Denial-of-service (DoS) ve Disturbuted Denial-of-service (DDoS) saldırıları, günümüz dijital dünyasında işletmeleri ve bireyleri zor durumda bırakan ciddi güvenlik tehditlerindendir. Bu tür saldırılar, özellikle internet uygulama sunucuları gibi önemli sistemlerde büyük zararlara yol açabilir. Bu noktada, ağ güvenliği açısından zayıflıkları belirlemek ve saldırılara karşı hazırlıklı olmak büyük önem taşır. Bu makalede DOS saldırılarını detaylıca ele alacağız.
DoS Saldırısı Nedir?
Bir denial-of-service (DoS) saldırısı (DOS Attack), kötü niyetli bir saldırganın, gerçek kullanıcıların bilgisayar sistemlerine, ağlara, hizmetlere veya diğer bilgi teknolojisi (BT) kaynaklarına erişimini imkansız hale getirdiği bir güvenlik tehdididir. Bu tür saldırılarda saldırganlar, genellikle web sunucuları, sistemler veya ağlar gibi hedefleri aşırı trafikle yorarak, hedefin kaynaklarını aşırı yükleyip başkalarının bu kaynaklara erişimini zorlaştırır veya imkansız hale getirir.
Sistemin yeniden başlatılması, sunucuyu çökertecek bir saldırıyı genellikle düzeltebilir, ancak trafiği aşırı yükleyen saldırılardan kurtulmak daha zordur. Trafiğin pek çok farklı kaynaktan geldiği dağınık bir DoS (DDoS) saldırısındankurtulmak ise daha da zordur. DoS ve DDoS saldırıları sıklıkla ağ protokollerindeki zayıflıklardan ve bu protokollerin ağ trafiğini nasıl yönettiğinden yararlanır. Örneğin; saldırgan farklı IP adreslerinden, savunmasız bir ağ hizmetine birçok paket göndererek hizmeti aşırı yükleyebilir.
DoS Saldırısı Nasıl Çalışır?
DoS ve DDoS saldırıları, genellikle OSI modelinin yedi katmanından bir veya birkaçını hedef alır. En çok hedef alınan katmanlar arasında Üçüncü Katman (ağ), Dördüncü Katman (taşıma), Altıncı Katman (sunum) ve Yedinci Katman (uygulama) bulunmaktadır. Kötü niyetli kişiler, OSI katmanlarına saldırmak için çeşitli yöntemler kullanır.
Sık kullanılan yöntemlerden biri, UDP (Kullanıcı Datagram Protokolü) paketleri kullanmaktır. UDP, alıcı tarafın onayı göndermeden önce veri aktarımını hızlandırır. Bir diğer yaygın saldırı yöntemi ise SYN (synchronize/işaretleşme) paket saldırılarıdır. Bu saldırılarda, sahte IP adresleri kullanılarak tüm açık portlara paketler gönderilir.
UDP ve SYN saldırıları genellikle OSI’nin Üç ve Dördüncü Katmanlarını hedef alır. Günümüzde Nesnelerin İnterneti (IoT) cihazlarından başlatılan protokol el sıkışmaları, Altı ve Yedinci Katmanlara yönelik saldırılar için sıkça kullanılıyor. Bu tür saldırıları tespit etmek ve önlemek zor olabilir çünkü IoT cihazları her yerdedir ve her biri ayrı bir akıllı istemci gibi çalışır.
OSI Modeli Nedir?
OSI (Open Systems Interconnection) modeli, ağ iletişimini yedi ayrı katmana ayırır. Her katman, belirli bir işlevi yerine getirir ve diğer katmanlarla belirli kurallar çerçevesinde etkileşir. OSI modelinin katmanları:
- Fiziksel Katman (Physical Layer): Veri iletim ortamında bitlerin donanım seviyesinde aktarımını sağlar. Kablolar, ağ kartları ve tekrarlayıcılar bu katmanda çalışır.
- Veri Bağlantı Katmanı (Data Link Layer): Fiziksel katman üzerindeki ham veri iletimini düzenler ve hataları düzeltir. Anahtarlar ve köprüler bu katmanda işler.
- Ağ Katmanı (Network Layer): Farklı ağlar arasında veri paketlerinin yönlendirilmesini sağlar. Yönlendiriciler (router) bu katmanda çalışır.
- Taşıma Katmanı (Transport Layer): Verinin uçtan uca iletimini sağlar ve veri aktarımının güvenilirliğini kontrol eder. TCP ve UDP protokolleri bu katmanda işler.
- Seans Katmanı (Session Layer): İki cihaz arasında oturumların kurulmasını, yönetilmesini ve sonlandırılmasını sağlar.
