DOS/DDOS Nedir?

Bilgi gvenlii (confidentiality, availability, integrity) yani gizlilik, kullanlabilirlik, eriilebilirlik zerine kurulmutur. Bunlarn herhangi birisindeki zafiyet olumas durumunda koruduunuz bilgi tehlike altnda olur. DOS/DDoS ise bu gende availability ksmna doru yaplan bir saldrdr trdr. Siber Gvenlik Dernei'nin resmi web sitesindekiaklamalara greDoS saldrlar, sistemlerin eriilebilirliini engellemeye ynelik bir saldr trdr. Her sistem kurulurken; kullanc saylar, hat kapasitesi, anlk istek says gibi unsurlar iin belli deerler ngrlr ve bu deerlerin biraz daha stnde yk kaldrabilecek ekilde tasarm yaplr.DDoS yani Distributed Denial of Service (Datk Hizmet Engelleme) ve DOS (Denial of Service) olarak bilinen bir biliim suudur. Bu saldr tr tamamen bir hizmeti ya da servisi, ulalmaz hale getirmeye ynelik yaplr. Bu tr saldrda hedef hizmete/servisin core altyapsna ya da o hizmete giden yollar tknmas zerine olur. Ksaca hedefe giden her yolu engellemeye alr. ncesinde sadece DoS (Denial of Service), yani tek bir kaynaktan hedefe doru saldr yaplmas eklinde ortaya kan bu saldr tr, zamanla iddetinin arttrlmas iin ok sayda kaynaktan tek hedefe yaplan saldr ekline dnerek etkili bir silah haline gelmitir.DoS/DDoS saldrlarnda , sistemin kaldrabilecei ykn ok zerinde anlk istek, anlk kullanc says ile sistem yorulur ve cevap veremez hale getirilir. Bunun yannda, dorudan sistemin kendisini yormak eklinde deil, hatt doldurarak yine sistemin eriilebilirlii hedef alnabilir.DoS saldrlar, her zaman, kapasite st istekle gerekletirilmeyebilir. Hedef sistemlerde bulunan zafiyetler de sistemin eriilebilirlii asndan risk oluturabilmektedir. letim sistemlerinde (Windows, Linux vs), web sunucu uygulamasnda (IIS, Apache vs), arka taraftaki uygulama sunucusunda ya da sistemin dier bileenlerinde bulunan zafiyetlerden yararlanarak, sistemin ileyemeyecei ekilde bir istek gnderildiinde, sistemin herhangi bir bileeninde bu istein ilenememesi durumunda sistem eriilemez hale gelebilmektedir.letim sistemlerinde (Windows, Linux vs), web sunucu uygulamasnda (IIS, Apachevs), arka taraftaki uygulama sunucusunda ya da sistemin dier bileenlerinde bulunan zafiyetlerden yararlanarak, sistemin ileyemeyecei ekilde bir istek gnderildiinde, sistemin herhangi bir bileeninde bu istein ilenememesi durumunda sistem eriilemez hale gelebilmektedir.

