Vikipedi

Servis dışı bırakma saldırısı: Revizyonlar arasındaki fark

Etkileşimli olarak geçmişe göz at
[kontrol edilmiş revizyon][kontrol edilmemiş revizyon]
← Önceki sürümle aradaki farkSonraki sürümle aradaki fark →
İçerik silindi İçerik eklendi
GörselVikimetin
k →‎top: Yazılış(((http://tdk.org.tr/index.php?option=com_yanlis&view=yanlis&kelimez=203))) AWB ile
Memredemir (mesaj | katkılar)
2 değişiklik
Eksik ve yetersiz içerik olduğu görüldü ve İngilizcesinden çeviri yapıldı.
1. satır:
{{Birleş|Denial-of-service(DoS) attackSaldırısı}}
{{Birleş|Ddos}}
{{Kaynaksız}}
'''Denial of Service (DoS saldırısı),''' internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı yada bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir. DoS saldırısını; bir grup insanın, bir dükkan veya işyerindeki kapıları tıkayıp, meşru tarafların mağazaya veya işletmeye girmesine izin vermeyerek normal işlemleri aksatması şeklinde örnekleyebiliriz.
 
DoS saldırılarının failleri genellikle bankalar veya kredi kartı ödeme sistemleri gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedef alır. İntikam, şantaj ve aktivizm bu saldırıları motive edebilir.
Bilgisayar terminolojisinde, DoS saldırısı, hedeflenen kullanıcı veya kullanıcılara bir makine veya ağ kaynağını kullanılamaz hale getirmek için gerçekleşen bir girişimdir.
 
== Tipleri ==
Bir DoS saldırısı, genellikle geçici veya süresiz olarak internete bağlı bir bilgisayarın hizmetlerini kesintiye veya askıya alma çabaları ile oluşur.
Bu saldırı, hedef makinayı o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makina normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırılarının iki genel formu vardır; servisin çökmesine sebep olanlar ve servisin aşırı yavaşlamasına sebep olanlar. En önemlileri ise dağıtık şekilde yapılan saldırılardır.
 
Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile, dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.
Açıklama olarak, Dağıtık DoS saldırıları, iki veya daha fazla kişi veya botlar, DoS saldırıları ise bir kişi ya da sistem tarafından gönderilen saldırılardır. 2014 yılı itibarıyla, tanınan Dağıtık DoS saldırıların sıklığı saatte ortalama 28'e ulaşmıştır.
 
=== Dağıtık DoS ===
DoS saldırılarının failleri tipik olarak bankaları, kredi kartı ödeme ağ geçitlerini ve hatta kök nameserver gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedefler.
Dağıtık DoS(DDoS), failin birden fazla benzersiz IP adresi kullandığı bir siber saldırıdır.( genellikle binlerce). DDoS saldırılarının ölçeği, 2016 yılına kadar saniyede bir terabiti aşarak son yıllarda artmaya devam etti.
 
=== Gelişmiş Kalıcı DoS ===
Denial-of-service, DoS tehditleri iş alanında da yaygındır ve bazende web saldırılarından da sorumludur.
Gelişmiş Kalıcı bir DoS(APDoS), gelişmiş bir kalıcı tehdit(APT) tarafından işgal edilme olasılığı yüksektir.Gelişmiş kalıcı tehdit iyi kaynaklara sahip, son derece yetenekli ve önemli derecede ticari nitelikli bilgisayar kaynakları ve kapasitesine erişen aktörlerdir.APDoS saldırıları özel izleme ve olay tepki hizmetlerine ve özel DDoS azaltma servis sağlayıcılarının savunma yeteneklerine ihtiyaç duyan açık ve yeni bir tehdit oluşturur.
 
Bu saldırı türü uygulama katmanı(HTTP) floodlarına kadar geniş ağ katmanlı DDoS saldırılını ve (değişken aralıklarla) SQL'i ve XSS saldırılarını içerir. Suçlular genellikle saniyede on milyondan fazla talep içeren 2 den 5'e kadar saldırı vektörünü eş zamanlı kullanabilirler.Bu saldırıların çoğu kurbana saldırmakla kalmaz, aynı zamanda herhangi bir DDoS azaltma yönetimi sağlayan herhangi bir servis sağlayıcıya SYN flood'ları eşlik eder. Bu saldırılar birkaç hafta devam edebilir. Şu ana kadar ki en uzun süre 38 gün sürmüştür. Bu APDoS saldırıları yaklaşık 50+ petabits (50,000+ terabits) zararlı trafik içeriyordu.
Bu teknik, günümüzde sunucu sahipleri tarafından kullanılan, belli oyunlarda yaygın kullanımı görülen, ya da popüler Minecraft tarzı çok oyunculu oyunlarda fazla miktarda görülmektedir. Richard Stallman DoS terimini 'İnternet Sokak Protestoları' bir biçimi olduğunu belirtmiştir, Bu terim genellikle bilgisayar ağlarıyla ilişkili olarak kullanılmasının yanı sıra, İşlemci Kaynak Yönetiminde de referans olarak kullanılmaktadır.
 
Saldırganlar bu senaryoda(çoğu kez) taktiksel olarak birçok hedef arasında geçiş yapar.Bunu DDoS defanslarından kurtulmak için oluşturmuştur. Ancak tüm bunlar sonunda saldırının ana gücünü tek bir kurban üzerinde yoğunlaştırdı.
Bu saldırının bir ortak noktası, hedef makinayı o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makina normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırıları, ya hedef makinayı kendisini sıfırlaması için zorlar, ya da makinanın ayakta kalabilmesi için gerekli olan bütün kaynakları tüketip artık makinanın istenen servislere veya kurban ile kullanıcı arasında gerçekleşmesi beklenen iletişime yeterli gücü bulamamasına neden olur.
 
