fbpx
Back to Blog
DDOS SALDIRILARINA KARŞI KORUNMA REHBERİ
Category: Genel Post Date: 26 October 2020

DDOS Saldırılarına Karşı Korunma Rehberi

Giriş

Hizmet Engelleme saldırısı olarak bilinen DoS (Denial of Service ) saldırısı,  bir web sitesinin, sunucunun veya çevrimiçi hizmetin çalışmasının engellenmesi ya da fonksiyonunun tamamen  durdurulması maksadıyla başlatılan saldırılardır.  Başarılı bir DoS saldırısı hem hizmetin çalışmasını engeller, hem de diğer fonksiyonların tamamen ortadan kaldırılmasını sağlar; bu tür saldırılarda, yani birden fazla kaynağa yönelik başarılı saldırılar gerçekleştiğinde,  bu saldırılar Dağıtılmış Hizmet Reddi saldırıları ( DDoS/ Distributed Denial of Service ) olarak adlandırılır. 

DDoS saldırıları,  büyük zararlara sebep verebilen saldırılar olduğu için, özel işletmeler ya da çeşitli devlet kurumları için ciddi risk oluşturmaktadır. Bu nedenle kurumlardaki bilgi güvenliği yöneticilerinin bu tehditleri anlamları önemlidir. Her ne kadar bu tür saldırıları % 100 engellemek imkansız olsa da, bu  rehber, DDOS saldırının önlenmesi ve saldırının oluşması anında,  etki boyutunun en aza indirilmesi amaçlamıştır. 

DDOS Saldırı Türleri

Saldırganlar tarafından genellikle iki tür  DDoS saldırısı yöntemi uygulanmaktadır. Bunlar; 

  • Standart DDOS Saldırıları
  • Reflection (Yansıma) DDOS Saldırıları

Standart DDOS Saldırıları

 Standart bir DDoS saldırısı, saldırganlar önemli miktarda hatalı biçimlendirilmiş ağ trafiğini doğrudan hedef olarak,  sunucuya veya ağa saldırmaları durumunda  gerçekleşir. Saldırganlar bunu başarabilmek için genellikle  botnet kullanarak trafiği etkilemektedir. . Bir botnet, İnternet üzerinden bağlı, birbirleriyle iletişim kuran ve tek bir konumdan kontrol edilebilen çok sayıda ele geçirilmiş  bilgisayar veya diğer adıyla işlevsiz zombi bilgisayarlardır.  Bir saldırgan DDoS saldırısını gerçekleştirmek için bir botnet kullandığında, o Botnet’e bağlı olan zombi makinelerinin bir kısmına veya tümüne talimatlar gönderir ve saldırılarının boyutunu büyüterek saldırı kaynağının birden fazla ağdan  ve hatta birden fazla ülkeden oluşmasını sağlar. 

ddos-saldirisi-ornek-semasi-min

SYN Flood

SYN Flood saldırısı, en yaygın olarak kullanılan DDoS saldırı türüdür. SYN flood saldırılarında siber saldırganlar, hedef alınan sisteme kapasitesinin üzerinde ard arda TCP Eşitleme (SYN) isteği göndererek sistemin kaynaklarının çalışamaz hale getirir.  Bir SYN isteği, bir müşteri ile hedef sunucu arasındaki ağ iletişimini açtığı için saldırganlar bunu kullanmaktadır.  Sunucu bir SYN isteği aldığında, istediği onaylayarak bu talebe cevap verer  ve müşterinin açık bağlantıyı onaylamasını beklerken bu hep iletişimi açık tutar. Bununla birlikte, başarılı bir SYN Flood saldırısında, müşterinin onayı asla ulaşmaz ve sunucu zaman aşımına uğrayana kadar bağlantı sağlamaz. Hedef sunucuya çok sayıda gelen SYN talebi, mevcut tüm sunucu kaynaklarını tüketir ve başarılı bir SYN Flood DDoS saldırısı sağlar.

