BİLİŞİM VE BİLGİ GÜVENLİĞİ İLERİ TEKNOLOJİLER ARAŞTIRMA MERKEZİ

Transkript

1 BİLİŞİM VE BİLGİ GÜVENLİĞİ İLERİ TEKNOLOJİLER ARAŞTIRMA MERKEZİ 2015 TÜBİTAK BİLGEM Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi P.K. 74, Gebze / KOCAELİ Tel: (0262) , Faks: (0262)

2 DOKÜMAN ONAY BİLGİLERİ Adı Soyadı Görevi Tarih İmza Hazırlayan(lar) Kontrol Eden(ler) Onaylayan(lar) DEĞİŞİKLİK KAYITLARI Revizyon No Revizyon Tarihi Revizyon Nedeni Hazırlayan(lar) 2 / 45

3 İÇİNDEKİLER Kısaltmalar...5 Semboller...6 Şekiller GİRİŞ Bilgi Güvenliği Kapısı nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler Amaç ve Kapsam Hedeflenen Kitle BİLGİ GÜVENLİĞİ UNSURLARI DOS / DDOD SALDIRILARI Fiziksel Katman Veri Bağı Katmanı MAC Seli (Flooding) ve Servis Dışı Bırakma (DoS) Kablosuz Ağlar ve ARP VTP Atağı Ağ Katmanı IP Sahteciliği (Spoofing) ICMP Seli ICMP Smurf Teardrop LAND Saldırısı Taşıma Katmanı TCP TCP SYN Seli TCP Bağlantı Seli UDP Fraggle UDP Seli Uygulama Katmanı UDP Seli DHCP Açlık (Starvation) Atağı Sahte / Yetkisiz DHCP Sunucular SNMP SMTP DNS Yinelemeli DNS Sorguları DNS Sorgusu Seli DNS Yükseltme (Amplification) HTTP HTTP GET Seli SlowHTTP Slowloris Yönlendirme Protokolleri GENEL HATLARIYLA DDOS ÖNLEMLERİ IP Engelleme ve Beyaz / Kara Liste Kullanımı İstek Aşımı (Rate Limit) / 45

4 4.3 DNS İsteklerini TCP Protokolüne Çevirme İlk Paketi Düşürme SYN Cookie SYN Proxy Anycast DNS Sunucu Kullanımı Atak Modeli ile Engelleme HTTP GET / POST Seline Karşı Önlemler Saldırının Etkisini Azaltacak Proaktif Önlemler Korumaya Yönelik Hizmet Sağlayıcılarından Hizmet Alınması / 45

5 Kısaltmalar AAA : Authentication, Authorization, Accounting ACL : Access Control List AES : Advanced Encryption Standart AH : Authentication Header BIOS : Basic Input / Output System BGP : Sınır Ağ Geçidi Protokolü CAST : Bir blok şifreleme algoritması (block cipher), Kısaltma Carlisle Adams, Stafford Tavares in ilk harflerinden oluşmaktadır. DES : Data Encryption Standart DHCP : Dynamic Host Control Protocol DMZ : Demilitarized Zone / Demarcation Zone DNS : Domain Name Server DoS : Servis Dışı Bırakma (Denial of Service) DDOS : Dağıtık Servis Dışı Bırakma (Distributed Denial of Service) EAP-TLS : Extensible Authentication Protocol Transport Layer Security EGP : Harici Ağ Protokolü ESP : Encapsulating Security Payload FTP : File Transfer Protocol GAŞ : Geniş Alan Şebekesi Gbps : Giga bit per second http : Hypertext Transfer Protocol ICMP : Internet Control Message Protocol IDEA : International Data Encryption Algorithm IDS : Intrusion Detection System IEEE : Institute of Electrical and Electronics Engineers IGP : Dahili Ağ Geçidi Protokolü IGRP : Dahili Ağ Geçidi Yönlendirme Protokolü IKE : Internet Key Exchange IP : İnternet Protokolü IPS : Intrusion Prevention System 5 / 45

6 IPSec : Internet Prtocol Security ISDN : Integrated Services for Digital Networks L2TP : Layer 2 Tunneling Protocol MAC : Media Access Control Mbps : Mega bit per second NTP : Network Time Protocol OSI : Open System Interconnection PEAP : Protected Extensible Authentication Protocol POP3 : Post Office Protocol 3 PPTP : Point to Point Tunneling Protocol RADIUS : Remote Authentication Dial In User Service RIP : Yönlendirme Bilgi Protokolü SHA - 1 : Secure Hash Algorithm 1 SMTP : Sent Mail Transfer Protocol SNMP : Simple Network Management Protocol SSH : Secure Shell SSL : Secure Socket Layer TCP : Transport Control Protocol TFTP : Trivial File Transfer Protocol TKIP : Temporal Key Integrity Protocol UDP : User Datagram Protocol VLAN : Virtual Local Area Network VTP : Cisco ya özgü VLAN Yönetim Protokolü WEP : Wired Equivalent Privacy WLAN : Wireless Local Area Network WMAN : Wireless Metropolitan Area Network WPA : Wireless Protected Access WPAN : Wireless Personal Area Network WPA - PSK Wireless Protected Access-PreShared Key Semboller koyu : İngilizce terimleri belirtmek için kullanılır. komut : Kod parçalarını ve betikleri belirtmek için kullanılır Koyu altı çizili : Vurgu yapmak içindir. 6 / 45

7 Şekiller Şekil 1 DDos saldırısı ve Botnetler Şekil 2 Kablosuz Ağlara Yönelik De-auth Saldırısı Şekil 3 Smurf Saldırısı Şekil 4 LAND Saldırısı Şekil 5 TCP SYN Seli Saldırısı Şekil 6 Dynamic IP Restriction yapılandırması Şekil 7 UDP Seli Saldırısı Şekil 8 DHCP Çalışma Mantığı Şekil 9 SNMP Protokolü Şekil 10 Alan Adı Uzayı Şekil 11 DNS Kayıt Tipleri Şekil 12 Yinelemeli DNS Sorguları Şekil 13 DNS Sorgu Seli saldırısı Şekil 14 DNS Yükseltme Saldırısı Şekil 15 http-tcp Bağlantı Kurulma Süreci Şekil 16 Ülke IP Kodları Şekil 17 SYN Proxy Çalışma Mantığı Şekil 18 IP Yönlendirme Şemaları / 45

8 1. GİRİŞ 1.1 Bilgi Güvenliği Kapısı nda Yer Alan Kılavuzlar Hakkında Genel Bilgiler Bilgi Güvenliği Kapısı ( web sitesi ve bu sitede yer alan kılavuzlar; ilk olarak Ulusal Bilgi Sistemleri Güvenlik Projesi kapsamında hazırlanmıştır. Daha sonra Kalkınma Bakanlığı nın 2012 bütçesinden desteklenen Kamu Bilgi Sistemleri Güvenliği Programı kapsamında, Bilgi Güvenliği Kapısı web sitesinin siber güvenlik bilgi bankasına dönüşmesi ve siber güvenliğin farklı alanlarında Türkçe içerik oluşturma hedefiyle güncellenmiştir. Bu süreç içinde ihtiyaç doğrultusunda yeni kılavuzlar da oluşturulmuş, kullanıcıların siber güvenlik bilincini arttırmak hedefiyle daha interaktif görsel materyalle desteklenmiş e-öğrenme formatında içerik eklenerek, bilgi bankası zenginleştirilmiştir. Kılavuzlar siber güvenliğin hem teknik hem de teknik olmayan alanlarında bilgi aktarımı hedefiyle hazırlanmıştır. İçerikte; bazen bir servisin, bir işletim sisteminin ya da bir protokolün güvenlik yapılandırmasının gerçekleştirilmesi amacıyla verilen bilgilerin yanı sıra, siber güvenliğin bir bütün olarak görülmesi ve yönetilmesi ihtiyacından yola çıkarak yönetimsel kontrollere ait bilgiler de yer almaktadır. Diğer taraftan kılavuzlarda bilgiye ek olarak gerektiğinde tecrübelere de yer verilmiştir. Kılavuzların daha hızlı okunabilmesi ve etkili kullanılabilmesi için önemli komutlar ya da hap niteliğinde olan özet bilgiler farklı formatta sunulmuştur. Bu sayede sistem, ağ, etki alanı vs. yöneticileri, son kullanıcılar, bilgi güvenliği yönetim sistemi yürütücüleri ya da yöneticiler tarafından başucu referansı olarak kullanılması hedeflenmiştir. Bu dokümanda ticari markalara ismen yer verilmiş olabilir. Bu markalar ve ürünler tamamen özgün sahiplerine aittir. Kılavuzlarda sunulan bilgi, tecrübe, uygulama ve komutlar tamamen tavsiye niteliğinde olup en yoğun kullanılan ürün, sistem, servis ya da protokoller göz önünde bulundurularak hazırlanmıştır. Bu nedenle verilen komut, bilgi ya da tecrübe değişik ürünler/yapılandırmalar için farklılık gösterebilir. TÜBİTAK BİLGEM kılavuzlarda verilen bilgi ve bu bilgiye bağlı olarak sunulan yöntemler ya da uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman TÜBİTAK BİLGEM in izni olmadan değiştirilemez, ticari getiri elde etmek amacıyla basılamaz, çoğaltılamaz, dağıtılamaz. Güncelleme, ekleme ya da düzeltme taleplerinizi e-posta adresine gönderebilirsiniz. 8 / 45

