DoS/DDoS SALDIRILARI VE BENZETİM TEKNİKLERİ

Oğuzcan PAMUK

oguzcanpamuk@gmail.com

Özet

Günümüz dünyasında internet hayatımızın her alanına girmiş ve gelişen teknolojiyle girmeye

devam etmektedir. Bankacılık, kamu, milli güvenlik gibi hayati öneme sahip birimlerde

teknoloji ve internet kavramları çok yaygın olarak kullanılmakta ve hatta bu birimlerin

temelini oluşturmaktadır. İnterneti kullanan ve hayati öneme sahip olan bu sistemlerin

korunması da günlük hayatın normal seviyede ilerleyebilmesi açısından büyük önem arz

etmektedir. Bu çalışmada erişilebilirliği hedef alan DoS/DDoS saldırılarının neler olduğu,

nasıl gerçekleştirildiği ve bu saldırılara karşı nasıl önlem alınabileceği konularına

değinilmiştir.

1. Giriş

Soğuk savaşın en etkili silahı olan Dos/DDoS saldırıları genel olarak sistemlerin

erişilebilirliğini hedef almaktadır. Bu saldırılar yoluyla kurban olarak seçilen kişi veya

kurumların işlevlerini yerine getirememesi amaçlanmaktadır. Hayatımızın her alanına girmiş

olan ve girmeye devam eden internet ve ağ kavramlarının geçtiği her alanda, gelebilecek

muhtemel saldırılara karşı hazırlıklı olunmalı, sistemler bu saldırılar düşünülerek

tasarlanmalıdır.

Saldırılara karşı önlem almanın en iyi yolu, oluşturulan veya oluşturulacak olan sistemi iyi

tanımak, kullanılan protokolleri ve açıklıklarını analiz edebilmek ve literatürde en yaygın

olarak kullanılan saldırıların nasıl gerçekleştirildiği hakkında bilgi sahibi olmaktan

geçmektedir.

1

2. Temel Bilgiler ve İlgili Çalışmalar

DoS/DDoS saldırılarının neler olduğu ve bu saldırıları daha iyi anlayabilmek adına bilinmesi

gereken temel kavramlar bu başlık altında incelenecektir. Ayrıca, literatür araştırması

sonuçları bu başlığın konusunu oluşturacaktır.

2.1 Temel Bilgiler

DoS

Herhangi bir sistemin hizmetini yavaşlatma veya durdurma amacıyla yapılan saldırılardır.

DDoS

DOS saldırılarının organize bir şekilde birden fazla kaynak tarafından

gerçekleştirilmesidir.

Zombi

Sahibinden habersiz, çeşitli amaçlar için kullanılmak üzere ele geçirilmiş bilgisayarlardır.

Botnet

Zombilerden oluşan sanal bilgisayar ordularıdır. DoS saldırılarının DDoS saldırılarına

dönüşmesini sağlayan en etkili kavramdır.

Şekil 1 DDoS Şeması

2

IP Spoofing

IP adresinin olduğundan farklı gösterilmesidir. Bu sayede saldırıyı yapan kişinin yakalanma

riski yok edilmiş olacaktır.

2.2 İlgili Çalışmalar

DoS ve DDoS saldırılarına ilişkin çeşitli kaynaklar üzerinde yapılan araştırmalara göre

saldırıların genel amacı; bankacılık sistemleri, e-posta ve telefon hizmetleri gibi bilgisayar

mimarisi üzerine kurulmuş ve hayati önem taşıyan yapıların işlevsiz hale getirilmesidir. Bazı

politik ve ticari sebepler bu saldırıların en büyük nedenleri olarak gösterilebilir. Bahsi geçen

bu saldırılar yıllar önce geliştirilmiş ve günümüzde halen daha yaygın bir şekilde kullanılan

protokollerin eksiklerinden veya sistemlerde kullanılan mevcut yazılımların açıklarından

faydalanılarak oluşturulur. Saldırıları gerçekleştirmek için ağ kavramının bulunması

yeterlidir. Zorunlu olarak internete ihtiyaç bulunmamaktadır.

