1. D.O.S. (Denial Of Service) Saldırıları
Servis Dışı Bırakma Saldırıları Nedir?:
Servis dışı bırakma saldırılarının temeli hedef sunucuya çok fazla paket yollamaktır. O kadar
fazla paket yollanır ki sunucu bu paketlere cevap veremeyeck seviyeye gelir ve kitlenir.
Böylelikle hem normal kullanıcılar hemde hackerlar siteye bağlanamaz.
Örnek vermek gerekirse OSYM nin sonuçları açıkladığındaki yavaşlığı/çökmesini gösterebiliriz.
Buradaki çökme bir saldırıdan dolayı değil doğal trafikten kaynaklanır. DOS saldırısı ile
sunucuya erişim sağlanamaz veya sunucudaki kritik bir veri elde edilemez. Sadece siteye
girilmesi engellenir. Buda kuruma prestij kaybına neden olur. Tam saldırıya karşı tam bir koruma
yapılamaz sadece önlemler alınabilir veya zararı azalacak uygulamalarda bulunulabilir.
Bu saldırılarılarda istemli bir şekilde fazla paket yollanıp saldırı yapılması isteneceği gibi
istemsiz bir şekilde daha önceden ele geçirilmiş bilgisayarlarda kullanılarak saldırı
gerçekleştirilebilir. Bu sistemlere Botnet ağları/Zombi bilgisayarlar denilmektedir.
Bu saldırılarda tahmin edileceği gibi sayıca fazla olmanın önemi çok büyüktür. Tek bir kişinin
gönderdiği paketlerle sunucu başa çıkabilir. Bu yüzden bir botnet oluşturulabilir veya daha
önceden oluşturulmuş botnetler kiralanabilir.
Dos Saldırısı Semptomları:
1-İnternet hızında alışılmadık bir düşüş
2-Websitesinin eksik yüklenmesi.
3-Çok fazla spam epostanın gelmesi.
Internet Chat Query(ICQ):
ICQ, insanların birbiri ile konuşabildiği bir programdır.
ICQ, her kullanıcıya onu temsil eden bir UIN numarası atar.
Kullanıcı ICQ yu açtığında server a bağlanır. Bu sunucuda tüm kullanıcıların bilgileri bulunur.
Server kullanıcının bilgilerini günceller.(IP adresini)
Artık kullanıcı arkadaşları ile iletişime geçebilir. Çünkü IPsini biliyor.
2. Internet Relay Chat(IRC)
IRC kişilerin birbiri ile mesajlaşmasını sağlayan bir programdır.
Bilgisayardan bilgisayar kolayca dosya paylaşılabilir.
Bilgisayara indirilen ufak bir program ile herkes bu ağa katılabilir ve hemen konuşmaya
başlayabilir. Genellikle 6667 portunu kullanır.
Bant genişliği Saldırısı:
Bu saldırıda tek bir bilgisayar işe yaramaz. Saldırının başarılı olabilmesi için çok fazla bilgisayara
ihtiyaç vardır. Bu yüzden hacker botnet kullanabilir. Temel olarak ICMP ECHO paketleri
yollayarak bant genişliğini doldurmaya çalışır. Böylelikle normal kullanıcılar siteye
erişemeyecektir.
SYN Saldırısı:
Hacker, hedef sunucuya sahte TCP SYN istekleri gönderir.
Sunucu gelen bu pakete SYN ACK paketi ile cevap vermek zorundadır. Ve daha sonra istemci
sunucuya son olarak bir ACK paketi yollamalıdır. Fakat sunucu SYN ACK paketi göndermek
istediğinde gönderemeyecektir çünkü kaynak adres sahtedir.
Not: Bu saldırı türü 3 aşamalı el sıkışma methodunda kullanılır.
SYN Flooding: Bu saldırı türünde istemci sunucuya SYN paketi gönderir. Sunucu istemciye
SYN+ACK paketi gönderir. Fakat sunucu son ACK paketini yollamaz. Böylelikle bağlantı
kurulamaz. Fakat sunucu ACK paketini 75 saniye beklemek zorundadır. Ardından hacker bunu
defalarca yapar. Böylelikle sunucunun oturum sayısını doldurur ve sunucuyu devre dışı bırakır.
ICMP Flood Saldırısı: Bu saldırı vektöründe hacker sunucuya ICMP paketi gönderir. Fakat bu
ICMP paketlerinin kaynak bilgisi sahtedir. Bu yüzden sunucu geri cevap veremeyecektir. Hacker
bu isteği çok fazla sayıda yaptığı zaman sunucu kaldıramayacak ve çökecektir. Saldırının başarılı
olup olmadığı ECHO Reply paketinin gelip gelmemesi ile anlaşılabilir. Eğer gelmezse sunucu
çökmüş demektir.
Botnet:Botnetleri aynı amaca çalışan binlerce/yüzbinlerce bilgisayar olarak tanımlayabiliriz.
İstemli veya istemsiz bir şekilde anabilgisayarın(sahibin) gönderdiği komutlara göre işlemler
gerçekleştirirler. Botnet sahipleri çeşitli zararlı yazılımlar ile normal kullanıcıların bilgisayarlarını
ele geçirir ve onları kendi amacına uygun bir şekilde kullanabileceği hale getirir. Daha sonra
isterse kendi kullanır.
İsterse bilgisayarları bir süreliğine kiralar. Botnetler genellikle DDOS saldırısı için kullanılsada
isterse bitcoin çıkarmak ya da brute force ile parola kırmak için kullanılabilir. Sonuç olarak
bilgisayarlar onundur ve ne isterse onu yapar.
Botnet trojanlerine Shark ve PlugBot, yönetim panelinede Poison Ivy örnek verilebilir.
3. DOS ve DDOS arasındaki fark:
Aralarındaki fark, DOS saldırısı tek bir bilgisayarın saldırması DDOS un ise binlerce/yüzbinlerce
bilgisayarın saldırmasıdır.
Meşhur DDOS Saldırıları:
Operation Payback: Bu operasyon Anonymous tarafından WikiLeaks için oluşturulmuştur.
WikiLeaks'i karşı çıkan firmalara(MasterCard,Visa,Swiss Banks) DDOS saldırısı başlatılmıştır.
IRC sohbet odalarında ve 4chan forumlarındaki insanlar bu saldırı başlatmıştır. IRC
serverlarından irc.anonops.net kullanılmıştır. Anonymous taraftarları, saldırıyı desteklemek
isteyen insanların LOIC (Low Orbit Ion Cannon) aracını indirmelerini istemiştir. Böylelikle araç
IRC sunucularından gerekli paremetreleri aldığında otomatik saldırıya başlayacaktır. Bu saldırı
esnasında saniyede 10gigabits trafik oluşmuş ve sunucuları çökmüştür. Saldırıya 40.000
bilgisayar katılmıştır.
DOS Saldırı Araçları:DoS HTTP,Sprut
DDOS Önlemleri:
DDOS saldırısını tam anlamıyla engellemek mümkün değildir. Sadece normal kullanıcı ile zararlı
kullanıcıyı ayırt edebilmek için yöntemler geliştirilebilir. Network trafiği monitoring edilir ve
gereğinden fazla istek yollayan IP adresler belirlenip engellenir. Ayrıca saldırının etkisini
azaltmak için istekleri karşılayan sunucu çoğaltılabilir.Gereksiz paketleri(ICMP) engelleyerek o
paket tipinden gelecek DDOS saldırısını engelleyebiliriz. Böylelikle işlem gücü artacak ve
saldırının etkisi azalacaktır. Fakat en önemli nokta normal kullanıcıyı engellememektir.