DDoS -Distributed Denial of Service Attack

ddos-attack

DDoS

Yazar: Alpin Karagözoğlu
Başlamadan önce şu iki ayrımın altını çizmekte fayda var:

Eğer saldırı yapan kişi ya da kişiler söz konusu saldırıyı tek bir ana bilgisayardan gerçekleştirir ise bu bir DoS Saldırısı, eğer saldırgan ya da saldırganlar aynı anda saldırı için birden fazla sistem kullanıyor ise DDoS saldırısı olarak sınıflandırılır.

DDoS (Distributed Denial of Service Attack – Dağıtılmış Hizmet Reddi)

çevrimiçi hizmet veren uygulama veya sistemi de hedef alabilir. DDoS saldırısı birden fazla unsuru içerisinde barındırabilir. Bunlar kısaca:

-Saldırı yapan bir ya da daha fazla ana bilgisayar, sunucu/lar.

-Saldırıyı genişletmek ve güçlendirmek için ele geçirilmiş (Zombi PC’ler vs.) – Botnet’ in parçası olan bilgisayarlar.  (Bu PC’ler genellikle Worm, Trojan ile önceden “Zombileştirilmiştir.” Yani bu PC’ler saldırganın erişimine, kod çalıştırmasına ya da PC’nin denetimini kısmen ya da tamamen ele almasına yarayan zararlı ve/veya zararlılarla bulaşık durumdadır.

Bir DDoS saldırısında amaçlananlar:
Sunucu bant genişliğini tüketmek ya da hedef sunucunun kendisini (yoğunluk ve işlem hacminden ötürü) hizmet veremez hale getirilmesini amaçlar. Bu hedefler başlıca; Web sunucuları, DNS sunucuları, uygulama sunucuları, yönlendiriciler, güvenlik duvarları ve İnternet bant genişliğidir.

Özellikle devlet siteleri ile çevrimiçi işlem hizmeti veren servisler (Üniversiteler,  Devlet Kurumları, Bankalar, ISP’ler vs.)  ve bunların çalışmasına olanak veren sistemler hedef alındığında, yıkım ve saldırı başarısı doğru orantılı olarak artar.

Kilit Nokta:
Bir saldırgan, eğer saldırıyı tek bir sistemden yapmıyorsa DDoS saldırısını yapabilmesi için genellikle başka kişi PC’lerine ve sistemlere ihtiyaç duyar. Bu durumda ise saldırı DoS olarak sınıflandırılır.

Saldırgan öncelikle sistemi hizmet veremez hale getirmek / bant genişliğini tüketebilmek için kendi emrine uyacak zararlı “WORM, Trojan” gibi yazılımları hazırlar. Bunlar genellikle son kullanıcıların bilgisayarlarında, sahibinden gelecek emirleri bekler. Zararlı yazılımlar ne kadar çok bilgisayar, cihaz yani istemciye yayılırsa saldırı o kadar etkin olacaktır ve başarıya ulaşma olasılığı da artacaktır.

Bu işleyişi bir şema ile kabaca anlatmaya çalışalım;

DDos Diagram

Temel olarak DDoS saldırısının geniş bir işlem hacmine sahip olması gerekmektedir ve yine yukarıda söz ettiğim “Zombi” cihazlara – sistemlere ihtiyaç duyar. Peki, saldırgan söz konusu sistemleri nasıl emri altına alır? Birkaç örnek ve açıklama ile yüzeysel olarak ifade etmeye çalışırsak, bu zararlı yazılımlardan belki de en bilineni MyDoom virüsüdür. MyDoom ’un saldırı mekanizması belli bir tarih ve zamanda aktif olur ve yine DDoS saldırısı için yazılan bir araçta Stacheldraht ’tır.

“ Bu araç, saldırganların işleyicilere bağlanmak için istemci programın kullanıldığı DDoS saldırısını kolaylaştıran katmanlı bir yapıdan faydalanır. Ajanlar, hedeflenen uzak bilgisayarda uzaktan bağlantıların çalıştırılmasını kabul eden programlarda açıklardan faydalanmak için otomatik rutinleri kullanarak saldırganlar tarafından işleyiciler üzerinden tehlikeye sokulabilir. Her işleyici bin ajanı kontrol edebilir.”

Bu ve türevi araçlar, yazılımlar yani sistem bozucuların genel adı Botnet olarak adlandırılır. Genellikle saldırı araçları bünyesinde olan saldırı yöntemleri, bünyelerinde IP Spoofing, Syn, Smurf Attack ve Fraggle metodolojilerini bulundurur.

“Syn saldırıları gibi basit ataklar, DDoS görünürlüğünü veren geniş bir kaynak ip adres aralığı ile oluşabilir. Bu flood (akış) saldırılar TCP’nin üçlü el sıkışmasının bitmesine gerek duymaz; hedef Syn kuyruğunu ya da sunucunun bant genişliğini tüketmek için girişimde bulunurlar. Çünkü kaynak ip adresleri taklit edilebilir, kaynak kümesi sınırlı olan bir saldırı gelebilir hatta tek bir bilgisayar kaynaklı saldırı olabilir.”

DDoS ’un avantajı:
Söz konusu saldırılarda amaç, mümkün olduğunca trafik ve işlem hacmi oluşturmaktır. Bu işlem tek bir makine yerine binlerce makine üzerinden yapılırsa, hem saldırı sürecinde oluşan veri trafiği hem de işlem hacmi çok daha fazla ve rahat olacaktır. Ek olarak saldırı yapan tek bir makine ise ellemek çok daha rahat olacakken onlarca, binlerce sistemi ve/veya bağlantıyı kapatmak ise çok daha zor olacaktır. Yine saldırı ya da saldırganların davranış şeklini incelemek ve geri dönüş yapmak tek bir makineden gelen saldırıya nazaran çok daha zor ve savunulması çok daha güç olacaktır.

DDoS ’un amaçları:
Amaçları çeşitlilik gösteren çoğu saldırının dışında rıza ve rıza dışı saldırının bir parçası olunulabilinecek bir yöntemdir. Saldırılar birçok amaçla gerçekleşebilir: rekabet, dolandırıcılık, para, terör, savaş / siber savaş, dikkat çekmek, engellemek, tepki göstermek, eğlence, kendini ispat vs…

Ancak WikiLeaks destekçileri 2010 yılında kredi kartı şirketlerine ve 2013 yılında Gezi Parkı olaylarında Anonymous,(Hacker Grubu) girişimi ile başlatılan saldırılar ideoloji ve amaç bakımında alışılagelmiş saldırı amaçlarından daha farklıdır.  Devlet sitelerine karşı düzenlenen saldırılar, toplumsal tepki ve kişilerin isteği, rızası ile Botnet’ in ya da bir sistemin parçası olması ile gerçekleşmiştir. Bu saldırılar çok büyük ölçekli ve neredeyse amaç yönünden türünün ilk örnekleri olan saldırılardır.

 

NOT;
İleriki yazılarımda, DoS ve DDoS saldırılarından temel korunma yollarını işleyeceğim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir