Servis dışı bırakma saldırısı
Servis dışı bırakma saldırısı (İngilizce: Denial-of-service attack, DoS), internete bağlı bir barındırma hizmetinin hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı ya da bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir. DoS saldırısını; bir grup insanın, bir dükkân veya işyerindeki kapıları tıkayıp, meşru tarafların mağazaya veya işletmeye girmesine izin vermeyerek normal işlemleri aksatması şeklinde örnekleyebiliriz.[1]
DoS saldırılarının failleri genellikle bankalar veya kredi kartı ödeme sistemleri gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedef alır. İntikam, şantaj[2][3][4] ve haktivizm[5] bu saldırıları motive edebilir.
Tipleri
değiştirBu saldırı, hedef makineyi o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makine normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırılarının iki genel formu vardır; servisin çökmesine sebep olanlar ve servisin aşırı yavaşlamasına sebep olanlar. En önemlileri ise dağıtık şekilde yapılan saldırılardır.[6]
Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile, dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.[7]
Dağıtık DoS
değiştirDağıtık DoS (DDoS), failin birden fazla benzersiz IP adresi kullandığı bir siber saldırıdır. (genellikle binlerce). DDoS saldırılarının ölçeği, 2016 yılına kadar saniyede bir terabiti aşarak hızla artmaya devam ediyor.[8] [9]
Gelişmiş Kalıcı DoS
değiştirGelişmiş Kalıcı bir DoS (APDoS)'un, Gelişmiş Sürekli Tehdit (APT) tarafından işgal edilme olasılığı yüksektir. Gelişmiş sürekli tehdit iyi kaynaklara sahip, son derece yetenekli ve önemli derecede ticari nitelikli bilgisayar kaynakları ve kapasitesine erişen aktörlerdir. APDoS saldırıları özel izleme, olay tepki hizmetlerine ve özel DDoS azaltma servis sağlayıcılarının savunma yeteneklerine ihtiyaç duyan açık ve yeni bir tehdit oluşturur.
Bu saldırı türü uygulama katmanı (HTTP) flood'larına kadar geniş ağ katmanlı DDoS saldırılını ve (değişken aralıklarla) SQL'i ve siteler arası betik çalıştırma (XSS) saldırılarını içerir.[10] Suçlular genellikle saniyede on milyondan fazla talep içeren 2 den 5'e kadar saldırı vektörünü eş zamanlı kullanabilirler. Bu saldırıların çoğu kurbana saldırmakla kalmaz, herhangi bir DDoS azaltma yönetimi sağlayan bir servis sağlayıcıya "SYN flood"ları eşlik eder. Bu saldırılar birkaç hafta sürebilir. Şu ana kadar en uzun süre 38 gündür. Bu APDoS saldırıları yaklaşık 50 Petabit (50000 Terabit) zararlı trafik içerir.
Saldırganlar bu senaryoda, genelde, taktiksel olarak birçok hedef arasında geçiş yapar. Bunu DDoS defanslarından kurtulmak için oluşturmuştur. Tüm bunların sonunda saldırının ana gücünü tek bir kurban üzerinde yoğunlaştırır.
Birkaç çok güçlü ağ kaynağına sürekli erişim olan tehdit aktörleri, genişlemiş DDoS trafiğinin aşırı güçlü seviyelerini üretme yeteneğine sahiptir.
APDoS saldırıları aşağıdaki gibi karakterize edilir:
- Gelişmiş keşif (saldırı öncesi açık kaynak istihbaratı (OSINT) ve algılamayı uzun süreler boyunca algılamaktan kurtuluncaya kadar hazırlanmış tarama).
- Taktik yürütme (Birincil ve ikincil kurbanlara saldırırken birincile odaklan).
- Açık motivasyon (hesaplanmış bir son oyun/amaç hedef).
- Büyük bilgisayar kapasitesi (önemli bilgisayar gücüne erişim ve ağ bant genişliği kaynakları).
- Eşzamanlı çoklu iş parçacıklı OSI katmanlı saldırılar. OSI modelinin 3 ile 7 arasındaki katmanlarda çalışan karmaşık araçlardır.
- Uzun süreler boyunca kalıcılık (Yukarıdakilerin tümünü gerçekleştirdiğimizde bir dizi hedef boyunca iyi yönetilen saldırı gerçekleşir[11]).
Servis Olarak DoS
değiştirBazı satıcılar basit web tabanlı ön uçlara sahip olan ve web üzerinden ödeme kabul eden "booter" veya "stresser" hizmetleri sunar. Stres test araçları olarak satılır ve geliştirilirler. Yetkisiz DoS saldırıları yapılmasına ve teknik olarak ileri düzeyde bilgisi olmayan saldırganların, gelişmiş saldırı araçlarına -saldırganın kullanımını anlamasına gerek kalmadan- erişmesine olanak sağlar.[12]
Semptomlar ve Bulgular
değiştirThe United States Computer Emergency Readiness Team(US-CERT) DoS saldırılarının semptomlarını şu maddeler olarak tespit etmiştir:[13]
- Alışılmadık derecede yavaş ağ performansı (dosyaları açma veya web sitelerine erişme)
- Belirli bir web sitesinin kullanılamaması.
