Umut Savas
Ne demek yanlış? Ben mi?
- Mesajlar
- 812
- En iyi cevaplar
- 0
- Beğeniler
- 247
- Puanları
- 590
- Ruh hali
-
Merhaba değerli forum sakinleri,
son zamanlarda yaygın olmaya başlayan hatta bir dönem aratma rekoru kıran hackerlık herkesin hayatını olumsuz etkiliyor hele hele açtığınız serverler siteler vb. en fazla zarar verilenler arasında.
Koruma konusunda bilinmesi gereken en temel kanun yapılan saldırının şiddeti (kullanılan Bant Genişliği ) sizin sahip olduğunuzdan yüksekse hiçbir şey yapamayacağınızdır. Bu durumda iş hizmet aldığınız telekom firmasına düşer.
Web sunuculara yönelik DoS/DDoS saldırılarından korunma diğer DoS/DDoS yöntemlerine göre daha zordur(synflood, udp flood, smurf gibi).
Diğer saldırı yöntemleri genelde L4(TCP/UDP/ICMP) seviyesinde gerçekleştiği için ağ koruma cihazları( Router, Firewall, NIPS)tarafından belirli oranda engellenebilir fakat HTTP üzerinden yapılan DoS saldırılarında istekler normal kullanıcılardan geliyormuş gibi gözüktüğü için ağ güvenlik cihazları etkisiz kalmaktadır. Yinede web sunucular ve önlerine koyulacak ağ güvenlik cihazları iyi yapılandırılabilirse bu tip saldırılardan büyük oranda korunulabilir.
Şimdi ee nasıl kurtulacağız sadede gel dediğinizi duyar gibiyim haydi başlayalım.
İlk öncelikle sitelerde nasıl korunmaya çalışacağınızı kısaca özet geçeyim;
- Kayıt formlarında reCAPTCHA gibi atılan botların kod ile giriş yapmasını engelleyen yazılımlar kullanmak.
- Sitenizi alırken 100 MB'a ne gerek var 3 tl vermeye değmez demeyip paraya kıymak azda olsa sitenizde lagı önler.
- Kullandığınız web sunucu yazılımı'nın da yapılacak performans iyileştirmeleri. (bu sadece site için geçerli değil)
- İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler kullanılmalı Loadbalancer, reverseProxy Nginx gibi benzer sistemler kullanılmalı. (bu sadece site için geçerli değil)
- Web sunucunuzun desteklediği DoS koruma modülleri kullanılabilir ( Apache Mod_dosevasive )
- Web sunucunuzun şüpheli olarak belirlediği kullanıcılara HTTP 403 cevabını vermektense bloklamak.
Gelelim şimdi forumu kullananların çoğunun severek oynadığı minecraft'ın serverlerindeki yöntemlerine.
- Serverinizi alırken aldığınız RAM boyutuna dikkat etmek aynı daha demin söylediğim 3 tl farkı gibi.
- Kullandığınız serverinizi başlatan craftbukkit veya spigotun güvenilir ve crash vermemeye elverişli olması.
- AntiProxy gibi proxy sunucularının iplerinin bloklanması.
- Sunucunuzda lag yapan gereksiz pluginlerin kaldırılması (bu daha çok lagı engeller).
Şimdi gelelim makineninizin(sunucunuz) için gerekli olan yazılım veya yazılımlar;
- Tavsiye ettiğim Cisco ASA 5510 Adaptive Security Appliance (sadece bunu bulabildim)
Denial of Service saldırı türlerinin başlıcaları şunlardır;
Arabellek Aşımı Saldırıları: DOS saldırılarının en yaygın çeşitidir. Arabellek; hafızada ard arda dizili türdeş veri depolayan hafıza bloğudur. Arabellek aşımı saldırıları; bir internet sitesine, sitenin programcısının gelmesinin beklediği ve bu amaçla veri akışı için planladığı arabellek değerinin karşılayamayacağı kadar çok trafik yollanması sonucu oluşur. Saldırı, hedef sistemdeki bilinen zayıf bir noktanın üzerine, başarıya ulaşacağı bilinerek yapılabileceği gibi zayıf bir nokta bilinmeden başarı ihtimaliyle de yapılabilir.
SYN Saldırıları: Bu saldırı türünde saldırgan, internet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.
