Bu yazımda sizlere kısaca ddos çeşitlerini ve önlemleri ile ilgili bir kaç not paylaşacağım…
Notlarımı paylaşmadan önce şunu kesinlike belirtebilirim ki, bugünün şartlarında DDos u tamamen kesebilecek, saldrıları başarısızla sonuçlandıracak bir çözüm bulunmamakta…
Notlarım şu şekilde,
DDOS Çeşitleri ;
1- Band genişliği Tüketmek : Sitede yer alan 10 MB lık bir video var örneğin, bunu aynı anda 1000 kişi sürekli olarak download başlatırsa sunucunun band genişliği kısa bir süre sonra dolarak sunucuya erişim mümkün olmayacaktır.
2- SYN Flood Saldırısı : TCP nin mimarisini kullanarak sürekli SYN paket gönderip sunucu connection sayisini doldurarak sistemin yeni connection açmasini engellemek. Böylece yeni ziyaretciler sunucu ile connection kurumaz. Spoof ip kullanılabilir.
3- Get Flood Saldırısı : Hhttp protokolüne ait get methodu kullanılarak web servisi yorularak ram cpu kullanımı tavan yaptırılarak sistemin crash olması hedeflenir. Spoof ip kullanımı mümkün değildir.
4- ICMP Flood : Sürekli olarak icmp echo request(ping) gönderilerek yapilan saldirilardir. Spoof ip adresi kullanılabilir.
5- UDP Flood : Genellikle dns servislerini durdurmak için gerçeklestirilen saldiridir. Sürekli udp paket göndererek servis durdurmak hedeflenmektedir.
6- Slowloris : Sunucu ile client arasında 3 lü el şıkışma gerçekleşir, daha sonra veri transferi gerçekleşmesi gerekir ama saldırı nedeni ile bu data transferi çok yavaş gerçekleştirilerek süreç uzatılıtr. Bu süreçte arka planda sürekli olarak 3 el şıkşma gerçekleştirilerek yavaş data akışı gerçekleşmeye devam eder. Bu süreçte hali ile connection sayısı giderek artar ve bir süre sonra connection sayısı dolar ve sunucu yeni connection kabul etmez. Bu durumda servisi kullanmak isteyen kişilerin de baglantı istekleri yanıtsız kalır ve saldırı başarılı olarak adlandırılır.
7- Land Attack : Bu atak türünde atak yapan client sunucuya bir paket gönderir ancak gönderdiği paketteki gönderici ip adresi, saldırdığı sunucunun ip adresidir. Yani sunucu kendi ip adresinden kendisine paket gönderiyormuş gibi hareket eder. Bu durumu sürekli olarak tekrarlayarak sunucunun kendi kendisine baglantı yapmasını sağlar ve bir süre sonra servis hizmet veremez. Ancak işletim sistemleri artık bu durumu algılayabilmekte ve saldırılar başarısızlık ile sonuçlanmaktadır.
8- Smurf Attack : Bu yönetem de her hangi bir ip veya hedefdeki sunucunun broadcast ip adresine ping atilarak cevap vermesi saglanir, ancak ping atan ip hedef sunucu ip si gibi gösterilerek tüm network deki ip lerin hedef sunucuya cevap dönmesi saglanir. Olusan network trafigi hedef sunucunun servis disi kalmasina neden olur.
DDos Atakları kesmeye yöenelik önlemler ;
1- Rate Limit : Bellir bir hedef veya kaynak için belli bir süre de belirtilen miktar da trafige izin verilmesi.
2- IP engelleme : Belirlene bilen ip adresi veya ip araliginin IPS, Firewall v.b. ile engelenmesi.
3- Syn Proxy : Bu önlemi alabilmek için internet ile sunucu arasinda bir sunucu veya cihaza ihtiyaç vardir, syn flood saldirilari öncelikle bu cihaza gelir, eger 3 lü el sikisirsa web sunucuya connection açilir aksi taktirde sunucuya connection açilmaz. Syn flooad saldırılarında bildiğiniz gibi sadece SYN paketi gelir, gönderilen Syn+ack paketine yanıt dönmez. SYN proxy kullanılan sistemler bu tip baglantıları sunucuya ulaşmadan kill eder.
4- Atak Paterni ile engelleme : Saldıran client tarafından gelen paketlerin içeriğinde saldırı yapan tool ismi, versiyon v.b. açıklama mevcut ise bu içerik filitrelenebilir.
5- Http Log : Gelen get flood loglarindaki header bilgisine göre ips e rule yazilabilir.
Genel olarak bu şekilde özetleyebiliriz, ancak unutulmaması gereken 2 husus var,
1- DDOS da etkili çözümler üretebilmek için saldırı anındaki gelen paketlerin içeriğinin tcpdump v.b. ile kaydedilerek, incelenmesinden sonra gerçekleştirilebilir.
2- Ddos saldırılarını kesinlikle önlemek mümkün olmadığı için bazı durumlarda kesin çözüm üretilememektedir.
Faydalı olabilmesi temennisi ile…