9 1.2 Amaç ve Kapsam 1.3 Hedeflenen Kitle 9 / 45

10 2. BİLGİ GÜVENLİĞİ UNSURLARI Bilgi güvenliği, bilgilerin izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunması işlemidir. Mahremiyetin, bütünlüğün ve bilginin ulaşılabilirliğinin korunması hususu ortak hedeftir. Temel güvenlik fonksiyonları aşağıdaki şekilde sıralanabilir. Kimlik Sınaması (Authentication) Yetkilendirme (Authorization) İzlenebilirlik/Kayıt Tutma (Accountability) Gizlilik (Confidentiality) Veri Bütünlüğü (Data Integrity) Güvenilirlik (Reliability-Consistency) İnkâr Edememe (Non-repudiation) Süreklilik (Availability) DDoS bilgi güvenliği unsurlarından Sürekliliği hedef almaktadır. Sürekliliği şu şekilde özetlemek mümkündür: Bilginin her an ulaşılabilir ve kullanılabilir olmasını amaçlayan prensiptir. Bilişim sistemlerinin kendilerinden beklenen işi sürekli bir şekilde tam ve eksiksiz olarak yapmasını amaçlamaktadır. Süreklilik hizmeti, bilişim sistemlerini, kurum içinden ve dışından gelebilecek başarım düşürücü tehditlere karşı korumayı hedefler. Süreklilik hizmeti sayesinde, kullanıcılar, erişim yetkileri dâhilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde ulaşabilirler. Genel olarak OSI katmanları ve bu katmanlar üzerinde gerçekleştirilebilecek servis dışı bırakma saldırılarından teorik bahsedildikten sonra ağ ve uygulama katmanı seviyesindeki DDoS ataklarına yoğunlaşarak anlatımı gerçekleştirilecektir. Olası bir DDoS durumunda alınacak aksiyonlar ve saldırı sırası/sonrası paket analizi (packet analysis) yöntemlerinden bahsedilecektir. Özetle bu kılavuzda sık kullanılan ve etkili olan DDOS yöntemleri, çalışma mantıkları ve korunma yöntemlerinden teorik olarak bahsedilecektir. 10 / 45

11 3. DOS / DDOD SALDIRILARI Öncesinde sadece DoS, yani tek bir kaynaktan hedefe doğru saldırı yapılması şeklinde ortaya çıkan bu saldırı türü, zamanla şiddetinin ve etkisinin arttırılması için çok sayıda kaynaktan tek hedefe yapılan saldırı şekline dönüşmüştür. DoS/DDoS saldırılarında amaç, sistemin kaldırabileceği yükün çok üzerinde anlık istek, anlık bağlantı ile sistem yorulması ve cevap veremez hale getirilmesidir. Hat kapasitesinin doldurulması suretiyle yine sistemin erişilebilirliği hedef alınabilir. Ayrıca hedef sistemlerde bulunan zafiyetler de sistemin erişilebilirliği açısından risk oluşturabilir. İşletim sistemlerinde (Windows, Linux vb.), web sunucusunda (IIS, Apache vb.), uygulama sunucusunda ya da sistemin diğer bileşenlerinde bulunan zafiyetlerden yararlanarak, sistemin işleyemeyeceği şekilde bir istek gönderildiğinde, sistemin herhangi bir bileşeninde bu isteğin işlenememesinden kaynaklanıp sistem erişilemez hale gelebilmektedir. Şekil 1 DDos saldırısı ve Botnetler Resmi kayıtlara göre bilinen ilk DDoS saldırısı 1999 Ağustosunda 227 köle bilgisayar ile Minnesota Üniversitesinde gerçekleşmiştir. Sıradaki bölümde OSI katmanları açısından servis dışı bırakma saldırıları ele alınacaktır. 3.1 Fiziksel Katman Bir kuruma yapılabilecek ve kurumun iş sürekliliğini etkileyecek en büyük saldırı fiziksel olarak yapılan saldırıdır. Bu bağlamda kurumun internet erişimini sağlayan bağlantıların, hatların yanlış bir kazı sonucu kesilmesi bir çeşit DoS saldırısı olarak adlandırılabilir. 11 / 45

12 Bu tür saldırılara karşı ağ ve elektrik kablolarının fiziksel olarak korunması gerekmektedir. Ayrıca kritik sistem odalarının fiziksel güvenliği de sağlanmalıdır. Bu tür kritik bölümlere erişim sadece yetkili kişiler tarafından yapılabiliyor olmalıdır. 3.2 Veri Bağı Katmanı Bu katmandaki servis dışı bırakma saldırıları genel olarak ARP, STP vb. gibi protokollere yoğunlaşmıştır. Switch MAC adres tablosunun doldurulması ile erişim engellenebileceği gibi STP protokolüne yönelik ataklar ile Root Switch seçimine müdahale edilerek erişim kesilebilir. Kablosuz ağlar için, bağlı istemcilere gönderilecek sahte de-authenticate mesajları ile kablosuz ağa DoS ataklarının yapılması mümkündür. Erişim noktasından geliyormuş gibi tüm bağlı istemcilere gönderilecek de-authenticate mesajları ile ağa bağlı belirli ya da bütün istemcilerin ağdan kopması sağlanabilir. Bu işlem ağ içerisinde kullanılan şifreleme mekanizmalarının öncesinde ağdaki erişim noktasını belirtir mesajlar olduğu için şifreleme mekanizmasına bakılmaksızın gerçekleştirilebilir MAC Seli (Flooding) ve Servis Dışı Bırakma (DoS) Anahtarlar, portları arasındaki iletişimi üzerlerindeki MAC adres tablolarına bakarak yapar. MAC adres tablosunda; port numarası, porta bağlı olan istemcilerin MAC adres(ler)i ve ilgili portun hangi VLAN'e ait olduğu gibi bilgiler yer alır. Anahtar, portlarına gelen bir çerçevenin önce hedef MAC adres kısmına bakar. Daha sonra çerçevenin içinde yer alan bu hedef MAC adresinin kendi MAC adres tablosunda olup, olmadığına bakar. MAC adresini tabloda bulursa çerçeveyi ilgili porta gönderir. Yapılan bu işleme anahtarlama (switching) denir. Tüm ikinci katman anahtarları bu prensibe göre çalışır. Anahtarlama cihazlarının önemli bir zafiyeti, anahtarın MAC adres tablosunun dolması durumunda ortaya çıkmaktadır. Anahtarların MAC adres tablolarının bir sınırı vardır. Bu kapasite, cihazın marka, model ve donanımına bağlı olarak değişiklik göstermektedir. Gelen çerçevenin hedef MAC adresi anahtarın MAC adres tablosunda bulunduğu takdirde anahtar bu çerçeveyi ilgili porta gönderecektir. Fakat anahtara gelen çerçevenin hedef MAC adresi, anahtarın MAC adres tablosunda bulunmadığı durumlarda, anahtar çerçeveyi tüm portlarına yollayacaktır. Saldırgan anahtar üzerinde herhangi bir port yönlendirmesi yapmadan, sadece anahtarın MAC adres tablosunu sahte MAC adresleriyle doldurmak suretiyle, anahtar üzerindeki tüm trafiği dinleyebilir duruma gelebilir. Bu durum ayrıca anahtarın performansına da olumsuz etki edecektir. Bu saldırılara karşı alınabilecek önlemler şu şekilde sıralanabilir. 12 / 45

13 Çoğu anahtarlama cihazı modelinin desteklediği port security özelliği ile belirli bir porta bağlanabilecek MAC adresleri sınırlandırılabilir. (config-if)# switchport mode access (config-if)# switchport port-security (config-if)# switchport port-security violation restrict (config-if)# switchport port-security maximum 3 (config-if)# switchport port-security mac-address sticky Çoğu ürün AAA (Authentication-Authorization-Accounting) sunucu üzerinden kimlik doğrulanan MAC adreslerini keşfetme özelliğine ve sonrasında filtreleme özelliğine sahiptir. Bu özelliğe sahip cihazların kullanılması, MAC seli saldırılarına karşı korunmaya yardımcı olur Kablosuz Ağlar ve ARP Kablosuz ağlar şimdiye kadar bahsedilen yerel ağ saldırı yöntemlerindeki bütün tehlikelere maruz kalabilir. Bu yöntemlerin başında paket yakalama ve ARP saldırıları gelmektedir. Ağa bağlı olan saldırgan, ağdaki diğer bilgisayarlara sahte ARP paketleri göndererek ARP tablolarını zehirleyip araya girerek trafiği üstünden geçirebilir. Biraz daha ileri gidebilecek bir saldırgan oturumlara müdahale edebilme, SSH/SSL gibi kriptolu oturumların el değiştirmelerine müdahale edebilme saldırıları da düzenleyebilmektedir. Veya MAC seli saldırı ile erişim noktasını devre dışı bırakabilir. Kablosuz ağa bağlı istemcilere gönderilecek sahte de-authenticate mesajları ile kablosuz ağa DoS ataklarının yapılması mümkündür. Erişim noktasından geliyormuş gibi tüm bağlı istemcilere gönderilecek de-authenticate mesajları ile ağa bağlı belirli ya da bütün istemcilerin ağdan kopması sağlanabilir. Bu işlem ağ içerisinde kullanılan şifreleme mekanizmalarının öncesinde ağdaki erişim noktasını belirtir mesajlar olduğu için şifreleme mekanizmasına bakılmaksızın gerçekleştirilebilir bir atak türüdür. 13 / 45