syn-flood-saldirisi-min

SYN Flood Saldırılarına Karşı Alınabilecek Önlemler

  • Olası SYN Flood’u  tanımlamak için ağ günlüklerini inceleyin ve TCP SYN bayrağını bulun. TCPDump veya Wireshark bunun için fonksiyoneldir. 
  • TCP SYN paketleri normal olup, kesin olarak kötü niyetli bir aktivitenin göstergesi değildir. Bu yüzden, kısa bir süre boyunca birden fazla kaynaktan çok sayıda SYN paketi gelip gelmediğini kontrol edin. 
  • Bir saldırı tespit ederseniz, bunun ağa ulaşmadan önce etkinliğini hafifletmek, upstream ağı servis sağlayıcınızı güçlendirmeye, kontrol altına almaya çalışın. 
  • Başarılı SYN Flood saldırılarının etkisini en aza indirmek için, Güvenlik duvarları ve proxy sunucuları gibi tüm çevre aygıtlarında sıkı TCP koruma ve maksimum bağlantı kuralları tanımlayın.
  • SYN Çerezleri: Bazı güvenlik duvarı cihazlarında, SYN Flood etkilerini hafifletmek için SYN çerezlerini etkinleştirebilirsiniz. Bu durum, sunucuya trafik iletilmeden önce, güvenlik duvarının istemci ile sunucu arasındaki TCP bağlantısını doğrulamasını zorunlu kılar.  Saldırganların açık bağlantının kesin bir onayını göndermesini kestiği durumlarda, güvenlik duvarı bağlantıyı keser.
  • Mikro bloklar: yöneticiler, tam bir bağlantı nesnesi yerine gelen her SYN isteği için sunucu belleğinde bir mikro kayıt (en az 16 bayt) ayırabilir.
  • RST çerezleri: Belirli bir istemciden gelen ilk istek için sunucu bilerek geçersiz bir SYN mesajı gönderir (SYN-ACK) gönderir. Bu, müşteriye bir şeylerin yanlış olduğunu söyleyen bir RST paketi üretir.  Bu alındığında, sunucu, isteğin meşru olduğunu bilir, istemciyi günlüğe kaydeder ve bundan sonra gelen bağlantıları kabul eder.

UDP Flood

SYN Flood saldırısına çok benzeyen UDP Flood saldırısı, saldırganların hedef sunuculara önemli miktarda trafik göndermesi için botnet kullanımı şeklinde gerçekleşmektedir. Bu saldırı çok daha hızlıdır olup sunucu kaynaklarını tüketmeye çalışmak yerine, meşru kullanıcıların erişimini engelleyerek, sunucunun ağ bağlantısında mevcut tüm bant genişliğini tüketmeyi amaçlamaktadır. Bu, 50555 / UDP gibi bir ağ bağlantı noktasında bir UDP paketi alan sunucuların, o bağlantı noktasını dinleyen bir uygulamayı kontrol etmeleri nedeniyle çalışır. Hiçbir şey dinlemiyorsa, İnternet Kontrol Mesajı Protokolü (ICMP) Hedef Ulaşılamaz paketiyle UDP paket göndericisine yanıt verir. Saldırı sırasında, çok sayıda UDP paketi çeşitli hedef bağlantı noktalarına gelir ve sunucuyu her birine yanıt vermeye ve işlemeye zorlar ve mevcut tüm bant genişliğinin tüketilmesine neden olur.

udp-flood-saldirisi-min

UDP Flood Saldırılarına Karşı Alınabilecek Önlemler

  • Bir UDP Flood saldırısını  tanımlamak için , ağ günlüklerini inceleyin ve düzensiz ağ bağlantı noktaları üzerindeki  çok sayıda kaynak IP adresinden gelen UDP paketi arayın.
  • Birçok meşru servis ağ, kendi trafiği için UDP kullanır. Ortak UDP bağlantı noktaları 53 (DNS), 88 (Kerberos), 137/138/445 (Windows) ve 161’dir (SNMP). Bir DDoS saldırısını araştırırken, yüksek ağ bağlantı noktalarına (1024+) sahip UDP trafiğini arayın.
  • Bir saldırı tespit ederseniz, bunun ağa ulaşmadan önce etkinliğini azaltmak için, upstream ağı servis sağlayıcınızdan yararlanmaya çalışın.
  • UDP Flood  saldırılarının etkisini en aza indirgemek için, çevre ağ cihazlarınızda katı kurallar tanımlayın. Örneğin, “Güvenlik duvarlarının, yalnızca gereken bağlantı noktalarında gelen trafiğe izin vermesi” şeklindeki yapılandırmaları ayarlayın.
  • Çoğu işletim sistemi, ICMP yanıtı gerektiren DDoS saldırılarını engellemek amacıyla kısmen ICMP paketlerinin yanıt oranını sınırlar. Bu tür sınırlamaların bir dezavantajı, bir saldırı sırasında meşru paketlerin de işlemde filtrelenebilmesidir. UDP Flood, hedef sunucunun güvenlik duvarını tıkayacak kadar yüksek bir hacme sahipse, sunucu düzeyinde gerçekleşen herhangi bir önlem, yetersiz kalacaktır.
  • Bu nedenle bir trafik yönlendirme algoritması (anycast)  kullanarak, saldırının yükü sunucular üzerinde  dengelenmelidir.

SMBLoris 

SMBLoris saldırısı, bir saldırganın bir cihaza birden fazla SMB (Server Message Block/ Sunucu İleti Bloğu),  bağlantısı açması ve en düşük zarar olarak sistem belleğini tüketen uygulama düzeyinde bir DDoS saldırısıdır. SMB, cihazlar arasında 445 numaralı bağlantı noktası üzerinden dosyalar, yazıcılar ve çeşitli iletişimlerin paylaşımı için kullanılan bir uzaktan erişim protokolüdür. SMB’nin tüm sürümleri SMBLoris’e karşı savunmasızdır, çünkü güvenlik açığı SMB paketlerinin işleniş tarzı ve belleğin ayrılmasındadır.  Windows ve Samba yazılımları yüklü cihazlarının her ikisi de saldırıya karşı hassastır.

