ve hafızada yer tutar. Her tutan yer, hafızanın şişmesine neden olur ve servera zarar verebilir.
 
Bu tarz bir saldırı, belirli portların izin verildiği bir P2P Protokolü ile engellenebilir. Eğer 80. port izin verilmemişse, o siteye yapılabilecek bir saldırı oldukça limitlenir.
 
=== Açlık Saldırılarda Kaynak Kullanım Asimetrisi ===
Kurbanın bilgisayarında kaynak tüketimini başarıyla gerçekleştiren bir saldırı:
* büyük kaynaklar kullanarak gerçekleştiren bir saldırgan tarafından, ya:
** hesaplama gücü çok güçlü bir bilgisayar kullanıyor
yada:
** birden fazla bilgisayarı kontrolüne geçirmiş ve bunları aynı anda kurbana yönlendirebiliyor.
* kurbanın kaynaklarını fazla miktarda kullanabilmesini sağlayan bir işletim sisteminden yararlanıyor olmalıdır.
Bir saldırgan, saldırı potensiyalini yükseltebilmek için yukarıdaki maddeleri bir kombinasyon halinde kullanıyor olabilir.
 
=== Kalıcı DoS Saldırısı ===
Kalıcı denial-of-service (PDoS) sistemi değiştirme veya donanımı yeniden yükleme gerektiren çok büyük zarar verebilen bir saldırıdır. DDoS aksine, PDoS güvenlik açıklarından yaralanır ve sisteme admin yetkisiyle uzaktan erişim sağlayabilir. Saldırgan bu yolla cihazın firmware'ni değiştirebilir, güncelleyebilir, yani "flashing" adı verilen bir işleme tabi tutabilir. Bu bu nedenle cihazı tamamen bozabilir. Kullanılmaz hale getirebilir.
PDoS, tam anlamıyla donanıma olan bir saldırıdır ve çok hızlı, az kaynak gereksinimi ihtiyacı olan bir saldırı türüdür. DDoS saldırılarında kullanılan bir botnete göre çok üstündür. Çünkü tüm bu özellikler nedeniyle, bütün hackerların ilgi oladığı olmuştur.
 
=== Uygulama Seviyesi Flood ===
Çeşitli DoS nedenli açıklar, bellek taşması gibi, sunucu tarafında çalışan yazılımın karışması ve disk alanı doldurması veya mevcut tüm belleği tüketmeye neden olabilir.
DoS'un başka türleri, Brute Force'a dayanır, kurbana aşırı miktarda paket yollar ki kullanıcının sistem kaynağını tüketmeye çalışır. Bandwidth tabanlı saldırı ise, saldırganın kurbandan daha fazla bandwidth'e sahip olmasıyla botnet yükleyerek gerçekleştirdiği bir saldırıdır. Diğer tip floodlar ise, kurbanın bilgisayarında açık olan tüm portları meşgul ederek kaynağını tüketmeye yöneliktir.
"Muz saldırısı" DoS'un başka bir saldırı türüdür. kurbanın dışarıya olan erişimini engeller ve sışa gönderdiği mesajları sürekli kendisine yönlendirerek bir döngü oluşturur.
 
=== NUKE ===
Eski bir ICMP paket tabanlı atak türüdür. Sistemi bozmayı amaçlar.
 
=== HTTP POST DDOS Saldırısı ===
Hyper Text Transfer Protokolü üzerinden get veya post şeklinde çeşitlendirebileceğimiz saldırı çeşidi.
HTTP POST FLOOD form ve benzeri web sayfalarına captcha koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde post isteği almasına neden olarak cevap vermemesine neden olmaktır.Önlem almak için CAPTCHA kullanılmalıdır.
 
=== Henüz-Ölmedin-mi? (HÖM) ===
Bu saldırı web sunucuları üzerinde mevcut var olan sessionları tüketmeye yönelik yapılan bir saldırıdır. HÖM sessionları sürekli aktif halde tutar.
 
=== Yavaş Okuma Saldırısı ===
Bu saldırı, gelen cevapları olabildiğince yavaş okuma işidir. Bu sayede Aplikasyon Havuzunu yormaya çalışır.
 
= Korunma =
DoS saldırılarına defansif tepkiler genellikle onlar gayrimeşru tanımlamak ve izin verdiği trafiği engellemek amacıyla, saldırı algılama, trafik sınıflandırma ve tepki araçlarının bir arada kullanılmasını gerektirir. Önleme ve müdahale araçları aşağıda verilmiştir:
 
=== Güvenlik duvarları ===
Güvenlik duvarları izin veya protokolleri, portları veya IP adreslerini inkar etmek gibi basit kurallara sahip ayarlanabilir. Örneğin alışılmadık bir IP adresleri az sayıda gelen basit bir saldırı durumunda, bir saldırganın tüm gelen trafiği drop etmesi için basit bir kural koymak olabilir.
 
80. portta devam eden bir saldırı varsa, bu port üzerindeki bütün trafiği düşürmek mümkün değildir çünkü bunu yapmak sunucunun trafik akışını sağlamasını engeller. Ayrıca, güvenlik duvarları, ağ hiyerarşisinde çok derin olabilir. Bununla birlikte, güvenlik duvarları etkili bir güvenlik duvarı arkasında makineleri basit sel tipi saldırılar başlatmasının engelleyebilir.
 
Bazı durum bilgisi güvenlik duvarları bağlantıları için bir vekil olarak hareket edebilir: el sıkışma (istemci) ile doğrulanır yerine sadece paketi hedefe iletir. Bu aynı zamanda, diğer BSD için kullanılabilir. Bu bağlama, "synproxy" olarak adlandırılır.
 
=== Anahtarlar ===
Çoğu anahtarların bazı hız sınırlayıcı ve ACL yeteneği var. Bazı anahtarlar, trafik şekillendirme , gecikmeli bağlama ( TCP yapıştırma ), derin paket inceleme ve Bogon filtreleme, otomatik hız filtreleme ve WAN üzerinden denial-of-service saldırılarını tespit ve düzeltmek için sahte IP filtreleme sağlayabilir.
 
Bu şemalar sürece DoS saldırıları bunları kullanarak önlenebilir. Örneğin SYN flood, gecikmiş bağlanma veya TCP yapıştırma kullanılarak önlenebilir. Benzer şekilde içerik tabanlı DoS derin paket inceleme kullanılarak önlenebilir. Kaynaklanan saldırılar Bogon filtreleme kullanılarak önlenebilir. Otomatik hız filtreleme sürece set oran eşikleri doğru ve kademeli ayarlanmış olarak çalışabilir. Wan-bağlantı yük devretme sürece her iki linkler DoS / DDoS önleme mekanizması var olarak çalışacaktır.
 
=== Yönlendiriciler ===
Anahtarlar yönlendiriciler benzer, anahtarların bazı hız sınırlayıcıları ve ACL yeteneği vardır. Onlar da elle ayarlanır. Çoğu yönlendirici bir DoS saldırısı altında kolayca boğulmuş olabilir. Cisco IOS sel etkisini azaltabilen isteğe bağlı özelliklere sahiptir.
 
'''İSİMSİZ (bir ismi yok)'''
 
Kurbanın (hedefin) bir şekilde ip adresi öğrenilir yaptığı işlemin zarar görmesi ya da zaman kaybetmesi için bilgisayarı kapatılır ya da yeniden başlatılır.<gallery>
wekipedi.png
</gallery>
"https://tr.wikipedia.org/wiki/Servis_dışı_bırakma_saldırısı" sayfasından alınmıştır