14 Şekil 2 Kablosuz Ağlara Yönelik De-auth Saldırısı Önlem olarak şu an için en güçlü şifreleme algoritması olan WPA2 Enterprise kullanılmalıdır. Tüm erişimin kablosuz ağ üzerinden sağlandığı durumlar için VPN kullanılması da önerilebilir. Ayrıca kablosuz ağa girebilecek MAC adresleri de filtrelenmelidir. MAC adreslerinin nasıl filtrelenebileceği MAC Seli ve Servis Dışı Bırakma bölümünde gösterilmiştir. Ağa dâhil olan kullanıcıların, varsayılan ağ geçidi MAC adresini statik olarak (statik ARP kaydı) eklemeleri de bu saldırıya karşı kullanıcıların alabileceği bir önlemdir. Statik ARP kaydı şu şekilde eklenebilmektedir. #arp s CA-E VTP Atağı VTP, ağ yöneticilerinin VLAN'lerin eklenmesi, silinmesi ve isimlerinin değiştirilmesi gibi olayları merkezi bir şekilde yapmasını sağlayan, Cisco cihazlara özgü bir protokoldür. Saldırgan, anahtarın portuna bağladığı bilgisayarının portunu trunk port olarak tanımlayıp ağa sahte VTP mesajları göndermek suretiyle, anahtara VLAN ekleyebilir, silebilir ya da değişiklik yapabilir. VTP ataklarına karşı Port Security ile belirli bir porttan hizmet alabilecek MAC adresleri sınırlandırılabilir. Uygun bir yapılandırma ile porta varsayılan güvenlik politikası uygulanarak o porttan sadece belirli sayıda MAC adresinin iletişime geçebilmesi sağlanır. Aksi bir durumda port ERR-DISABLE duruma geçecek ve üzerinden trafik geçirmeyecektir. Cisco IOS için örnek bir yapılandırma şu şekildedir. 14 / 45

15 (config-if)# switchport mode access (config-if)# switchport port-security (config-if)# switchport port-security violation shutdown (config-if)# switchport port-security maximum 3 (config-if)# switchport port-security mac-address sticky (config-if)# switchport port-security aging time 10 (config-if)# switchport port-security aging type inactivity 3.3 Ağ Katmanı Bu katmandaki saldırılar genel olarak ICMP ve IP protokollerinin zayıflıklarına yönelmektedir IP Sahteciliği (Spoofing) İstenilen IP adresinden TCP/IP paketleri (TCP, UDP, IP, ICMP, HTTP, SMTP, DNS vb.) gönderebilme işlemine IP sahteciliği denir. IP protokolünde herhangi bir doğrulama mekanizması olmadığından sahte IP paketini alan taraf paketin gerçekten gönderilen IP adresinden gelip gelmediğini bilemez. Bu işlem için çeşitli ücretsiz/açık kaynak kod/ticari yazılımlar bulunmaktadır. Teorik olarak IP sahteciliği tüm protokollerde mümkünken pratikte UDP kullanan uygulamalarda gerçekleştirilebilir fakat TCP tabanlı uygulama seviyesi protokollerde gerçekleştirilemez. Bunun temel nedeni TCP başlık bilgisinde yer alan sıra numaralarının tahmin edilemez şekilde üretilmesidir. TCP, bağlantı kurulmadan önce her iki uç arasında üçlü el sıkışma işlemini tamamlamayı zorunlu kıldığı için bu aşamaları geçmeden iki uç arasında veri transferi normal yollardan gerçekleştirilemez. IP sahteciliğine karşı savunma yöntemi olarak, ağdaki kullanıcıların IP adreslerini değiştirme hakkı kaldırılmalıdır. Bu işlem farklı güvenlik politikalarıyla uygulanabilir. Paket filtreleme de bu saldırılara karşı bir savunmadır. Bir ağ için ağ geçidi genellikle ağ içindeki bir kaynak adresi ile dış ağdan gelen paketleri filtreler. Bu, bir dış saldırganın bir iç makinenin adresine sızmasını önler. F5 Firewall üzerinde örnek bir paket filtreleme işlemi şu şekilde uygulanabilir. #create /net packet-filter icmpdrop order 5 action discard rule "( proto ICMP ) and ( src net /20 )" #save sys config 15 / 45

16 IP sahteciliği günümüzde yoğunlukla DDoS saldırılarında kullanılmaktadır. DDoS saldırılarının da stateful olmayan protokollerle gerçekleştirilen bölümünde geçerlidir. Yani HTTP GET seli sahte IP adreslerinden gerçekleştirilemez. Ama SYN, ACK, UDP, DNS seli gibi saldırılar gerçekleştirilebilir ICMP Seli İstemcinin, hedef sisteme gönderdiği ICMP Echo Request paketine karşılık hedef sistem ICMP Echo Reply paketi gönderir. Bu yapıdan faydalanılarak, saldırgan makineler çok sayıda ICMP Echo Request paketi gönderir. Kurban sistem, gelen tüm bu isteklere cevap vermek için çaba harcar ve yorulmaya başlar. Sistem kaynakları bunlara cevap veremez hale gelir ve erişilemez duruma düşer. Önlem olarak ICMP paketlerine cevap vermesi gerekli olmayan sunucuların bu paketlere cevap verme özelliği kapatılmalıdır. Linux Iptables ile ICMP istekleri şu şekilde engellenebilir. iptables -A INPUT -p icmp --icmp-type echo-request -j DROP ICMP Smurf Çok sayıda cevap paketi ile hedefin gerçek trafiği alması engellenir. Bu tür ataklar amplification attacks veya smurf attack olarak da adlandırılır. Saldırgan, saldırmayı hedeflediği bilgisayarın IP sinden paket geldiğinin sanılması için, kaynak adresi bu IP olan broadcast ping paketleri oluşturur ve gönderir. Gönderilen ping paketlerinin cevabı gerçekte bu IP ye sahip olan bilgisayara gider ve orada gereksiz trafik yaratarak bilgisayarın ağa ulaşması engellenir. Şekil 3 Smurf Saldırısı 16 / 45

17 Ağ cihazları üzerinde yapılacak bir yapılandırma ile broadcast adreslerine paket gönderilmesi engellenerek bu saldırının önüne geçilebilir. Cisco yönlendirici üzerinde örnek bir yapılandırma şu şekildedir: (config-if)#no ip directed-broadcast Teardrop Bu tür saldırılar büyük IP paketlerinin parçalara bölünmesi sistemini kullanır. Parçalanan IP paketi bir paket ile alıcı sisteme paketin parçalarını belirtir. Teardrop saldırılarında saldırganlar bu parçalanmayı karıştıran offset değeri (overlapped, oversized) üreterek alıcı sistemi bozmayı amaçlar. Fragment Offset değeri eğer bir datagram parçalanmışsa, ilgili parçanın bütündeki yerini gösterir. Bu saldırı yöntemine karşı işletim sistemleri önlemlerini almış olup, güncel işletim sistemleri bu saldırıları engellemektedir. Örneğin Linux tabanlı işletim sistemlerinde / ve üzeri sürümlerinde bu saldırıya karşı önlemler alınmıştır LAND Saldırısı Bu saldırı; aynı kaynak ve hedef; yani hedefin IP adresi ve portunu kaynak IP olarak belirten sahte paketler gönderilmesi mantığı ile çalışır. Hedef ve kaynak aynı olduğundan hedef kendi gönderdiği istek paketini alır. Alınan veri beklenen tür ile uyuşmadığı için ACK isteği tekrar gönderilir. Böylece birim zamanda hedef sisteme gelen paket sayısı 2 katına çıkar. Güncel işletim sistemlerinde sahte IP koruması olduğundan bu saldırının uygulanabilirliği azalmış durumdadır. 17 / 45

18 Şekil 4 LAND Saldırısı LAND saldırılarına karşı güvenlik duvarları üzerinde önlemler alınabilir. Juniper güvenlik duvarı üzerinde aşağıdaki yapılandırmalar yapılarak bu saldırı türü engellenebilir. user@host# set security screen land tcp land user@host# set security zones security-zone zone screen land 3.4 Taşıma Katmanı Taşıma katmanında yapılacak servis dışı bırakma testleri Botnetler kullanılarak gerçek IP adreslerinden yapılabileceği gibi sınırlı sayıdaki makine üzerinden oluşturulacak sahte IP adresli paketler gönderilerek te yapılabilir TCP TCP protokolü connection-oriented (bağlantı yönelimli) olarak adlandırılan ve iki bilgisayar arasında veri transferi yapılmadan önce bağlantının kurulması ve veri iletiminin garantili olarak yapıldığı bir protokoldür. Gönderen ve alan uygulamalarda da port bilgisi eklenir. Port, kaynak ve hedef uygulamanın iletişimini sağlar. 18 / 45

19 Buradaki bağlantı yönelimli ifadesi şu anlama gelmektedir: İstemciler iletişime geçmeden önce aralarında bir oturum kurulur. Oturumun açılması sırasında istemciler kendi iletişim parametrelerini birbirlerine iletir ve iletişim esnasında bu parametrelere göre hareket edilir. TCP protokolüne yönelik saldırı tipleri şu şekildedir: TCP SYN Seli SYN akışı saldırısında saldırgan rastgele kaynak adrese sahip SYN bayraklı paketleri hedef sisteme gönderir. Hedef sisteme ulaşan SYN paketlerine sunucu SYN-ACK paketi ile karşılık verir. Fakat kaynak adresi rastgele olarak ayarlandığı için sunucunun gönderdiği paketler atağın gerçekleştirildiği sisteme gitmeyecektir. Sunucunun gönderdiği SYN-ACK paketi eğer kaynağı rastgele oluşturulmuş sisteme ulaşırsa, paketi alan sistem böyle bir oturum bilgisinin kendisinde olmadığını hedef sisteme RST paketi göndererek belirtir. Hedef sistem bu paketi alınca oturumu hemen kapatır. Fakat SYN-ACK paketi kaynak adresi rastgele oluşturulmuş sisteme ulaşamazsa hedef sistem bir süre bekledikten sonra paketin yolda kaybolmuş olacağını düşünerek tekrar SYN- ACK paketi gönderir. Bu bir süre böyle devam ettirildiğinde sunucu üzerinde yarım açık bağlantılar kurulmuş olur. Eğer saldırgan sunucu üzerinde yeteri kadar yarım açık bağlantı kurabilirse kaynakları tükeneceği için sunucu kendisine gelen legal isteklere cevap veremeyecektir. Şekil 5 TCP SYN Seli Saldırısı 19 / 45