Bu senaryoda, birkaç çok güçlü ağ kaynağına sürekli erişim olan tehdit aktörleri, genişlemiş DDos trafiğinin müthiş seviyelerini üretme yeteneğine sahiptir.
DoS saldırıları, İnternet Mimarisi Kurulu'nun öngördüğü interneti doğru kullanım politikasını ihlal eden bir teknik olarak görülmektedir. Ayrıca, hemen hemen kabul edilen tüm internet servis sağlayıcılarını ihlal ettiği görülmektedir. Bu saldırı, bireysel ulusların yasalarını da çiğnemektedir.
 
APDoS saldırıları aşağıdaki gibi karakterize edilir:
Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile, dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.
* Gelişmiş keşif(saldırı öncesi OSINT ve algılamayı uzun süreler boyunca algılamaktan kurtuluncaya kadar hazırlanmş tarama)
 
* Taktik yürütme(Birincil ve ikincil kurbanlara saldırırken birincile odaklan)
= Semptomlar ve bulgular =
Amerika Birleşik Devletleri Bilgisayar Acil Durum Hazırlık Takımı (US-CERT) içerecek şekilde denial-of-service saldırıları belirtilerini tanımlar:
 
*  Açık motivasyon (hesaplanmış bir son oyun/amaç hedef)
Alışılmadık yavaş ağ performansı (dosyaları açma veya web sitelerine erişim)
Belirli bir web sitesinin kullanılamaması
Herhangi bir web sitesine erişilememesi
Kablosuz veya kablolu internet bağlantısı ayırma
Web erişimi veya herhangi bir internet hizmetlerinin uzun vadeli reddi
Denial-of-service saldırıları da saldırıya uğrayan gerçek bilgisayar etrafında, ağ sorunlarına yol açabilir. Örneğin, bant genişliği, İnternet ve arasındaki bir yönlendirici, LAN üzerinde hedeflenen bilgisayarı, aynı zamanda tüm ağı ya da diğer bilgisayarları saldırı hedefi olarak gösterebilir.
 
*  Büyük bilgisayar kapasitesi(önemli bilgisayar gücüne erişim ve ağ bant genişliği kaynakları)
Saldırı yeterince büyük bir ölçekte yapılır ise, İnternet bağlantısı tüm coğrafi bölgeleri yanlış yapılandırılmış veya çürük ağ altyapı ekipmanı ile saldırganın bilgisi veya niyet olmadan tehlikeye girebilir.
 
*  Eş zamanlı çoklu iş parçacıklı OSI katmanlı saldırılar(3 ila 7 arasındaki katmanlarda çalışan karmaşık araçlar)
= Saldırı yöntemleri =
Bir denial-of-service saldırısı bir hizmetin meşru kullanıcılarını önlemek için saldırganlar tarafından açık bir girişimi ile karakterizedir. DoS saldırılarının iki genel formları vardır; "Crash Services" ve "Flood Services".
 
* Uzun süreler boyunca kalıcılık(Yukarıdakilerin tümünü gerçekleştirdiğimizde bir dizi hedef boyunca iyi yönetilen saldırı gerçekleşir)
Bir DoS saldırısı bir dizi yolla işlenebilir. Saldırılar temelde beşe ayrılabilir:
 
=== Servis Olarak DoS ===
Bant genişliği, bellek, disk alanı ya da işlemci zamanı gibi hesaplama kaynaklarının tüketimi,
Bazı satıcılar basit web tabanlı ön uçlara sahip olan ve web üzerinden ödeme kabul eden "booter" veya "stresser" hizmetleri sunar. Stres test araçları olarak satılır ve geliştirilirler. Yetkisiz DoS saldırıları yapılmasına ve teknik olarak ileri düzeyde bilgisi olmayan saldırganların, gelişmiş saldırı araçlarına saldırganın kullanımını anlamasına gerek kalmadan erişmesine olanak sağlar.
Yönlendirme bilgileri gibi yapılandırma bilgilerinin bozulması,
Durum bilgileri/bozulması gibi istenmeyen TCP oturumlarının sıfırlanması,
Fiziksel ağ bileşenlerinin bozulması,
Amaçlanan kullanıcılar ile mağdur arasındaki iletişimin bozulması,
Bir DoS saldırısının yürütülmesi için kötü amaçlı yazılımlar amaçlanmıştır:
 
== Semptomlar ve Bulgular ==
İşlemcinin fazla çalışmasıyla herhangi bir işin engellenmesi
The United States Computer Emergency Readiness Team(US-CERT) DoS saldırılarının semptomlarını şu maddeler olarak tespit etmiştir:    
Makina Mikrokodunda hataların tetiklenmesi
* Alışılmadık derecede yavaş ağ performansı (dosyaları açma veya web sitelerine erişme)
Kaynak açlığı yada israfına yol açan İşletim sisteminde hatalar çıkarır,
* Belirli bir web sitesinin kullanılamaması.
İşletim sistemini kendini "Crash" eder.
* Herhangi bir web sitesine erişememe.
Internet Denetim İletisi Protokolü (İDİP) flood[değiştir | kaynağı değiştir]
* Alınan spam e-postaların sayısındaki belirgin artış (bu tür bir DoS saldırısı bir [[:en:E-mail_bomb|e-mail bomb]] olarak düşünülür).
Bir Şirin saldırı İnternet üzerinde bir flood DDoS saldırısının belirli bir çeşididir. Bu, belirli bir ağ üzerinde bulunan tüm bilgisayarlara paket göndermesine izin veren ağ cihazlarının konfigürasyonlarının bozulmasına dayanır. Ağ daha sonra bir Şirin amplifikatör olarak hizmet vermektedir. Böyle bir saldırıda, failler sanki kurbanın kaynak adresiymiş gibi gözüken birden fazla IP paketleri gönderir. Meşru paketlerin varacağı yere gitmesinin önlenmesi, ağın bant aralığının kullanılmasıyla gerçekleşir. İnternet ortamında denial-of-service saldırıları ile mücadele için, Şirin Amplifikatör Sicil gibi servisler şebeke servis sağlayıcılarına hatalı ağları tanımlamak için olanak sağlar ve filtreleme gibi uygun önlemleri almasını kolaylaştırır.
Ek olarak semptomlar şunları içerebilir:
* Kablosuz veya kablolu internet bağlantısının kesilmesi.
* Web'e veya herhangi bir internet servisine uzun süre erişim reddi.
Saldırı yeterince büyük ölçekte yürütülürse, tüm coğrafi bölgedeki internet bağlantısını, yanlış yapılandırılmış veya zayıf ağ altyapı ekipmanları tarafından, saldırganın bilgisi veya amacı olmadan tehlikeye atılabilir.
 