Eğer bir saldırgan,  bir bilgisayarın kendi belleğinin yalnızca 512 MB’sini kullanırken 16GB’lık bellek tüketmesine neden olan hem IPv4 hem de IPv6 üzerinden bir saldırı gerçekleştirirse, tek bir IPv4 veya IPv6 adresi ile yapılan bağlantı, 8GB kadar belleği  etkiler.  Sonunda, hedef bilgisayar daha fazla bellek ayıramaz ve Windows bilgisayarının yanıt verememesine neden olur; ki bu durumda bilgisayar  manuel olarak yeniden başlatılmalıdır.  Bu saldırı, Samba yüklü bir Linux cihazına karşı gerçekleşirse, cihaz yapılandırılmış “Bellek Dışı Kalma”( Out of Memory (OOM)  durumuna zorlanır.

SMBLoris Saldırılarına Karşı Alınabilecek Önlemler 

  • Uzaktan gerçekleştirilen SMBLoris saldırısının gerçekleşmesini engellemek için, güvenlik duvarını 445 ve 139 numaralı bağlantı noktalarındaki tüm gelen trafiği engelleyecek şekilde yapılandırın.
  • Dahili olarak gerçekleştirilen bir SMBLoris saldırısının gerçekleşmesini engellemek için, yerel cihazların kullanabileceği bağlantı sayısı için yapay bir sınır yüzdesi belirleyin.
  • SMB protokolünü Windows’ta devre dışı bırakmak yardımcı olmayacaktır. Bir SMBLoris saldırısını önlemenin tek yolu, SMB hizmeti çalıştıran bir bilgisayarın, gelen SMB bağlantılarını engelleyen veya gelen SMB bağlantılarının talep numaralarını daha küçük bir değerle sınırlayan bir güvenlik duvarının arkasına yerleştirilmesidir. Linux’ta samba olması durumunda, saldırganların Samba sunucusuna çok sayıda SMB bağlantısı açmasını engellemek için,  Samba smb.conf config dosyasında “max smbd process = 1000” ayarı yapılabilir.

ICMP Flood

ICMP Flood, bir saldırganın, mevcut tüm bant genişliğini tüketmek ve meşru kullanıcıların erişimini engellemek amacıyla, botnet kullanarak bir hedef sunucuya çok sayıda ICMP (Internet Control Message Protocol) paketi göndermesiyle oluşur.  Bu saldırı, çok sayıda kaynak, hedef ağın kullanılabilir bant genişliğini tüketecek yeterli ICMP trafiğini gönderebildiğinde çalışır.

Buna bir örnek “ping” komutu olabilir. Bu komut, öncelikle ağdaki iki nokta arasındaki ağ bağlantısını test etmek için kullanılır. Ancak, ping boyutunu daha büyük yapmak ve daha sık meydana getirmek için bu komutu farklı değişkenlerle sağlamak mümkündür. Bu değişkenleri doğru kullanarak ve trafiği başlatan yeterli kaynak makineleriyle, mevcut tüm bant genişliğini tüketmek mümkündür.

ICMP-flood-saldirisi-min

ICMP Flood  Saldırılarına Karşı Alınabilecek Önlemler

  • Bir ICMP Flood’u tanımlamak için ağ günlüklerini inceleyin ve birçok kaynaktan önemli olan  ICMP trafiğini arayın.
  • Günlükleri araştırmak için kullanılan araçlara bağlı olarak (WireShark gibi), ICMP paketlerini grafiksel kullanıcı arayüzünde görüntülenen protokollerle tanımlayabilirsiniz. ICMP trafiğini analiz ederken, ICMP, TCP veya UDP gibi ağ bağlantı noktaları kullanmadığından, hiçbir bağlantı noktası bilgisi olmadığını fark edeceksiniz.
  •  Ağ protokollerini numaralı değerler olarak görüntüleyen bir araç kullanıyorsanız, ICMP protokol 1’dir.
  • Hangi ICMP trafiğinin gönderildiğini veya alındığını belirleyen ICMP türü ve kod alanları da vardır.
  • Bir saldırı tespit ederseniz, ağınıza ulaşmadan önce etkinliğini  bastırmak için, upstream ağı servis sağlayıcınızdan yararlanmaya çalışın.
  • ICMP Flood saldırılarından gelebilecek  hasarı azaltmak için, yönlendiriciler gibi çevre ağ aygıtlarında ICMP trafiğini engelleyin ve çevre yönlendiricilerindeki ICMP istekleri için saniyede bir paket eşiği ayarlayın. Gelen ICMP trafiği bu eşiği aşarsa, bir sonraki saniyeye kadar fazla trafik göz ardı edilir. Saniyedeki paket eşikleri, ağınızın ICMP trafiğiyle  aşırı yüklenmesini önler.
  • Hedefteki yönlendirici, bilgisayar veya diğer aygıtların ICMP işlevlerini devre dışı bırakarak en kolay şekilde bu saldırıdan kurtulabilirsiniz. Bir ağ yöneticis,  cihazın yönetim arayüzüne erişebilir ve ICMP’yi kullanarak herhangi bir isteği gönderme ve alma yeteneğini devre dışı bırakabilir ve  hem isteğin işlenmesini hem de ECHO Yanıtını etkin bir şekilde ortadan kaldırabilir. Bunun sonucu olarak, ICMP’yi içeren tüm ağ etkinliklerinin devre dışı bırakılması, cihazın ping isteklerine, traceroute isteklerine ve diğer ağ etkinliklerine yanıt vermemesine sebep olacaktır.