20 Bu tipteki saldırıların yönetimi sağlanan ağdan dışarı yönlü oluşması engellenebilir. Buna göre, eğer internet çıkışında yer alan yönlendiricide urpf (Unicast Reverse Path Forwarding) özelliği etkinleştirilmişse üretilen sahte paketlerin yönlendiriciden çıkışı engelleneceği için hedef sisteme herhangi bir etki ulaşmayacaktır. urpf'teki temel mantık paketin kaynak IP adresinin yönlendirme tablosu ile karşılaştırılarak uygun arabirimden gelip gelmediğinin kontrolü sonucu paketin düşürülmesidir. Yani gönderilecek paketler kullanılan sistemle aynı alt ağdan üretilirse (mesela DDoS testi için kullanılan sistemin IP adresi /24 olsun, burada /24 alt ağından rastgele IP kullanılabilir) urpf e takılmadan hedef sisteme erişecektir. Saldırı esnasında elde edilen örnek bir ddos.pcap paket kayıt dosyası kullanılarak saldırıya dair aşağıdaki analizler gerçekleştirilebilir. Saldırının şiddetini belirleme; Tcpstat ile: # tcpstat -r ddos.pcap -o "Byte/s:%B MinPacketSize:%m PPS:%p TCP:%T UDP:%U \n" 5 Tcpdstat ile: # tcpdstat -n ddos.pcap Saldırı kaynağını belirleme; Tcpdump ile: # tcpdump -n -r ddos.pcap awk -F" " '{print $3}' cut -f1,2,3,4 -d"." sort -n uniq -c Tshark ile: # tshark -r ddos.pcap -z iphosts, tree -qn Saldırıyı yapan kaynakların işletim sistemlerini belirlemek için p0f aracından yararlanılabilir. # p0f -s ddos.pcap -N 20 / 45

21 Her işletim sistemi bu tipteki saldırılara karşı benzer çözüm önermektedir. Bu önerileri şu şekilde sıralayabiliriz: Açılabilecek en fazla yarı açık (half-open) bağlantı sayısının arttırılabilir. Linux işletim sistemlerinde şu şekilde bir komut ile en fazla olabilecek yarı açık bağlantı sayısı = olarak ayarlanmış olur. sysctl net.ipv4.ip_local_port_range = Yarı açık bağlantılarda bekleme süresinin kısaltılabilir. Linux işletim sistemlerinde şu şekilde bir komut ile yarı açık bağlantılarda bekleme süresi 10 saniye ile sınırlandırılmış olur. net.ipv4.tcp_fin_timeout = 60 SYN Cookie ve SYN Proxy kullanılabilir. pfsense güvenlik duvarı üzerinde SYN Proxy i etkinleştirmek için cihazın arayüzü üzerinde Firewall > Rules > State Type sekmesindeki synproxy state aktif hale getirilmelidir. SYN Cookies i etkinleştirmek için ise System > Advanced > System Tunables değeri 1 olarak ayarlanmalıdır TCP Bağlantı Seli TCP bağlantı seli saldırılarında, hedef sunucuda rate limiting sistemi yoksa çok kısa sürede hedef sistemin oturum limitleri doldurulabilmektedir. Sahte IP adreslerinden Botnet benzetimi yapılamadığı için tam manasıyla bir DDoS değil, DoS olmaktadır. TCP tabanlı sel saldırılarına karşı alınabilecek önlemler şu şekildedir: 1. IP adresi filtrelemesi yapılmalıdır. Windows IIS7 için Dynamic IP Restrictions özelliği (feature) üzerinde bir IP adresinden aynı anda kaç bağlantı kurulabileceği ayarlanabilmektedir. Aynı özellik ile bir IP adresinden belirli bir süre (ms) içerisinde en fazla yapılabilecek istek sayısı sınırlandırılabilmektedir. Şekil 8 deki örnek yapılandırmaya göre bir IP adresi aynı anda 5 istekte bulunabilecektir ve 20 milisaniye içerisinde en fazla 20 istekte bulunabilecektir. 21 / 45

22 Şekil 6 Dynamic IP Restriction yapılandırması 2. Açılabilecek yarı açık bağlantı sayısı artırılmalıdır TCP SYN Seli kısmında bu önlemin nasıl alınacağı gösterilmiştir. 3. Yarı açık bağlantılarda bekleme süresi kısa tutulmalıdır TCP SYN Seli kısmında bu önlemin nasıl alınacağı gösterilmiştir. 4. SYN Cookies aktif hale getirilmelidir TCP SYN Seli kısmında bu önlemin nasıl alınacağı gösterilmiştir. 5. Doğru yapılandırılmış Güvenlik duvarı ve Proxy sunucu kullanılmalıdır UDP UDP de bir gönderim katmanı protokoldür. Ancak UDP iletiminde sağlama yapılmadığı (connectionless) için gönderim garantisi olmaz. Gerçek zamanlı iletimde, az miktardaki verilerin iletiminde kullanılır. İletişim sırasında bağlantı oluşturmaz Hata denetimi yoktur. Kaybolan paketin yeniden gönderilmesi söz konusu değildir. Veri aktarımı daha hızlıdır. NetBIOS name ve SNMP servisleri UDP kullanan uygulamalara örnektir. UDP de herhangi bir doğrulama mekanizması olmadığı için spoofing vb. saldırılara açıktır. Bahsedilen iki protokol olan TCP ve UDP için geçerli DDoS saldırıları ayrı bir bölüm olarak ele alınacaktır. 22 / 45

23 Fraggle Bu saldırı türü de smurf saldırı türüne benzerlik göstermektedir. Ancak ICMP paketleri yerine UDP ECHO paketleri, kurban sistem IP adres bilgisi ile paketler tüm ağa gönderilmektedir. Unix sistemlerde kullanılan chargen (udp/19) ve echo (udp/7) servisleri için gerçekleştirilen saldırı türüdür. Tüm ağdan gelen paketler kurbanı sistemi hedef alacağından bir süre sonra kurban sistemin yeni isteklere cevap veremez hale gelmesi hedeflenmektedir. Broadcast adreslerine paket gönderilmesinin engellenmesi, smurf saldırısında olduğu gibi bu saldırı yöntemine karşı da alınması gereken bir önlemdir ICMP Smurf bölümünde Cisco yönlendirici üzerinde yapılabilecek örnek bir yapılandırma gösterilmiştir UDP Seli İki şekilde gerçekleştirilebilir. Birincisi hedef üzerinde açık UDP portu var ve bu port üzerinde çalışan bir uygulama varsa şekil bozukluğuna uğratılmış ve rastgele kaynak adresli oluşturulmuş UDP paketleri hedefe gönderilerek sunucu üzerinde çalışan servisin işleyişinin sekteye uğratılması hedeflenir. İkincisi hedef sistem üzerinde açık UDP portu var fakat bu port üzerinde çalışan bir uygulamanın olmadığı durumda sunucunun açık olan UDP portuna rastgele kaynaklı UDP paketleri gönderilir. UDP paketlerini alan hedef sistem bu port üzerinde bir uygulamanın çalışmadığını belirtmek için UDP protokolünün bir özelliği olarak ICMP port unreachable paketi ile cevaplar. Bu durumun sunucu üzerinde bir yoğunluk oluşturup cevap veremez hale gelmesi hedeflenir. Bu tür saldırıların etkisi rate limit (istek aşımı) yöntemi ile azaltılabilir. Çoğu işletim sistemi de ICMP cevaplarının gönderildiği adresleri bu yöntemle kısıtlayarak saldırının etkisini azaltmaktadır. Güvenlik duvarı da bu saldırılara karşı koruma sağlar. Güvenlik duvarı zararlı UDP paketlerini düşürür. Böylelikle zararlı UDP paketleri kurbana ulaşmaz ve kurbanın bu paketlere cevap vermesi önlenmiş olur. Linux bir cihaz üzerinde şu şekilde bir rate limit ayarı yapılabilir. # iptables -p udp --dport 53 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP 23 / 45

24 3.5 Uygulama Katmanı Şekil 7 UDP Seli Saldırısı Bilgisayar uygulaması ile ağ arasındaki arabirim görevi yerine getirir. Katmanların sıralanışında kullanıcıya en yakın olanıdır. Dolayısıyla kullanıcının gereksinimlerin karşılar (veritabanı uygulaması ya da uygulaması gibi). Sadece bu katman diğer katmanlara servis sağlamaz. Bu katmandaki protokol tipleri alt katmanlara oranla fazlalık gösterdiği ve de onlara bağlı olduğu için servis dışı bırakma amaçlı saldırılar çeşitlilik göstermektedir UDP Seli TCP/IP protokolünü kullanan bir ağda her bilgisayar için ortalama beş parametre tanımlamak gerekir: I. IP adresi II. Subnet maskesi 24 / 45

