2- SYN saldırıları

advertisement
Genel Sistem Saldırıları
Şubat 2000
• 7 Şubat 2000 tarihinde ne oldu?
• Binlerce zombi bilgisayar yahoo.com’a saldırdı
• Sonuç: Yahonun açık kalma ve taleplere cevap
verme süresi %99.3’den %0 - %10’a düştü
• Yahoo saldırının sürdüğü 3 saat içinde yaklaşık
500.000 dolar kaybetti
• 100 milyon siteye girilemedi.
• 8 Şubat 2000 tarihinde ne oldu?
• buy.com, eBay, CNN, amazon.com saldırıya
uğradı
• Sonuç:buy.com %9.4 uptime oranına düştü.
• eBay uzun bir süre %0 uptime ile erişilemez
hale geldi.
• amazon.com ve cnn.com'un uptime oranları
da en az bu kadar kötüydü.
http Tcp İlişkisi
• HTTP TCP kullanan bir protokoldür.
• Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı
kurulmalıdır.
• Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet
TCP paketi gidip gelmektedir(3 adet TCP bağlantı başlangıcı,
4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve
buna dönecek cevap paketlerinin taşındığı TCP paketleri).
• Günümüzde normal bir haber portalının yüklenmesi için
ortalama 40-50 HTTP GET isteği gönderilmektedir.
• portal sayfasının açılması için ortalama 50X10=500 TCP
paketinin gidip gelmesi gerekir ki bu değer haber kullanıcıyı
okumaktan vazgeçirecek kadar fazladır.
http Tcp İlişkisi
• HTTP’de bu performans sorununu aşabilmek
için çeşitli yöntemler geliştirilmiştir.
• Bunların başında HTTP KeepAlive(persistent
connection) özelliği gelmektedir.
• HTTP Keep Alive özelliği her HTTP isteği için
ayrı bir TCP bağlantısı açmak yerine bir adet
TCP bağlantısı içerisinden belirli sayıda (5, 10,
..) HTTP isteğinin aktarılabilmesini sağlar.
DoS Saldırısı
• Web sunucularına yönelik DOS/DDOS
saldırılarında amaç sayfanın işlevsiz kalması ve
o sayfa üzerinden verilen hizmetlerin kesintiye
uğratılmasıdır.
DoS
• DoS kelime manası ile Denial of Service
(Hizmet Reddi) manasına gelir. DoS saldırıları
genelde 3 şekilde organize edilir.
– Bant genişliği, disk alanı, işlemci zamanı gibi bilgi
işlem kaynaklarını tükettirerek.
– Yönlendirme bilgisi (routing) gibi yapılandırmaya
ilişkin verileri bozarak
– Fiziksel ağ aygıtlarını bozarak
• Genelde DoS saldırıları ardı ardına gönderilen paketler
şeklinde olur.
• Bir kullanıcı sürekli gelen cevapları göz ardı ederek
sürekli bir web sunucusuna istekte bulunursa bir süre
sonra sunucuda oluşan ağ sunucusuna ait çocuk
süreçler RAM'de fazlasıyla yer kaplamaya başlayarak
hafıza sızıntılarına dolayısı ile sunucunun devre dışı
kalmasına neden olabilir.
• Ya da sunucu gelen taleplere yanıt verirken ki refleks
süresi artacağından dakikalarca sonra gelen isteklere
cevap verebilir.
• Genel bir DoS saldırısı, ICMP (Internet Control
Message Protocol) kısaca ping paketlerinin
deforme edilmiş hallerini içerir.
• 1997 – 1998 yılları arasındaki isletim
sistemlerinin çoğu Ping of Death denilen bir
ICMP paketine karşı hassastı ve işletim
sisteminin çökmesine neden oluyordu.
• CounterStrike oyununda kullanılan PoD
BOT'lar bu kısaltmaya gönderme yapar.
• Ping seli şeklinde yapılan saldırıda, bir çok
ICMP istek paketi kurban bilgisayara gönderilir.
• Bunun neticesinde karşı bilgisayar tümünü
yanıtlamak için cevap paketleri yollanır.
• Bant genişliğini ve kurban bilgisayarın refleks
süresi uzadığından kurban bilgisayarın
sunduğu hizmetlere erişilemez hale gelinir.
• Bir diğer genel DoS saldırısı ise SYN selidir. SYN, TCP
iletişim kuralında es zamanlama(synchronize) işlemi
yapan bir bilgidir.
• Yeni bir bağlantı kurulduğunda TCP paketlerinin sıra
numaralarını eşlemek için kullanılır.
• Saldırgan hedef bilgisayarda bir hizmete bir çok
SYN/ACK paketi yollayarak yeni bağlantılar oluşturur.
• Bu şekilde sunucunun bir çok yeni bağlantı ile meşgul
olması sağlanır. Sunucu bir süre sonra bu isteklerin
çoğuna cevap veremeyecek duruma gelir.
Kaba Kuvvet DoS/DDoS Saldırıları
• Bu tip saldırılarda sunucu üzerinde ne
çalıştığına bakılmaksızın eş zamanlı olarak
binlerce istek gönderilir ve sunucunun
kapasitesi zorlanır.