- Herhangi bir web sitesine erişememe.
- Alınan spam e-postaların sayısındaki belirgin artış (bu tür bir DoS saldırısı bir e-mail bomb olarak düşünülür).
Ek olarak semptomlar şunları içerebilir:
- Kablosuz veya kablolu internet bağlantısının kesilmesi.
- Web'e veya herhangi bir internet servisine uzun süre erişim reddi.
Saldırı yeterince büyük ölçekte yürütülürse, tüm coğrafi bölgedeki internet bağlantısını, yanlış yapılandırılmış veya zayıf ağ altyapı ekipmanları tarafından, saldırganın bilgisi veya amacı olmadan tehlikeye atılabilir.
Saldırı yöntemleri
değiştirSaldırı araçları
değiştirMyDoom gibi durumlarda araçlar kötü amaçlı yazılım içine yerleştirilir ve saldırılarını sistem sahibi bilgisi olmadan başlatır. Stacheldraht, DDoS aracının klasik bir örneğidir. Saldırganın işleyicilere bağlanmak için bir istemci programı kullandığı katmanlı bir yapı kullanılır. Bu da, zombi temsilcilerine komutlar veren ve DDoS saldırısını kolaylaştıran tehlikeli sistemlerdir. Temsilciler, hedeflenen uzak bilgisayarlarda çalışan bağlantıları kabul eden programlardaki güvenlik açıklarını kullanmak için otomatik rutinler kullanarak saldırgan tarafından işleyiciler tarafından ele geçirilir. Her işleyici binlerce aracı kontrol edebilir.[14]
Diğer durumlarda bir makine anonim grup tarafından organize edilen, (örneğin Anonymous'un düzenlediği Operation Payback) sahibin izniyle DDoS saldırısı kapsamında olabilir. LOIC genellikle bu şekilde kullanılmıştır. HOIC ile birlikte farklı özelliklere sahip ücretli ve ücretsiz sürümleri de içeren çok çeşitli DDoS araçları mevcuttur. Korsanlarla ilgili forumlarda ve IRC kanallarında bunlar için bir yer altı pazarı vardır.
İngiltere'nin GCHQ'sunda DDos için YIRTICILARIN YÜZÜ ve GÖK GÜRLEMESİ adlı araçlar bulunur.[15]
Uygulama Seviyesi Flood
değiştirÇeşitli DoS nedenli açıklar, bellek taşması gibi, sunucu tarafında çalışan yazılımın karışması ve disk alanı doldurması veya mevcut tüm belleği tüketmeye neden olabilir. DoS'un başka türleri, Brute Force'a dayanır, kurbana aşırı miktarda paket yollar ki kullanıcının sistem kaynağını tüketmeye çalışır. Bandwidth tabanlı saldırı ise, saldırganın kurbandan daha fazla bandwidth'e sahip olmasıyla botnet yükleyerek gerçekleştirdiği bir saldırıdır. Diğer tip floodlar ise, kurbanın bilgisayarında açık olan tüm portları meşgul ederek kaynağını tüketmeye yöneliktir. "Muz saldırısı" DoS'un başka bir saldırı türüdür. kurbanın dışarıya olan erişimini engeller ve sışa gönderdiği mesajları sürekli kendisine yönlendirerek bir döngü oluşturur.
Hizmet bozulması Saldırıları
değiştir"Pulsing" zombiler, hedef web sitelerini ara ara ve kısa ömürlü floodingler ile çökertmekten ziyade yavaşlatmak amacıyla yönlendirilmiş tehlikeli bilgisayarlardır. "denial-of-service" yerine "degradation-of-service" olarak adlandırılan bu tür saldırılar alışılagelmiş zombi istilalarından daha zor tespit edebilir ve web sitelerine uzun süreler boyunca bağlantıyı kesebilir ve engelleyebilir.[16][17] Degradation-of-service saldırılarına maruz kalma, sunucunun gerçekten saldırıya uğramış olup olmadığının veya normal trafik yükleri altında olup olmadığının belirlenmesi ile daha da karmaşık hale gelir.[18]
Hizmet Reddi Seviye-2 Saldırıları
değiştirHizmet reddi Seviye 2 Saldırısının amacı, saldırının ortaya çıktığı ağ kesimini bloke eden bir savunma mekanizmasının çalışmasına neden olmaktır. Dağınık saldırı veya IP üst bilgisi değişikliği durumunda saldırıya uğrayan şebekeyi, sistem olmadan İnternetten tamamen bloke eder.[10]
Dağıtık Hizmet Reddi Saldırıları(DDoS)
değiştirDDoS saldırısı (Distributed Denial of Service attack), çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşur, bunlar genellikle bir veya birden fazla web sunucusudur.[6] Bu sistemler saldırganlar tarafından çeşitli yöntemler kullanılarak bağdaştırılır.