== Saldırı Yöntemleri ==
Ping flood, kurbana aşırı miktarda Ping gönderilmesidir ve genellikle UNİX tarzı kaynaklardan gelen "ping" komutuyla gerçekleşir. Başlatılması çok basittir ve gerekli olan ilk şey kurbanın bant genişliğinden daha büyük bir bant genişliğidir.
 
=== Saldırı Araçları ===
Ping of death ise kurbana sistemin çökmesine neden olacak bozuk ping paketlerinin yollanmasıdır.
MyDoom gibi durumlarda araçlar kötü amaçlı yazılım içine yerleştirilir ve saldırılarını sistem sahibi bilgisi olmadan başlatır.Stacheldraht, DDoS aracının klasik bir örneğidir.Saldırganın işleyicilere bağlanmak için bir istemci programı kullandığı katmanlı bir yapı kullanılır. Bu da, zombi temsilcilerine komutlar veren ve DDoS saldırısını kolaylaştıran tehlikeli sistemlerdir.Temsilciler,hedeflenen uzak bilgisayarlarda çalışan bağlantıları kabul eden programlardaki güvenlik açıklarını kullanmak için otomatik rutinler kullanarak saldırgan tarafından işleyiciler tarafından ele geçirilir.Her işleyici binlerce aracı kontrol edebilir.
 
Diğer durumlarda bir makine anonim grup tarafından organize edilen, (örneğin Geri Ödeme işleminde) sahibin izniyle DDoS saldırısı kapsamında olabilir. LOIC genellikle bu şekilde kullanılmıştır.HOIC ile birlikte farklı özelliklere sahip ücretli ve ücretsiz sürümleri de içeren çok çeşitli DDoS araçları mevcuttur.Korsanlarla ilgili forumlarda ve IRC kanallarında bunlar için bir yer altı pazarı vardır.
=== (S)SYN flood ===
SYN saldırısı (SYN flood), hizmeti engelleme saldırısının bir biçimidir. Bu saldırı biçiminde bir saldırgan sistemin yasal trafiğini isteklere cevap veremeyecek duruma getirmek için yeterli sunucu kaynaklarını tüketme girişiminde bulunarak, hedef alınan sisteme ardışık SYN istekleri (SYN requests) gönderir.
 
İngiltere'nin GCHQ'sunda DDos için YIRTICILARIN YÜZÜ ve GÖK GÖRLEMESİ adlı araçlar bulunur.
=== Teardrop(Gözyaşı) Saldırısı ===
Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
 
=== P2PUygulama SaldırısıSeviyesi Flood ===
Çeşitli DoS nedenli açıklar, bellek taşması gibi, sunucu tarafında çalışan yazılımın karışması ve disk alanı doldurması veya mevcut tüm belleği tüketmeye neden olabilir. DoS'un başka türleri, Brute Force'a dayanır, kurbana aşırı miktarda paket yollar ki kullanıcının sistem kaynağını tüketmeye çalışır. Bandwidth tabanlı saldırı ise, saldırganın kurbandan daha fazla bandwidth'e sahip olmasıyla botnet yükleyerek gerçekleştirdiği bir saldırıdır. Diğer tip floodlar ise, kurbanın bilgisayarında açık olan tüm portları meşgul ederek kaynağını tüketmeye yöneliktir. "Muz saldırısı" DoS'un başka bir saldırı türüdür. kurbanın dışarıya olan erişimini engeller ve sışa gönderdiği mesajları sürekli kendisine yönlendirerek bir döngü oluşturur. 
Saldırganlar DDoS saldırısını başlatmak için P2P serverları içerisinde birden çok bug bulmuşlardır. Bunlardan en saldırgan olanı ise DC++'dır. P2P saldırıları sıradan Botnet tabanlı saldırılardan çok farklıdır. P2P saldırısı mantığında herhangi bir botnet bulunmamaktadır ve saldırgan müşteri ile herhangi bir iletişim halinde değildir. Bunun yerine, saldırgan sanki bir kukla ustası edasıyla oyuna dahil olur ve bu yöntemle müşterilere P2P ağından kopmaları için büyük miktarda P2P paylaşım dosyaları yönlendirir. Sonuç olarak, binlerce bilgisayar, saldırganın hedeflediği websitesine yoğun şekilde bağlanmaya çalışır. Sıradan bir webserver'ı saniyede en fazla 100 bağlantıyı kaldırabilir. Bu nedenle çoğu websitesi 5000-6000 bağlantıyı kaldıramayacağından dolayı çöker. Büyük bir P2P saldırısı ile, kısa sürede bu websitesi 750.000 bağlantıyı kaldırmaya çalışmakla uğraşır ve başarısız olur.
 
