DDoS Nedir? DDoS Çeşitleri Nelerdir?

Günümüzde siber saldırıların önemli bir kısmı DoS (Denial of Service- Hizmet Engelleme) saldırısı olarak gerçekleşiyor. Bu saldırıda, hedef kurban sunucuya karşılayabileceğinin çok üstünde talep gönderilip hizmet dışı kalması sağlanıyor. Bu saldırıyı bir noktadan yaparsanız DoS birden fazla noktadan yaparsanız DDoS (Distributed Denial of Service-Dağıtılmış Hizmet Engelleme) saldırısı olarak adlandırılıyor.

DDoS saldırısına, sınav sonuçları açıklandığında herkesin sonuç açıklanan siteyi aynı anda ziyaret etmek istemesi ama bazı kişilerin siteye ulaşamamasını örnek verebiliriz. Buradaki web sitesinin barındırıldığı sunucu aynı anda 10000 isteğe cevap verecek kapasiteye sahip ise 10001. kişiye hizmet veremeyecektir.

Birçok DoS/DDoS saldırı çeşidi olsa da önde gelenleri şunlardır;

SYN Flood: 3 yollu el sıkışma sırasında SYN mesajı alan bilgisayar SYN+ACK gönderir ve buna karşı ACK mesajı bekler. Saldırgan sahte bir IP adresinden SYN mesajı gönderdiği için kurban ACK mesajı alamayacaktır. Kurban ACK mesajı almayı beklemeye devam ederken yeni bir sahte SYN mesajı alır buna SYN+ACK gönderir ve bunun karşılığı gelecek ACK mesajını bekler bu arada gelmeyen her bir ACK için SYN+ACK tekrar gönderir ve tekrar bekler bunun sonunda bir kısır döngü oluşur ve yeni SYN mesajlarına cevap veremez duruma gelir yani kurban bilgisayar deyim yerindeyse resmen kafayı yer.

LAN Flood: Temel olarak SYN Flood’a benzer. Bu saldırıda siber korsan kaynak IP adresi olarak kurbanın IP adresini kullanır. Bunun sonucunda da kurban kendi kendine SYN göndermiş olur. 3 yollu el sıkışma sırasında hem saldırgandan SYN mesajı almış hem de kendi kendine cevap vermiş olur. Böylece 2 katı paket trafiği oluşur ve sistem çöker.

UDP Flood: UDP protokolünde 3 yollu el sıkışma yoktur. Bu nedenle daha hızlı bir saldırı gerçekleşir. Saldırgan, kurbana rastgele UDP portlarını hedef alan paketler gönderir. Bunları alan kurban cevap veremez hale gelebilir. Bu saldırı Mirai saldırısında olduğu gibi genelde DNS sistemlerini hedefler.

ICMP Flood: ICMP (Internet Control Message Protocol) kullanılarak yapılan bu saldırıda çok farklı noktadan (DDoS) kurban sisteme ICMP Echo Request (Yankı isteği) gönderilir, kurban bu yankı isteklerine yankı cevabı (Echo reply) göndermelidir. Çok fazla istek olunca bunları karşılayamaz ve sistem çöker.

HTTP Flood: Saldırgan, kurban sisteme HHTP GET veya POST istekleri göndererek maksimum kaynak kullanmaya zorlar. Bu saldırı türü hatalı yapılandırılmış paketler veya yansıtma teknikleri kullanmaz ve diğer saldırı tiplerine göre daha az bant genişliği gerektirir.

Yaşanan Büyük DDoS Saldırıları

Github büyük bir DDoS saldırısına uğradı

28 Şubat 2018’de GitHub , servisini 17:21 – 17:26 UTC arasında çevrimdışı yapan ve 17:26 – 17:30 UTC arasında tekrar eden dünyanın en büyük DDoS saldırısına maruz kaldı .