25 III. Varsayılan ağ geçidi adresi IV. DNS sunucu adresi V. WINS sunucu adresi DHCP, bilgisayarlara IP adresi ve subnet maskesi başta olmak üzere TCP/IP parametrelerini otomatik olarak dağıtan bir protokoldür. DHCP, daha eski bir protokolün, BOOTP protokolünün geliştirilmişidir. Otomatik olarak IP adresi alma ayarıyla ağa bağlanmış olan bir bilgisayar, IP adresi almak için adresine UDP 67 numaralı hedef portuna bir istek mesajı gönderir. Bu mesaja DHCP DISCOVER mesajı denir. DHCP DISCOVER mesajını alan DHCP sunucusu bu mesaja UDP 68 numaralı hedef portu üzerinden DHCP OFFER mesajıyla karşılık verir. DHCP sunucusu tarafından gönderilen bu DHCP OFFER mesajında; istemcinin MAC adresi, istemciye verilecek olan IP adresi, ağ maskesi bilgisi, verilecek olan IP adresinin geçerlilik süresi ve IP dağıtan DHCP sunucusunun IP adresi yer alır. Bir istemci aynı anda sadece bir DHCP sunucusundan gelen DHCP OFFER mesajını değerlendirebilir. İstemci kendisine en önce ulaşan DHCP OFFER mesajını hesaba katar. Bir DHCP sunucusundan gelen DHCP OFFER mesajını alan istemci bu mesaja DHCP REQUEST mesajıyla karşılık verir. DHCP REQUEST mesajı da adresine yollanmak durumundadır. Çünkü IP adresi alma sürecinin bu aşamasında istemcinin henüz bir IP adresi bulunmamaktadır. DHCP REQUEST mesajını alan DHCP sunucusu bu mesaja DHCPACK mesajıyla karşılık vererek istemcinin IP adresi isteğini onaylamış olur. Böylece istemci, IP adresini ve diğer ağ parametrelerini DHCP sunucusundan almış olur. 25 / 45

26 Şekil 8 DHCP Çalışma Mantığı DHCP Açlık (Starvation) Atağı Ağda DHCP sunucu üzerinden hizmet alan bilgisayarların MAC adres bilgilerini değiştirerek sürekli olarak farklı ip adresi alınmasıyla DHCP sunucu ip havuzu tüketilerek, ağa dâhil olan yeni cihazların veya ip adres bilgilerini yenilemek isteyen cihazların bu bilgiyi doğru şekilde temin etmesi engellenmektedir. Bu şekilde ağ içerisinde hizmet verememe gibi durumlar meydana gelebileceği gibi korsan DHCP sunucu yardımıyla istemcilerle hedef arasına girilebilir. Anahtarlama cihazları üzerinde port security özelliği ile belirli bir porttan gelebilecek DHCP istekleri sınırlandırılarak bu saldırının önüne geçilebilir VTP Atağı bölümünde port security özelliği ile ilgili örnek bir yapılandırma gösterilmiştir Sahte / Yetkisiz DHCP Sunucular Ağa sahte bir DHCP sunucusunun koyulmasıyla saldırgan, istemcilere IP adreslerini ve diğer ağ bilgilerini sağlar. DHCP cevap paketlerinin içerisinde varsayılan ağ geçidi ve DNS sunucularının 26 / 45

27 adresleri de yer almaktadır. Saldırgan sahte DHCP sunucusuyla istemcilere varsayılan ağ geçidi ve DNS sunucusu olarak kendi bilgisayarının adresini verebilir. Böylece ağdan dışarı çıkacak olan tüm paketler saldırganın bilgisayarı üzerinden geçecektir. Snooping özelliğini destekleyen ağ cihazları üzerinde, bu özelliğin etkinleştirilmesiyle bu tür saldırıların önüne geçilebilir. Snooping özelliği ile DHCP sunucusunun hangi portlar üzerinden yayın yapacağı cihaza öğretilerek, diğer portlardan DHCP yayını yapılması engellenmiş olur. Cisco IOS üzerinde örnek bir yapılandırma şu şekildedir. (config)# ip dhcp snooping vlan (config)# interface GigabitEthernet 6/17 (config-if)# ip dhcp snooping trust SNMP Ağ içerisinde bulunan yönlendirici, anahtar ve HUB gibi cihazların yönetimi için kullanılır. SNMP desteği olan ağ cihazları SNMP mesaj alış verişiyle uzaktan yönetilebilir. Bunun için cihazlarda SNMP ajanı (agent) olmalıdır. SNMP farklı türdeki makinelerin kolaylıkla yönetilmesi ve sorunlar hakkında bilgi edinilmesi amacı ile tasarlanmış bir protokoldür. Şekil 9 SNMP Protokolü SNMP, UDP üzerinden çalışan bir protokol olduğundan dolayı IP sahteciliği yapılabilmektedir. Bundan dolayı SNMP servisi açık olan sunucular hedef alınarak UDP akış seli saldırısı gerçekleştirilebileceği gibi topluluk adının bilinmesi ile SNMP sorguları yapılarak sistem yorulabilmekte hatta bu sorgulara yönelik cevaplar başka bir kurbana yönlendirilerek saldırının etkisi yükseltilebilmektedir. Bu protokole yönelik yapılan saldırılara karşı alınması gereken birtakım önlemler vardır. Öncelikle bu protokol kullanılmıyorsa kapatılmalıdır. Kullanılıyorsa da en güncel sürümü olan SNMPv3 ün 27 / 45

28 kullanılması tercih edilmelidir. SNMPv3 ile gönderilen/alınan SNMP paketlerinin gizlilik ve bütünlüğü koruma altına alınmıştır. SNMPv1 ve SNMPv2 yi destekleyen tüm cihazlarda varsayılan topluluk ismi public ve private olarak ayarlanmıştır. Eğer bu sürümler kullanılıyor ise, varsayılan bu topluluk isimleri tahmin edilmesi zor topluluk isimleriyle değiştirilmelidir. Cisco cihaz üzerinde varsayılan topluluk isimleri şu şekilde bir yapılandırma ile okuma hakkı olan topluluk adı XXXX ve okuma-yazma hakkı olan topluluk adı YYYY olarak ayarlanmış olur. Router(config)#no snmp-server community public RO Router(config)#snmp-server community XXXX RO Router(config)#no snmp-server community private RW Router(config)#snmp-server community YYYY RW SMTP İstemciler arasında mesaj iletişimini sağlayan bir uygulama katmanı protokolüdür. SMTP'nin ana amacı postalama yapmaktır. Mesajın düzenlenmesi gibi işlemlerle uğraşmaz. Elektronik postaların güvenli bir şekilde adreslerine ulaşabilmesi için TCP servislerinden yararlanır. SMTP iletişiminde mesaj üç aşamadan Gönderici-SMTP ile Alıcı-SMTP arasında yapılır. I. Birinci aşamada bir TCP bağlantısı kurulur. II. İkinci aşamada veri aktarımı yapılır. III. Üçüncü aşamada bağlantı sona erdirilir. E-posta akışı saldırısında amaç hedef aynı anda çok sayıda e-posta göndererek sunucu sisteminin hizmet vermesinin engellenmesidir. Hedef e-posta sunucu servisinin kuyruğunda işlenmek üzere çok fazla sayıda e-posta birikmesi sağlanmaktadır. Bu şekilde yeni e-postaların işlenmesi engellenmektedir. Bu e-postaların boyutu büyük olabileceği gibi virüslü eklentilerin yollanması ile spam e-posta ağ geçitlerinin de yorulması amaçlanmaktadır. SMTP herkese açık TCP protokolü üzerinden hizmet veren bir servis olduğundan dolayı, SYN akış saldırıları için de hedef arz etmektedir. Bu saldırıda TCP 25 numaralı porta gönderilecek olan SYN 28 / 45

29 bayrağı aktif hale getirilmiş paketler ile hedef sistemin kaynaklarını tüketmek amaçlanmaktadır. SYN seli saldırıları kısmında belirtilen önlemler burada da geçerlidir DNS DNS, 256 karaktere kadar büyüyebilen host isimlerini IP'ye çevirmek için kullanılan sistemdir. Host ismi, tümüyle tanımlanmış etki alanı ismi (Fully Qualified Domain Name) olarak da bilinir ve hem sunucu adını hem de bulunduğu domaini gösterir. Örneğin, sge.tubitak.gov.tr isminde tubitak.gov.tr ifadesi domain, sge ifadesi ise bu domaindeki tek bir sunucuyu belirtir. Şekil 10 Alan Adı Uzayı DNS sisteminin tarihi 1984 yılına kadar uzanmakta olup öncesinde böyle bir sistem bulunmamaktadır. O yıla kadar host ismi-ip adresi çözümlemesi için HOSTS adında bir metin dosyası kullanılmaktaydı. Dolayısıyla böyle bir sistemin sağlıklı işleyebilmesi için HOSTS dosyası içeriğinin hep güncel kalması gerekiyordu. Bu amaçla da istemciler dosyanın aslının saklandığı ABD'deki Stanford Üniversitesine belli aralıklarla bağlanarak kopyalama yapıyordu. Bazı DNS kayıt tipleri Tablo da görüldüğü şekildedir. Kayıt Tipi Açıklama A (Address Record) Adres kaydı olup host isimleri ile IPv4 eşleşmesi yapılır. MX (Mail Exchanger) Sistemde bulunan mail sunucuları tanımlamak için kullanılır. PTR (Pointer Record) IP adresinden isme eşleme yapan kayıttır. AAA (Address Record) Adres kaydı olup host isimleri ile IPv6 eşleşmesi yapılır. SOA (Start Of Authority) Bir DNS sunucunun o zone dan sorumlu olduğunu belirler. TXT (Text) Belirli bir kaynak hakkında, nerede bulunduğu ve sahipliği gibi bilgileri içeren kayıttır. CNAME (Canonical Name) Alias yani takma isim yoluyla başka bir kayda yönlendirir. NS (Name Server) Ağ üzerinde bulunan ve kullanımda olan DNS sunucuları tanımlar. Şekil 11 DNS Kayıt Tipleri 29 / 45