Dağıtılmış Hizmet Reddi Gaspı
değiştir2015'te DD4BC gibi Dağıtılmış hizmet reddi botnetleri ön plana çıkarak finansal kurumları hedef almışlardır.[19] Siber-gaspçıları genellikle düşük seviyeli bir saldırıdır. Bitcoin'de fidye ödemesi yapılmazsa daha büyük bir saldırı yapacaklarına dair bir uyarı yapılır.[20] Güvenlik Uzmanları fidye ödememek için hedefin web sitelerini önerir. Saldırganlar, hedef ödemeyi yapmaya hazır olduğunu fark edince genişletilmiş bir gasp komplosuna girme eğilimindedirler.[21]
HTTP POST DoS Saldırıları
değiştirHyper Text Transfer Protokolü üzerinden get veya post şeklinde çeşitlendirebileceğimiz saldırı çeşidi. HTTP POST FLOOD form ve benzeri web sayfalarına captcha koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde post isteği almasına neden olarak cevap vermemesine neden olmaktır. Önlem almak için CAPTCHA kullanılmalıdır.
İnternet Denetim İletisi Protokol Flood(ICMP)
değiştirSmurf saldırısı paketlerin belirli bir ağdaki tüm ana makinelere; belirli bir makineden gönderilmesi yerine ağın yayın adresi aracılığıyla gönderilmesini sağlayan hatalı yapılandırılmış ay aygıtlarına dayanır. Saldırgan, hedefin adresi gibi görünmesi için kaynak adrese çok sayıda IP paketi gönderir. Böylece ağın bant genişliği hızlıca tükenir ve yasal paketlerin hedeflerine ulaşması engellenir.[22]
Ping floodu, genellikle Unix benzeri ana makinelerden ‘ping’ komutunu kullanarak hedefe çok fazla sayıda ping paketi göndermektir. (Windows sistemlerinde –t bayrağı çok daha az hedef ezme yeteneğine sahiptir ve –l bayrağı Windows’da 65500 ‘ den fazla paketin gönderilmesine izin vermez). Başlatılması çok kolaydır. İlk gereksinim, hedeften daha büyük bir bant genişliğine erişebilmektir.
Ölüm Ping’i; hedefe, korumasız bir sistemde hasar sağlayacak, bünyesi kusurlu bir ping paketi göndermektir.
Siyah Hemşire saldırısı, ulaşılamaz hedef bağlantı noktası ICMP paketlerinden yararlanan bir saldırı örneğidir.
Nükleer Silah Saldırıları(NUKE)
değiştirNükleer Silah Saldırısı bilgisayar ağlarına karşı eski bir hizmet reddi saldırısıdır. Geçersiz ICMP paketlerini hedefe gönderir. Bu saldırıyı sonuca ulaştırabilmek için değiştirilmiş ping kullanarak bozulmuş veriyi tekrar tekrar yollar ve karşı bilgisayarı yavaşlatarak durdurur.
Nükleer Silah saldırısına örnek WinNuke'dur. WinNuke, Windows 95'te NetBIOS işleyicisindeki güvenlik açığından yararlanır. Bir dizi bant dışı veri hedefin makinesinin 139 numaralı TCP girişine gönderilir. Bilgisayarın kitlenmesine ve mavi ekran gelmesine sebep olur.
Eşler Arası(P2P)
değiştirSaldırganlar eşler arası sunucularda açık bulmak için birkaç hatadan yararlandı. En agresif eşler arası DDoS atağı DC++'dır. Eşler arası hiçbir botnet yoktur ve saldırgan istemciyle iletişim halinde olmasına gerek yoktur. Bunun yerine saldırgan kukla sahibi olarak davranır. Büyük eşler arası dosya paylaşımı yaparak onların eşler arası ağ bağlantısının kopmasına sebep olur.Kurban kendi istediği siteye bağlanmak yerine saldırganın yönlendirdiği siteye bağlanmış olur.[23][24][25]
Kalıcı Hizmet Reddi
değiştirKalıcı hizmet reddi (PDoS), sisteme ciddi hasar veren ve donanımın tekrar yüklenmesini gerektiren,[26] e-ticaret dolandırıcılığı olarak da bilinen bir saldırı türüdür.[27] Kalıcı hizmet reddi saldırılarında, Dağıtılmış hizmet reddi saldırılarından farklı olarak, hedefin donanımının (yazıcılar, yönlendiriciler, diğer ağ donanımları gibi ..) uzaktan kontrolünün yapılmasına olanak veren güvenlik açıkları vardır.
Saldırgan bu zayıf noktaları, aygıtın yazılımını değiştirmek, bozmak ve hatalı bir aygıt yazılımı ile değiştirmek için kullanır. Meşru bir şekilde yapıldığında ‘yanıp sönme’ olarak adlandırılır. Bu sebeple cihaz onarım yapılıncaya ya da değiştirilinceye kadar kendi orijinal elektroniklerini kullanamaz.
Kalıcı hizmet reddi saldırıları, Dağıtılmış hizmet reddi saldırılarına göre bir root – vserver kullanmaktan daha hızlıdır ve daha az kaynak gerektirir. Bu özelliklerden ve potansiyel yüksek güvenlik olasılıklarından dolayı bu teknik çok sayıda bilgisayar korsanının dikkatini çekmiştir.