=== Hizmet Bozulması Saldırıları ===
Ancak, bir P2P saldırısını anlamak imza ile gayet basittir. Büyük miktarda IP adreslerini bloklamak gerekmesi demek bu tarz bir saldırıyı önlemek anlamına gelir ama IP adresleri büyük ölçekli bloklansa bile, düşünülmesi gereken başka problemlerde olacaktır. Örneğin, imzanın server kısmından geçmesi için gereken cüzi miktarda bir süre vardır. Bağlantı server kısmında imzanın gönderilip ve fark edilmesiyle sağlanabilir ve hafızada yer tutar. Her tutan yer, hafızanın şişmesine neden olur ve servera zarar verebilir.
"Pulsing" zombiler, hedef web sitelerini ara ara ve kısa ömürlü floodingler ile çökertmekten ziyade yavaşlatmak amacıyla yönlendirilmiş tehlikeli bilgisayarlardır. "denial-of-service" yerine "degradation-of-service" olarak adlandırılan bu tür saldırılar alışılagelmiş zombi istilalarından daha zor tespit edebilir ve web sitelerine uzun süreler boyunca bağlantıyı kesebilir ve engelleyebilir. Degradation-of-service saldırılarına maruz kalma, sunucunun gerçekten saldırıya uğramış olup olmadığının veya normal trafik yükleri altında olup olmadığının belirlenmesi ile daha da karmaşık hale gelir.
 
=== Hizmet Reddi Seviye-2 Saldırıları ===
Bu tarz bir saldırı, belirli portların izin verildiği bir P2P Protokolü ile engellenebilir. Eğer 80. port izin verilmemişse, o siteye yapılabilecek bir saldırı oldukça limitlenir.
Hizmet reddi Seviye 2 Saldırısının amacı , saldırının ortaya çıktığı ağ kesimini bloke eden bir savunma mekanizmasının çalışmasına neden olmaktır. Dağınık saldırı veya IP üst bilgisi değişikliği durumunda saldırıya uğrayan şebekeyi , sistem olmadan İnternetten tamamen bloke eder.
 
=== Dağıtık Hizmet Reddi Saldırıları(DDoS) ===
=== Açlık Saldırılarda Kaynak Kullanım Asimetrisi ===
(Aynı zamanda bakınız: [[Ddos|DDoS]])
Kurbanın bilgisayarında kaynak tüketimini başarıyla gerçekleştiren bir saldırı:
* büyük kaynaklar kullanarak gerçekleştiren bir saldırgan tarafından, ya:
** hesaplama gücü çok güçlü bir bilgisayar kullanıyor
yada:
** birden fazla bilgisayarı kontrolüne geçirmiş ve bunları aynı anda kurbana yönlendirebiliyor.
* kurbanın kaynaklarını fazla miktarda kullanabilmesini sağlayan bir işletim sisteminden yararlanıyor olmalıdır.
Bir saldırgan, saldırı potensiyalini yükseltebilmek için yukarıdaki maddeleri bir kombinasyon halinde kullanıyor olabilir.
 
DDoS saldırısı (Distributed Denial of Service attack), çoklu sistemlerde hedef sistemin kaynakları ya da [[bant genişliği]] istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur. Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.   
=== Kalıcı DoS Saldırısı ===
Kalıcı denial-of-service (PDoS) sistemi değiştirme veya donanımı yeniden yükleme gerektiren çok büyük zarar verebilen bir saldırıdır. DDoS aksine, PDoS güvenlik açıklarından yaralanır ve sisteme admin yetkisiyle uzaktan erişim sağlayabilir. Saldırgan bu yolla cihazın firmware'ni değiştirebilir, güncelleyebilir, yani "flashing" adı verilen bir işleme tabi tutabilir. Bu bu nedenle cihazı tamamen bozabilir. Kullanılmaz hale getirebilir.
PDoS, tam anlamıyla donanıma olan bir saldırıdır ve çok hızlı, az kaynak gereksinimi ihtiyacı olan bir saldırı türüdür. DDoS saldırılarında kullanılan bir botnete göre çok üstündür. Çünkü tüm bu özellikler nedeniyle, bütün hackerların ilgi oladığı olmuştur.
 
=== UygulamaDağıtılmış Hizmet SeviyesiReddi FloodGaspı ===
2015'te DD4BC gibi Dağıtılmış hizmet reddi botnetleri ön plana çıkarak finansal kurumları hedef almışlardır.Siber-gaspçıları genellikle düşük seviyeli bir saldırıdır.Bitcoin'de fidye ödemesi yapılmazsa daha büyük bir saldırı yapacaklarına dair bir uyarı yapılır.Güvenlik Uzmanları fidye ödememek için hedefin web sitelerini önerir.Saldırganlar, hedef ödemeyi yapmaya hazır olduğunu farkedince genişletilmiş bir gasp komplosuna girme eğilimindedirler.
Çeşitli DoS nedenli açıklar, bellek taşması gibi, sunucu tarafında çalışan yazılımın karışması ve disk alanı doldurması veya mevcut tüm belleği tüketmeye neden olabilir.
DoS'un başka türleri, Brute Force'a dayanır, kurbana aşırı miktarda paket yollar ki kullanıcının sistem kaynağını tüketmeye çalışır. Bandwidth tabanlı saldırı ise, saldırganın kurbandan daha fazla bandwidth'e sahip olmasıyla botnet yükleyerek gerçekleştirdiği bir saldırıdır. Diğer tip floodlar ise, kurbanın bilgisayarında açık olan tüm portları meşgul ederek kaynağını tüketmeye yöneliktir.
"Muz saldırısı" DoS'un başka bir saldırı türüdür. kurbanın dışarıya olan erişimini engeller ve sışa gönderdiği mesajları sürekli kendisine yönlendirerek bir döngü oluşturur.
 