30 Oldukça uzun süredir ve sık olarak kullanıldığı için bu protokol üzerinde zaman içerisinde çok çeşitli istismar yöntemleri ortaya çıkmıştır. Doğrudan DNS sistemlerin erişilebilirliğini hedef alan DDoS saldırıları da bunlardandır. Bu kapsamda UDP/53 portuna yönelik akış saldırısı, DNS sorgusu akış saldırısı, DNS yükseltme saldırısı gibi ataklar ile karşılaşılmaktadır. Çeşitli güvenlik firmaları tarafından geliştirilen DDoS engelleme ürünlerinde DNS seli saldırısı için bazı ayarlar olsa da bunlar ciddi saldırılarda genellikle işe yaramamaktadır. Bunun en temel sebebi DNS seli saldırılarında saldırganın istediği ip adresinden geliyormuş gibi saldırıyı gösterebilmesidir. Bu yüzden DNS sorgularını TCP protokolüne çevirme uygun bir çözüm yolu olmaktadır. Bu yöntemde DNS sunucu servisi ile inline modda çalışacak şekilde yapılandırılmış olan özel olarak yapılandırılmış bir DNS servisi mevcut bulunmaktadır. Gelen tüm DNS isteklerinin TCP protokolü ile yeniden gerçekleştirilmesi için, istekleri gönderen kaynak IP adreslerine bu istek gönderilir. Eğer IP sahteciliği gerçekleştirilmemişse legal DNS istekleri geleceğinden saldırı engellenmiş olacaktır. UDP Seli kısmında anlatılan önlemlerin alınması bu saldırı tiplerine karşı da savunmaya yardımcı olabilir Yinelemeli DNS Sorguları DNS sunucusunun dünyadaki bütün alan adlarını tutmasını ve bunlara yönelik cevap vermesinin mümkün olmamasından dolayı bu işlemi kolaylaştırmak için DNS Recursion yöntemi kullanılmaktadır. Bu yöntemde kullanılan DNS sunucusu istemci bilgisayarın kimliği ile diğer DNS sunuculara sorgular göndererek kendisinde bulunmayan alan adının isim çözümlemesinin yapılmasını sağlar. Yani kendi eğer bu sorguya cevap verebilecek durumda değilse istemciye olumsuz mesaj göndermek yerine ilk önce Root DNS lerden yardım ister. Saldırgan tarafından bu özellik kötü amaçlarla kullanılabilir. Şöyle ki rasgele ve anlamsız alan adı sorguları gönderilerek DNS sunucu belleğinin dolması ve hizmet dışı kalması amaçlanabilir. 30 / 45

31 Şekil 12 Yinelemeli DNS Sorguları Eğer kamuya açık bir DNS sunucu hizmeti verilmiyorsa bu yinelemeli DNS sorgularına izin verilmemelidir. BIND DNS sunucunda recursion özelliğini kapatmak için named.conf dosyası altında Options bölümü içine recursion on satırı eklenmelidir. Ya da sunucunun kendisi dışında herkese kapatmak için ise aşağıdaki satır eklenebilir. allow-recursion { ; } ; Microsoft IIS sunucuda yinelemeli DNS sorgular şu şekilde kapatılabilir. C:\Users\Administrator> dnscmd. /Config /NoRecursion DNS Sorgusu Seli Atak yapılacak DNS sunucusuna içeriğinde herhangi bir alan adına yönelik sorgu içeren paketler gönderilerek düzenlenebilir. Burada kaynak IP adresi sabit tutulabileceği gibi saldırgan sahte kaynak IP adresli paketler de gönderebilir. 31 / 45

32 Şekil 13 DNS Sorgu Seli saldırısı Sahte kaynak IP adreslerinden paket gönderilerek yapılan saldırılara karşı İlk Paketi Düşürme yöntemi kullanılabilir. Bu yöntemde ilk gelen paket engellenecek ve ardından aynı kaynak IP adresli sistemlerden gelen ikinci paket ve devamındaki paketler kabul edilecektir. Sürekli yeni IP adresi üretilerek rasgele IP adresinden paketler göndererek yapılan saldırılarda, bir IP adresinden sadece bir sorgu gönderildiği için, bu sorgu paketi düşürülecek ve dolayısıyla sunucuya hiç paket ulaşmamış olacaktır. Saldırı durumunda iletişim bağlantı tabanlı protokoller ile üzerinden yapılarak bu saldırı türüne karşı bir önlem alınabilir. Bunun için DNS sorgusu saldırısı fark edildiği anda, UDP/53 üzerinden çalışan DNS servisi sunucusunun TCP/53 üzerinden çalışması sağlanarak, bağlantı tabanlı erişimler dışında erişimler engellenebilir. Bu şekilde bir önlem ile sorguların geldiği sahte IP lerle bağlantı kurulamayacağı için bu saldırı da engellenmiş olur. EDNS tipi sunucularda DNS cevapları yaklaşık 4000 bayt olduğu için iletişim TCP üzerinden yapılacaktır. Bu tür durumlar incelendiğinde dönen cevabın TRUNCATED olarak belirtildiği görülebilir. Dolayısıyla bu tür TCP/53 üzerinden hizmet veren sunuculara SYN Seli, Bağlantı Seli tipi ataklar yapılabilir. Bu saldırı tiplerine karşı savunma yöntemlerinden ilgili bölümlerde bahsedilmiştir. 32 / 45

33 Anlık olarak DNS sorgu süresini ölçmek için aşağıdaki gibi bir komut setinden faydalanılabilir. #while true; do grep "Query time:"; sleep 2;done DNS Yükseltme (Amplification) Süreç aşağıdaki şekilde işlemektedir. Saldırgan hedef A kaydı için kurban kaynak IP adresine sahip bir DNS isteği gönderir. Kurban kaynak IP adresi ile gönderilen DNS isteği yinelemeli sorgulara izin veren bir DNS sunucusuna gönderilir. Gönderilen DNS isteği 512 bayt boyutundan küçük ancak olabildiğinde büyük olması saldırının şiddetini artırmaktadır. Çünkü 512 bayt boyutundan büyük DNS sorguları UDP ile değil TCP protokolü üzerinden iletilmektedir. Saldırı esnasında kullanılacak DNS paketlerinin boyutunun olabildiğince büyük olması ise saldırının şiddetini artırmaktadır. Saldırıya ait detaylar Şekil14 te görüldüğü gibi olmaktadır. Şekil 14 DNS Yükseltme Saldırısı 33 / 45

34 DNS yükseltme saldırısına karşı en verimli savunma yöntemi RRL (Response Rate Limiting) mekanizması olarak görülmektedir. Bu yöntem ile saldırıya hedef olabilecek sunucuya gelebilecek benzer DNS cevapları için bir eşik değeri belirlenir ve bu eşik değerinden fazla gelen DNS cevapları düşürülür. DNS yükseltme saldırıları aynı ya da benzer sorgular üzerinden gerçekleştiği için bu yöntem ile kurban sunucuya yapılabilecek DNS yükseltme saldırılarının önüne geçilmiş olur HTTP HTTP, WEB üzerinde verinin iletiminin kaynağı olan protokoldür. Sunucu istemci mimarisi içerisinde sorgu cevap ikilisine dayanan bir çalışma yapısına sahiptir. İstemci HTTP isteklerini sunucuya ileterek gelen cevaplara göre iletişim devam etmektedir.http oturumu kurulmadan önce istemci bağlantı kuracağı sunucunun IP adres bilgisini temin etmek için DNS sunucusuna sorgu gerçekleştirmekte ve ardından hedef sunucu ile TCP oturumu kurulmaktadır. İstemci tarafından gönderilen istekler birbirinden bağımsız olup her HTTP isteği için bir TCP bağlantısı kurulur. Şekil 15 http-tcp Bağlantı Kurulma Süreci TCP oturumunun kurulmasının ardından HTTP işlemleri gerçekleştirilecektir. Eğer güvenli bağlantı kurulacaksa öncelikle SSL bağlantısı ve ardından HTTP işlemleri gerçekleştirilmektedir. İşlemlerin tamamlanmasının ardından ise kurulan TCP bağlantısı sonlandırılmaktadır. Hedef servisin yanıt süresinin ölçülmesi için wget benzeri araçlardan yararlanılabileceği gibi httping [ yazılımından da faydalanılabilir. 34 / 45

35 # httpping bytes from ms (9.923c/23.074r/ d) 7816 bytes from ms (11.619c/22.971r/ d) 7816 bytes from ms (8.994c/25.091r/ d) 7816 bytes from ms (9.234c/23.9r/ d) 7816 bytes from ms (10.142c/46.579r/ d) ^C http_ping statistics fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%) total min/avg/max = / / ms connect min/avg/max = 8.994/9.9824/ ms response min/avg/max = /28.323/ ms data min/avg/max = / / ms HTTP GET Seli TCP oturumunun kurulması için gerekli üçlü el sıkışmanın tamamlanması için bağlantının gerçek IP adreslerinden kurulması gerekir. Dolayısıyla TCP SYN seli saldırısında olduğu gibi aynı makine üzerinde sahte IP adresleri ile saldırı yapılamaz. Web sunucuyu servis dışı bırakarak web sayfasının işlevsiz kalması ve o sayfa üzerinden verilen hizmetlerin kesintiye uğraması amacıyla gerçekleştirilebilecek bir HTTP GET akış saldırısında sahte olmayan IP adresleri ile bir ya da birden fazla makineden eşzamanlı olarak çok sayıda istek gönderilir. Apache JMeter veya ab araçları ile buna benzer testler gerçekleştirilebilir. TCP paketleri içerisindeki GET isteklerinin ayıklanabilmesi için tcpdump aşağıdaki şekilde kullanılabilir. # tcpdump -r getflood.pcap tcp port 80 and \( tcp[20:2] = \) Bir IP adresinin açabileceği oturum sayısının kısıtlanması Http Get Seli saldırılarına karşı alınabilecek önlemlerin en önemlisidir. Belirli bir oturum sayısını geçen IP adreslerinin kara listeye alınması Get Seli saldırılarına karşı alınabilecek önlemlerdendir. Reverse Proxy kullanımı ve 35 / 45