Phlash Dansı, Hewlett Packard’ın Sistem Güvenlikleri Laboratuvarında çalışan Rich Smith tarafından; Londra’daki 2008 EUSecWest Uygulamalı Güvenlik Konferansı’ndaki kalıcı hizmet reddi güvenlik açıklarını tespit etmek ve göstermek için oluşturulmuştur.[28]
Yansıtılma Saldırıları
değiştirBir DDoS saldırısı, taleplere cevap verecek çok sayıda bilgisayara sahte bir istek gönderilmesini gerektirebilir. IP spoofing özelliğini kullanarak, kaynak adres hedeflenen kurbanın adresine ayarlanır. Bu da tüm yanıtların hedefe gideceği (ve taşıracağı) anlamına gelir. (Bu yansıtılma saldırı formu “DRDOS” olarak da bilinir.[29])
ICMP Yankı Talebi saldırısı(Smurf attack), Y saldırısının bir biçimi olarak düşünülebilir, çünkü taşan host veya hostlar, yanlış yapılandırılmış ağların yayın adreslerine yankı talebi gönderir ve bu şekilde hostları, mağdura yankı yanıtı paketleri göndermeye ikna eder. Bazı eski DDoS programları bu saldırının dağıtılmış halini uygulamıştır.
Genişletme Saldırıları
değiştirGenişletme saldırıları, bir mağdura gönderilen bant genişliğini büyütmek için kullanılır. Bu genellikle, DNS yanıt trafiğini kullanarak hedef sistemde tıkanıklığa neden olmak için kullanılan, herkese açık erişilebilir DNS sunucuları aracılığıyla yapılır. Pek çok servis, reflektörler gibi davranmak için kullanılabilir. Bazıları diğerlerine oranla daha zorlayıcı olabilir.[30] US-CERT farklı hizmetlerin farklı genişletme faktörlerine işaret ettiğini gözlemlemiştir.[31]
DNS genişletme saldırıları, daha önce göründüğünden daha büyük bir DNS sunucusu listesini kullanarak, genişletme etkisini artıran yeni bir mekanizma içerir. İşlem genellikle, bir saldırganın hedeflenen mağdurun kaynak IP adresini sahte IP adresi olarak kullanıp, genel DNS sunucusuna bir DNS adı arama isteği göndermesini gerektirir. Saldırgan, mümkün olduğunca çok alan bilgisi istemeyi dener ve böylece hedeflenen mağdura gönderilen DNS kayıt yanıtını genişletmeye çalışır. İstek boyutunun yanıttan önemli ölçüde küçük olması nedeniyle saldırgan, hedefe yönlendirilen trafik miktarını kolayca artırabilir.[32][33] SNMP ve NTP, bir yükseltme saldırısında reflektör olarak da kullanılabilir.
NTP yoluyla güçlendirilmiş bir DDoS saldırısına bir örnek monlist
olarak adlandırılan bir komuttur. Bu komut, o bilgisayardan istemciye zaman ayırmasını isteyen son 600 kişinin bilgilerini gönderir. Bu saat sunucusuna yönelik küçük bir istek, herhangi bir kurbanın sahte kaynak IP adresini kullanarak gönderilebilir. Bu da mağdura geri istenen veri miktarının 556.9 katıdır. Bu şekilde, hepsinin aynı sahte IP kaynağına istek yolladığı botnet’ler kullanıldığında, güçlendirilmiş olacak ve bu da kurbana büyük miktarda veri gönderecektir.
Bu tür saldırılara karşı savunma yapmak çok zordur çünkü yanıt verileri meşru sunuculardan gelmektedir. Bu saldırı talepleri ayrıca, sunucuya bağlantı gerektirmeyen UDP aracılığıyla gönderilir. Yani, sunucu tarafından bir istek alındığında kaynak IP'nin doğrulanmadığı anlamına gelir. Bu güvenlik açıkları hakkında bilinç kazandırmak amacıyla, kullanıcıların çözümleyicilerini düzeltmelerine veya çözümleyicilerini tamamen kapatmalarına neden olan genişletme vektörlerini bulmaya adanmış kampanyalar başlatıldı.
RUDY
değiştirRUDY saldırısı, web sunucusunda mevcut oturumların starvasyonu (Bir algoritmada sıra bekleyen işlere bir türlü sıra gelmemesi durumu.) ile web uygulamalarını hedefler. Slowloris'e çok benzer şekilde, RUDY, bitmeyen POST iletimleri kullanarak ve rastgele olarak büyük bir içerik uzunluğu başlık değeri göndererek oturumları durdurur.
Shrew Saldırısı
değiştirShrew Saldırısı TCP üzerinden yapılan bir hizmet reddi saldırısıdır. TCP'nin yeniden iletim mekanizmasındaki bir zayıflıktan yararlanarak bir açık oluşturur (man-in-the-middle saldırısı). Aynı bağlantıdaki TCP bağlantılarını kesmek için senkronize edilmiş trafik patlamalarını kullanır.[34]
Yavaş Okuma Saldırısı
değiştirYavaş Okuma saldırısı, yasal uygulama katmanı istekleri gönderir fakat yanıtları çok yavaş okuyarak sunucunun bağlantı havuzunu tüketmeye çalışır. Yavaş okuma TCP Alım Penceresi boyutu için çok az miktarda reklam vererek ve müşterilerin TCP alma yedek zaman aralığını yavaş yavaş boşaltarak elde edilir. Bu da çok düşük bir veri akış hızı sağlar.
