Root > Documents > Web Güvenlik Açıkları > Dos Security
Cyber-Warrior.Org \ Doküman \ Web Güvenlik Açıkları > Dos Security
Madde
  Yazar : StaLkeR
  Date : 07.07.2005 11:49:14
 
# Dos Security
 

Dos Ataklari

Subat (2000) ayi baslarinda en fazla ragbet gören cnn.com, yahoo.com, ebay.com gibi Internet sitelerine düzenlenen Denial-of-Service (DoS, hizmet yadsimasi) ataklari güvensizligi her firsatta dile getirilen Internetin bu kötü ününün perçinlenmesine sebep oldu. Milyonlarca dolarla ifade edilen kayiplara sebep olan ve birkaç gün boyunca etkisini hissettiren bu ataklar zincirinin belki de en önemli zarari genisleme sürecindeki elektronik ticaretin üzerine uzun süre çikarilamayacak ’güvensiz’ damgasinin vurulmasi idi. Gerçi bu ataklar tüketicilerin elektronik alisveris sirasinda kulladiklari kredi karti numarasi gibi hassas bilgileri açiga vuracak türden ataklar degildi ama bir yönden savunmasiz oldugu anlasilan bir sistemin diger yanlarinin aslinda güvenli oldugunu teknik olmayan insanlara (bazen teknik olanlara da) anlatmanin zor oldugu da bir gerçektir. Belki elektronik ticarette kullanilan teknolojinin ne kadar güvenli oldugunu, hatta SET’in (Secure Electronic Transaction, Visa ve MasterCard’in ortaklasa gelistirdikleri son derece güvenli elektronik ödeme protokolü) içerdigi güçlü güvenlik mekanizmalari yüzünden kullanissiz oldugunu ve aradan geçen 4 seneye ragmen halen süründügünü baska bir yazida anlatiriz.

DoS ataklari tanim itibariyla yeni bir tür güvenlik gedigi degildir. Ancak son aylardaki ataklar, tipki 17 Agustos depremindeki bilinçlenme gibi, insanlarin birden bu konuya hatta genel olarak Internette güvenlik olayina daha dikkatli bir gözle bakmalarina yol açti. DoS ataklari temel olarak ’bana yar olmayan baskasina da yar olmasin’ mantigi güden ataklardir. Ortada bir ele geçirme, zapdetme ya da teknik deyimiyle ’hack’ etme yoktur. Yapilan is, kurban sitenin kaynaklarini kullanmaya zorlayarak normal ziyaretçilerine veya sanal müsterilerine geçici bile olsa hizmet verememesini saglamaktir. Yani ataga ugramis bir sitenin normal ziyaretçileri bu ataklar boyunca siteye baglanamayacak ve belki de bu sirada yapmayi düsündügü elektronik alisverisi yapamayacaktir.

Zombiler

DoS ataklari sirasinda düsman yakalanmamak ve iz birakmamak için elinden geleni sarfeder. O yüzden bu ataklar için ’zombi’ denilen araci bilgisayarlar kullanir. Ataklari bu zombiler üzerinden yaparak hem ayni anda bir çok bilgisayarin saldirmasini saglar, hem de kendi kimligini ve IP adresini/numarasini gizler. Bu sekilde birçok zombinin ayni anda saldirmasi ile yapilan DoS ataklarina Dagitik DoS (DDoS) denir. Subat ayi içindeki ataklar da çok sayida zombinin kullanildigi dagitik DoS idi. O yüzden etkisi fazla oldu.

Zombiler aslinda düsmanin bir açigini bularak önceden ele geçirdigi (hack ettigi) ve atak sirasinda kullanilmak üzere bir deamon biraktigi bilgisayarlardir. Baska bir deyisle zombiler düsman tarafindan kullanilan ve kullanildiklarinin farkinda bile olmayan masum bilgisayarlardir. Tek suçlari güvensiz olmaktir. Zombiler üzerinde kurulan bu deamonlar belirli bir porttan gelecek DDoS emirlerini dinleyerek ataklari gerçeklestirmektedirler. Düsmanlar zombi olarak genellikle açik ve göreceli olarak daha güvensiz olan çok kullanicili Internet Servis Saglayici (ISS) ve üniversite bilgisayarlarini tercih etmektedirler. Son ataklarda genellikle Unix ve Linux tabanli sistemler zombi olarak kullanilmissa da Windows tabanli sistemlerin de ele geçirildikten sonra zombi olarak kullanilmalari mümkündür.