İp gizleme tekniği kullanılarak yapılan saldırıların kim tarafından yapıldığını bulmak

neredeyse imkânsız hale gelmektedir. Yapılan araştırmalara göre ICMP, TCP, UDP ve SIP

gibi protokoller üzerinden DoS/DDoS saldırıları gerçekleştirilebilmesi mümkündür.

Günümüzde en yaygın olan saldırılar ise; Synflood, Udpflood, Ackflood, Http Get/Post flood,

DNS flood saldırılarıdır. Bu saldırılar yapılış şekillerine göre iki ayrı kategoriye

ayrılmaktadırlar. Bunlardan ilki ağ trafiğini işlevsiz hale getirmek için çeşitli yöntemlerle ağ

trafiğini doldurmaya yönelik saldırılar, diğeri ise işlemci gibi kurban sistemin kaynaklarının

gereksiz yere tüketilmesinden oluşmaktadır.

DoS/DDoS saldırılarını gerçekleştiren çeşitli araçlar mevcuttur. Özellikle Kali Linux araçları

sayesinde birçok farklı saldırı tipi gerçekleştirilebilir. Nmap, Hping, DoS Http, Scapy gibi

araçlar vasıtasıyla mevcut sunucuların bu saldırılara nasıl reaksiyon gösterdiğini görmek

mümkündür.

Çeşitli araçlar kullanılarak DoS/DDoS saldırılarının simülasyonu yapılabilir. NS2 isimli

simülatör sayesinde çeşitli saldırıların nasıl gerçekleştirildiğini görmek ve bu saldırıların

yapısını anlamak mümkündür. Bu saldırıları gerçekleştirebilmek için NS2 Tcl script kodları

3

yazmak gerekmektedir. Daha sonra çizilen ağ topolojisi üzerinde simülasyon

gerçekleştirilebilir.

Sanal makinalar kullanarak çeşitli ağ ortamları kurulabilir ve bu ağlarda simülasyon

gerçekleştirilebilir. En az iki sanal zombi bilgisayar, kurban olarak gösterilecek bir sanal

bilgisayar, atağı başlatacak ve zombileri kontrol edebilecek bir bilgisayar simülasyon için

yeterli olacaktır. Fakat bu sistemlerin ve oluşturulacak ağın gücü ne kadar kuvvetli olursa

gerçekleştirilmek istenen simülasyonun gerçekçiliği de bir o kadar fazla olacaktır.

3. Saldırıların İncelenmesi

TCP, UDP, ICMP gibi protokollerin yıllar önce ve o yıllardaki ihtiyaçlara göre

tasarlanmasından kaynaklanan eksikleri hedef alarak oluşturulan DoS/DDoS saldırılarının

çeşitli teknikleri mevcuttur. En yaygın kullanılan teknikler alt başlıklarda incelenmiştir.

Ping of Death

Hedef sisteme büyük boyutlu ICMP paketi gönderilmesine dayanır. Gelen bu paketlerin

normal ICMP paket boyutundan büyük olması, sistemin paketleri bölüp işlemesini

zorlaştıracaktır. Bu işlem, işletim sistemini yoracağı gibi hedef sistemi ağdan

düşürebilmektedir. Son yıllarda tasarlanan işletim sistemlerinin neredeyse tamamı bu

saldırılara karşı önlem almaktadır. Bu durum da saldırının geçerliliğini kaybetmesine yol

açmaktadır.

Http Get / Post Saldırıları

Web servislerine yapılan ve günümüzde en çok kullanılan saldırı çeşitlerinden biridir. 80

portu üzerinden yapılan bu saldırı, servislerin cevap verebileceklerinden çok daha fazla

istek yapılmasına dayanır. Saldırı sonucunda servisin gözle görülür yavaşlaması veya

isteklere cevap verememesi hedeflenir.

Syn Flood Saldırıları

Hedef sisteme cevap verebileceğinden fazla SYN paketi gönderilmesine dayanır.