Teardrop Saldırıları: Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
Smurf Saldırıları: Bu saldırı türünde, saldırgan hedef bilgisayardan ping isteğinde bulunur. Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır. Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar. Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.
Servislere Aşırı Yüklenme: Bu saldırı tipi belirli kullanıcı ve servisleri düşürmek için kullanılır. Saldırı yapan kişi özel port ve kullanıcıya birçok ICMP paketi gönderir. Bu olay ağ izleyicisi ile kolayca anlaşılır.
Message Flooding: Servislere Aşırı Yüklenme'den farklı olarak sistemin normal çalışmasını engellemez. Yine aynı şekilde paketler gönderilir ancak bu defa kullanıcı ya da servisler bu paket gönderimini normal olarak algılar. Örnek olarak; Nis sunucusunda 'flood' yapılırsa (Unix network) Nis bu isteği şifre isteği gibi görür ve böylece saldırganın kullanıcıya hükmetmesi sağlanmış olur.
Sistemin güvenliği açısından yapılması gereken ilk adım DoS saldırısının doğru analiz edilmesi ve kaynağının tespit edilmesidir. DoS saldırıları işletim sistemine sistemin içinden ya da dışından gelme olasılıklarına sahiptir. DoS saldırılarının çoğunun tespiti için internet hızının düşüklüğü ya da e-posta alamama gibi sorunlara dikkat edilmesi gerekmektedir. Bu tür durumlarda ilk aşamada bakılması gereken sistemin çıkış noktasıdır. Eğer çıkış noktası HTTP Proxy ise büyük isteklerin bir sistemden mi ya da daha fazla sistemden mi yapılmakta olduğuna bakılmalıdır. Eğer çıkış noktası ağ geçidi ise sistemden geçen paketlerin kontrol edilmesi gerekmektedir.
Aslında DoS saldırılarından korunma yöntemleri temel olarak iki gruba ayrılır;
Saldırı Kaynağını Belirleme: DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır. Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombi sistemler kullanarak kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır.Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu rahatlıkla anlaşılabilir.Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir. Yani saldırı sırasında kaydedilen dosya incelendiğinde fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak gerçekleştirildiği hükmüne varılabilir Tek cümleyle özetleyecek olursak: Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.
Eğer Saldırı Yediğinizi Düşünüyorsanız
http://www.bidb.itu.edu.tr Başvurabilirsiniz.
Şunu Unutmayın Siber dünyada gün geçtikçe Web’in önemi artacak ve HTTP’e yönelik DoS/DDoS saldırıları da ciddi artışlar gösterecektir. DoS/DDoS saldırılarını engellemeye yönelik atılacak en sağlıklı adım kullanılan sistemleri iyi bilmek ve DoS/DDoS saldırısı kapınızı çalmadan kendinizi test etmek ya da ettirmektir. Bu konuda hazır çözüm sunan ticari ürünlerin onu yapılandıran kadar işlevsel olacağı unutulmamalıdır.
Arada alıntılar vardır bilginize...
son zamanlarda yaygın olmaya başlayan hatta bir dönem aratma rekoru kıran hackerlık herkesin hayatını olumsuz etkiliyor hele hele açtığınız serverler siteler vb. en fazla zarar verilenler arasında.
Koruma konusunda bilinmesi gereken en temel kanun yapılan saldırının şiddeti (kullanılan Bant Genişliği ) sizin sahip olduğunuzdan yüksekse hiçbir şey yapamayacağınızdır. Bu durumda iş hizmet aldığınız telekom firmasına düşer.
Web sunuculara yönelik DoS/DDoS saldırılarından korunma diğer DoS/DDoS yöntemlerine göre daha zordur(synflood, udp flood, smurf gibi).
Diğer saldırı yöntemleri genelde L4(TCP/UDP/ICMP) seviyesinde gerçekleştiği için ağ koruma cihazları( Router, Firewall, NIPS)tarafından belirli oranda engellenebilir fakat HTTP üzerinden yapılan DoS saldırılarında istekler normal kullanıcılardan geliyormuş gibi gözüktüğü için ağ güvenlik cihazları etkisiz kalmaktadır. Yinede web sunucular ve önlerine koyulacak ağ güvenlik cihazları iyi yapılandırılabilirse bu tip saldırılardan büyük oranda korunulabilir.