Telegram DDoS saldırısı

Temmuz 2019’da, öncelikle Güney ve Kuzey Amerika’daki kullanıcılar için servis kesintilerine ve bağlantı sorunlarına neden olan Telegram mesajlaşma programına yönelik büyük bir Dağıtılmış Hizmet Reddi (DDoS) saldırısı başlatıldı . Sonrasında, İngiltere, Hollanda, Almanya, Ukrayna, Rusya, Avustralya ve Çin’deki kullanıcılar da bağlantı sorunları ve ağ kesintileri ile karşı karşıya kaldı.

Wikipedia’ya DD0S saldırısı

Saldırganlar Vikipedi’ye karşı büyük bir DDoS saldırısı başlattı ve web sitesini İngiltere, Fransa, Almanya, İtalya, Hollanda, Polonya ve Orta Doğu’nu ülkeleri de dahil olmak üzere çeşitli ülkelerde çevrimdışı duruma getirdi.

 Carpet Bombing  DDoS saldırısı

Eylül 2019’da, Güney Afrika’nın en büyük İnternet Servis Sağlayıcısı olan “Cool Ideas” a yönelik bir gün boyunca hizmetlerini aksatan devasa bir ‘Carpet Bombing DDoS’ saldırısı başlatıldı.

 

DDoS saldırıları nasıl hafifletilir?

  • Güvenlik uzmanları, bu tür saldırılara karşı korunmak için bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmanızı önerir.
  • Tek tek paketleri analiz etmeniz ve yalnızca meşru olan trafiği kabul etmeniz iyi bir uygulamadır.
  • DDoS saldırılarını algılayan ve savunan iyi bir DDoS koruma servisi kullanmak her zaman en iyisidir.
  • Diğer azaltma işlemleri, günlükleri incelemeyi ve şüpheli trafiği engellemeyi içerir.

Hping Kullanarak DoS Saldırısı Yapmak

Hping, klasik Ping programından farklı olarak TCP/IP paketlerinde istediğimiz gibi oynama yapabileceğimiz gelişmiş bir uygulamadır. Bilişim dünyasında Hping’in birçok kullanım alanı vardır;

Güvenlik duvarı testi
Gelişmiş port taraması
Farklı protokolleri kullanarak ağ testi
Manuel yol MTU keşfi
Gelişmiş iz takibi (traceroute)
İşletim sistemi tespiti
Çalışma süresi tahmin etme
TCP / IP yığını denetimi

Şimdi hping kullanarak DDoS saldırısı nasıl gerçekleştirilir görelim. Kali Linux’u saldıran yine Vmware’de çalışan bir Windows bilgisayarı da kurban olarak seçiyoruz. Bir terminal penceresi açıp şu komutu yazalım; hping3 -V -c 1000000 -d 120 -S -w 64 -p 445 -s 445 –flood –rand-source 192.168.20.135

Buradaki parametrelerin açıklaması şöyle;

-V: Verbose Modu, bilgisayarın ne yaptığına ve hangi sürücülerin ve yazılımların yüklendiğine ilişkin ek ayrıntılar sağlayan bir seçenektir

-c: paket sayısı (bu durumda paket sayısı 1000000’dur)

-d: veri boyutu, bu durumda veri boyutu 120’dir

-S: SYN bayrağını ayarla

-w: pencere boyutu, bu durumda pencere boyutu 64’tür.

-p: port, bu durumda hedef port 445’tir

-s: taban kaynak portu, bu durumda görüntülenen kaynak portu port 445 olacaktır.

–flood: sel modu, paketleri olabildiğince hızlı gönderir ve yanıtları göstermeyecektir.

–rand-source: rasgele kaynak adresi modu (sahte IP adreslerinden saldırı yapılır)

192.168.20.135: Kurban bilgisayar IP adresi

Şimdi de kurban windows bilgisayara geçip görev yöneticisine bakalım. Saldırı başlamadan önce görev yöneticisini açmış olmanız gerekir yoksa saldırı sırasında kurban bilgisayarda hiç bir işlem yapamayabilirsiniz. Gördüğünüz gibi işlemci kullanımı %100’ü bulmuş.

Tags:

About The Author

Reply