36 arkasında yük dağılımlı birden fazla eşlenik Web sunucusu kullanımı ile performans artışı da sağlanabilir. Get seli saldırısı anında alınabilecek önlemler de vardır. Bağlantı belirli bir coğrafik alandan geliyorsa bu coğrafi alandaki IP adresleri geoip veritabanı kullanılarak geçici olarak engellenebilir. Ya da sadece belirli bir coğrafik alandaki IP adreslerine hizmet verilebilmesi için bu adreslere izin verilip, geri kalan tüm IP ler engellenebilir. BotNet e dâhil olduğu bilinen IP adresleri de saldırı anında kara listeye alınıp, bağlantıları düşürülebilir. Bir kaynak IP adresinin açabileceği oturum sayısı azaltılabilir. Bu önlemin nasıl alınabileceğine dair bir örnekten TCP Bağlantı Seli kısmında bahsedilmiştir. Belirli bir oturum sayısını geçen IP adresleri kara listeye alınabilir. Bağlantı belirli bir coğrafik alandan geliyorsa bu coğrafi alandaki IP adresleri GEOIP veri tabanı kullanılarak geçici olarak engellenebilir. Ya da sadece belirli bir coğrafik alandaki IP adreslerine hizmet verebilmesi için bu adreslere izin verilip geri kalan her şey engellenebilir. İnternet üzerinde ülkelere ait IP bloklarını ücretsiz dağıtan çeşitli servisler vardır. Google üzerinden yapılacak country ip blocks araması sonucunda gelen kaynaklardan alınacak IP blokları beyaz/kara liste oluşturmakta kullanılabilir. Örnek olarak, engellenmek istenen IP blokları için pfsense güvenlik duvarı üzerinde Firewall > Rules > WAN > Add New Rule sekmesinde kural oluşturarak bu IP bloklarının erişimleri engellenebilir. Şekil 16 Ülke IP Kodları 36 / 45

37 Saldırı sırasında BotNet e dâhil olduğu bilinen IP adresler kara listeye alınıp düşürülebilir. pfsense üzerinde, BotNet e dâhil olduğu bilinen IP adres listeleri için bir önceki maddede belirtilen sekmeden kural oluşturularak erişimleri engellenebilir. Saldırı için bağlanılan kullanıcı bilgileri kullanılarak (user-agent, browser, Referrer vs.) IPS için imza oluşturup bu trafiğin engellenmesi sağlanır. Web sunucunun desteklediği DoS koruma modülleri kullanılabilir. Apache sunucu üzerinde DoS saldırılarına karşı mod_dosevasive modülü bulunmaktadır. Httpd.conf dosyası içerisinde aşağıdaki gibi örnek bir yapılandırma ile aktif hale getirilmiş olur. <IFMODULE mod_evasive20.c> DOSHashTableSize 6097 DOSPageCount 6 DOSSiteCount 150 DOSPageInterval 4 DOSSiteInterval 4 DOSBlockingPeriod 10 DOSBlockingPeriod 600 </IFMODULE> Reverse Proxy kullanımı ve arkasında yük dağılımlı birden fazla eşlenik Web sunucusu kullanımı ile performans artışı sağlanabilir SlowHTTP SlowHTTP saldırıları için yazılmış araçlar vardır. Bu araçlar kısmi HTTP istekleri gönderir. İstekleri yavaşlatarak HTTP sunucusunu servis dışı bırakacak yeterli kaynağı ele geçirmeyi amaçlar. Buradaki zafiyet HTTP protokolünde sunucunun bir isteği işlemesi için tamamını alması gereksiniminden kaynaklanır. Eğer HTTP isteği tam değilse veya transfer hızı çok yavaşsa sunucu verinin geri kalanını beklemek için kaynaklarını meşgul durumda tutar. Çok fazla kaynak meşgul durumda olduğunda servis hizmet dışı kalabilir. Microsoft IIS 6 sunucusunda slowhttp saldırılarını en aza indirmek için connectiontimeout, HeaderWaitTimeout, MaxConnections özellikleri en uygun seviyeye ayarlanmalıdır. IIS 7 sunucusunda benzer ayarlar olarak RequestLimits, headerlimits ve WebLimits özellikleri en uygun seviyeye ayarlanmalıdır. IIS 7 üzerinde IIS Manager > Sites > Web Site > Configuration Manager > system.webserver > security > requestfiltering > requestlimits > headerlimits sekmesinde 37 / 45

38 http header boyutunun maksimum ne kadar büyüklükte olacağı ayarlanabilmektedir. Aynı şekilde IIS Manager > SERVER2008 > Configuration Manager > system.applicationhost/weblimits sekmesinden bağlantı süresi ve http header bekleme süresi mümkün olduğu kadar kısa tutulmalıdır Slowloris Bu saldırı türü de yine web sunucu çalışan sistemlere yönelik yapılan bir saldırıdır. Saldırgan makinenin, çok az hat kullanarak hedef makinenin cevap veremez hale gelmesine imkân tanımaktadır. Burada saldırgan makine hedef sisteme çok fazla bağlantı kurar. Kurduğu bağlantılar üzerinden paketleri çok seyrek bir şekilde gönderir ve böylece bağlantının kopması engellenir. Kapanmayan ve boşa çıkmayan bu bağlantılar nedeniyle hedef sunucu yorulur ve cevap veremez hale gelir. SlowHTTP kısmında belirtilen önlemlerin alınması, bu saldırı türüne karşı da sistemi savunmaya yardımcı olur Yönlendirme Protokolleri Dağıtılmış bir algoritma ile yönlendirme işlemini gerçekleştiren ilk tasarlanan yönlendiriciler bilgisayar sayısı arttıkça yetersiz kalmaya başladı. Bunun üzerine hiyerarşik bir algoritma geliştirildi ve İnternet'e bağlı her bölgede IGP (Interior Gateway Protocol) protokolleri kullanılmaya başlandı. Bağımsız dış bölgelerde ise EGP (Exterior Gateway Protocol) protokolü ile birbirine bağlandı. Böylece hiyerarşik bir yapı geliştirilmiş oldu. Bu protokollere yönelik saldırılarda saldırgan yönlendiricinin yönlendirme protokolünü bozmadan yollanan paketlerin bir kopyasının kendine de yollanmasını sağlayabilir veya protokolleri kaldırarak yönlendiricinin diğer yönlendiricilerle haberleşmesini keser ve servis dışı bırakabilir. Kaynaktan yönlendirme, sahte RIP yönlendirmeleri, EGP istismarı, oturum çalma ve dinleme de olası saldırı tipleridir. Örneğin bir IGP protokolü olan RIP e yönelik bir atakta saldırgan istemcinin hedefe giden en iyi yolun kendisi olduğuna inandırabilir. Özellikle BGP gibi hem internetin temelini oluşturan hem de TCP tabanlı olan bir protokole yapılacak saldırılar oldukça önem arz etmektedir. Bu tehditlerden bazıları şu şekildedir: Route Manipulation: Kötü niyetle yapılandırılmış bir cihaz tarafından BGP yönlendirme tablosunun içeriği değiştirilerek mevcut trafiğin hedefe ulaşmasının engellenmesi sağlanır. Route (Prefix) Hijacking: Kötü niyetli bir BGP eşi tarafından zarar vermek amacıyla kurbana ait prefikslerin anons edilmesi ile trafiğin bir kısmının veya bütününün yeniden yönlendirilmesi ve trafiğinin içeriğinin görülmesidir. Servis Dışı Bırakma: Zararlı bir düğümün, beklenmeyen veya istenmeyen BGP trafiğini kurbanın CPU vb. gibi kaynaklarını tüketmek amacıyla yönlendirmesi suretiyle hedefi servis dışı bırakmasıdır. 38 / 45

39 Yapılandırma Hataları: BGP eşleri arasındaki sürecin bozulması; atanmamış, rezerve ASN kullanımı; İnternet üzerinde yönlendirilmeyen prefikslerin anonsu olarak gösterilebilir. IGRP için önlem olarak gönderilen ve alınan rotaları filtrelemektir. Örneğin IGRP yönlendirme protokolünü filtrelemek için yazılmış ACL aşağıda verilmiştir. # router eigrp network # distribute list 20 out ethernet 0 # distance 255 # distance # access-list 20 permit / 45

40 4. GENEL HATLARIYLA DDOS ÖNLEMLERİ Servis dışı bırakma saldırıları OSI katmanlarının hepsini hedef alacak şekilde yapılabilmektedir. Yapılan saldırılara karşı etkin bir çözüm yöntemi bulunmamasına karşın bazı yerel çözümler geliştirilmiştir. 4.1 IP Engelleme ve Beyaz / Kara Liste Kullanımı Bu genelde pek olası olmasa da ender uygulanabilir bir yöntemdir. Kaynak IP adresleri ya da IP aralıkları tespit edilebilirse, bu adresler için yazılacak bir güvenlik duvarı kuralı ile trafik engellenebilir. Tipik bir kara liste oluşturma yöntemidir. Engeller içeri ve dışarı yönlü olabilir. Bu yöntemde belirli kaynak IP adres aralıklarından gelen istekler haricindekiler engellenecektir. Burada kullanılan kaynak IP adresleri genellikle bölgesel veya ülkesel olarak lokasyona bağlı seçilmektedir. İnternet üzerinde ülkelere ait IP bloklarını ücretsiz dağıtan çeşitli servisler vardır. İnternet arama motorları üzerinden yapılacak country ip blocks araması sonucunda gelen kaynaklardan alınacak IP blokları beyaz/kara liste oluşturmakta kullanılabilir. 4.2 İstek Aşımı (Rate Limit) Bu yöntemde birim zamanda aynı kaynak IP adresli bilgisayar veya sunucu sistemlerinden gelecek olan cevaplar için bir eşik değeri belirlenir ve bu değerin aşılması durumunda istekler engellenir. Rate limit, uygulanabiliyorsa dinamik olarak uygulanabilir. Böylece normal zamandaki trafik öğrenilerek, bu trafiğe uygun bir değer sınır olarak kabul edilir. Bu değerin üstündeki trafik göz ardı edilir, yani düşürülür. Dinamik olarak belirlenemeyen durumlarda trafik gözle incelenir ve uygun bir statik değer atanır. Ancak bu yöntemin kötüye kullanımı ile legal trafiğin engellenmesi gibi durumlar ile kötüye kullanımı mevcuttur. # iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP 4.3 DNS İsteklerini TCP Protokolüne Çevirme Bu yöntemde DNS sunucu servisi ile inline modda çalışacak şekilde yapılandırılmış olan özel olarak yapılandırılmış bir DNS servisi mevcut bulunmaktadır. Gelen tüm DNS isteklerini TCP isteği olarak yeniden gerçekleştirilmesi için istekleri gönderen kaynak IP adreslerine gönderilir. Eğer IP sahteciliği gerçekleştirilmemişse legal DNS istekleri geleceğinden saldırı engellenmiş olacaktır. 40 / 45