HTTP GET Flood

HTTP GET Flood saldırısı, saldırganların, bir sunucuyu normal kullanıcılar için kullanılamaz hale getirmeleri amacıyla, yeterli kaynak tüketmek için hedef web sitesine yönelik sürekli olarak büyük miktarda HTTP GET isteği oluşturmasıyla ortaya çıkar.  Bu durumda, saldırıyı gerçekleştiren IP adresleri, hedef sunucudan asla yanıt beklemez – her ne kadar sunucu gelen tüm isteklere cevap vermeye çalışsa da-. Bu durum, bağlantıların web sunucusunda açık bırakılmasına neden olur. Hedef web sunucusuna olabildiğince fazla gelen HTTP GET isteği, sonunda tüm mevcut sunucu kaynaklarını tüketir ve başarılı bir DDoS saldırısı gerçekleşmiş olur.

http-get-flood-saldirisi-min

HTTP POST Flood (HTTP GET Flood Saldırısının Başka bir Varyasyonu)

Diğer bir HTTP Flood saldırısı, GET yerine HTTP POST isteğinin kullanılmasıyla gerçekleşir. Bu saldırı,  web sunucusunu gelen her talebe yanıt olarak daha fazla kaynak tahsis etmeye zorladığı için çalışır.  Bu isteklerin çoğu, meşru kullanıcıların web sunucusuna erişimini engelleyecek sunucu kaynaklarını bloke edebilir. 

HTTP GET  Flood  Saldırılarına Karşı Alınabilecek Önlemler

HTTP Flood saldırıları, standart URL isteklerini kullandıkları için, bunları geçerli trafikten ayırt etmek çok zordur. Bu yüzden bu saldırılar günümüzde sunucuların ve uygulamaların karşılaştığı en gelişmiş ve zaafiyeti olmayan saldırılardır. HTTP Flood saldırılarının tespitinde geleneksel hıza dayalı algılama etkisizdir, çünkü HTTP Flood saldırıların trafik hacmi çoğunlukla algılama eşiğinin altındadır.

Yine de, HTTP GET Flood saldırısını tanımlamak için, ağ günlüklerini araştırın ve önemli sayıda kaynak IP adresinden gelen 80 numaralı hedef bağlantı noktası ve TCP protokolü ile çok sayıda gelen trafiği arayın. Paket verileri de “GET” ile başlamalıdır. Tcpdump veya Wireshark kullanmanızı öneririz.

HTTP GET istekleri normal olup  kötü amaçlı  etkinliklerin göstergesi değildir. Kısa bir süre içinde birden fazla kaynaktan gelen çok sayıda aynı GET isteğini arayın. Aynı kaynak IP adresleri, aynı GET taleplerini hızlı bir şekilde tekrar göndermelidir.

En etkili önlem mekanizması, IP itibarının veri tabanlarında belirlenmesi, anormal faaliyetlerin izlenmesi ve aşamalı güvenlik tedbirlerinin kullanılması (örneğin, JavaScript’in ayrıştırılmasının istenmesi) de dahil olmak üzere trafik profili oluşturma yöntemlerinin bir kombinasyonuna dayanmaktadır.

Bir saldırı tanımlarsanız,  saldırının  etkinliği azaltmak için bir DDoS önleme  servis sağlayıcısından yararlanın.

Meşru bir trafik kullanıldığından, bu saldırıya engel olacak proaktif güvenlik önlemlerini  almak zordur. Genelde, orana dayalı korumalar, bu saldırıyı engellemek için yeterli değildir ve saldırının kaynak IP adresleri büyük bir botnet’in parçası olduğundan, her kaynak IP’nin engellenmesi yeterli gelmeyebilir  ve bu,  meşru kullanıcılar içerebilir.

Bu tür saldırıları azaltmaya yardımcı olabilecek diğer bir çözüm, bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmaktır. HTTP Flood saldırıları  genellikle doğru şekilde yapılandırılmış bir WAF’nin web sunucusuna meşru erişimi engellemeden filtreleler  ve engeller. 