=== NUKEHTTP POST DoS Saldırıları ===
Hyper Text Transfer Protokolü üzerinden get veya post şeklinde çeşitlendirebileceğimiz saldırı çeşidi. HTTP POST FLOOD form ve benzeri web sayfalarına captcha koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde post isteği almasına neden olarak cevap vermemesine neden olmaktır.Önlem almak için CAPTCHA kullanılmalıdır.
Eski bir ICMP paket tabanlı atak türüdür. Sistemi bozmayı amaçlar.
 
=== İnternet Denetim İletisi Protokol Flood(ICMP) ===
=== HTTP POST DDOS Saldırısı ===
Smurf saldırısı paketlerin belirli bir ağdaki tüm ana makinelere ; belirli bir makineden gönderilmesi yerine ağın yayın adresi aracılığıyla gönderilmesini sağlayan hatalı yapılandırılmış ay aygıtlarına dayanır. Saldırgan , hedefin adresi gibi görünmesi için kaynak adrese çok sayıda IP paketi gönderir. Böylece ağın bant genişliği hızlıca tükenir ve yasal paketlerin hedeflerine ulaşması engellenir.
Hyper Text Transfer Protokolü üzerinden get veya post şeklinde çeşitlendirebileceğimiz saldırı çeşidi.
HTTP POST FLOOD form ve benzeri web sayfalarına captcha koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde post isteği almasına neden olarak cevap vermemesine neden olmaktır.Önlem almak için CAPTCHA kullanılmalıdır.
 
Ping floodu , genellikle Unix benzeri ana makinelerden ‘ping’ komutunu kullanarak hedefe çok fazla sayıda ping paketi göndermektir.(Windows sistemlerinde –t bayrağı çok daha az hedef ezme yeteneğine sahiptir ve –l bayrağı Windows’da 65500 ‘ den fazla paketin gönderilmesine izin vermez). Başlatılması çok kolaydır. İlk gereksinim , hedeften daha büyük bir bant genişliğine erişebilmektir.
=== Henüz-Ölmedin-mi? (HÖM) ===
 
Bu saldırı web sunucuları üzerinde mevcut var olan sessionları tüketmeye yönelik yapılan bir saldırıdır. HÖM sessionları sürekli aktif halde tutar.
Ölüm Ping’i ; hedefe , korumasız bir sistemde hasar sağlayacak , bünyesi kusurlu bir ping paketi göndermektir.
 
Siyah Hemşire saldırısı , ulaşılamaz hedef bağlantı noktası ICMP paketlerinden yararlanan bir saldırı örneğidir.
 
=== Nükleer Silah Saldırıları(NUKE) ===
Nükleer Silah Saldırısı bilgisayar ağlarına karşı eski bir hizmet reddi saldırısıdır. Geçersiz ICMP paketlerini hedefe gönderir.Bu saldırıyı sonuca ulaştırabilmek için değiştirilmiş ping kullanarak bozulmuş veriyi tekrar tekrar yollar ve karşı bilgisayarı yavaşlatarak durdurur.
 
Nükleer Silah saldırısına örnek WinNuke'dur. WinNuke Windows 95'te Netbios işleyicisindeki güvenlik açığından yararlanır.Bir dizi bant dışı veri hedefin makinesinin 139 numaralı TCP girişine gönderilir.Bilgisayarın kitlenmesine ve mavi ekran gelmesine sebep olur.
 
=== Eşler Arası(P2P) ===
Saldırganlar eşler arası sunucularda açık bulmak için birkaç hatadan yararlandı.En agresif eşler arası DDoS atağı DC++'dır.Eşler arası hiçbir botnet yoktur ve saldırgan istemciyle iletişim halinde olmasına gerek yoktur. Bunun yerine saldırgan kukla sahibi olarak davranır.Büyük eşler arası dosya paylaşımı yaparak onların eşler arası ağ bağlantısının kopmasına sebep olur.Kurban kendi istediği siteye bağlanmak yerine saldırganın yönlerdiği siteye bağlanmış olur.
 
=== Kalıcı Hizmet Reddi ===
Kalıcı hizmet reddi (PDoS) , sisteme ciddi hasar veren ve donanımın tekrar yüklenmesini gerektiren , e-ticaret dolandırıcılığı olarak da bilinen bir saldırı türüdür. Kalıcı hizmet reddi saldırılarında , Dağıtılmış hizmet reddi saldırılarından farklı olarak , hedefin donanımının (yazıcılar , yönlendiriciler , diğer ağ donanımları gibi ..) uzaktan kontrolünün yapılmasına olanak veren güvenlik açıkları vardır.
 
Saldırgan  bu zayıf noktaları , aygıtın yazılımını değiştirmek , bozmak ve hatalı bir aygıt yazılımı ile değiştirmek için kullanır. Meşru bir şekilde yapıldığında ‘yanıp sönme’ olarak adlandırılır.Bu sebeple cihaz onarım yapılıncaya ya da değiştirilinceye kadar kendi orjinal elektroniklerini kullanamaz.
 
Kalıcı hizmet reddi saldırıları , Dağıtılmış hizmet reddi saldırılarına göre bir root – vserver kullanmaktan daha hızlıdır ve daha az kaynak gerektirir.Bu özelliklerden ve potansiyel yüksek güvenlik olasılıklarından dolayı bu teknik çok sayıda bilgisayar korsanının dikkatini çekmiştir.
 
Phlash Dansı , Hewlett Packard’ın Sistem Güvenlikleri Labaratuar’ında çalışan Rich Smith tarafından ; Londra’daki 2008 EUSecWest Uygulamalı Güvenlik Konferansı’ndaki kalıcı hizmet reddi güvenlik açıklarını tespit etmek ve göstermek için oluşturulmuştur.
 