Gelişmiş Düşük Bant Genişliği DDoS
değiştirGelişmiş Düşük Bant Genişliği DDoS saldırısı, DoS’un daha az trafik kullanan ve mağdurun sistem tasarımında zayıf bir noktayı hedefleyerek etkinliğini arttıran bir formudur. Yani saldırgan, karmaşık isteklerden oluşan trafiği sisteme gönderir.[35] Aslında, gelişmiş DDoS saldırısı, daha az trafik kullanması nedeni ile daha düşük maliyetlidir, daha küçük boyutlu olması tanımlanmasını zorlaştırır ve flow control mekanizmaları tarafından korunan sistemlere zarar verebilme kabiliyetine sahiptir.[35][36]
SYN Flood
değiştir(Aynı zamanda bakınız: SYN Flood)
Host, genellikle sahte bir gönderen adresi olan aşırı miktarda TCP / SYN paketleri gönderdiğinde bir SYN flood oluşur.
Bu paketlerin her biri, TCP / SYN-ACK paketini geri göndererek ve gönderen adresinden gelen bir paketi bekleyerek sunucunun yarı açık bir bağlantı oluşturmasına neden olan bir bağlantı isteği gibi ele alınır. Ancak, gönderen adresi sahte olduğu için yanıt gelmez. Bu yarı açık bağlantılar da sunucunun yapabileceği mevcut bağlantı sayısını iyice doldurur. Böylece saldırı sona erinceye kadar meşru isteklere yanıt veremez.[37]
Gözyaşı Saldırısı
değiştirBir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Gözyaşı saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.[38]
Telefon Hizmet Reddi Saldırısı(TDoS)
değiştirIP üzerinden ses protokolü; arayan kişilerin kimlik bilgilerini sızdırma gibi yanlışlıklara izin verirken, çok sayıda sesli aramanın ucuz, kolay ve otomatik olarak yapılmasına neden olmuştur.
FBI’a göre telefon hizmet reddi (TDoS) çeşitli dolandırıcılık şemalarının bir parçası olarak ortaya çıkmıştır:
- Bir dolandırıcı, mağdurun bankasına veya broker’ına başvurur. Para transferi talebinde bulunmak için mağdurun kimliğine bürünür. Bankacı, işlemi doğrulamak için mağdura ulaşmaya çalışır. Mağdurun telefon hatlarında binlerce sahte arama olduğu için, mağdur ulaşılamaz hale gelir.[39]
- Bir dolandırıcı, binlerce dolarlık olağanüstü bir maaş kredisi toplamak için sahte bir iddiayla tüketiciyle görüşür. Tüketici itiraz ettiğinde dolandırıcı mağdurun işverenine binlerce çağrı göndererek karşılık verir. Bazı durumlarda, görünen arayan kimliği polise veya kolluk kuvvetlerine benzemesi için taklit edilir.[40]
- Bir dolandırıcı, sahte bir borç toplama talebi ile tüketiciyle görüşür ve polis göndermekle tehdit eder. Hedef anlaşmaya yönelmezse dolandırıcı polis numaralarını flood'layarak, mağdurun isminin görünmesini sağlar. Polis yakın sürede mağdurun evine gelerek aramaların orijinalini bulmaya çalışır.
Telefon hizmet reddi, İnternet telefonu olmasa bile var olabilir. 2002 New Hampshire Senato Seçimlerinde, telemarketçiler sahte çağrılarla politik muhalifleri engellemeye çalışmıştır.
Telefon Hizmet reddi, diğer telefon tacizlerinden kaynaklanan çağrı sayısından farklıdır. (muziplik çağrıları, müstehcen telefon görüşmeleri gibi). Sürekli tekrarlanan otomatik çağrılarla hatları işgal ederek mağdurun rutin ve acil telefon görüşmeleri yapmasını ya da almasını engeller.
İlgili istismarlara SMS flood saldırıları, siyah faks veya faks iletim gönderimleri dahildir.
Korunma yolları
değiştirDoS saldırılarına karşı savunmalar, genellikle, saldırı tespiti, trafik sınıflandırması ve yanıt araçları kombinasyonunun kullanılmasını içerir. Bunlar, meşru olduklarını belirledikleri trafik akışına izin vermeyi ve diğer trafikleri engellemeyi amaçlar.[41] Önleme ve müdahale araçlarının bir listesi aşağıda verilmektedir:
Uygulama Ön Uç Donanımı
değiştirUygulama ön uç donanımı, trafik sunucularına ulaşmadan önce ağa yerleştirilen akıllı bir donanımdır. Anahtarlar ve yönlendiriciler ile birlikte ağlarda kullanılabilir. Uygulama ön uç donanımı sisteme girerken veri paketlerini analiz eder ve sonra bunları öncelikli, normal veya tehlikeli olarak tanımlar. 25'ten fazla bant genişliği yönetimi sağlayıcısı bulunmaktadır.
Kara Delik ve Sinkholing
değiştirKara Delik yönlendirmesiyle, saldırıya uğramış DNS veya Ip adresine bir "kara delik"'e(boş arayüz veya mevcut olmayan bir sunucuya) tüm trafik yollanır. Daha verimli olmak ve ağ bağlantısını etkilemekten kaçınmak için, ISS tarafından yönetilebilir.[42]
Bir DNS sinkhole trafiği analiz eden ve hatalı paketleri reddeden geçerli bir IP adresine yönlendirilir. Sinkholing, en güçlü saldırılar için etkili değildir.
