SlideShare a Scribd company logo
1 of 8
Download to read offline
Web Sunuculara Yönelik DOS/DDOS
Saldırıları
Giriş
Web, siber dünyada bizleri temsil eden hayatımızın ayrılmaz bir parçası oldu. Çok
kullanılıyor bu yüzden göz önünde ve hackerların dikkatini çekiyor. Sistemlerde açıklık
bulamayan hackerlar çoğu zaman “ya benimsin ya hiç kimsenin” mantığıyla fazla bilgi ve
beceri gerektirmeyen DDOS’a başvuruyor ve web sunucuların işlevsiz kalmasına neden
oluyorlar.
Bu yazıda web’in ve buna altyapı sağlayan HTTP’nin DOS saldırıları karşısındaki
durumunu inceleyeceğiz.

HTTP’e Giriş
HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim
protokolüdür. Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık
kullanılan protokoldür.(%96 civarında)
HTTP Nasıl Çalışır?

Http’nin istemci-sunucu mantığıyla çalışan basit bir yapısı vardır. Önce TCP bağlantısı
açılır, kullanıcı istek(HTTP isteği) gönderir sunucu da buna uygun cevap döner ve TCP
bağlantısı kapatılır.
stemci(kullanıcı) tarafından gönderilen istekler birbirinden bağımsızdır ve normalde her
HTTP isteği için bir TCP bağlantısı gerekir.
HTTP’nin basitliğinin yanında günümüz web sayfaları sadece http sunuculardan oluşmaz,
çoğu sistemin bilgilerini tutmak için kullanılan veritabanları da artık web sayfalarının
vazgeçilmez bileşeni olmuştur.
Yukarıdaki resim klasik bir web sayfasını temsil eder. Buna göre web sayfalarımız ister
web sunucuyla aynı makinede olsun ister başka bir makinede olsun bir veritabanına
bağımlıdır.
Web’in çalışma mantığı istek ve cevaplardan oluşur, istekler ve bunlara dönülecek
cevaplar farklıdır. Bu konuda detay için HTTP RFC’si 2616 incelenebilir.

Klasik bir HTTP isteği

HTTP isteğine dönebilecek cevaplar

Yapılan isteğin çeşidine göre sunucudan dönecek cevap da farklı olacaktır. Mesela istenen
dosya sistem üzerinde yoksa 404 cevabı, gelen istek izni olmayan bir dosyayı istiyorsa
403 forbidden cevabı dönecektir.

HTTP ve TCP ilişkisi
HTTP TCP kullanan bir protokoldür. Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı
kurulmalıdır. Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip
gelmektedir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de
HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri).
Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde
normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği
gönderilmektedir. Bunu da hesaplarsak portal sayfasının açılması için ortalama
50X10=500 TCP paketinin gidip gelmesi gerekir ki bu değer haber kullanıcıyı okumaktan
vazgeçirecek kadar fazladır.
Klasik bir HTTP Oturumu

HTTP’de bu performans sorununu aşabilmek için çeşitli yöntemler geliştirilmiştir. Bunların
başında HTTP KeepAlive(persistent connection) özelliği gelmektedir. HTTP Keep Alive
özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı
içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
Http Pipelining
pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir, genellikle Keep Alive
kavramıyla karıştırılır fakat birbirlerinden farklı kavramlardır. Klasik http bağlantılarında
önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir.
Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı
olarak gönderilebilir bu arada istenirse KeepAlive özelliği kullanılarak her istek için ek bir
TCP bağlantısı açılmaz.