ster internet balantsn younlatrsn isterse de servisin cevap verme sresini yavalatsn ama gayet nettir. DOS/DDOS Saldrsna gerek hayatta bir ka rnek ile benzetmeye alrsak, bant genilii iin; 3 saat boyunca 200 km uzunluundaki 3 eritli bir otobana saniyede 20 araba sokarak trafiin akmasn beklemektir. Hizmet veya servise doru yaplan bir saldrya gerek hayata uygun bir rnek verirsek, maksimum 10 ton yk taya bilen bir kamyona 50 ton tk koyup kamyonun durduu yerden kalkamamasdr. Gerek hayattan verilen rneklerden sonra bu iin siber ortamda nasl olduuna bir rnek vermek istiyorum. KPSS sonularnn akland an SYM sisteminde sorgulama ekranna ulamamamz, ulasanz bile sonucu grmememizi diyebilirim. Bu durum DDOSa ok gzel bir rnektir. Ayn anda on binlerce kii sisteme erimeye alyor ve sistem bu kadar istei ayn anda cevap veremez hale geliyor. KPSS sonucunu renmek isteyenler istemeden bir DDOS atan paras oluyorlar.DDoS (Distributed Denial of Service) saldrlar temelde DoS ataklarnn mantksal olarak gelitirilmi tipleri olarak dnlebilir. DoS saldrlarndan fark birden fazla noktadan tek bir noktaya doru yaplyor olmasdr. DoS saldrlar tekbir noktadan tekbir noktaya doru yaplr. DDoS saldrlar ise birden fazla bilgisayarn glerini birletirerek tek bir noktaya saldrmasdr. Birlik kelimesi DDoS saldrlarnda yzleri, binleri ve yzbinleri niteleyebilir. Doal olarak, DDoS saldrlarnn ne kadar tehlikeli gl ve ykc bir tehdit olabileceini baz durumlarda hayal bile edemeyebilirsiniz.zellikleAnonymous ve RedHackgibi gruplarn hayatmzda aktif bir rol oynamaya balamas ile birlikte, en sk duyduumuz eylerden biri deDDoS saldrlaroldu. rnein 2009 ylnda Twitter'n saatlerce kapal kalmasna yol aan saldr bir DDoS saldrsyd.2012 ylndaTrk Hava Yollar'nn alanlarnn dzenledii greve destek amacyla,THY'nin online uular sayfas ayn saldrya maruz kalm ve uular bu saldrlar yznden olduka gecikmiti.Ayn ekildeRusya-Grcistan arasndaki Gney Osetyaanlamazlnn gereklemesiyle Rusyann tm devlet (kamu) sitelerine youn siber saldrlar gereklemiti. Yaplan bu saldry sahiplenen ise: Anonymous.

DDOS SALDIRISI N KULLANILAN PROGRAMLAR

1- Ssping Program:Hedef sisteme yksek miktarda ICMP veri paketi gndererek alan programdr. Hedef servis ald data paketlerini birbirinden ayrmaya alr. Ancak hafza tamas gerekletii iin servis kendini kapatr. DDOS Saldrs bu ekilde gerekleir.

2- Ping of Death Program: Saldrgan hedef ald makineye byk ping paketleri gnderir. Hedef bu paketleri anlayatamaz ve zmleyemez. Bunun sonucunda servis cevap veremez duruma gelir ve iletim sistemi adan der yada sistem kmesi gerekleir.

3- Winnuke:Dos saldrlar iin kullanlan bu yazlm hedef sistemin 139 nolu portuna out of band ad verilen data gnderir. Hedef sistem bunlar tanmlayamad iin kendini kitler.

4- Trinoo5- Mstream6- TFN2K7- TFN8- Shaft9- Stacheldraht

DDOS ve DOS Arasndaki Fark Nedir?DOS/DDOS yani Distributed Denial of Service (Datk Hizmet Engelleme) ve DOS (Denial of Service) Arada tek bir fark var. DDOS dank olarak yaplan bir saldr ayn anda yzlerce binlerce noktadan hedefe yaplan saldrdr trdr. Birlikten kuvvet doar mant vardr. DOS atak ise bire bir yaplan saldrdr trdr.DDOS/DOS Nasl yaplr? Metotlar nelerdir?DDoS atak 3 trde Snflandrlabiliriz. Bunlar aadaki gibidir.1. Volume Based Atak Logical floods ICMP floods Dier spoofed-packet floods2. Protokol Atak SYN floods Fragmented packet attacks Ping of Death Smurf DDoS3. Application Layer Atak Slowloris Zero-day DDoS attacks