IPS Tabanlı Savunma
değiştirSaldırı tespit sistemleri (IPS), saldırıların kendileri ile ilişkili imzaları olması durumunda etkilidir. Fakat, saldırılar arasındaki eğilim meşru içeriğe sahip olmakla birlikte kötü niyetlidir. İçerik tanıma üzerinde çalışılan saldırı tespit sistemleri davranış temelli DoS saldırılarını engelleyemez.[10][43]
DDS(Hizmet reddi koruma sistemi) Tabanlı Savunma
değiştirHizmet reddi koruma sistemi, bağlantı tabanlı hizmet reddi saldırılarını ve içeriği kötü niyetli olanları engelleyebilir. IPS’den daha çok soruna odaklanır. Bir DDS, protokol saldırılarına (gözyaşı damlası ve ölüm pingi ) ve ücret tabanlı saldırılara(ICMP ve SYN floodları) da dayanabilir.
Güvenlik Duvarları
değiştirBasit bir saldırı durumunda, güvenlik duvarları saldırganlardan gelen tüm trafiği, protokollere, portlara veya kaynak IP adreslerine dayanarak reddetmek için basit bir kurala sahip olabilir.
Ancak basit kurallarla daha karmaşık saldırıların engellenmesi zor olacaktır. Örneğin, 80. portta(web hizmeti) devam eden bir saldırı varsa, bu porta gelen bütün trafiği engellemek mümkün değildir, çünkü meşru trafikleri de engellemiş oluruz.[44] Ayrıca, ağ hiyerarşisinde güvenlik duvarları çok derinde olabilir, bu yüzden trafik güvenlik duvarına gelmeden önce yönlendiriciler olumsuz etkilenmiş olabilir.
Yönlendiriciler
değiştirYönlendiriciler de, anahtarlar gibi bazı hız sınırlayıcı ve ACL özelliklerine sahiptir. Yönlendiriciler de el ile ayarlanır. Çoğu yönlendirici, bir hizmet reddi saldırısı altında kolayca ezilebilir. Cisco IOS, isteğe bağlı olarak floodların etkisini azaltabilen özelliklere sahiptir.[45]
Anahtarlar
değiştirÇoğu anahtarların bazı hız sınırlayıcı ve ACL yeteneği var. Bazı anahtarlar, trafik şekillendirme, gecikmeli bağlama (TCP yapıştırma ), derin paket inceleme ve Bogon filtreleme, otomatik hız filtreleme ve WAN üzerinden denial-of-service saldırılarını tespit ve düzeltmek için sahte IP filtreleme sağlayabilir.[10]
Bu şemalar sürece DoS saldırıları bunları kullanarak önlenebilir. Örneğin SYN flood, gecikmiş bağlanma veya TCP yapıştırma kullanılarak önlenebilir. Benzer şekilde içerik tabanlı DoS derin paket inceleme kullanılarak önlenebilir. Kaynaklanan saldırılar Bogon filtreleme kullanılarak önlenebilir. Otomatik hız filtreleme sürece set oran eşikleri doğru ve kademeli ayarlanmış olarak çalışabilir. Wan-bağlantı yük devretme sürece her iki linkler DoS / DDoS önleme mekanizması var olarak çalışacaktır.[10]
Yukarı Yönde Filtreleme
değiştirTüm trafik temizlik merkezi boyunca veya ovma merkezi üzerinden proxy, tüneller, dijital çapraz bağlantılar veya doğrudan devreler gibi çeşitli yöntemlerle geçilir. Doğrudan devreler "kötü" trafiği(DDoS ve diğer yaygın internet atakları) ayırır ve sunucuya sadece iyi trafik gönderir. Hizmet sağlayıcı "temizlik merkezi" veya "ovma merkezi" ile aynı yerde bulunmadıkça bu tür hizmetleri yönetmek için internete merkezi bir bağlantı ihtiyacı duyar.[46]
Hizmet sağlayıcı servis örnekleri
değiştirSaldırıların yan etkileri
değiştirGeri saçılım, bilgisayar ağı güvenliğinde sahte hizmet saldırılarının yan etkisidir. Bu tür bir saldırıda, saldırgan kurbana gönderilen IP paketlerine kaynak adresini yanıltır veya taklit eder. Genellikle, kurban makine sahte paketleri ve legal paketleri birbirinden ayırt edemez. Bu nedenle kurban sahte paketleri normalde olduğu gibi yanıtlar. Bu tepki paketleri geri saçılımcı olarak bilinir.[60]
Saldırgan kaynak adresini rastgele taklit ediyorsa, kurbandan gelen yanıt paketleri rastgele hedeflere gönderir. Bu etki bu gibi saldırıların dolaylı kanıtı olarak ağ teleskopları tarafından kullanılabilir.
"Geriye dönük analiz" terimi, DoS saldırılarının ve kurbanların özelliklerini belirlemek için IP adres alanının istatistiksel açıdan önemli bir bölümüne ulaşan geri saçılım paketlerini gözlemlemek anlamına gelir.