Web Sunuculara Yönelik DOS Saldırıları
Web sunucularına yönelik DOS/DDOS saldırılarında amaç sayfanın işlevsiz kalması ve o
sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır. DOS/DDOS’a maruz kalan
web sunucularında çalışan web sayfalarında genelde aşağıdakine benzer bir hata ile
karşılaşılır, eğer saldırı yoğunluğu yüksekse sayfa hiç gelmeyebilir.
Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur;
•
•

kaba kuvvet saldırıları(Flood)
tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler

Kaba kuvvet DOS/DDOS Saldırıları

Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce
istek gönderilir ve sunucunun kapasitesi zorlanır. Literatürde adı “GET Flood”, “POST
Flood” olarak geçen bu saldırılar iki şekilde yapılabilir.
Bir kişi ya da birden fazla kişinin anlaşarak belli bir hedefe eş zamanlı yüzlerce, binlerce
istek gönderir ya da bu işi hazır kölelere(zombie) devredilerek etki gücü çok daha yüksek
Dos saldırıları gerçekleştirilir.
lk yöntemde bir iki kişi ne yapabilir diye düşünülebilir fakat orta ölçekli çoğu şirketin web
sayfası tek bir kişinin oluşturacağı eşzamanlı yüzlerce isteğe karşı uzun süre
dayanamayacaktır. Güzel olan şu ki bu tip saldırıların gerçekleştirilmesi ne kadar kolaysa
engellemesi de o kadar kolaydır(güvenlik duvarları/IPS’lerin rate limiting özelliği vs)
kinci yöntem yani Zombi orduları(BotNet’ler) aracılığıyla yapılan HTTP Flood saldırıları ise
binlerce farklı kaynaktan gelen HTTP istekleriyle gerçekleştirilir. Gelen bağlantıların
kaynağı dünyanın farklı yerlerinden farklı ip subnetlerinden gelebileceği için network
seviyesinde bir koruma ya da rate limiting bir işe yaramayacaktır.

Yazılımsal ya da tasarımsal eksikliklerden kaynaklanan DOS/DDOS Saldırıları

Tasarımsal zaafiyetler protokol düzenlenirken detaylı düşünülmemiş ya da kolaylık olsun
diye esnek bırakılmış bazı özelliklerin kötüye kullanılmasıdır.
Tasarımsal zaafiyetlerden kaynaklanan DOS saldırılarına en iyi örnek geçtiğimiz aylarda
yayınlanan Slowloris aracıdır. Bu araçla tek bir sistem üzerinden Apache HTTP sunucu
yazılımını kullanan sistemler rahatlıkla devre dışı bırakılabilir.
Benzeri şekilde Captcha kullanılmayan formlarda ciddi DOS saldırılarına yol açabilir.
Mesela form üzerinden alınan bilgiler bir mail sunucu aracığılıyla gönderiliyorsa saldırgan
olmayan binlerce e-posta adresine bu form üzerinden istek gönderip sunucunun mail
sistemini kilitleyebilir.
Zaman zaman da web sunucu yazılımını kullanan ve web sayfalarını dinamik olarak
çalıştırmaya yarayan bileşenlerde çeşitli zaafiyetler çıkmaktadır. Mesela yine geçtiğimiz
günlerde yayınlanan bir PHP zaafiyeti (PHP “multipart/form-data” denial of service)ni
kullanılarak web sunucu rahatlıkla işlevsiz bırakabilir. Bu tip zaafiyetler klasik sınır
koruma araçlarıyla kapatılamayacak kadar karmaşıktır. Yazılımları güncel tutma,
yapılandırma dosyalarını iyi bilme en iyi çözümdür.

Web sunucularına yönelik performans test araçları

DDOS korumasında web sunucularımızı olası bir DOS/DDOS’a maruz kalmadan test edip
gerekli ayarlamaları, önlemleri almak yapılacak ilk işlemdir. Bunun için saldırganların
hangi araçları nasıl kullanacağını bilmek işe yarayacaktır. Zira günümüzde saldırgan
olarak konumlandırdığımız kişilerin eskisi gibi uzman seviyesinde bilgi sahibi olmasına
gerek kalmamıştır, aşağıda ekran görüntüsünden görüleceği gibi sadece hedef ip/host
girilerek etkili bir dos saldırısı başlatılabilir.