4

Şekil 2 SynFlood Saldırısı

Üçlü el sıkışma olarak geçen, TCP oturum kurma sürecinde gönderilen birçok SYN

paketine karşılık ACK paketlerini göndermeme işlemidir. Burada hedef sistem belirli bir

süre boyunca gönderilen paketleri tutar. Gönderilen paket sayısı sistemin kaynaklarını

tüketir ve işlevsiz hale getirir.

Şekil 3 TCP Handshake

Ack Flood Saldırıları

TCP Synflood benzeri saldırı çeşitidir. Buradaki amaç ACK paketleriyle sistemi

yormaktır. Fakat üçlü el sıkışmanın temeli olan SYN paketleri gönderilmeyeceğinden

Firewall benzeri, durum bilgisi tutan sistemlerde bu saldırı etkisiz kalacaktır.

Udp Flood Saldırıları

Sistemin açık portlarına UDP paketleri gönderilmesine dayanır. Sistem gelen UDP

paketi sonrasında, portu dinleyen her hangi bir uygulama olup olmadığını kontrol eder

ve UDP paketini gönderen saldırgana cevap döner. Burada farklı portlardan gelen bir

sürü istek sonucunda sistem isteklere cevap veremez hale gelecektir. TCP’deki gibi

5

oturum kurulması gibi bir işlem olmadığı için ip gizlemeye uygun bir saldırı

yöntemidir.

Smurf Saldırıları

Hedef sistemin bulunduğu ağdaki broadcast adresine ICMP paketi göndermesi sağlanır.

Bu sayede ağda bulunan tüm cihazlar hedef sisteme ICMP paketi gönderecek ve gelen

ICMP paketlerine cevap vermek isteyen sistem zorlanacaktır. Bu durum sistemin ağdan

düşmesine veya var olan işletim sisteminin işlevsiz hale gelmesine neden olur.

Şekil 4 Smurf Saldırısı

4. Deneysel Sonuçlar ve Tartışma

DoS/DDoS ve Siber Saldırılar hakkında hazırlamış olduğum farkındalık eğitimi öncesi,

eğitime katılanlar üzerinde yapmış olduğum Siber Güvenlik Farkındalık Anketi sonuçlarını bu

başlık altında inceleyeceğim.

Hazırlamış olduğum bu anketin amacı, üniversite öğrencilerinin siber güvenlik alanı

hakkındaki düşüncelerini ve bu alana bakış açılarını incelemektir. Hazırlanmış olan bu anket

toplam 10 soru içermektedir. Anketi cevaplayan kişi sayısı ise 36’dır. Soruların ilk 6’sı siber

güvenlik üzerine olup, son 4 soru ise DDoS farkındalığı üzerinedir.

6

Anket soruları ve cevap dağılımları aşağıdaki şekillerde belirtilmiştir. Ayrıca cevaplara göre

yorumlarda bulunulmuştur. Bu anket, hiçbir kamu kuruluşunu veya bankacılık sektöründe

bulunan firmaları eleştirmek amaçlı yapılmamıştır.

Şekil 5 Anket Soru – 1

İlk ve en temel soru olan “Siber Güvenlik alanında çalışmak ister misiniz?” sorusuna göre

%66,7 oranında “Evet” cevabı verilmiştir. Bu sonuca göre siber güvenlik alanının ülkemiz

öğrencileri üzerinde popüler olmaya başladığı ve tercih edilen alanlardan biri olduğu

anlaşılmaktadır.

Şekil 6 Anket Soru - 2

7

Diğer bir soru olan ve ülkemizdeki siber güvenlik çalışmalarının yeterliliğini araştıran

“Ülkemizdeki siber güvenlik çalışmalarını yeterli buluyor musunuz?” sorusuna %97,2’lik

kısım hayır cevabı vermiş ve yeterli olmadığı kanaatindedir.

Şekil 7 Anket Soru – 3

Şekil 8 Anket Soru - 4

Ankette bulunan 3. ve 4. soruyu birlikte değerlendirmek daha mantıklı olacaktır. Bu

sorulardan hareketle üniversite öğrencilerinin bu alanla ilgili daha fazla destek ve eğitime

ihtiyaç duyduğunu görüyoruz.