Aada ICMP/PING floods rnek bir saldrnn nasl yapldn gstereceim.Hedef sistemin 1 Gbps network balants olduunu dnelim. Ve rnekte verdiim bilgisayarnda balant hznn 10 Mbps olduunu dnelim. Normalde Windows bir bilgisayarla ping ping attmzda 32 byte byklnde 4 adet ICMP paketi atyor. Ve toplam atma sresi baarl bir durumda 3-4 saniye sryor. Buda saldr saylacak bir giriim olarak grlmez networkte.ping 192.168.0.1Pinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 timeReply from 192.168.0.1: bytes=32 timeReply from 192.168.0.1: bytes=32 timeReply from 192.168.0.1: bytes=32 timePing statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 2ms, Average = 0ms

Bu ilemi root hakkna sahip bir kullanc ile Linux da baz parametreleri ekleyip yaptmzda ICMP masum bir ping atma olayn rndan kartabiliriz. Nasl m? s komutuyla ICMP paketini 32 den 65535 kartarak ve i parametresi ile de interval saysn azaltarak iki ICMP paketinin arasndaki sreyi milisaniyeler seviyesine indirelim ve komutumuzu altralm.# ping 192.168.1.1 -s 65535 -i .0.1PING 192.168.1.1 : 65535 data bytes65535 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.582 ms65535 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.655 ms65535 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.471 ms65535 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.554 ms65535 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.580 ms65535 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.835 ms65535 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=1.171 ms65535 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.054 ms65535 bytes from 192.168.1.1: icmp_seq=378 ttl=64 time=1.873 ms65535 bytes from 192.168.1.1: icmp_seq=379 ttl=64 time=1.889 ms

Komutu altrdktan sonra grdnz gibi bir ka saniye iinde 65535 byte boyutunda 400e yakn ICMP paketi gnderdik ve networkte youn bir trafik yarattk. Bu komutu uzun sreli altrnca hedefteki sisteme eriim uzun bir sre eriimde problem yaanacaktr. Geri rnekte verdiim deerde bizim yaptmz saldr 10 Mbps byklnde ama hedefinde 1Gbps hatt olduunu dnrsek. Saldrdan dier kullanclar fazla etkilenmez. Tek bamza bunu yaptmz iin bu DOS ataktr. Birlikten kuvvet doar deyip, atak yapan bilgisayar saysn 400e kartalm. Bizimle birlikte 400 bilgisayar bunu yaparsa saldrnn iddeti okadar artar ve bu tr saldrya da DDOS denir. 400 * 10 Mbps = 4 Gbps bir trafik denir ve buda bizim hedefimizdeki sisteme ait olan bant geniliinin 4 kat. Bu durumda sisteme erimek imkansz hale gelir.Bir dier saldr ekli: SYN floods Attack