Basit bir adsl hattından yapılan deneme ve sonuçları

Bu yazıda saldırganların kullanıkları araçların isimlerini verilmeyecektir, aynı işi yapan ve
çeşitli kısıtlamalara sahip olan bazı araçların isimlerini vermekteyse bir sakınca
görmüyorum. Benim kendi sistemlerimi test etmek istediğimde kullandığım temel araçlar:
ab, siege, http_load, hping ve curl. Bu araçlarla istediğiniz türde HTTP DOS saldırı testleri
gerçekleştirip sunucunuzun durumunu inceleyebilirsiniz.
Ab(ApacheBenchmark) kullanarak yük testi

labs-lifeoverip#ab -c 100 -p post1.txt -T application/x-www-form-urlencoded -n 10000
-r -q http://blog.lifeoverip.net/searcme.php
ya da keepalive(-k parametresi kullanılarak) istekler göndererek TCP (layer 4)
seviyesinde rate limitin kullanan sistemler atlatılabilir.

DOS/DDOS Saldırılarından Korunma Yöntemleri

Koruma konusunda bilinmesi gereken en temel kanun yapılan saldırının şiddeti (kullanılan
bandwidth ) sizin sahip olduğunuzdan yüksekse hiçbir şey yapamayacağınızdır. Bu
durumda iş hizmet aldığınız telekom firmasına düşer.
Web sunuculara yönelik DOS/DDOS saldırılarından korunma diğer DOS/DDOS
yöntemlerine göre daha zordur(synflood, udp flood, smurf vs).
Diğer saldırı yöntemleri genelde L4(TCP/UDP/ICMP) seviyesinde gerçekleştiği için ağ
koruma cihazları( Router, Firewall, NIPS)tarafından belirli oranda engellenebilir fakat
HTTP üzerinden yapılan DOS saldırılarında istekler normal kullanıcılardan geliyormuş gibi
gözüktüğü için ağ güvenlik cihazları etkisiz kalmaktadır. Yinede web sunucular ve
önlerine koyulacak ağ güvenlik cihazları iyi yapılandırılabilirse bu tip saldırılardan büyük
oranda korunulabilir.
•
•
•
•

•

Kullanılan web sunucu yazılımı konfigürasyonunda yapılacak performans
iyileştirmeleri
stekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler
kullanılmalı Loadbalancer, reverseProxy kullanımı(Nginx gibi)
Firewall/IPS ile belirli bir kaynaktan gelebilecek max. stek/paket sayısı
sınırlandırılmalı( rate limiting kullanımı)
Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse(UserAgent, Refererer vs) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip
paketler engellenebilir fakat bunun normal kullanıcıları da etkileyeceği bilinmesi
gereken nir konudur.
Web sunucunun desteklediği dos koruma modülleri kullanılabilir(Apache
Mod_dosevasive)

Iyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir.
Fakat kullanırken dikkat edilmesi gereken bazı önemli noktalar vardır. Mesela DOS
yaptığı şüphelenilen kullanıcılara HTTP 403 cevabı dönmek yerine doğrudan saldırı
yapanları iptables(APF) ile bloklatmak sunucuyu gereksiz yere yormayacaktır.

Sonuç
Siber dünyada gün geçtikçe Web’in önemi artacak ve HTTP’e yönelik DOS/DDOS
saldırıları da ciddi artışlar gösterecektir. DOS/DDOS saldırılarını engellemeye yönelik
atılacak en sağlıklı adım kullanılan sistemleri iyi bilmek ve DOS/DDOS saldırısı kapınızı
çalmadan kendinizi test etmek ya da ettirmektir. Bu konuda hazır çözüm sunan ticari
ürünlerin onu yapılandıran kadar işlevsel olacağı unutulmamalıdır.

More Related Content

What's hot

Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugayFuat Ulugay, CISSP
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakBGA Cyber Security
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkBGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiFatih Ozavci
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 

What's hot (20)

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Sizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat UlugaySizma testine giris - Fuat Ulugay
Sizma testine giris - Fuat Ulugay
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı HazırlamakZararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlamak
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
BackTrack Linux-101 Eğitimi
BackTrack Linux-101 EğitimiBackTrack Linux-101 Eğitimi
BackTrack Linux-101 Eğitimi
 
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim RehberiMetasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
Metasploit Framework - Giris Seviyesi Guvenlik Denetim Rehberi
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 