• Literatürde adı “GET Flood”, “POST Flood”
olarak geçen bu saldırılar iki şekilde yapılabilir.
• Bir kişi ya da birden fazla kişinin anlaşarak belli
bir hedefe eş zamanlı yüzlerce, binlerce istek
gönderir ya da bu işi hazır kölelere(zombie)
devredilerek etki gücü çok daha yüksek Dos
saldırıları gerçekleştirilir.
• İlk yöntemde bir iki kişi ne yapabilir diye
düşünülebilir fakat orta ölçekli çoğu şirketin
web sayfası tek bir kişinin oluşturacağı
eşzamanlı yüzlerce isteğe karşı uzun süre
dayanamayacaktır.
• Güzel olan şu ki bu tip saldırıların
gerçekleştirilmesi ne kadar kolaysa
engellemesi de o kadar kolaydır(güvenlik
duvarları/IPS’lerin rate limiting özelliği vs)
• İkinci yöntem yani Zombi orduları(BotNet’ler)
aracılığıyla yapılan HTTP Flood saldırıları ise
binlerce farklı kaynaktan gelen HTTP
istekleriyle gerçekleştirilir.
• Gelen bağlantıların kaynağı dünyanın farklı
yerlerinden farklı ip subnetlerinden
gelebileceği için network seviyesinde bir
koruma ya da rate limiting bir işe
yaramayacaktır.
Yazılımsal ya da tasarımsal
eksikliklerden kaynaklanan DOS/DDOS
Saldırıları
• Tasarımsal zafiyetler protokol düzenlenirken
detaylı düşünülmemiş ya da kolaylık olsun diye
esnek bırakılmış bazı özelliklerin kötüye
kullanılmasıdır.
• Tasarımsal zafiyetlerden kaynaklanan DOS
saldırılarına en iyi örnek Slowloris aracıdır. Bu
araçla tek bir sistem üzerinden Apache HTTP
sunucu yazılımını kullanan sistemler rahatlıkla
devre dışı bırakılabilir.
• Benzeri şekilde Captcha kullanılmayan
formlarda ciddi DOS saldırılarına yol açabilir.
• Mesela form üzerinden alınan bilgiler bir mail
sunucu aracığılıyla gönderiliyorsa saldırgan
olmayan binlerce e-posta adresine bu form
üzerinden istek gönderip sunucunun mail
sistemini kilitleyebilir
• Zaman zaman da web sunucu yazılımını
kullanan ve web sayfalarını dinamik olarak
çalıştırmaya yarayan bileşenlerde çeşitli
zafiyetler çıkmaktadır.
• Yazılımları güncel tutma, yapılandırma
dosyalarını iyi bilme en iyi çözümdür.
Dos saldırı türlerinden bazıları
şunlardır
• 1- Arabellek aşımı : Bir sisteme
karşılayamayacağı kadar yoğun bir trafik
gönderilmesiyle arabelleğinde veri aşımı
oluşturulmasıdır. Arabellek sunucuların
hafızada ard arda türdeş verilerin depolandığı
hafıza bloğudur. En yaygın saldırı şekli budur.
• 2- SYN saldırıları : Bu saldırı türünde saldırgan, internet
üzerinde kullanılmayan IP adreslerini kullanarak birçok
SYN paketini hedef makineye yollar.
• Hedef makine, alınan her SYN paketi için kaynak ayırır
ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP
adresine yollar.
• Hedef makine, kullanılmayan IP adresinden yanıt
alamayacağı için SYN-ACK paketini defalarca tekrarlar.
Saldırgan bu yöntemi üst üste uyguladığında hedef
makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı
kaldıramaz duruma gelir ve bu sebepten makineye
bağlanılamaz.
• 3- Treadrop saldırıları : Bir bilgisayara internet
üzerinden gelen paketler, bilgisayarda bölünerek
aktarılır.
• Paket verilere ayrıştırılırken, pakette bulunan
ofsetler kullanılır. Bu ofset bilgilerinin
çakışmaması gerekmektedir.
• Teardrop saldırılarında, paketi gönderen
saldırgan, pakete üst üste gelecek ofsetler ekler.
• Paketi alan bilgisayar, böyle bir durumu kontrol
edebilecek mekanizmaya sahip değilse, sistem
çöker.
• 4- Smurf saldırıları : Bu saldırı türünde,
saldırgan hedef bilgisayardan ping isteğinde
bulunur.
• Ancak ping paketi, hedef makinenin IP’sinden
geliyormuş gibi görünecek şekilde
hazırlanmıştır.
• Bu durumda ağ üzerindeki bütün makineler,
hedef makineye ping atar. Hedef makine bu
trafiği karşılayamaz ve bağlantı kesilir.
• 5- Servislere Aşırı Yüklenme : Bu saldırı tipi
belirli kullanıcı ve servisleri düşürmek için
kullanılır.
• Saldırı yapan kişi özel port ve kullanıcıya bir
çok ICMP paketi (Internet Control Message
Protocol) gönderir. Bu olay ağ izleyicisi ile
kolayca anlaşılır.
Download