DDOS ve Load Test (Yük Testi)

DDOS (Distributed Denial of Service) yani Dağıtık Hizmet Engelleme Testleri gerçek DDOS saldırılarını simüle ederek organizasyonun bu saldırılara karşı gücünü test etmeyi amaçlar. Load (Yük) Testleri ise geliştirilen uygulama ve altyapıların beklenen yükleri karşılayıp karşılayamayacaklarını, performans ve limitlerini test etmeyi hedefler.

External Testing (Dış Ağ Testleri): External testler organizasyonun internetten erişilebilen sunucu ve cihazlarını (DNS, e-posta, web sunucuları, firewall cihazları gibi) hedef alır. Amaç, organizasyon dışından bir saldırganın yapabileceği atakları ve atak senaryolarını görmektir.

Dos (Denial Of Service- Servis Hizmet Reddi) saldırısı bir hedefe yönelik gerçekleştirilen, sistemin hizmet vermesini, kullanıcıların sisteme erişmesini engelleyen bir saldırı türüdür. Her sistemin kaldırabileceği bir ağ trafiği hacmi vardır. Sistemin sahip olduğu bu kaynaklara saldırganlar tarafından aşırı yüklenildiğinde sistem hizmetleri yavaşlamakta hatta sistemin verdiği hizmetler bu saldırılar sonucunda tamamen çökmektedir. DDos (Distributed Denial of Service- Dağıtılmış Hizmet Reddi) ise saldırının bir kaynaktan değil de fazla sayıda farklı kaynaktan başlatılmasıyla gerçekleşir. DDos saldırılarını gerçekleştirmek için zombi adı verilen cihazlardan oluşan botnetler kullanılmaktadır. Bu zombi cihazlar, internet korsanları tarafından ele geçirilmiş elektronik cihazlardır ve saldırganların amaçları doğrultusunda kullanılırlar. DDos saldırıları istenilene ulaşmakta Dos saldırılarına göre daha başarılıdır. Birden fazla kaynaktan hedefe doğru gerçekleştirildiği için de ana kaynağı tespit etmek zorlaşmaktadır.

 

Dos ve DDos Saldırı Belirtileri

Sistem hızının normale göre oldukça yavaşlaması ya da artık kullanılamaz hale gelmesi

Normalin dışında sistem ağ trafiği olması

Aşırı UDP, SYN ve GET/POST isteklerinin bulunması

 

Dos ve DDos Türleri

Volume Based DDoS (Hacim Odaklı Saldırılar): Sunucunun sahip olduğu bant genişliğinin üstünde istek paketleri gönderilmesidir.

Protocol Based DDoS (Protokol Odaklı Saldırılar): OSI protokolünün 3.Katman (Network) ve 4.Katmanındaki (Transport) zafiyetin kullanılmasıyla gerçekleştirilir.

Application Layer DDoS (Uygulama Katmanlı Saldırılar): OSI protokolünün 7.katmanı olan uygulama katmanında bulunan servislerin açıklarının kullanılmasıyla saldırı yapılır.

HTTP Flood: Hedef sayfaya sürekli olarak get veya post istekleri gönderilerek sistemi zorlamaktır.

UDP Flood: UDP protokolü kullanılarak saldırı gerçekleştirilir. Saldırgan tarafından bir bilgisayarın portlarına çok sayıda UDP paketi gönderilir. Saldırının hedefi olan bilgisayar portun kulanım durumunu kontrol eder kullanılmıyorsa ICMP paketi ile cevap verir. Çok sayıda UDP paketine karşılık çok sayıda ICMP paketi gönderilir. Sistem böylece erişilemez hale gelir.

ICMP Flood: ICMP protokolü kurban sisteme ICMP istek paketleri yollar ve karşı sistemden cevap bekler. Bu şekilde çok sayıda isteğe karşılık cevap vermeye çalışan sistem zorlanır.

Ping of Death: Büyük boyutlu ICMP istek paketinin hedef sisteme yollanarak hedef sistemin yorulmasıdır.

Syn Flood: Tcp protokolü üçlü el sıkışma ile bağlantı gerçekleştirir. Bu üçlü el sıkışma işlemi, istemcinin sunucuya SYN mesajı göndererek bağlantı kurmak istediğini belirtir. Sunucu bu mesajı SYN-ACK mesajı göndererek kabul eder. Ardından istemci ACK yanıyla bağlantıyı gerçekleştirir. SYN flood saldırısı ise sunucunun beklediği ACK mesajını göndermez. İstekler sürekli artar ve sistem artık bağlantı kuramaz hale gelir.

TearDrop: UDP protokolünde paketler parçalanarak bir sisteme gönderilir ve bu paketler ofsetlere bölünerek numaralandırılır. Ofset değerlerine göre tekrar birleştirilir. Bu ofset değerleri çakışmamalıdır. Eğer çakışma durumu yaşanırsa sistemde işlem yapılamaması gibi durumlar ortaya çıkar. Teardrop saldırısında is bu ofsetler çakıştırılıp gönderilerek gerçekleştirilir.

Smurf: Hedefe ping istek paketleri ağın directed broadcast adresine gönderilir paket bu şekilde ağdaki tüm cihazlara ping istek paketleri göndermiş olur. Ping istek paketlerinin dönüş adresleri değiştirilerek hedefin ip adresi yapılır. Ağdaki tüm cihazlar da hedef cihaza ping paketlerini yollar. Böylece saldırı hem gerçekleştirilirken hem de saldırganın kimliği saklanmış olur.

DNS Poisoning: Dns alan adı ip eşleşmelerini sağlayarak kişinin web sitesine erişimini sağlayan sunuculardır. Saldırgan ulaşılmak istenen web sitesinin eşleşmesini bozarak başka bir ip adresine yönlendirerek buradaki hazırlamış olduğu zararlı içreklerle kurbana zarar verir.

Dos ve DDos Saldırı Engelleme Yöntemleri

Bu saldırıların gerçekleştirilmesi günümüzde oldukça basit olduğu için kurumlar ve sistemler için önemli bir tehdit unsurudur. Bu saldırıların özellikle DDos saldırısının tamamen engellenmesi için kesin bir yöntem bulunmamakla birlikte saldırıları hafifletmek için önlemler alınıp sistemin ağ altyapısının sağlam yapılandırılması gerekir. Saldırının engellemesinden önce saldırı öncesi önlemlerin alınması ve erken tespiti daha önemlidir.

Güvenlik duvarı ve antivirüs yazılımı veya donanımı kullanılmalıdır.

Sistem güncellemeleri zamanında yapılmalıdır.

Ağ trafiği izlenilmelidir, olağandışı durumlar için ağ cihazları yapılandırılmalıdır. Yönlendiriciler için rate limiting özelliği, sahte ve bozuk paketlerin engellenmesi, SYN, ICMP ve UDP paketlerinin eşik değerlerinin belirlenmesi gibi yöntemler uygulanabilmektedir.

Bant genişliği kurumun ihtiyacı olandan fazla olmalıdır.

Büyük ölçekli kurumlar için İçerik Dağıtım Ağı (CDN) verilerin dünyada birden çok sunucuda saklanması- kullanımı uygulanabilir.

tr_TRTR