Similar to Web Sunucularına Yönelik DDoS Saldırıları

DDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma YollarıDDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma Yollarınetsec
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriBGA Cyber Security
 
Ddos saldırıları ve korunma yöntemleri
Ddos saldırıları ve korunma yöntemleriDdos saldırıları ve korunma yöntemleri
Ddos saldırıları ve korunma yöntemleriOzkan E
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Open source ddos engelleme
Open source ddos engellemeOpen source ddos engelleme
Open source ddos engellemerapsodi
 
Node js part 1 shared
Node js part 1 sharedNode js part 1 shared
Node js part 1 sharedEngin Yelgen
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıVeli Anlama
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Mehmet Ince
 
Burcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişimBurcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişimBurcuAKKAYA2
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuOğuzcan Pamuk
 
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Esra Acar
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaŞahabettin Akca
 
DoS/DDoS Saldırıları
DoS/DDoS SaldırılarıDoS/DDoS Saldırıları
DoS/DDoS SaldırılarıOğuzcan Pamuk
 
DDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriDDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
 
Özgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeÖzgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeBGA Cyber Security
 

Similar to Web Sunucularına Yönelik DDoS Saldırıları (20)

DDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma YollarıDDOS Saldırıları ve Korunma Yolları
DDOS Saldırıları ve Korunma Yolları
 
Web ddos ve performans
Web ddos ve performansWeb ddos ve performans
Web ddos ve performans
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
 
Internet.ppt_3
Internet.ppt_3Internet.ppt_3
Internet.ppt_3
 
Ddos saldırıları ve korunma yöntemleri
Ddos saldırıları ve korunma yöntemleriDdos saldırıları ve korunma yöntemleri
Ddos saldırıları ve korunma yöntemleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
 
Open source ddos engelleme
Open source ddos engellemeOpen source ddos engelleme
Open source ddos engelleme
 
Node js part 1 shared
Node js part 1 sharedNode js part 1 shared
Node js part 1 shared
 
DDoS Engelleme Ürünleri
DDoS Engelleme ÜrünleriDDoS Engelleme Ürünleri
DDoS Engelleme Ürünleri
 
Dns güvenliği
Dns güvenliğiDns güvenliği
Dns güvenliği
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos Koruması
 
Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1Web Uygulamalarında Kaynak Kod Analizi - 1
Web Uygulamalarında Kaynak Kod Analizi - 1
 
Burcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişimBurcu Akkaya, Bilgisayar Ağları ve İletişim
Burcu Akkaya, Bilgisayar Ağları ve İletişim
 
Ağ sunusu
Ağ sunusuAğ sunusu
Ağ sunusu
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara Raporu
 
Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇Uygulama katmani ve ağ protokolleri̇
Uygulama katmani ve ağ protokolleri̇
 
Dağıtık Sistemler / Programlama
Dağıtık Sistemler / ProgramlamaDağıtık Sistemler / Programlama
Dağıtık Sistemler / Programlama
 
DoS/DDoS Saldırıları
DoS/DDoS SaldırılarıDoS/DDoS Saldırıları
DoS/DDoS Saldırıları
 
DDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriDDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim Teknikleri
 
Özgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS EngellemeÖzgür yazılımlarla DDOS Engelleme
Özgür yazılımlarla DDOS Engelleme
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 