- Sunum Katmanı (Presentation Layer): Verinin uygulama katmanı için uygun formata dönüştürülmesini sağlar. Veri şifreleme ve sıkıştırma da bu katmanın işlevlerindendir.
- Uygulama Katmanı (Application Layer): Kullanıcıya en yakın katmandır ve doğrudan yazılım uygulamalarıyla etkileşir. Web tarayıcıları, e-posta istemcileri ve diğer uygulamalar bu katmanda işler. Bu yedi katman birlikte çalışarak ağ iletişiminin düzgün bir şekilde gerçekleştirilebilmesini sağlar.
DoS Saldırısı Belirtileri
Bir DoS saldırısının gerçekleşmekte olduğunu belirlemek için bazı işaretler şunlardır:
- Ağ Performansında Yavaşlama veya Bozulma: İnternete bağlanmak ya da dosyaları açmak gibi işlemler esnasında performansın belirgin şekilde yavaşlaması veya kötüleşmesi, bir saldırının habercisi olabilir.
- Web Sitesine Erişememe: Bir web sitesine erişimin tamamen engellenmesi veya çok zor hale gelmesi, DoS saldırısının işaretlerinden biridir.
- Olağandan Fazla Spam E-posta: Normalden daha fazla spam e-postası almak da bir DoS saldırısının belirtileri arasında yer alır.
DoS Saldırısını Önleme
Uzmanlar, DoS ve DDoS saldırılarına karşı savunma stratejileri için önceden detaylı bir olay müdahale planı hazırlanmasını önerir. Bir işletme, DoS saldırısı yaşandığını düşündüğünde, öncelikle internet servis sağlayıcısı (ISS) ile iletişime geçmelidir. Bu şekilde, performans düşüklüğü gibi belirtilerin bir saldırıdan mı yoksa başka bir sebepten mi kaynaklandığı belirlenebilir.
ISS, kötü niyetli trafiği yönlendirerek saldırıyı engelleyebilir ve yük dengeleyiciler kullanarak saldırının şiddetini azaltabilir. ISS’lerin DoS saldırılarını tespit eden ürünleri olduğu gibi, bazı izinsiz giriş tespit sistemleri (IDS), izinsiz giriş önleme sistemleri (IPS) ve güvenlik duvarları da bu tür saldırıları algılayabilir. Diğer stratejiler arasında yedek bir ISS ile anlaşma yapmak ve bulut tabanlı anti-DoS önlemleri kullanmak da bulunmaktadır.
Saldırganların, DoS veya DDoS saldırılarını sona erdirmek için kurbanlardan ödeme talep ettikleri durumlar olsa da, bu tür saldırıların arkasında genellikle mali kazanç motivasyonu yoktur. Çoğu durumda, saldırganlar hedef aldıkları işletme veya bireyin itibarına zarar vermeyi amaçlar.
IDS ve IPS Nedir?
IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System) ağ güvenliğinde kritik öneme sahip iki teknolojidir. İkisi de izinsiz girişlere karşı savunma sağlar, ancak farklı şekillerde çalışırlar ve farklı amaçlar taşırlar.
IDS (Intrusion Detection System – İzinsiz Giriş Tespit Sistemi)
IDS, ağ veya sistem üzerindeki zararlı aktiviteleri ve ihlalleri tespit etmek için kullanılan bir sistemdir.
Temel olarak iki türü bulunur:
- Ağ Tabanlı IDS (NIDS): Ağ trafiğini izler ve analiz eder.
- Host Tabanlı IDS (HIDS): Bireysel cihazlarda ya da sunucularda çalışarak o cihazdaki faaliyetleri izler.
IDS, şüpheli etkinlikleri algıladığında genellikle sistem yöneticisine bir uyarı gönderir. Ancak, IDS tespit ettiği tehdidi otomatik olarak durdurmaz; sadece bildirim yapar.
IPS (Intrusion Prevention System – İzinsiz Giriş Önleme Sistemi)
IPS, tespit edilen tehditleri otomatik olarak engelleyen ve durduran sistemdir. IDS’den farklı olarak sadece şüpheli aktiviteleri tespit etmekle kalmaz, aynı zamanda bu aktiviteleri önlemek için adımlar atar. IPS de iki temel türde olabilir:
- Ağ Tabanlı IPS (NIPS): Ağ trafiğini izler ve zararlı trafiği engeller veya yönlendirir.
- Host Tabanlı IPS (HIPS): Bireysel cihazlarda ya da sunucularda çalışarak zararlı aktiviteleri engeller.
IDS ve IPS Farkları
IDS: Tehditleri tespit eder ve bildirir, ancak otomatik olarak müdahale etmez.
IPS: Tehditleri tespit eder ve otomatik olarak engeller veya müdahale eder.