=== Yansıtılma Saldırıları ===
Bir DDoS saldırısı, taleplere cevap verecek çok sayıda bilgisayara sahte bir istek gönderilmesini gerektirebilir. [[:en:IP_address_spoofing|Internet Protocol address spoofing]] özelliğini kullanarak, kaynak adres hedeflenen kurbanın adresine ayarlanır. Bu da tüm yanıtların hedefe gideceği (ve taşıracağı) anlamına gelir.(Bu yansıtılma saldırı formu “DRDOS” olarak da bilinir.)
 
ICMP Yankı Talebi saldırısı([[:en:Smurf_attack|Smurf attack]]), Y saldırısının bir biçimi olarak düşünülebilir, çünkü taşan host veya hostlar, yanlış yapılandırılmış ağların yayın adreslerine yankı talebi gönderir ve bu şekilde hostları, mağdura yankı yanıtı paketleri göndermeye ikna eder. Bazı eski DDoS programları bu saldırının dağıtılmış halini uygulamıştır. 
 
=== Genişletme Saldırıları ===
Genişletme saldırıları, bir mağdura gönderilen bant genişliğini büyütmek için kullanılır. Bu genellikle, DNS yanıt trafiğini kullanarak hedef sistemde tıkanıklığa neden olmak için kullanılan, herkese açık erişilebilir DNS sunucuları aracılığıyla yapılır. Pek çok servis, reflektörler gibi davranmak için kullanılabilir. Bazıları diğerlerine oranla daha zorlayıcı olabilir. US-CERT farklı hizmetlerin farklı genişletme faktörlerine işaret ettiğini gözlemlemiştir.
 
DNS genişletme saldırıları, daha önce göründüğünden daha büyük bir DNS sunucusu listesini kullanarak, genişletme etkisini artıran yeni bir mekanizma içerir. İşlem genellikle, bir saldırganın hedeflenen mağdurun kaynak IP adresini sahte IP adresi olarak kullanıp, genel DNS sunucusuna bir DNS adı arama isteği göndermesini gerektirir. Saldırgan, mümkün olduğunca çok alan bilgisi istemeyi dener ve böylece hedeflenen mağdura gönderilen DNS kayıt yanıtını genişletmeye çalışır. İstek boyutunun yanıttan önemli ölçüde küçük olması nedeniyle saldırgan, hedefe yönlendirilen trafik miktarını kolayca artırabilir. SNMP ve NTP, bir yükseltme saldırısında reflektör olarak da kullanılabilir.
 
NTP yoluyla güçlendirilmiş bir DDoS saldırısına bir örnek monlist olarak adlandırılan bir komuttur. Bu komut, o bilgisayardan istemciye zaman ayırmasını isteyen son 600 kişinin bilgilerini gönderir. Bu saat sunucusuna yönelik küçük bir istek, herhangi bir kurbanın sahte kaynak IP adresini kullanarak gönderilebilir. Bu da mağdura geri istenen veri miktarının 556.9 katıdır. Bu şekilde, hepsinin aynı sahte IP kaynağına istek yolladığı botnet’ler kullanıldığında, güçlendirilmiş olacak ve bu da kurbana büyük miktarda veri gönderecektir.
 
Bu tür saldırılara karşı savunma yapmak çok zordur çünkü yanıt verileri meşru sunuculardan gelmektedir. Bu saldırı talepleri ayrıca, sunucuya bağlantı gerektirmeyen UDP aracılığıyla gönderilir. Yani, sunucu tarafından bir istek alındığında kaynak IP'nin doğrulanmadığı anlamına gelir. Bu güvenlik açıkları hakkında bilinç kazandırmak amacıyla, kullanıcıların çözümleyicilerini düzeltmelerine veya çözümleyicilerini tamamen kapatmalarına neden olan genişletme vektörlerini bulmaya adanmış kampanyalar başlatıldı.
 
=== Henüz-ölmedin-mi?(RUDY) ===
RUDY saldırısı, web sunucusunda mevcut oturumların starvasyonu(Bir algoritmada sıra bekleyen işlere bir türlü sıra gelmemesi durumu.) ile web uygulamalarını hedefler. Slowloris'e çok benzer şekilde, RUDY, bitmeyen POST iletimleri kullanarak ve rasgele olarak büyük bir içerik uzunluğu header değeri göndererek oturumları durdurur.    
 
=== Shrew Saldırısı ===
Shrew Saldırısı TCP üzerinden yapılan bir hizmet reddi saldırısıdır. TCP'nin yeniden iletim mekanızmasındaki bir zayıflıktan yararlanarak bir açık oluşturur. Aynı bağlantıdaki TCP bağlantılarını kesmek için senkronize edilmiş trafik patlamalarını kullanır. 
 
=== Yavaş Okuma Saldırısı ===
Yavaş Okuma saldırısı , yasal uygulama katmanı istekleri gönderir fakat yanıtları çok yavaş okuyarak sunucunun bağlantı havuzunu tüketmeye çalışır. Yavaş okuma TCP Alım Penrecesi boyutu için çok az miktarda reklam vererek ve müşterilerin TCP alma yedek zaman aralığını yavaş yavaş boşaltarak elde edilir. Bu da çok düşük bir veri akış hızı sağlar.
Bu saldırı, gelen cevapları olabildiğince yavaş okuma işidir. Bu sayede Aplikasyon Havuzunu yormaya çalışır.
 