SYN floods saldrsnda biraz bahsetmek istiyorum. Normalde network haberlemesinde Client servera SYN gnderi Server da buna karlk SYN-ACK. Bunun sonucunda sunucu kullancdan ACK mesaj bekler. Bekleme sresince session belli bir sre ak kalr. SYN FLOODS yapan saldrgan ACK mesaj gndermez srekli SYN gnderir. Sunucuda da her SYN mesaj iin SYN-ACK gnderir ve yeni bir session aar. Yeterince SYN mesaj gnderildikten sonra artk sunucularn limitleri zorlanr ve yeni session aamaz hale gelir. Bu durumda ise hi bir istee cevap vereme hala gelir.DOS/DDOS Aralar: 360 Booter GBooter XBL Anonymous High Orbit Ion Cannon BFF DoS (Ping) v1.0 BuffMods DDos DarkMagic Flooder DDos V2.0 By Mike12 DDoser Desktop Booter DevModding DDos V3 DoSHTTP DrBlowFishs DoS Slayers DDoS V2 Hping3 , Hping Loic UDP Flooder By FKNNasl nlem alnr? Nasl engellenir?Bu tr bir saldry tespit edebilmek iin, ncelikler networknz ok iyi bir ekilde analiz edip gzlemlemeniz lazm. Haftann hangi gn, gnn hangi saatinde ne tr trafik olduunu bilmelisiniz. Ynettiiniz sistemin normal trafik deerlerini kesinletirmeniz lazm. DOS/DDOS ata sistem networknzn en d ucundaki donanma gelmeden engellemek gerekiyor. DDoS Mitigation hizmetini bal olduunuz operatrden alabilirsiniz. Bunun avantaj Bandwidth ynnden rahat olmas. Saldr sizin bal olduunuz routera gelmeden engellendii iin saldr annda bant geniliinizi rahat rahat kullanabilirsiniz. Yani saldry buluttayken engellersiniz. Bir dier yntemde DDoS Mitigation cihaz alarak sisteminizin en d noktasna entegre etmeniz. Bunun yannda Firewall, Router, Switch, IPS, Load Balancer gibi network ve gvenlik donanmlarnn firmwarelerini de gncel tutmanz, olas bir BUG ortandan kaldrr ve bu donanmlara doru yaplan saldrlar da engellemi olursunuz. Uygulamanz altrrken konfigrasyon limitlerinizi dikkatli belirlemeniz lazm. Gerek duymadka kullanmadnz protokolleri kapatn. DMZ yapnz varsa saldrlarn ierden de yaplacan dnerek internal ve external trafiini dzenleyin.rnek Olay 1: Krfez sava srasnda, Hollandal bir grup gen Pentagon bilgisayarna szarak, ABD sava operasyonlaryla ilgili hassas bilgileri deitirmi ya da kopyalamlardr. Savunma Bakanl, bu izinsiz szmay tespit edecek nlemlerin yetersizlii yznden problemin boyutunu tespit etmekten acizdir. Bilgisayara giri, internet dahil baz networkler iinde gezinme suretiyle baarlabilmitir.

rnek Olay 2: 1996 ylnn Eyll aynda yaanan web sitesinin krlmas olaynda kurumun gizli dosyalarna girilememi olsa da, sitenin iinde yer alan tm bilgilerin deitirilmesi bile olduka byk bir etki meydana getirmitir. CIAya telefon ederek bu olaydan haberdar olmalarn salayan ses, siteyi kran kiiye aittir. Bu olaydan bir ay once de ABD Adalet Bakanlnn sitesine girilmi ve siteye Adolf Hitlerin fotoraf yerletirilmitir.

rnek Olay 3: Columbia uzay mekiinin atmosfere girerken paralanmasndan 7 saat sonra, konunun Irak sava ve terr saldrlar ile ilgili olabilecei aklamalarn takiben, NASAnn Jet Motorlar Aratrma Laboratuvar (JPL) sunucularna ok sayda siber saldr gerekletirilmitir. Info Secure yetkilileri, yaklak 2 saat sren saldrlarda NASA JPL sunucularnn bir sre alamaz hale getirildiini ifade etmitir. Bu gibi nedenlerle vakit geirilmeden ABDde siber saldrlar konusunda zel acil mdahale ekiplerinin kurulmakta ve e-gvenlik iin zel sektr kurulular ve devlet tarafndan byk kaynaklar ayrlmaktadr.

lkemizde Siber Terr

lkemiz, tarih boyunca zellikle jeopolitik konumu gerei, her zaman iin, eitli devletlerin ve terr rgtlerinin hedefi haline gelmitir. Gnmzde, terr rgtlerinin kendilerine destek veren d merkezli bilgisayar sistemleri araclyla, lkemize ynelik siber saldr hareketlerinde bulunabilecekleri gz ard edilmemeli ve olas siber saldrlara kar bu durum kurumlar koordinasyonunda her zaman yakndan gzlemlenmeli ve siber saldr acil eylem planlar ile hazrlkl bulunmaldr. Unutulmamaldr ki, siber terrizme kar hazrlksz bir ekilde bulunmak gnlk hayatn akn da derinden felce uratabilecei gibi, lke gvenliini ciddi bir ekilde tehdit edebilecektir.