Şimdi ee nasıl kurtulacağız sadede gel dediğinizi duyar gibiyim haydi başlayalım.
İlk öncelikle sitelerde nasıl korunmaya çalışacağınızı kısaca özet geçeyim;
- Kayıt formlarında reCAPTCHA gibi atılan botların kod ile giriş yapmasını engelleyen yazılımlar kullanmak.
- Sitenizi alırken 100 MB'a ne gerek var 3 tl vermeye değmez demeyip paraya kıymak azda olsa sitenizde lagı önler.
- Kullandığınız web sunucu yazılımı'nın da yapılacak performans iyileştirmeleri. (bu sadece site için geçerli değil)
- İstekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler kullanılmalı Loadbalancer, reverseProxy Nginx gibi benzer sistemler kullanılmalı. (bu sadece site için geçerli değil)
- Web sunucunuzun desteklediği DoS koruma modülleri kullanılabilir ( Apache Mod_dosevasive )
- Web sunucunuzun şüpheli olarak belirlediği kullanıcılara HTTP 403 cevabını vermektense bloklamak.
Gelelim şimdi forumu kullananların çoğunun severek oynadığı minecraft'ın serverlerindeki yöntemlerine.
- Serverinizi alırken aldığınız RAM boyutuna dikkat etmek aynı daha demin söylediğim 3 tl farkı gibi.
- Kullandığınız serverinizi başlatan craftbukkit veya spigotun güvenilir ve crash vermemeye elverişli olması.
- AntiProxy gibi proxy sunucularının iplerinin bloklanması.
- Sunucunuzda lag yapan gereksiz pluginlerin kaldırılması (bu daha çok lagı engeller).
Şimdi gelelim makineninizin(sunucunuz) için gerekli olan yazılım veya yazılımlar;
- Tavsiye ettiğim Cisco ASA 5510 Adaptive Security Appliance (sadece bunu bulabildim)
Denial of Service saldırı türlerinin başlıcaları şunlardır;
Arabellek Aşımı Saldırıları: DOS saldırılarının en yaygın çeşitidir. Arabellek; hafızada ard arda dizili türdeş veri depolayan hafıza bloğudur. Arabellek aşımı saldırıları; bir internet sitesine, sitenin programcısının gelmesinin beklediği ve bu amaçla veri akışı için planladığı arabellek değerinin karşılayamayacağı kadar çok trafik yollanması sonucu oluşur. Saldırı, hedef sistemdeki bilinen zayıf bir noktanın üzerine, başarıya ulaşacağı bilinerek yapılabileceği gibi zayıf bir nokta bilinmeden başarı ihtimaliyle de yapılabilir.
SYN Saldırıları: Bu saldırı türünde saldırgan, internet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketini hedef makineye yollar. Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar. Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar. Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.
Teardrop Saldırıları: Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
Smurf Saldırıları: Bu saldırı türünde, saldırgan hedef bilgisayardan ping isteğinde bulunur. Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır. Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar. Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.
Servislere Aşırı Yüklenme: Bu saldırı tipi belirli kullanıcı ve servisleri düşürmek için kullanılır. Saldırı yapan kişi özel port ve kullanıcıya birçok ICMP paketi gönderir. Bu olay ağ izleyicisi ile kolayca anlaşılır.
Message Flooding: Servislere Aşırı Yüklenme'den farklı olarak sistemin normal çalışmasını engellemez. Yine aynı şekilde paketler gönderilir ancak bu defa kullanıcı ya da servisler bu paket gönderimini normal olarak algılar. Örnek olarak; Nis sunucusunda 'flood' yapılırsa (Unix network) Nis bu isteği şifre isteği gibi görür ve böylece saldırganın kullanıcıya hükmetmesi sağlanmış olur.
Sistemin güvenliği açısından yapılması gereken ilk adım DoS saldırısının doğru analiz edilmesi ve kaynağının tespit edilmesidir. DoS saldırıları işletim sistemine sistemin içinden ya da dışından gelme olasılıklarına sahiptir. DoS saldırılarının çoğunun tespiti için internet hızının düşüklüğü ya da e-posta alamama gibi sorunlara dikkat edilmesi gerekmektedir. Bu tür durumlarda ilk aşamada bakılması gereken sistemin çıkış noktasıdır. Eğer çıkış noktası HTTP Proxy ise büyük isteklerin bir sistemden mi ya da daha fazla sistemden mi yapılmakta olduğuna bakılmalıdır. Eğer çıkış noktası ağ geçidi ise sistemden geçen paketlerin kontrol edilmesi gerekmektedir.