Web Sunucularına Yönelik DDoS Saldırıları

  • 1. Web Sunuculara Yönelik DOS/DDOS Saldırıları Giriş Web, siber dünyada bizleri temsil eden hayatımızın ayrılmaz bir parçası oldu. Çok kullanılıyor bu yüzden göz önünde ve hackerların dikkatini çekiyor. Sistemlerde açıklık bulamayan hackerlar çoğu zaman “ya benimsin ya hiç kimsenin” mantığıyla fazla bilgi ve beceri gerektirmeyen DDOS’a başvuruyor ve web sunucuların işlevsiz kalmasına neden oluyorlar. Bu yazıda web’in ve buna altyapı sağlayan HTTP’nin DOS saldırıları karşısındaki durumunu inceleyeceğiz. HTTP’e Giriş HTTP(Hypertext Transfer Protocol) OSI modelinde uygulama katmanında yer alan iletişim protokolüdür. Günümüzde zamanımızın çoğunu geçirdiğimiz sanal dünyada en sık kullanılan protokoldür.(%96 civarında) HTTP Nasıl Çalışır? Http’nin istemci-sunucu mantığıyla çalışan basit bir yapısı vardır. Önce TCP bağlantısı açılır, kullanıcı istek(HTTP isteği) gönderir sunucu da buna uygun cevap döner ve TCP bağlantısı kapatılır. stemci(kullanıcı) tarafından gönderilen istekler birbirinden bağımsızdır ve normalde her HTTP isteği için bir TCP bağlantısı gerekir. HTTP’nin basitliğinin yanında günümüz web sayfaları sadece http sunuculardan oluşmaz, çoğu sistemin bilgilerini tutmak için kullanılan veritabanları da artık web sayfalarının vazgeçilmez bileşeni olmuştur.
  • 2. Yukarıdaki resim klasik bir web sayfasını temsil eder. Buna göre web sayfalarımız ister web sunucuyla aynı makinede olsun ister başka bir makinede olsun bir veritabanına bağımlıdır. Web’in çalışma mantığı istek ve cevaplardan oluşur, istekler ve bunlara dönülecek cevaplar farklıdır. Bu konuda detay için HTTP RFC’si 2616 incelenebilir. Klasik bir HTTP isteği HTTP isteğine dönebilecek cevaplar Yapılan isteğin çeşidine göre sunucudan dönecek cevap da farklı olacaktır. Mesela istenen dosya sistem üzerinde yoksa 404 cevabı, gelen istek izni olmayan bir dosyayı istiyorsa 403 forbidden cevabı dönecektir. HTTP ve TCP ilişkisi HTTP TCP kullanan bir protokoldür. Her HTTP bağlantısı öncesinde mutlaka TCP bağlantısı kurulmalıdır. Basit bir hesapla her HTTP bağlantısı için ortalama 10 adet TCP paketi gidip gelmektedir(3 adet TCP bağlantı başlangıcı, 4 adet TCP bağlantı koparılması, 2-3 adet de HTTP isteği ve buna dönecek cevap paketlerinin taşındığı TCP paketleri). Bu da klasik HTTP kullanımında performans sorununu beraberinde getirir. Günümüzde normal bir haber portalının yüklenmesi için ortalama 40-50 HTTP GET isteği gönderilmektedir. Bunu da hesaplarsak portal sayfasının açılması için ortalama 50X10=500 TCP paketinin gidip gelmesi gerekir ki bu değer haber kullanıcıyı okumaktan vazgeçirecek kadar fazladır.
  • 3. Klasik bir HTTP Oturumu HTTP’de bu performans sorununu aşabilmek için çeşitli yöntemler geliştirilmiştir. Bunların başında HTTP KeepAlive(persistent connection) özelliği gelmektedir. HTTP Keep Alive özelliği her HTTP isteği için ayrı bir TCP bağlantısı açmak yerine bir adet TCP bağlantısı içerisinden belirli sayıda (5, 10, ..) HTTP isteğinin aktarılabilmesini sağlar.
