Siber Saldrlarki trldr:Bilginin gizliliini ihlal etme amal saldrlarBilgiye eriimi aksatma amal saldrlarGizlilik ihaliRSA, SONY rnekleriEriim aksatma Anonymous saldrlar(Trkiye, Malezya, Paypal, Mastercard)DOSDOS(Denial Of Service) = sistemleri alamaz hale getirmek iin yaplan saldr tipi.DOS saldrlarnda kaynak yzlerce, binlerce farkl sistem deildir.Baz saldrlar znde DoS, sonularna gre DDoSturDDoS grnml DoSTek bir sistemden yaplan spoof edilmi IP kullanlan SYN flood saldrlar gibiDoS saldrlarn engelleme kolaydrDDoSDDOS(DistrubutedDenial of Service ) =Datk Servis Engelleme Binlerce, yzbinlerce sistem kullanlarak gerekletirilir.Genellikle sahte IP adresleri kullanlrBotNetler kullanlrSaldrgan kendini gizlerEngellemesi zordur!TCP ve UDP Protokollerinde IP Spoofing

TCPTCPde sadece balant balang paketleri spoof edilebilir.Veri tayan TCP paketleri spoof edilemezVeri tama ncesi kurulmas gereken l el skma aamas vardrHTTP, HTTPS, SMTP, POP3 gibi uygulama katman protokollerde ip spoofing teoride mmkndr!

UDPMmkndrHer tr UDP paketi spoof edilmi ip adreslerinden gnderilebilir.DNS istekleri sahte ip adreslerinden gnderilebilirUDP kullanan servisler (DNS vs) ip spoofingi engellemek iin ek yntemler gelitirmitir.Paket BoyutlarDDoS saldrlarnda paket boyutlar ok nemlidirSaldrgann ne kadar paket gnderebilecei, kurbann ne kadar trafik kaldrabilecei paket boyutlaryla dorudan orantldrGenel geer kural: paket boyutu kldke gvenlik sistemlerinin performans der!OrtalamaBir TCP paketi 60 ByteBir UDP paketi 40 ByteBir HTTP paketi 400 ByteDDOS-I:Bandwidth Doldurmanlemenin yolu yoktur ISP seviyesinde engellenebilir...L7 protokolleri kullanlarak yaplan DDOSlarda saldr trafii eitli yntemlerle ~6da birine drlebilirHTTP GET flood400 ByteIP Engelleme sonras sadece syn paketi gelir(60 byte)DDOS-II:A/gvenlik Cihazlarn YormaAma a-gvenlik sistemlerinin kapasitesini zorlama ve kaldramayacaklar kadar yk bindirmeSessionbilgisi tutan a/gvenlik cihazlarnn kapasitesi snrldrMaxsession 10.000.000Sk Gerekletirilen DDoS SaldrlarSYN FloodHTTP FloodUDP FloodDNS FloodSynFloodHedef sisteme kapasitesinin zerinde SYN paketi gndererek yeni paket alamamasn salamaktrEn sk yaplan DDoS saldr tipidirlk olarak 1994 ylnda Firewallsand Internet Security kitabndan teorik olarak bahsi gemitirlk SynfloodDDoS saldrs 1996 ylnda gerekletirilmitirNasl Gerekletirilir?SynFlood saldrs basitce ak bir porta hedef sistemin kapasitesinden fazla gnderilecek SYN paketleriyle gerekletirilir. Buradaki kapasite tanm nemlidir. Teknik olarak bu kapasiteye Backlog Queue denilmektedir. Saldry yapan kendini gizlemek iin gerek IP adresi kullanmazBacklog Queue Kavram(Kapasite)letimsistemlerialdher SYN paketinekarlklelskmanntamamlanacaanakadarbellektenbiralankullanrlar, bualanTCBolarakadlandrlrBu alanlarntoplambacklogqueueolarakadlandrlr.Bakabirifadeyleiletimsistemininhalf-openolaraknekadarbalanttutabileceinibacklogqueueveriyapsbelirler.SynFlood Saldrlarn EngellemeSynFlood Saldrs gerekletirme ok kolaydrSynflood saldrlarn engellemek ok kolaydrSynflood saldrlar iin tm dnya iki(+1) temel zm kullanrSyncookieSynproxyBunun haricinde sk tercih edilmeyen iki yntem daha vardrDFAS(DropFirstAcceptSecond)*Anormallik tespiti SynCookieSyncookieaktifedilmibirsistemdegelenSYNpaketiiinsistemdenbirkaynakayrlmazSYN paketinednecekcevaptakiISN numaraszelolarakhesaplanr(kaynak.ip+kaynak.port+.hedef.ip+hedef.port+xdeeri) vehedefegnderilirHedefsonpaketolanACKignderdiindeISNhesaplamailemitekrarlanrveeerISNnumarasuygunsabalantkurulurDeilse balant iptal edilirBilgiHTTP FloodHTTP Protokol kullanlarak gerekletirilen DoS/DDoS saldr tipiNeden HTTP?%99,999 firma/kurum dar HTTP servisini am durumdadr.HTTP en kolay hedeftir!Literatrde GET Flood, POST Flood olarak geer.GET/POST Flood SaldrlarSynflood iin nlem alnan yerlere kar denenirDaha ok web sunucunun limitlerini zorlayarak sayfann ulalamaz olmasn salarnlemesi Synflooda gre daha kolaydrHTTP iin IP spoofing pratik olarak imkanszdr.HTTP Flood Test AralarNetstressAbSiegeDOSHTTPSkipfishJmeter

UDP FloodUDP paketleri kullanlarak gerekletirilirHedef sistemde ak (Firewalldan) Udp portu varsa bu porta ynelik gnderilecek her udp paket oturum tablosunda yer edinecektirBir udp paketi iin timeout suresi ortalama 60 sn.UDP paketleri kktr.100 Mb ile 300.000 UDP paketi gnderilebilir.UDP Flood EngellemeKesin bir yntem yoktur!IP spoofing her durumda mmkndr, engellenemez!Genel engelleme yntemleriGereksiz UDP portlarnn kapatlmas!Ak portlarda protokol kontrolGelen paket DNS mi? Bo udp paketi mi?Rate limitingBelirli saydan fazla udp paketi gnderenleri karantinaya alFalse positive durumu...DNS FloodDNS sunucuya apoof edilmi random ip adreslerinden yzbinlerde sahte(gerekte olmayan) domain isimleri iin istek gndermeHer gelen istek iin DNS sunucunun rootdnslere gidip yorulmas ve gerek isteklere cevap verememesi salanmaya allrDNS sunucunun kapasitesini zorlamaDNS Sunucuya bo dns paketleri gnderme(session says doldurma amal)DnsFlood EngellemeIP bana yaplacak sorgu saysn belirlemeDNS sunucular an dnda gl sistemlerde tutmaKiralamaSaldr annda gelen DNS isteklerini UDPden TCPe evirip SYN Cookie vs altrmalk istei reddet ayn istek ikinci kere gelirse kabul et!