Aslında DoS saldırılarından korunma yöntemleri temel olarak iki gruba ayrılır;
- Bant genişliği saldırıları ve korunma yöntemleri: Bu tür saldırılar savunulması en zor olan DoS saldırılarıdır, bu sebeple ataklara neden olan paketler güvenliği sağlanılması istenen sistemin ağ geçidine girmeden bu paketlerin alımını durdurmaktır. Paketlerin ağ geçidine girmeden engellenmesi için TCP SYN, UDP veya ICMP gibi aynı tür paketlerin arka arkaya geldiği takdirde takibini ve kontrolunu sağlayan yazılım kurulması gerekmektedir
- Sistem ve servis saldırıları ve korunma yöntemleri: Bu tür saldırılar tüm ağdan çok bir ya da birkaç sisteme yönelik yapılır. Bu saldırılar birim zamanda çok yüksek sayıda paket gönderilerek, hafızada sorun yaratılarak ve yüksek sayıda geçerli istek gönderilerek yapılabilir.
Standart olarak ağ kartı paket aldığı her defada işlemciye yönelik bir istek yaratır. Bunun üzerine işlemci bu paketi ağ kartından almak üzere belirli bir zaman ayırır. TCP SYN paketleri SYN ACK paketlerini cevap olarak göndermeden önce bir zaman geçmesi gerekir. Aynı şekilde TCP, UDP ve ICMP paketleri de SYN kadar zaman almasa da yine de belirli bir zaman kaybına neden olur. Bunların dışında paket büyüklüğü ve sayısının da bant genişliğinde oluşabilecek sorunlarda büyük etkisi vardır.
Zaman ayırma, paket büyüklüğü ve sayısı gibi problemler için daha güçlü cihazlar ya da bu sorunları azaltmak, engellemek için eklenmesi gerek komutlar kullanılmalıdır. Donanım için fazla harcamalar dışında bu sorunların çoğu "sysctl(8)" komutu kullanılarak çözülebilir. "sysctl(8)" komutu sayesinde yüksek paket geliş oranında sınırlamalar yapılabilir.
Saldırı Kaynağını Belirleme: DDoS saldırılarında en önemli sorunlardan biri saldırıyı gerçekleştiren asıl kaynağın bulunamamasıdır. Bunun temel sebepleri saldırıyı gerçekleştirenlerin zombi sistemler kullanarak kendilerini saklamaları ve bazı saldırı tiplerinde gerçek IP adresleri yerine spoof edilmiş IP adreslerinin kullanılmasıdır.Saldırı analizinde saldırıda kullanılan IP adreslerinin gerçek IP’ler mi yoksa spoofed IPler mi olduğu rahatlıkla anlaşılabilir.Internet üzerinde sık kullanılan DDoS araçları incelendiğinde IP spoofing seçeneği aktif kullanılırsa random üretilmiş sahte IP adreslerinden tek bir paket gönderildiği görülecektir. Yani saldırı sırasında kaydedilen dosya incelendiğinde fazla sayıda tek bağlantı gözüküyorsa saldırının spoof edilmiş IP adresleri kullanılarak gerçekleştirildiği hükmüne varılabilir Tek cümleyle özetleyecek olursak: Eğer aynı IPden birden fazla bağlantı yoksa spoofed IP kullanılmış olma ihtimali yüksektir.
Eğer Saldırı Yediğinizi Düşünüyorsanız
http://www.bidb.itu.edu.tr Başvurabilirsiniz.
Şunu Unutmayın Siber dünyada gün geçtikçe Web’in önemi artacak ve HTTP’e yönelik DoS/DDoS saldırıları da ciddi artışlar gösterecektir. DoS/DDoS saldırılarını engellemeye yönelik atılacak en sağlıklı adım kullanılan sistemleri iyi bilmek ve DoS/DDoS saldırısı kapınızı çalmadan kendinizi test etmek ya da ettirmektir. Bu konuda hazır çözüm sunan ticari ürünlerin onu yapılandıran kadar işlevsel olacağı unutulmamalıdır.
Arada alıntılar vardır bilginize...