=== Gelişmiş Düşük Bant Genişliği DDoS ===
= Korunma =
Gelişmiş Düşük Bant Genişliği DDoS saldırısı, DoS’un daha az trafik kullanan ve mağdurun sistem tasarımında zayıf bir noktayı hedefleyerek etkinliğini arttıran bir formudur. Yani saldırgan, karmaşık isteklerden oluşan trafiği sisteme gönderir. Aslında, gelişmiş DDoS saldırısı, daha az trafik kullanması nedeni ile daha düşük maliyetlidir, daha küçük boyutlu olması tanımlanmasını zorlaştırır ve flow control mekanizmaları tarafından korunan sistemlere zarar verebilme kabiliyetine sahiptir.
DoS saldırılarına defansif tepkiler genellikle onlar gayrimeşru tanımlamak ve izin verdiği trafiği engellemek amacıyla, saldırı algılama, trafik sınıflandırma ve tepki araçlarının bir arada kullanılmasını gerektirir. Önleme ve müdahale araçları aşağıda verilmiştir:
 
=== GüvenlikSYN duvarlarıFlood ===
(Aynı zamanda bakınız: [[SYN saldırısı|SYN Flood]])
Güvenlik duvarları izin veya protokolleri, portları veya IP adreslerini inkar etmek gibi basit kurallara sahip ayarlanabilir. Örneğin alışılmadık bir IP adresleri az sayıda gelen basit bir saldırı durumunda, bir saldırganın tüm gelen trafiği drop etmesi için basit bir kural koymak olabilir.
 
Host, genellikle sahte bir gönderen adresi olan aşırı miktarda TCP / SYN paketleri gönderdiğinde bir SYN flood oluşur.
80. portta devam eden bir saldırı varsa, bu port üzerindeki bütün trafiği düşürmek mümkün değildir çünkü bunu yapmak sunucunun trafik akışını sağlamasını engeller. Ayrıca, güvenlik duvarları, ağ hiyerarşisinde çok derin olabilir. Bununla birlikte, güvenlik duvarları etkili bir güvenlik duvarı arkasında makineleri basit sel tipi saldırılar başlatmasının engelleyebilir.
 
Bu paketlerin her biri, TCP / SYN-ACK paketini geri göndererek ve gönderen adresinden gelen bir paketi bekleyerek sunucunun yarı açık bir bağlantı oluşturmasına neden olan bir bağlantı isteği gibi ele alınır. Ancak, gönderen adresi sahte olduğu için yanıt gelmez. Bu yarı açık bağlantılar da sunucunun yapabileceği mevcut bağlantı sayısını iyice doldurur. Böylece saldırı sona erinceye kadar meşru isteklere yanıt veremez.
Bazı durum bilgisi güvenlik duvarları bağlantıları için bir vekil olarak hareket edebilir: el sıkışma (istemci) ile doğrulanır yerine sadece paketi hedefe iletir. Bu aynı zamanda, diğer BSD için kullanılabilir. Bu bağlama, "synproxy" olarak adlandırılır.
 
=== Gözyaşı Saldırısı ===
Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Gözyaşı saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
 
=== Telefon Hizmet Reddi Saldırısı(TDoS) ===
Ip üzerinden ses ; arayan kişilerin kimlik bilgilerini sızdırma gibi yanlışlıklara izin verirken , çok sayıda sesli aramanın ucuz , kolay ve otomatik olarak yapılmasına neden olmuştur.
 
ABD Federal Soruşturma Bürosu’na göre ; telefon hizmet reddi (TDoS) çeşitli dolandırıcılık şemalarının bir parçası olarak ortaya çıkmıştır ;
* Bir dolandırıcı , mağdurun bankasına veya broker’ına başvurur. Para transferi talebinde bulunmak için mağdurun kimliğine bürünür.Bankacı , işlemi doğrulamak için mağdura ulaşmaya çalışır.Mağdurun telefon hatlarında binlerce sahte arama olduğu için , mağdur ulaşılamaz hale gelir.
 
* Bir dolandırıcı , binlerce dolarlık olağanüstü bir maaş kredisi toplamak için sahte bir iddiayla tüketiciyle görüşür. Tüketici itiraz ettiğinde dolandırıcı mağdurun işverenine binlerce çağrı göndererek karşılık verir.Bazı durumlarda , görünen arayan kimliği polise veya kolluk kuvvetlerine benzemesi için taklit edilir.
 
* Bir dolandırıcı , sahte bir borç toplama talebi ile tüketiciyle görüşür ve polis göndermekle tehdit eder. Hedef anlaşmaya yönelmezse dolandırıcı polis numaralarını floodlayarak , mağdurun isminin görünmesini sağlar. Polis yakın sürede mağdurun evine gelerek aramaların orjinalini bulmaya çalışır.
Telefon hizmet reddi , İnternet telefonu olmasa bile var olabilir.2002 New Hampshire Senato Seçimlerinde , telemarketçiler sahte çağrılarla politik muhalifleri engellemeye çalışmıştır.
 
Telefon Hizmet reddi , diğer telefon tacizlerinden kaynaklanan çağrı sayısından farklıdır. (muziplik çağrıları , müstehcen telefon görüşmeleri gibi). Sürekli tekrarlanan otomatik çağrılarla hatları işgal ederek mağdurun rutin ve acil telefon görüşmeleri yapmasını ya da almasını engeller.
 
İlgili istismarlara SMS flood saldırıları , siyah faks veya faks iletim gönderimleri dahildir.
 
== Korunma Yolları ==
 
DoS saldırılarına karşı savunmalar, genellikle, saldırı tespiti, trafik sınıflandırması ve yanıt araçları kombinasyonunun kullanılmasını içerir. Bunlar, meşru olduklarını belirledikleri trafik akışına izin vermeyi ve diğer trafikleri engellemeyi  amaçlar. Önleme ve müdahale araçlarının bir listesi aşağıda verilmektedir:    
 
=== Uygulama Ön Uç Donanımı ===
Uygulama ön uç donanımı, trafik sunucularına ulaşmadan önce ağa yerleştirilen akıllı bir donanımdır. Anahtarlar ve yönlendiriciler ile birlikte ağlarda kullanılabilir. Uygulama ön uç donanımı sisteme girerken veri paketlerini analiz eder ve sonra bunları öncelikli, normal veya tehlikeli olarak tanımlar. 25'den fazla bant genişliği yönetimi sağlayıcısı bulunmaktadır.
 