Yansıma DDOS Saldırıları 

Yansıma DDoS saldırısında, saldırganlar IP adreslerini gizleyerek kendilerini kurban olarak gösterirler ve ardından meşru  olan kamuya açık sunuculara istek gönderirler. Meşru sunuculardan gelen bu cevaplar “kurbana” gönderilir. Bu yöntemlere ek olarak, saldırganların saldırılarının etkinliğini artırmak için kullandıkları bir tekniğe Amplifikasyon denir. Genellikle Yansıma saldırılarıyla birlikte kullanıldığında, Amplifikasyon, “kurban”a gönderilen yanıt gönderilen istekten daha büyük olduğunda meydana gelir. Saldırgan, üçüncü taraf bir sistemden büyük miktarda veri talep ederek bunu yönetebilir. Aşağıdaki örnek şemada olduğu gibi, saldırganın “kurban” gibi davranarak IP adresini değiştirerek bilinen bir veriyi ortak bir sunucudan talep etmesi durumunda ortaya çıkmaktadır. Bu, saldırganın küçük boyutlu bir istek göndermesine, ancak kamuya açık (public) sunucunun kurbana büyük miktarda veri göndermesini sağlamaktadır.

yansima-DDOS-reflected-ddos-ornek-semasi-min

NTP Amplifikasyon Saldırısı

NTP Amplification Saldırısı’nda, siber saldırgan, hedef kaynakların tıkanmasını sağlamak amacıyla meşru bir NTP sunucusundan gelen trafiği kullanır. NTP, ağ bağlantılı makinelerde saatleri senkronize etmek için kullanılır ve 123 / UDP bağlantı noktası üzerinden çalışır. Gizli bir komut olan monlist, talep gönderen bilgisayarın NTP sunucusuna yapılan son 600 bağlantı hakkında bilgi almasına izin verir. 

ntp-ampflication-saldiri-semasi-min

ntp-ampflication-saldiri-semasi-min

NTP Amplifikasyon Saldırısı Şema ( Kaynak: Cloudfare.com) 

Saldırgan, hedefin IP adresini taklit edebilir ve NTP sunucusunun hedefe büyük miktarda bilgi göndermesini sağlamak amacıyla bir monlist komutu gönderebilir. Gelen yanıtlar, tipik olarak çok sayıda cevapta tanımlanabilen sabit bir paket boyutuna sahiptir. NTP sunucusundan gelen yanıt, saldırganın talebinden daha büyük olduğundan, saldırının etkisi artar. Bir saldırgan hedefin IP adresini taklit ettiğinde ve ardından monlist komutunu çevrimiçi çok sayıda NTP sunucusuna gönderdiğinde, artan yanıtlar hedefe geri gönderilir. Bunun sonucunda mevcut tüm bant genişliğini tüketilir.

NTP Amplifikasyon  Saldırılarına Karşı Alınabilecek Önlemler

  • Düzgün bir şekilde yapılandırılmış bir güvenlik duvarı ve yeterli ağ kapasitesine sahip (bu her zaman kolay değildir), NTP amplifikasyon saldırılarını gibi yansıma saldırılarını engellemek çok zor değildir. Saldırı tek bir IP adresini hedeflese de, eğer ağ, tüm saldırı trafiğini artık yıkıcı olmayacak bir noktaya dağıtarak, saldırının ağırlığını birçok Veri Merkezine dağıtıp bu yükü dengelerse,  böylece hizmet hiçbir zaman kesintiye uğramayacaktır. 
  • Bu saldırıyı tespit etmek için ağ günlüklerinizi inceleyin ve 123 / UDP kaynak bağlantı noktası üzerinden ve belirli bir paket boyutuyla gelen trafiği arayın.
  • Saldırıyı tespit ederseniz,, upstream ağı servis sağlayıcınızdan yararlanmaya çalışın ve bu sağlayıcılara saldıran IP adreslerini ve saldırıda kullanılan paket boyutlarını iletin. Upstream ağı servis sağlayıcıları, karşılaştığınız paket boyutunu kullanarak, gelen NTP trafiğini azaltmayı sağlayan filtreleme olanağına sahiptir. 
  • Gelen saldırıları hafifletmenin yanı sıra, NTP sunucularınızın başkalarına saldırmak için kullanılmadığından emin olmak için aşağıdaki önlemleri alın. 
    • NTP sunucunuzun bir saldırıya açık olup olmadığından emin değilseniz, OpenNTP: hxxp: //openntpproject.org/ adresindeki talimatları izleyin. 
    • Monlist komutunu tamamen kaldıran NTP sunucularını 2.4.7 veya daha sonraki bir sürüme yükseltin veya OpenNTPD gibi monlist komutunu kullanmayan bir NTP sürümü uygulayın. 
    • Sunucunuzu yükseltemiyorsanız, ntp.conf dosyanıza “disable monitor” ekleyerek ve NTP işlemini yeniden başlatarak monlist sorgu özelliğini devre dışı bırakın. 
    • NTP sunucusuyla yetkisiz trafiği kısıtlayan güvenlik duvarı kurallarını uygulayın..

DNS Amplifikasyon Saldırısı

DNS Amplification saldırısı, bir saldırganın hedefe yönelik yoğun miktarda trafik göndermek için DNS sistemini kullandığında gerçekleşir. DNS sunucuları, IP adreslerini alan adlarına dönüştürerek kullanıcıların web sitelerinin IP adreslerini hatırlamak yerine tarayıcılara kolayca hatırlanan bir alan adı girmelerini sağlar. Bu saldırıyla, bir saldırgan kurbanın IP adresini taklit ettiğinde ve DNS ad arama isteklerini ortak DNS sunucularına gönderdiğinde gerçekleşir. 