Yasal durumu
değiştirDoS saldırısı yapmak çoğu ülkede ciddi bir bilişim suçudur ve cezası vardır fakat saldırının doğal yapısı gereği saldırıyı yöneten kişileri tespit etmek diğer saldırı yöntemleriyle kıyaslandığında çok daha zordur.
Ayrıca bakınız
değiştirKaynakça
değiştir- ^ "Understanding Denial-of-Service Attacks". US-CERT. 6 Şubat 2013. 28 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Mayıs 2016.
- ^ Prince, Matthew (25 Nisan 2016). "Empty DDoS Threats: Meet the Armada Collective". CloudFlare. 3 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Mayıs 2016.
- ^ "Brand.com President Mike Zammuto Reveals Blackmail Attempt". 5 Mart 2014. 11 Mart 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "Brand.com's Mike Zammuto Discusses Meetup.com Extortion". 5 Mart 2014. 13 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "The Philosophy of Anonymous". Radicalphilosophy.com. 17 Aralık 2010. 24 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Eylül 2013.
- ^ a b Taghavi Zargar, Saman (Kasım 2013). "A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks" (PDF). IEEE COMMUNICATIONS SURVEYS & TUTORIALS. ss. 2046-2069. 17 Ağustos 2016 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 7 Mart 2014.
- ^ Smith, Steve. "5 Famous Botnets that held the internet hostage". tqaweekly. 18 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Kasım 2014.
- ^ Goodin, Dan (28 Eylül 2016). "Record-breaking DDoS reportedly delivered by >145k hacked cameras". Ars Technica. 2 Ekim 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ Khandelwal, Swati (26 Eylül 2016). "World's largest 1 Tbps DDoS Attack launched from 152,000 hacked Smart Devices". The Hacker News. 6 Mayıs 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ a b c d e Kiyuna and Conyers (2015). Cyberwarfare Sourcebook. ISBN 1329063945.
- ^ Gold, Steve (21 Ağustos 2014). "Video games company hit by 38-day DDoS attack". SC Magazine UK. 24 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Şubat 2016.
- ^ Krebs, Brian (15 Ağustos 2015). "Stress-Testing the Booter Services, Financially". Krebs on Security. 22 Şubat 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Eylül 2016.
- ^ McDowell, Mindi (4 Kasım 2009). "Cyber Security Tip ST04-015 - Understanding Denial-of-Service Attacks". United States Computer Emergency Readiness Team. 4 Kasım 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Aralık 2013.
- ^ David Dittrich (31 Aralık 1999). "The "stacheldraht" distributed denial of service attack tool". Washington Üniversitesi. 16 Ağustos 2000 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Ağustos 2020.
- ^ Glenn Greenwald (15 Temmuz 2015). "HACKING ONLINE POLLS AND OTHER WAYS BRITISH SPIES SEEK TO CONTROL THE INTERNET". The Intercept_. 16 Ekim 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Ağustos 2020.
- ^ Encyclopaedia Of Information Technology. Atlantic Publishers & Distributors. 2007. s. 397. ISBN 81-269-0752-5.
- ^ Schwabach, Aaron (2006). Internet and the Law. ABC-CLIO. s. 325. ISBN 1-85109-731-7.
- ^ Lu, Xicheng; Wei Zhao (2005). Networking and Mobile Computing. Birkhäuser. s. 424. ISBN 3-540-28102-9.
- ^ "Who's Behind DDoS Attacks and How Can You Protect Your Website?". Cloudbric. 10 Eylül 2015. 19 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Eylül 2015.
- ^ Solon, Olivia (9 Eylül 2015). "Cyber-Extortionists Targeting the Financial Sector Are Demanding Bitcoin Ransoms". Bloomberg. 30 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Eylül 2015.
- ^ Greenberg, Adam (14 Eylül 2015). "Akamai warns of increased activity from DDoS extortion group". SC Magazine. 16 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Eylül 2015.
- ^ "Types of DDoS Attacks". Distributed Denial of Service Attacks(DDoS) Resources, Pervasive Technology Labs at Indiana University. Advanced Networking Management Lab (ANML). 3 Aralık 2009. 14 Eylül 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Aralık 2013.
- ^ Paul Sop (Mayıs 2007). "Prolexic Distributed Denial of Service Attack Alert". Prolexic Technologies Inc. Prolexic Technologies Inc. 3 Ağustos 2007 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Ağustos 2007.
- ^ Robert Lemos (Mayıs 2007). "Peer-to-peer networks co-opted for DOS attacks". SecurityFocus. 24 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Ağustos 2007.
- ^ Fredrik Ullner (Mayıs 2007). "Denying distributed attacks". DC++: Just These Guys, Ya Know?. 15 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Ağustos 2007.
- ^ Jackson Higgins, Kelly (19 Mayıs 2008). "Permanent Denial-of-Service Attack Sabotages Hardware". Dark Reading. 8 Aralık 2008 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ Leyden, John (21 Mayıs 2008). "Phlashing attack thrashes embedded systems". The Register. 13 Şubat 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mart 2009.