Atak Teknikleri

Düsmanin kendisini gizleyebilmesini olanakli kilan sey, HTTP, DNS gibi anonim Internet servislerinde, sitelerin IP numaralarini dogrulayacak bir denetim mekanizmasinin (authentication) bulunmamasidir. Bunun yanisira yine ayni sebepten otürü düsman atakta kullanacagi trafigi zombiler üzerinden kurban siteye yönlendirebilmektedir. IP-spoofing olarak adlandirilan bu aldatma tekniginde düsmanin yaptigi sey gönderdigi IP paketlerine kendi gerçek IP numarasini koymamak, yerine göre ya var olmayan bir IP numarasini ya da kurban sitenin numarasini koymaktir. Zombiler veya kurban siteler bu paketlerdeki gönderen IP numarasini dogrulayamadiklari için düsman kendisini gizleyerek istedigi siteye saldirabilmektedir. Dilerseniz sistemin nasil isledigini yaygin bir DDoS teknigi olan SYN-flood teknigi üzerinde görelim.

Bir TCP baglantisinin basinda istekte bulunan uygulama SYN paketi gönderir. Buna cevaben alici site SYN-ACK paketi göndererek istegi aldigini teyid eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alici site bunlari biriktirir ve periyodik olarak göndermeye çalisir. SYN-flood türü ataklarda düsman, ya kendi sitesini kullanarak ya da Subat ayindaki DDoS ataklarinda oldugu gibi zombileri kullanarak kurban siteye dönüs adresi kullanimda olmayan bir IP numarasi olan çok fazla sayida SYN paketi gönderir. Kurban site SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim kuyruklarin dolup tasmasina sebep olur ve kurban site normal kullanicilara hizmet verememeye baslar.

IP-spoofing kullanan bir baska DDoS teknigi ise ping komutunu yani ICMP (Internet Control Message Protocol) protokolünü kullanan ’smurf’ teknigidir. Burada düsman çok miktarda bilgisayara ping istegi gönderir. Ancak bu isteklerde dönüs adresi olarak kurban bilgisayarin IP numarasi verilir (bir tür IP-spoofing). Bu durumda çok miktarda bilgisayar bir anda kurban bilgisayari cevap yagmuruna tutar ve kisa bir süre içinde kurban bilgisayar normal hizmet verememeye baslar.

Hangi teknik kullanilirsa kullanilsin düsman atagin siddetini artirmak için kendi sisteminden baska olarak zombileri de uzaktan kumanda ederek yönlendirir. Bunun için zombilere emir olarak gönderdigi paketler genelde tek yönlüdür, yani zombi gelen DDoS emrini teyid etmez. Bu yüzden bu tür paketlerde de dönüs IP numarasi verilmez ya da gerekirse yanlis bir numara verilir.

Ne yapilmali?

Su hali ile atagin ilk kaynagini yani düsmani saptamak zordur. Saptansa bile ispatlanmasi su anki teknoloji ile imkansizdir. Çogu ülkenin yasalarla suç saydigi bu tür girisimlerin fail-i meçhul ve cezasiz kalmasi ataklari bir sekilde özendirmektedir. Bu gerçegin bilincinde olan bazi sirketler kendilerine yapilan ataklari rapor etmekten çekinmektedirler. Çünkü hem ünlerinin zedelenmesinden korkmaktalar hem de ayni ataklarin baskalari tarafindan kopya edilmesinden çekinmektedirler. Gerçekten de Internet üzerinde kolayca bulunabilecek bazi yazilimlar ile DDoS ataklari düzenlemek kolaydir. Bu ataklarin etkisi atakta kullanilan zombilerin sayisi ve etkinligi ile orantili olarak artacaktir.

DDoS atagi ilk farkedildiginde yapilmasi gereken sey, kurban sitenin atagin geldigi adreslerden gelecek olan baglanti isteklerini reddetmesidir. Sistemi tümden kapamak zaten atagi yapanin da amaci oldugundan bu tür bir davranis yenilgi anlamina gelir ve yapilmamalidir. Bu ataklarin zombilerden geldigi düsünüldügünde atagin merkezini saptamak adina sistemi daha da uzun süre saldiriya maruz tutmanin gerek
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©