8

Şekil 9 Anket Soru - 5

Şekil 10 Anket Soru - 6

Anketin 6. ve 7. sorusuna istinaden yapılan çıkarımlarda ise, öğrencilerin banka ve kamu

kuruluşlarından beklentilerinin daha yüksek olduğu ve bu kuruluşlara olan güvenlerinin az

olduğu kanısına varılmaktadır.

9

Şekil 11 Anket Soru - 7

Şekil 12 Anket Soru - 8

10

Şekil 13 Anket Soru – 9

Şekil 14 Anket Soru – 10

Yapılan araştırmanın DDoS ile ilgili olan son 4 sorusunun sonuçlarına bakarsak; öğrencilerin

bu alanda yeteri kadar yetkinliklerinin bulunmadığını ancak bu saldırılarla ilgili genel kültür

seviyesinde bilgi sahibi olduklarını anlıyoruz.

11

5. Sonuç ve Gelecek Çalışmalar

İncelenen DoS/DDoS saldırıları günümüzde kullanılan en etkili sanal silahlar arasında

gösterildiğinden bu saldırıları ve metotlarını kavramak büyük önem arz etmektedir.

Yapılan incelemeler sonucunda DoS/DDoS saldırılarının hangi sistemleri ve protokolleri

hedef aldığı, ne gibi teknikleri kullandığı konusunda bilgi sahibi olunmuştur. Saldırıların

benzetiminin nasıl gerçekleştirileceği hakkında bilgiler verilmiştir.

Yapılan anket sonucunda, siber güvenlik alanında çalışmak isteyen bir öğrenci kitlesinin

oluşmuş olduğu görülmektedir. Ayrıca bu kitlenin, bu alan üzerine yeteri kadar eğitim

alamadığını düşündüğü ve üniversitelerin bu alan üzerine daha çok yönelmesini

bekledikleri görülmektedir.

Bu çalışmanın devamında, makalede anlatılan DoS/DDoS saldırılarının benzetimini

gerçekleştirebilmek amacıyla saldırı aracı oluşturulması ve saldırının

gerçekleştirilebileceği, laboratuvar ortamı oluşturulması hedeflenmektedir. Bu laboratuvar

ortamının sanal makinalar üzerine inşa edilmesi düşünülmektedir.

12

6. Kaynaklar

[1] Singh, J,Kumar, K, Monika, S, Sidhu, N, DDoS Attack’s Simulation Using Legitimate and Attack Real Data Sets 2229-5518,2012.

[2] B. B. Gupta, R. C. Joshi, M. Misra, A Comparative Study of Distributed Denial of Service Attacks,Intrusion Tolerance and Mitigation Techniques,European Intelligence and Security Informatics Conference,2011.

[3] Önal, H, DOS/DDOS Saldırıları, Savunma Yolları ve Çözüm Önerileri , Bilgi Güvenliği Akademisi,2014.

[4 B. B. Gupta, R. C. Joshi, M. Misra, Distributed Denial of Service Prevention Techniques, 1793-8163.

[5] Alomari, E, Gupta, B, Manicham, S, Singh, P, Anbar, M, Design, Deployment and use of HTTP-based Botnet (HBB) Testbed , ISBN 978-89-968650-3-2

[6] Mirkovic, J., and Reiher, P. (2004, April). A taxonomy of DDoS attack and DDoS defense mechanisms. ACM SIGCOMM Computer Communications Review, 34(2), 39–53.

[7] C. Douligeris, A. Mitrokotsa “DDoS attacks and defense mechanisms: classification and state of the art”. Elsevier Science Direct Computer Networks 44 (2004) 643-666.

[8] B. B. Gupta, R. C. Joshi, M. Misra, “Distributed Denial of Service Prevention Techniques,” International Journal of Computer and Electrical Engineering (IJCEE), vol. 2, number 2, ISSN: 1793- 8198, Singapore, pp. 268-276, 2010.

[9] Molsa, J. (2005). Mitigating denial of service attacks: A tutorial. Journal of Computer Security, 13, 807–837.

[10] Juniper Network, “Combating Bots and Mitigating DDoS Attacks (Solution brief)”, Juniper Networks, Inc, 2006.

13