DNS-ampflication-saldiri-semasi-min

DNS Amplification Saldırısı Şema ( Kaynak: Cloudfare.com) 

DNS sunucusu daha sonra yanıtı hedef sunucuya gönderir ve yanıtın boyutu, saldırganın ad arama isteğinde belittiğine bağlıdır.  Maksimum etki elde etmek için, saldırgan isteğinde ANY kelimesini kullanabilir ve bu da bir DNS bölgesi hakkında bilinen tüm bilgileri tek bir talebe gönderir. Bir saldırgan, hedefin IP adresini taklit ettiğinde ve çok sayıda halka açık DNS sunucusuna DNS arama istekleri gönderdiğinde, bu isteklere yönelik büyüyen yanıtlar hedefe geri gönderilir ve sonunda mevcut tüm bant genişliğinin tüketilmesine neden olur.

DNS Amplifikasyon  Saldırılarına Karşı Alınabilecek Önlemler

  • Bu saldırı tespit etmek için ağ günlüklerini inceleyin ve eşleşen DNS sorgu isteği olmaksızın gelen DNS sorgusu yanıtlarını arayın. Ancak, DNS sorguları normaldir ve bir saldırı belirtisi değildir.
  • Bir saldırı tespit ederseniz, ağa ulaşmadan önce bu saldırının etkisini kırmak için upstream ağı servis sağlayıcınızdan yararlanmaya çalışın. 
  • DNS Caching: Caching cihazları aynı tipte gelen sorgulamalar için caching işlemi yapabilmektedir ve yoğun saldırılarda DNS sunucuların en az seviyede etkilenmesini sağlamaktadır.DNS flood saldırılarında gönderilen tüm DNS isteklerindeki alan adlarını rastgele seçilirse caching cihazları gelen tüm istekleri gerçek DNS sunuculara yönlendirecektir.
  • Rate Limiting Yöntemi:  Rate limiting yöntemi ile belirli IP adreslerinden yapılacak UDP/DNS Flood saldırılarında kaynak IP adresi engellemesi amaçlanır. Ancak UDP tabanlı protokollerde kaynak IP adresinin gerçek olup olmadığını anlamak çok zor olduğu için genellikle bu yöntem işe yaramaz bir yöntemdir. Bu yöntemi kullanan bir hedefe doğru saldırgan, istediği IP adresinden geliyormuş gibi paketler göndererek istediği IP adresinin engellenmesini sağlayabilir. 
  • DFAS:TCP üzerinden gerçekleştirilecek olan DDoS saldırılarını engellemek göreceli olarak daha kolaydır diyebiliriz. Bunun temel nedeni TCP üzerinden yapılacak saldırılarda saldırganın gerçek IP adresiyle mi yoksa sahte IP adresiyle mi saldırıp saldırmadığının anlaşabiliyor olmasıdır (basit mantık 3′lü el sıkışmayı tamamlıyorsa IP gerçektir). UDP üzerinden gerçekleştirilecek DDoS saldırılarını (UDP Flood, DNS Flood vs) engellemek, saldırıyı gerçekleştiren IP adreslerinin gerçek olup olmadığını anlamanın kesin bir yolu olmadığı için zordur. UDP kullanarak gerçekleştirilen saldırılarda genellikle davranışsal engelleme yöntemleri ve ilk paketi engelle ikinci paketi kabul et (DFAS) gibi bir yöntem kullanılır.
  • Gelen saldırıları hafifletmenin yanı sıra, DNS sunucusu sağlayıcınız (BIND, Microsoft, vb.) Tarafından sağlanan yönergeleri izleyerek, mümkünse DNS yinelemesini devre dışı bırakın. Böylelikle, DNS sunucularınızın başkalarına saldırmak için kullanılmaması engellenecektir.
  • Genel DNS sunucularınızdan herhangi birinin başkalarına saldırmak için kullanılıp kullanılamayacağını keşfetmek için, openresolverproject.org adresindeki ücretsiz testi kullanın

CLDAP Amplifikasyon Saldırısı

CLDAP Amplication Yansıma Saldırısı, bir siber saldırganın, sahte bir IP adresi kullanarak LDAP sunucusuna bir CLDAP isteği göndermesiyle ortaya çıkar. CLDAP, paylaşılan İnternet dizinlerini bağlamak, aramak ve değiştirmek için kullanılır ve 389 / UDP portu üzerinden çalışır. Bir siber saldırgan, kurbanın IP adresini taklit ettiğinde ve birden fazla LDAP sunucusuna bir CLDAP sorgusu gönderdiğinde bir CLDAP Yansıma saldırısı gerçekleşir. 

cldap-ampflication-saldirisi

LDAP sunucuları daha sonra istenen verileri sahte IP adresine gönderir. Bu istenmeyen talepler, kurbanın makinesine aynı anda bir LDAP / CLDAP verisi oluşturduğu için,  sistem işleyemez hale gelir ve DDoS saldırısı ortaya çıkar. Amplifikasyon (saldırının etkisinin büyümesi), LDAP sunucusu tarafından işlenirken bir paketin büyütülmesi nedeniyle ortaya çıkar.  LDAP UDP protokol yanıtları, 52’lik bir büyütme faktörü ile başlangıç isteğinden çok daha büyüktür ve 70 katına kadar çıkabilmektedir.