lkemiz aleyhinde faaliyet gsteren zararl internet sitesi says yaklak 8000 civarndadr. Bu sitelerden 150 tanesini aktif olarak faaliyette olup, her gn ortalama 500-1000 bin kii ziyaret etmektedir. Genelde com, org, net uzantl olan bu siteler Amerika, Almanya, Hollanda ve dier Bat Avrupa lkeleri zerinden yayn yapmaktadrlar. Bu sitelerden bir ksm unlardr; www.pkk.org, www.ibda-c.org, www.ozgurpolitika.org, www.kurd.gr, www.partizan.org, www.atilim.org, www.evrensel.net, www.hilafet.org www.tkp-ml.org, www.mlkp.net, www.kurtulus.com, www.hizb-ut-tahrir.org. Trkiyede de terr rgtleri internet ortamn ncelikle propaganda ve eitim amal olarak kullandklar grlmektedir. Blc rgtler, zellikle PKK/KADEK, scak terr eylemlerini yapamaz hale geldikten sonra siyasallama srecine girmi ve konuda youn bir aba gstermektedir. Bu alanda kullandklar en nemli ara internet ortamdr. Yzlerce web sitesinden youn bir propaganda faaliyeti yrtmektedirler. lkemizde faaliyet yrten terr rgtlerinde olduu gibi uluslararas faaliyet yrten terr rgtleri de internet ortamn etkin olarak kullanmaktadrlar.rnek Olay 1: 2000 ylnda Elaz Emniyet Mdrl e-posta servisine, Elaz retmenevine bomba koyacam eklinde bir e-posta gelmesi zerine, kiinin ev adresi tespit edilmi ve Terrle Mcadele ube Mdrl ekipleri tarafndan ahs yakalanarak, gzaltna alnm ve adli birimlere sevk edilmitir.

rnek Olay 2:Istanbul Emniyeti tarafndan 1999 ylnda IBDA-C terr rgtne ynelik olarak dzenlenen operasyonda 33 rgt mensubu, hedef ahslara ait fotoraflar ile birlikte yakalanarak gzaltna alnmtr. ahslarn sorgulamalarnda web sitesinde IBDA-C Hedef Listesi bal altnda ele geen fotograflar yaynladklar tespit edilmitir. Konuya ilikin olarak yaplan aratrmada yasad rgtn, web sitesinde oluturdugu hedef listesinden baka bomba yapm ve bombalama, silahat bilgisi, polis takibi, polis sorgusu, krsalda yntayini ve ilkyardm konularnda rgt mensuplarn bilgilendirdii ortaya karlmtr.

rnekOlay 3:1998 ylnda Denizlide DHKP/C terr rgtne ynelik olarak yaplan operasyonlarda yakalanan terristlerin ifadelerinde; komu bir lkede bulunan rgt evinde eitildikleri, kapta askeri ve siyasi eitimin yannda, uydu telefonu internet zerinden haberleme ve ifreli grmeler konusunda eitildikleri, rgtn st dzey yneticileri ile uydu telefonlaryla haberletikleri mesaj alverilerini internet araclyla yaptklar, cihazlarn arz ilemlerini gne ndan enerji reten solar sistemi ile saladklar anlalmtr.

rnek Olay 4: zmirli bir elektriki, chat yapt ABD'li bayan subay zmir'deki Amerikan tesislerini bombalamakla tehdit edince uluslararas operasyonla yakalanmtr. zmir'de patlayc maddelere merakl elektrikinin ba, bilgisayarda 2 yldr chat yapt Amerikal bayan subay zmir'deki ABD tesislerini bombalamakla tehdit edince belaya girmitir. Elektrikinin internet mesajlarn tehlikeli bulan ABD, zmir Emniyeti'ni uyarnca 26 yandaki elektriki polis tarafndan yaka paa yakalanmtr. Gzaltna alnan elektrikinin aka yaptn sylemesi kurtarmamtr.