Sonuç olarak, güvenlik mimarisinde IDS ve IPS sistemleri birlikte kullanıldığında daha etkili ve kapsamlı bir koruma sağlar, zira biri tehditleri tespit ederken diğeri bu tehditlere karşı aktif adımlar atar.
DoS Saldırı Türleri
DoS ve DDoS saldırılarının birçok farklı yöntemi vardır. Yaygın DoS saldırı türleri aşağıdaki gibidir:
Uygulama Katmanı: Bu saldırılar, özellikle DNS veya HTTP sunucuları gibi internet uygulama sunucularına sahte trafik gönderir. Bazı uygulama katmanı DoS saldırıları hedef sunucuları ağ verileriyle doldururken, diğerleri ise uygulama sunucusu veya protokoldeki zayıflıkları hedef alır.
Buffer Overflow: Bu tür saldırılarda, bir ağ kaynağına tasarlandığından daha fazla trafik gönderilir.
DNS Amplification: DNS DoS saldırısında, saldırgan, hedef ağdaki bir IP adresinden gelmiş gibi görünen DNS istekleri üretir ve üçüncü şahısların yönettiği yanlış yapılandırılmış DNS sunucularına gönderir. Amplifikasyon, ara DNS sunucularının sahte DNS isteklerine yanıt vermesiyle gerçekleşir. Bu yanıtlar, normal DNS yanıtlarına göre daha fazla veri içerebilir ve bu da daha fazla kaynak gerektirir. Sonuç olarak, meşru kullanıcıların hizmete erişimi engellenir.
Ping of Death: Bu saldırılar, ping protokolünü kötüye kullanarak aşırı büyük yüklerle istek mesajları gönderir. Bu durum, hedef sistemlerin fazla yüklenmesine, meşru istekleri yanıtlamayı durdurmasına ve hatta sistemlerin çökmesine neden olabilir.
State Exhaustion: Bu saldırılar, genellikle TCP saldırıları olarak da bilinir, saldırganın firewalls, routers gibi ağ cihazlarında bulunan state tablolarını doldurmasıyla gerçekleşir. Bu cihazlar, ağ döngülerinin durum kontrolünü yaptığında, saldırganlar hedef sistemin aynı anda başa çıkabileceğinden daha fazla TCP döngüsü açarak state tablolarını doldurabilirler ve böylece meşru kullanıcıların ağ kaynağına erişimini engelleyebilirler.
SYN Flood: Bu saldırı, TCP handshake protokolünü kötüye kullanır. Bir SYN flood saldırısında, saldırgan, hedef sunucu ile TCP bağlantıları açma isteğini yüksek hacimde gönderir fakat döngüleri tamamlama niyetinde değildir. Başarılı bir saldırı, meşru kullanıcıların hedef sunucuya erişimini engelleyebilir.
Teardrop: Bu saldırılar, eski işletim sistemlerinin parçalanmış IP paketlerini nasıl işlediğindeki hataları kullanır. Teardrop saldırılarında, paket parçalarının ofsetleri birbiriyle örtüşecek şekilde ayarlanır. Eski işletim sistemlerine sahip makineler, bu parçaları yeniden birleştiremez ve sistem çökebilir.
Volumetric: Bu DoS saldırıları, ağ kaynaklarına ulaşmak için tüm kullanılabilir bant genişliğini kullanır. Bunu yapmak için saldırganlar, hedef sistemlere yüksek hacimde ağ trafiği yönlendirir. Volumetric DoS saldırıları, UDP veya ICMP kullanarak hedef cihazlara ağ paketleri yağdırır. Bu protokoller, büyük miktarda trafik üretmek için nispeten az yer kaplarlar ve aynı zamanda hedefin ağ cihazlarını gelen zararlı datagramları işlemeye çalışırken zorlarlar. Yukarıdaki saldırı türleri, ağ güvenliği ve performansı üzerinde önemli derecede olumsuz etkilere yol açabilir ve önlem alınmadığında sistemi felç edebilirler.
DOS/DDOS Testi İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
İHS Teknoloji olarak, siber güvenlik çözümlerinde sunduğumuz pentest (sızma testi) hizmetleri ile DoS ve DDoSsaldırılarını önceden tespit edip, ağınızı daha güvenli hale getirmenize yardımcı oluyoruz. Türkiye’nin en güvenilir pentest uygulayıcısı olarak, sistemlerinizin zayıf noktalarını tespit eder ve gerekli önlemleri almanızı sağlarız. DoS/DDoS testi çözümlerimizle dijital varlıklarınızı koruma altına alın.
Güvenilir pentest hizmeti ve DoS/DDoS testi çözümlerimiz hakkında daha fazla bilgi almaktıklayın.