CLDAP Amplifikasyon  Saldırılarına Karşı Alınabilecek Önlemler

  • CLDAP Amplifikasyon Yansıma saldırısını tespit etmek için, ağ günlüklerinizi inceleyin ve 389 / UDP kaynak bağlantı noktasıyla gelen trafiği arayın.
  • Böyle bir saldırıyı tespit ederseniz  upstream ağı servis sağlayıcınızdan yararlanmaya çalışın ve onlara saldıran IP adreslerini ve saldırıda kullanılan paket boyut bilgilerini iletin. Upstream ağı servis sağlayıcılar kendi seviyelerine bir filtre yerleştirme olanağına sahiptir. 
  • Bir DDoS koruma planı oluşturun. Gelen saldırıları önlemenin yanı sıra, sunucularınızın başkalarına saldırmak için kullanılmasını engellemek için aşağıdaki önleyici önlemleri alın. 
  • LDAP sunucusunun yetkisiz kullanımını engelleyen giriş güvenlik duvarı kurallarını oluşturun. 
  • Bütün yansıma saldırılarında potansiyel olarak kullanılabilecek ağ hizmetlerinin raporlanmasını sağlayacak bir yönetim politikası oluşturun.

WordPress Pingback Amplifikasyon Saldırısı

WordPress, web sitelerinin oluşturulması ve geliştirilmesi için kullanılan popüler bir İçerik Yönetim Sistemidir (CMS). WordPress sitelerinde, link verdiğiniz diğer WordPress web sitelerini bilgilendirmek için kullanılan Pingback özelliği bulunmaktadır. WordPress kullanan siteler, bu işlemi otomatikleştirerek bağlantı veren sitelere geri bağlanan otomatik listeleri tutar.. Bu “pingback’ler”, WordPress tarafından pingback işlemini gerçekleştirmek için kullanılan /xmlrpc.php sayfasına HTTP POST istekleri olarak gönderilir.

wordpress-pingback-ampflication-saldirisi-min

wordpress-pingback-ampflication-saldirisi-min

Varsayılan olarak, bu özellik,  Pingback işlemini tetikleyen bağlantıyı içeren tüm web sayfasını indirir. Saldırgan, istediği kadar WordPress kullanan web sitelerini bulabilir ve daha sonra bu WordPress web sitelerinin her birine, hedef web sitesinin URL’si ile Pingback istekleri gönderir ve böylece WordPress web sitelerinin her biri, hedef sunucuya istek göndermesi ve web sayfasının indirilmesini talep eder. Web sayfasını indirmek için yapılan çok sayıda istek, hedefteki web sunucusunu aşırı yükleyerek çalışamaz hale getirir. Böylece WordPress Pingback Amplifikasyon Saldırısı gerçekleşmiş olur

WordPress Pingback Amplifikasyon  Saldırılarına Karşı Alınabilecek Önlemler

Doğru araçlar kullanıldığında bu saldırının etkisi azaltılabilir  Saldırı isteğinde , kullanıcılar “WordPress” i açıkça gösteren “User-Agent” başlığını görebilirler. Normal şartlar altında, bu User-Agent istek yapmamalı ve en azından yüksek oranda olmamalıdır.

Ayrıca WordPress bir başlık bulundurur. Bu “X-Pingback-Forwarded-For” şeklindedir. Bu başlık, saldırganın gerçek kimliğini gösterir. Aynı IP adresinden daha fazla sayıda talep geliyorsa, bu isteklerin reddedilmesi gerekir.

pingback-test

pingback-test

Başlık: X-Pingback-Forwarded-For ve User-agent ( Kaynak: A10networks) 

WordPress Pingback yansıma saldırısını belirlemek için, ağ günlüklerinizi inceleyin ve 80 numaralı bağlantı noktasından çok sayıda kaynaktan gelen çok sayıdaki TCP trafiğini bulun. Trafik, “?5454545 = 6767676” gibi rasgele değerlere yönelik HTTP GET istekleri olarak görünür. Bu istek önbelleği atlar ve her paket için tam sayfa yeniden yüklemeyi zorlar.

Bir saldırı tespit ederseniz, ağa ulaşmadan önce etkinliğini hafifletmek amacıyla upstream ağı servis sağlayıcınızdan yararlanmaya çalışın.

Başlı başına normal web trafiği olduğu için gelen trafiği, engellemenin bir yolu yoktur. Ancak, WordPress web sitelerinizin başkalarına saldırıda kullanılmasını engellemek mümkündür. Bunun için WordPress, XMLRPC’nin Pingback özelliğini devre dışı bırakan bir araç kullabilirsiniz. Aracı bağlantıdan indirebilirsiniz: hxxp://wordpress.org/plugins/disable-xml-rpc-pingback/. 