- ^ "EUSecWest Applied Security Conference: London, U.K." EUSecWest. 2008. 1 Şubat 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ Rossow, Christian (Şubat 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse" (PDF). Internet Society. 24 Eylül 2015 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 4 Şubat 2016.
- ^ Paxson, Vern (2001). "An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks". ICIR.org. 24 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "Alert (TA14-017A) UDP-based Amplification Attacks". US-CERT. 8 Temmuz 2014. 26 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Temmuz 2014.
- ^ Vaughn, Randal; Evron, Gadi (2006). "DNS Amplification Attacks" (PDF). ISOTF. 14 Aralık 2010 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "Alert (TA13-088A) DNS Amplification Attacks". US-CERT. 8 Temmuz 2013. 27 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Temmuz 2013.
- ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filtering of shrew DDoS attacks in frequency domain". The IEEE Conference on Local Computer Networks 30th Anniversary (LCN'05)l. ss. 8 pp. doi:10.1109/LCN.2005.70. ISBN 0-7695-2421-4.
- ^ a b Ben-Porat, U.; Bremler-Barr, A.; Levy, H. (1 Mayıs 2013). "Vulnerability of Network Mechanisms to Sophisticated DDoS Attacks". IEEE Transactions on Computers. 62 (5). ss. 1031-1043. doi:10.1109/TC.2012.49. ISSN 0018-9340.
- ^ orbitalsatelite. "Slow HTTP Test". SourceForge. 12 Eylül 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Nisan 2017.
- ^ "RFC 4987 – TCP SYN Flooding Attacks and Common Mitigations". Tools.ietf.org. Ağustos 2007. 29 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Aralık 2011.
- ^ "CERT Advisory CA-1997-28 IP Denial-of-Service Attacks". CERT. 1998. 20 Mart 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Temmuz 2014.
- ^ "FBI — Phony Phone Calls Distract Consumers from Genuine Theft". FBI.gov. 11 Mayıs 2010. 29 Mayıs 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Eylül 2013.
- ^ "Internet Crime Complaint Center's (IC3) Scam Alerts January 7, 2013". IC3.gov. 7 Ocak 2013. 24 Eylül 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Eylül 2013.
- ^ Loukas, G.; Oke, G. (Eylül 2010) [August 2009]. "Protection Against Denial of Service Attacks: A Survey" (PDF). Comput. J. 53 (7). ss. 1020-1037. doi:10.1093/comjnl/bxp078. 24 Mart 2012 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (Aralık 2004). "Distributed Denial of Service Attacks". The Internet Protocol Journal. 7 (4). ss. 13-35. 27 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ Abante, Carl (2 Mart 2013). "Relationship between Firewalls and Protection against DDoS". Ecommerce Wisdom. 2 Kasım 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Mayıs 2013.
- ^ Froutan, Paul (24 Haziran 2004). "How to defend against DDoS attacks". Computerworld. 2 Temmuz 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Mayıs 2010.
- ^ Suzen, Mehmet. "Some IoS tips for Internet Service (Providers)" (PDF). 10 Eylül 2008 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "DDoS Mitigation via Regional Cleaning Centers (Jan 2004)" (PDF). SprintLabs.com. Sprint ATL Research. 21 Eylül 2008 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 2 Aralık 2011.
- ^ Lunden, Ingrid (2 Aralık 2013). "Akamai Buys DDoS Prevention Specialist Prolexic For $370M To Ramp Up Security Offerings For Enterprises". TechCrunch. 23 Eylül 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Eylül 2014.
- ^ Gallagher, Sean. "Biggest DDoS ever aimed at Cloudflare's content delivery network". Ars Technica. 7 Mart 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Mayıs 2016.
- ^ "Level 3 DDoS Mitigation". level3.com. 9 Nisan 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mayıs 2016.
- ^ "Defensepipe". radware.com. 28 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Kasım 2015.
- ^ "Clean Pipes DDoS Protection and Mitigation from Arbor Networks & Cisco". ArborNetworks.com. 8 Ağustos 2013. 8 Ocak 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "AT&T Internet Protect Distributed Denial of Service Defense" (PDF). ATT.com (Product brief). 16 Ekim 2012. 23 Eylül 2015 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 23 Nisan 2017.
- ^ "Silverline DDoS Protection service". f5.com. 2 Eylül 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Mart 2015.
- ^ "Infrastructure DDos Protection". incapsula.com. 6 Mayıs 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Haziran 2015.
- ^ "DDoS Protection". Neustar.biz. 31 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Kasım 2014.
- ^ "DDoS Protection with Network Agnostic Option". Tatacommunications.com. 7 Eylül 2011. 3 Kasım 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2017.
- ^ "VeriSign Rolls Out DDoS Monitoring Service". Darkreading.com. 11 Eylül 2009. 26 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Aralık 2011.
- ^ "Security: Enforcement and Protection". Verizon.com. Erişim tarihi: 10 Ocak 2015.[ölü/kırık bağlantı]
- ^ "Verizon Digital Media Services Launches Cloud-Based Web Application Firewall That Increases Defenses Against Cyberattacks". Verizon.com. 26 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 10 Ocak 2015.
- ^ "Backscatter Analysis (2001)". Animations (video). Cooperative Association for Internet Data Analysis. 1 Kasım 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Aralık 2013.