=== Kara Delik ve Sinkholing ===
Kara Delik yönlendirmesiyle, saldırıya uğramış DNS veya Ip adresine bir "kara delik"'e(boş arayüz veya mevcut olmayan bir sunucuya) tüm trafik yollanır.Daha verimli olmak ve ağ bağlantısını etkilemekten kaçınmak için, ISS tarafından yönetilebilir.
 
Bir DNS sinkhole trafiği analiz eden ve hatalı paketleri reddeden geçerli bir IP adresine yönlendirilir.Sinkholing, en güçlü saldırılar için etkili değildir.    
 
=== IPS Tabanlı Savunma ===
Saldırı önleme sistemleri (IPS), saldırıların kendileri ile ilişkili imzaları olması durumunda etkilidir. Fakat, saldırılar arasındaki eğilim meşru içeriğe sahip olmakla birlikte kötü niyetlidir. İçerik tanıma üzerinde çalışılan saldırı önleme sistemleri davranış temelli DoS saldırılarını engelleyemez.
 
=== DDS(Hizmet reddi koruma sistemi) Tabanlı Savunma ===
Hizmet reddi koruma sistemi , bağlantı tabanlı hizmet reddi saldırılarını ve içeriği kötü niyetli olanları engelleyebilir. IPS’den daha çok soruna odaklanır.Bir DDS , protokol saldırılarına (gözyaşı damlası ve ölüm pingi ) ve ücret tabanlı saldırılara(ICMP ve SYN floodları) da dayanabilir.
 
=== Güvenlik Duvarları ===
Basit bir saldırı durumunda, güvenlik duvarları saldırganlardan gelen tüm trafiği, protokollere, portlara veya kaynak IP adreslerine dayanarak reddetmek için basit bir kurala sahip olabilir.
 
Ancak basit kurallarla daha karmaşık saldırıların engellenmesi zor olacaktır. Örneğin, 80. portta(web hizmeti) devam eden bir saldırı varsa, bu porta gelen bütün trafiği engellemek mümkün değildir, çünkü meşru trafikleri de engellemiş oluruz. Ayrıca, ağ hiyerarşisinde güvenlik duvarları çok derinde olabilir, bu yüzden trafik güvenlik duvarına gelmeden önce yönlendiriciler olumsuz etkilenmiş olabilir.
 
=== Anahtarlar ===
Satır 114 ⟶ 185:
 
=== Yönlendiriciler ===
AnahtarlarYönlendiriciler yönlendiricilerde benzer, anahtarlarınanahtarlar gibi bazı hız sınırlayıcılarısınırlayıcı ve ACL yeteneğiözelliklerine vardırsahiptir.Yönlendiriciler Onlarde dael elleile ayarlanır. Çoğu yönlendirici , bir DoShizmet reddi saldırısı altında kolayca boğulmuş olabilirezilebilir. Cisco IOS sel etkisini azaltabilen, isteğe bağlı olarak floodların etkisini azaltabilen özelliklere sahiptir.
 
=== Yukarı Yönde Filtreleme ===
Tüm trafik temizlik merkezi boyunca veya ovma merkezi üzerinden proxy,tüneller,dijital çapraz bağlantılar veya doğrudan devreler gibi çeşitli yöntemlerle geçilir.Doğrudan devreler "kötü" trafiği(DDoS ve diğer yaygın internet atakları) ayırır ve sunucuya sadece iyi trafik gönderir. Hizmet sağlayıcı "temizlik merkezi" veya "ovma merkezi" ile aynı yerde bulunmadıkça bu tür hizmetleri yönetmek için internete merkezi bir bağlantı ihtiyacı duyar.
 
Hizmet sağlayıcı servis örnekleri:
 
Akamai Technologies, CloudFlare, Level 3 Communications , Radware, Arbor, Networks, AT&T, F5 Networks, Incapsula, Neustar Inc, Tata Communications, Verisign, Verizon 
 
== Saldırıların Yan Etkileri ==
Gerisaçılım bilgisayar ağı güvenliğinde sahte hizmet saldırılarının yan etkisidir.Bu tür bir saldırıda, saldırgan kurbana gönderilen IP paketlerine kaynak edresini yanıltır veya taklit eder.Genellikle, kurban makinese sahte paketleri ve legal paketleri birbirinden ayırt edemez. Bu nedenle kurban sahte paketleri normalde olduğu gibi yanıtlar. Bu tepki paketleri geri saçılımcı olarak bilinir.
 
Saldırgan kaynak adresini rastgele taklit ediyorsa, kurbandan gelen yanıt paketleri rastgele hedeflere göndererir.Bu etki bu gibi saldırıların dolaylı kanıtı olarak ağ teleskopları tarafından kullanılabilir.
 
"Geriye dönük analiz" terimi,DoS saldırılarının ve kurbanların özelliklerini belirlemek için IP adres alanının istatistiksel açıdan önemli bir bölümüne ulaşan geri saçılım paketlerini gözlemlemek anlamına gelir.
 
== Yasal Durumu ==
 
Pek çok ülkede Ddos saldırısı ciddi bir bilişim suçudur ve cezası vardır. Fakat saldırının doğal yapısı gereği saldırıyı yöneten kişilerin tespitini yapmak diğer saldırı yöntemleriyle kıyaslandığında daha zordur.
 
== Kaynakça ==
<ref>https://en.wikipedia.org/wiki/Denial-of-service_attack</ref>
[[Kategori:Hacking]]
[[Kategori:Ağ güvenliği]]
[[Kategori:Hacker terimleri]]
"https://tr.wikipedia.org/wiki/Servis_dışı_bırakma_saldırısı" sayfasından alınmıştır