  • 4. Http Pipelining pipelining http isteklerinin eş zamanlı olarak gönderilmesi işlemidir, genellikle Keep Alive kavramıyla karıştırılır fakat birbirlerinden farklı kavramlardır. Klasik http bağlantılarında önce istek gönderilir, cevap beklenir, sonra tekrar istek gönderilir, cevabı beklenir. Pipelining kullanıldığında cevapları beklemeksizin birden fazla http isteği eş zamanlı olarak gönderilebilir bu arada istenirse KeepAlive özelliği kullanılarak her istek için ek bir TCP bağlantısı açılmaz. Web Sunuculara Yönelik DOS Saldırıları Web sunucularına yönelik DOS/DDOS saldırılarında amaç sayfanın işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğratılmasıdır. DOS/DDOS’a maruz kalan web sunucularında çalışan web sayfalarında genelde aşağıdakine benzer bir hata ile karşılaşılır, eğer saldırı yoğunluğu yüksekse sayfa hiç gelmeyebilir.
  • 5. Web sunuculara yönelik yapılacak DOS saldırıları temelde iki türden oluşur; • • kaba kuvvet saldırıları(Flood) tasarımsal/yazılımsal eksikliklerden kaynaklanan zaafiyetler Kaba kuvvet DOS/DDOS Saldırıları Bu tip saldırılarda sunucu üzerinde ne çalıştığına bakılmaksızın eş zamanlı olarak binlerce istek gönderilir ve sunucunun kapasitesi zorlanır. Literatürde adı “GET Flood”, “POST Flood” olarak geçen bu saldırılar iki şekilde yapılabilir. Bir kişi ya da birden fazla kişinin anlaşarak belli bir hedefe eş zamanlı yüzlerce, binlerce istek gönderir ya da bu işi hazır kölelere(zombie) devredilerek etki gücü çok daha yüksek Dos saldırıları gerçekleştirilir. lk yöntemde bir iki kişi ne yapabilir diye düşünülebilir fakat orta ölçekli çoğu şirketin web sayfası tek bir kişinin oluşturacağı eşzamanlı yüzlerce isteğe karşı uzun süre dayanamayacaktır. Güzel olan şu ki bu tip saldırıların gerçekleştirilmesi ne kadar kolaysa engellemesi de o kadar kolaydır(güvenlik duvarları/IPS’lerin rate limiting özelliği vs) kinci yöntem yani Zombi orduları(BotNet’ler) aracılığıyla yapılan HTTP Flood saldırıları ise binlerce farklı kaynaktan gelen HTTP istekleriyle gerçekleştirilir. Gelen bağlantıların kaynağı dünyanın farklı yerlerinden farklı ip subnetlerinden gelebileceği için network seviyesinde bir koruma ya da rate limiting bir işe yaramayacaktır. Yazılımsal ya da tasarımsal eksikliklerden kaynaklanan DOS/DDOS Saldırıları Tasarımsal zaafiyetler protokol düzenlenirken detaylı düşünülmemiş ya da kolaylık olsun diye esnek bırakılmış bazı özelliklerin kötüye kullanılmasıdır. Tasarımsal zaafiyetlerden kaynaklanan DOS saldırılarına en iyi örnek geçtiğimiz aylarda yayınlanan Slowloris aracıdır. Bu araçla tek bir sistem üzerinden Apache HTTP sunucu yazılımını kullanan sistemler rahatlıkla devre dışı bırakılabilir.
  • 6. Benzeri şekilde Captcha kullanılmayan formlarda ciddi DOS saldırılarına yol açabilir. Mesela form üzerinden alınan bilgiler bir mail sunucu aracığılıyla gönderiliyorsa saldırgan olmayan binlerce e-posta adresine bu form üzerinden istek gönderip sunucunun mail sistemini kilitleyebilir. Zaman zaman da web sunucu yazılımını kullanan ve web sayfalarını dinamik olarak çalıştırmaya yarayan bileşenlerde çeşitli zaafiyetler çıkmaktadır. Mesela yine geçtiğimiz günlerde yayınlanan bir PHP zaafiyeti (PHP “multipart/form-data” denial of service)ni kullanılarak web sunucu rahatlıkla işlevsiz bırakabilir. Bu tip zaafiyetler klasik sınır koruma araçlarıyla kapatılamayacak kadar karmaşıktır. Yazılımları güncel tutma, yapılandırma dosyalarını iyi bilme en iyi çözümdür. Web sunucularına yönelik performans test araçları DDOS korumasında web sunucularımızı olası bir DOS/DDOS’a maruz kalmadan test edip gerekli ayarlamaları, önlemleri almak yapılacak ilk işlemdir. Bunun için saldırganların hangi araçları nasıl kullanacağını