41 4.4 İlk Paketi Düşürme DNS saldırılarına önerilen bu yöntemde ilk gelen paket engellenecek ve ardından aynı kaynak IP adresli sistemlerden gelen ikinci paket ve devamındaki paketler kabul edilecektir. Bu saldırı türüne karşı DDoS savunma cihazları veya güvenlik duvarları üzerinde önlemler alınabilmektedir. İlk paketi düşürme özelliğini destekleyen bazı güvenlik duvarı ve DDoS savunma cihazları bulunmaktadır. Bu cihazlar üzerinde gerekli yapılandırmaların yapılması ile bu saldırı türüne karşı bir önlem alınmış olur. Ancak bu yöntem de aşılması oldukça kolay bir yöntem olarak göze çarpmaktadır. Bu özelliği destekleyen Arbor Peakflow SP DDoS savunma cihazının üzerinde bu önlem Passive Mode seçilerek alınabilir. 4.5 SYN Cookie Syn Cookie özelliği etkin kılınmış bir sistemde gelen SYN paketi için sistemden bir kaynak ayrılmaz. Her paket gönderilirken oluşturulacak ISN numarası özel kriptografik bir işlem sonucu oluşturulmakta ve dönecek ACK cevabının bu kriptografik değere göre gelmesi beklenmektedir. Gelen ACK cevabı hesaplanan ISN numarasını takip eden bir numara ise bağlantı açılmakta ve hafızadan bu bağlantı için yer açılmaktadır. Yapılan işlem hafızayı çok iyi kullanmasına rağmen her gelen SYN paketi için işlemciyi meşgul etmektedir. Bu da ayrı bir darboğaz oluşturmaktadır. Dolayısıyla Güvenlik Duvarı, IPS gibi işlem gücü yüksek cihazları kullanarak bu korumayı etkin hale getirmek önerilmektedir. SYN Cookie özelliğinin etkinleştirilmesi için Juniper güvenlik duvarı üzerinde örnek yapılandırma aşağıda gösterilmiştir. set security screen ids-option external-syn-flood tcp syn-flood timeout 20 set security zones security-zone external screen external-syn-flood set security flow syn-flood-protection-mode syn-cookie commit 4.6 SYN Proxy SYN Proxy gerçek sunucu ile internet arasında durarak 3 yollu el sıkışmanın son ACK paketi gelmeden trafiğin web sunucusuna gitmesine izin vermez. Böylece tamamlanmayan el sıkışmalar oluşmadığı için hedef sistemin kaynakları tüketilmemiş olur. 41 / 45

42 Şekil 17 SYN Proxy Çalışma Mantığı Juniper güvenlik duvarı üzerinde SYN Proxy özelliğinin etkinleştirilmesi ile ilgili örnek yapılandırma aşağıda gösterilmiştir. set security screen ids-option external-syn-flood tcp syn-flood timeout 20 set security zones security-zone external screen external-syn-flood set security flow syn-flood-protection-mode syn-proxy 42 / 45

43 4.7 Anycast DNS Sunucu Kullanımı Anycast, Unicast-Multicast-Broadcast dışında IP ağları için kullanılan yönlendirme şemalarından biridir yılında tanımlanmasına karşın geniş bir kullanım alanına ve bilinilirliğe sahip değildir. En yaygın ve verimli olarak Kök DNS sunucuları tarafından kullanılmaktadır. 13 Kök DNS sunucusundan 7 tanesi bu teknolojiyi kullanmaktadır. Aynı IP adresine sahip farklı coğrafik alanlarda bulunan DNS sunucularına gelecek istekler kendilerine en yakın DNS sunucuya gönderilecektir. Yük dengelemek için kullanılan bu yöntem bir DNS sunucusuna gelebilecek DDoS saldırısında, coğrafik olarak farklı alanlarda bulunan DNS sunucuların saldırıdan etkilenmemesini sağlamakta dolayısıyla kuruma ait alan adı çözümleme işlemi devam etmektedir. Anycast adresler IPv6 ile ayrıca kullanılabilecektir. Saldırı esnasından kayıt yapan modüller geçici olarak kapatılabilir. DDoS saldırıları sırasında milyonlarca bazen milyarlarca farklı adresten gelen ağ trafiği özellikle güvenlik duvarı gibi cihazlar üzerinde bulunan kayıt modüllerinin trafiği işleyememelerine neden olmaktadır. Kayıt cihazlarını, farklı bir donanım üzerinde çalıştırılabiliyorsa, farklı bir cihaz üzerine almak oldukça mantıklı bir iş olacaktır. Şekil 18 IP Yönlendirme Şemaları 4.8 Atak Modeli ile Engelleme Yapılan saldırı analiz edilip trafiğin içerisinde belli bir imza tespit edilebilirse, bu imza, hedef sistemin önünde bulunan bir IPS cihazı üzerinde tanımlanarak engellenebilir. IPS sistemleri genel olarak imza tabanlı olduğundan, yazılabilecek bir imzayı içeren trafik engellenebilir. IPS sistemlerinin verimli çalışabilmesi için imza veritabanlarının güncel tutulması gereklidir. Ayrıca IPS sistemi seçilirken, bulunulan coğrafyadaki yaygın saldırılara karşı verdiği destek göz önünde bulundurulmalıdır. 43 / 45

44 4.9 HTTP GET / POST Seline Karşı Önlemler Bu saldırıların yapılabilmesi için gerçek IP adresleri ile bağlantı kurulması gerekmektedir. Web sunucu üzerinde ve ağ geçidi olarak kullanılan güvenlik duvarı üzerinde IP bazında ve açılacak oturum bazında limit ayarlamalarını gerçekleştirmek gerekmektedir. Bir kaynak IP adresinin açabileceği oturum sayısı azaltılabilir. Belirli bir oturum sayısını geçen IP adresleri kara listeye alınabilir. Bağlantı belirli bir coğrafik alandan geliyorsa bu coğrafi alandaki IP adresleri GEOIP veri tabanı kullanılarak geçici olarak engellenebilir. Ya da sadece belirli bir coğrafik alandaki IP adreslerine hizmet verebilmesi için bu adreslere izin verilip geri kalan her şey engellenebilir. Saldırı sırasında BotNet e dâhil olduğu bilinen IP adresler kara listeye alınıp düşürülebilir. Saldırı için bağlanılan kullanıcı bilgileri kullanılarak (user-agent, browser, Referrer vs.) IPS için imza oluşturup bu trafiğin engellenmesi sağlanır. Web sunucunun desteklediği DoS koruma modülleri kullanılabilir(apache mod_dosevasive vb.) Reverse Proxy kullanımı ve arkasında yük dağılımlı birden fazla eşlenik Web sunucusu kullanımı ile performans artışı sağlanabilir. Bu önlemlerin nasıl alınabileceğine dair örnekler ilgili başlıklar altında belirtilmiştir Saldırının Etkisini Azaltacak Proaktif Önlemler Hedef alınan sistem üzerindeki saldırıyı azaltmak için önlemler alınmalıdır. Bunun için: Kullanılmayan servisler kapatılmalıdır. ISP den saldırı yapılan IP adreslerine gelen trafiği kara deliğe yönlendirilmesi ya da limit koyma işlemi yapılması talep edilebilir. IDS imzası oluşturulup trafiğin engellenmesini sağlanabilir. DNS zaman aşımı süresi kısa tutulabilir. Web sitesinin statik html kopyası bulundurulmalı ve saldırı anında başka bir web sunucu üzerinde bu statik içerik sunulmalıdır. ISP ile irtibata geçerek ek bant genişliği talebinde bulunulabilir Korumaya Yönelik Hizmet Sağlayıcılarından Hizmet Alınması Servis dışı bırakma saldırılarına karşı hizmetler satın alınabilmektedir. Bu hizmetleri sağlayan İSS ler de bulunmaktadır. Bu hizmetler ile servis dışı bırakma saldırılarından görülecek zarar minimuma indirilebilir. Çünkü İSS tarafından alınmayan önlemler tüm trafiği kapsamadığından yeterli 44 / 45

45 olmayabilir. İSS den alınacak bu hizmet, saldırı olduğunda trafiğin temizlenerek tekrar doğru bir şekilde yönlendirilmesine imkân sağlamaktadır. Dolayısıyla servis dışı bırakma saldırılarına karşı bir hizmet satın alınması düşünülüyor ise önce İSS ile görüşülmesi tavsiye edilir. 45 / 45