bilmek işe yarayacaktır. Zira günümüzde saldırgan olarak konumlandırdığımız kişilerin eskisi gibi uzman seviyesinde bilgi sahibi olmasına gerek kalmamıştır, aşağıda ekran görüntüsünden görüleceği gibi sadece hedef ip/host girilerek etkili bir dos saldırısı başlatılabilir. Basit bir adsl hattından yapılan deneme ve sonuçları Bu yazıda saldırganların kullanıkları araçların isimlerini verilmeyecektir, aynı işi yapan ve çeşitli kısıtlamalara sahip olan bazı araçların isimlerini vermekteyse bir sakınca görmüyorum. Benim kendi sistemlerimi test etmek istediğimde kullandığım temel araçlar:
  • 7. ab, siege, http_load, hping ve curl. Bu araçlarla istediğiniz türde HTTP DOS saldırı testleri gerçekleştirip sunucunuzun durumunu inceleyebilirsiniz. Ab(ApacheBenchmark) kullanarak yük testi labs-lifeoverip#ab -c 100 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q http://blog.lifeoverip.net/searcme.php ya da keepalive(-k parametresi kullanılarak) istekler göndererek TCP (layer 4) seviyesinde rate limitin kullanan sistemler atlatılabilir. DOS/DDOS Saldırılarından Korunma Yöntemleri Koruma konusunda bilinmesi gereken en temel kanun yapılan saldırının şiddeti (kullanılan bandwidth ) sizin sahip olduğunuzdan yüksekse hiçbir şey yapamayacağınızdır. Bu durumda iş hizmet aldığınız telekom firmasına düşer. Web sunuculara yönelik DOS/DDOS saldırılarından korunma diğer DOS/DDOS yöntemlerine göre daha zordur(synflood, udp flood, smurf vs). Diğer saldırı yöntemleri genelde L4(TCP/UDP/ICMP) seviyesinde gerçekleştiği için ağ koruma cihazları( Router, Firewall, NIPS)tarafından belirli oranda engellenebilir fakat HTTP üzerinden yapılan DOS saldırılarında istekler normal kullanıcılardan geliyormuş gibi gözüktüğü için ağ güvenlik cihazları etkisiz kalmaktadır. Yinede web sunucular ve önlerine koyulacak ağ güvenlik cihazları iyi yapılandırılabilirse bu tip saldırılardan büyük oranda korunulabilir. • • • • • Kullanılan web sunucu yazılımı konfigürasyonunda yapılacak performans iyileştirmeleri stekleri daha rahat karşılayacak ve gerektiğinde belleğe alabilecek sistemler kullanılmalı Loadbalancer, reverseProxy kullanımı(Nginx gibi) Firewall/IPS ile belirli bir kaynaktan gelebilecek max. stek/paket sayısı sınırlandırılmalı( rate limiting kullanımı) Saldırı anında loglar incelenerek saldırıya özel bir veri alanı belirlenebilirse(UserAgent, Refererer vs) IPS üzerinden özel imzalar yazılarak bu veri alanına sahip paketler engellenebilir fakat bunun normal kullanıcıları da etkileyeceği bilinmesi gereken nir konudur. Web sunucunun desteklediği dos koruma modülleri kullanılabilir(Apache Mod_dosevasive) Iyi yapılandırılmış bu modülle orta düzey DOS saldırılarının çoğu rahatlıkla kesilebilir. Fakat kullanırken dikkat edilmesi gereken bazı önemli noktalar vardır. Mesela DOS yaptığı şüphelenilen kullanıcılara HTTP 403 cevabı dönmek yerine doğrudan saldırı yapanları iptables(APF) ile bloklatmak sunucuyu gereksiz yere yormayacaktır. Sonuç
  • 8. Siber dünyada gün geçtikçe Web’in önemi artacak ve HTTP’e yönelik DOS/DDOS saldırıları da ciddi artışlar gösterecektir. DOS/DDOS saldırılarını engellemeye yönelik atılacak en sağlıklı adım kullanılan sistemleri iyi bilmek ve DOS/DDOS saldırısı kapınızı çalmadan kendinizi test etmek ya da ettirmektir. Bu konuda hazır çözüm sunan ticari ürünlerin onu yapılandıran kadar işlevsel olacağı unutulmamalıdır.