Alternatif olarak, XMLRPC’nin Pingback işlevini manuel olarak devre dışı bırakan bir filtre ekleyen eklentiyi kullanabilirsiniz. Bu eklentinin bir örneği buradan görebilirsiniz: hxxps: //isc.sans.edu/forums/diary/Wordpress+Pingback+DDoS+Attacks/17801

SSDP Amplifikasyon Saldırısı

SSDP saldırısı, Evrensel Tak ve Kullan (UPnP) cihazlarının tespiti için yaygın olarak kullanılmaktadır. UPnP, ağ aygıtlarının kullanıcı müdahalesi olmadan birbirlerini keşfetmesine ve bağlanmasına olanak tanıyan bir dizi ağ protokolüdür. SSDP ile, UPnP cihazlarına kontrol mesajları iletmek için Basit Nesne Erişim Protokolü (SOAP) kullanılır. Bir saldırgan, kurbanın IP adresini taklit ettiğinde ve Internet’te UPnP cihazlarını açmaya yönelik hazırlanmış SOAP istekleri gönderdiğinde, bir SSDP yansıma saldırısı meydana gelir.  Bu cihazlar daha sonra, kurban IP adresine yanıtlarını gönderirler. Saldırganın isteği nasıl oluşturduğuna bağlı olarak, yanıt, tek bir istekten 30 faktöre kadar yükseltilebilir. Bir saldırgan, kurbanın IP adresini taklit ettiğinde ve SSDP üzerinden hazırlanmış SOAP isteklerini çok sayıda halka açık UPnP cihazına gönderdiğinde, büyüyen yanıtlar kurbana geri gönderilir ve sonuçta mevcut tüm bant genişliğinin tüketilmesi gerçekleştirilir.

SSDP-ampfilication-saldirisi-min

Tipik bir SSDP DDoS saldırısının 6 adımı:

  • İlk önce saldırgan, amplifikasyon faktörü olarak kullanılabilecek tak ve çalıştır aygıtlarını (UPnP) arayan bir tarama gerçekleştirir.
  • Saldırgan ağa bağlı aygıtları keşfettiğinde, yanıt veren tüm aygıtların bir listesini oluşturur.
  • Saldırgan, hedef kurbana ait  sahte bir  IP adresiyle,  bir UDP paketi oluşturur.
  • Saldırgan daha sonra, belirli bayraklar, özellikle ssdp: rootdevice veya ssdp: all  ayarlayarak, mümkün olduğunca fazla veri istemek üzere,  her UPnP aygıtına sahte bir tespit paketi göndermek için bir botnet kullanır.
  • Sonuç olarak, her bir cihaz hedef kurbana  saldırganın isteğinden yaklaşık 30 kat daha fazla veri içeren bir yanıt gönderir.
  • Hedef , daha sonra tüm cihazlardan büyük miktarda trafik alır ve aşırı yüklenir ve çalışamaz hale gelir.

SSDP Amplifikasyon Saldırılarına Karşı Alınabilecek Önlemler

  • SSDP Amplifikasyon Yansıma Saldırısının olup olmadığını tespit etmek için,  ağ günlüklerini inceleyin ve çok sayıda kaynak IP adresinden gelen kaynak bağlantı noktası 1900 / UDP (SSDP) trafiğini arayın. 
  • Böyle bir saldırı tespit edildikten sonra, ağınıza ulaşmadan önce hasarı azaltmak için, upstream ağı servis sağlayıcınızdan yararlanmaya çalışın. 
  • Ağ yöneticileri için önemli bir adım, güvenlik duvarında 1900 numaralı bağlantı noktasından gelen UDP trafiğini engellemektir. Trafik hacmi, ağ altyapısını boğmaya  yetersiz kaldığında, bu bağlantı noktasından gelen trafiğe filtre uygulamak, saldırıyı hafifletebilir.
  • Gelen saldırıları hafifletirken, aynı zamanda size ait olan UPnP cihazlarınızın başkalarına saldırmak için kullanılmasını engellemek için OpenSSDP’deki yönergeleri izleyin: hxxp: //openssdpproject.org/ 
  • Ayrıca, sınır yönlendiricilerinizde giden 1900 / UDP bağlantı noktasını kapatmanız ve gerekirse UPnP’yi iç ağla sınırlamanız da önerilir.

Microsoft SQL  Amplifikasyon Saldırısı

Microsoft (MS) Structured Query Language (SQL), ilişkisel veritabanlarını yönetmek için kullanılan popüler bir uygulamadır. MS SQL kullanan veritabanı sunucuları, bazen dış IP adreslerinde bırakılarak, İnternet üzerinden uzaktan erişilebilir.

Saldırı, yansıma tabanlı bir DDoS saldırısı olarak Microsoft SQL Sunucu Çözüm Protokolü’nün (MC-SQLR) çalışmasını engelleyerek gerçekleşir. 

Saldırı, bir Microsoft SQL Server bir istemci sorgusuna veya isteğine yanıt verdiğinde, UDP bağlantı noktası 1434’ü dinleyerek MC-SQLR’den yararlanmaya çalıştığında ortaya çıkar.

Bir istemci, bir MS SQL Server hakkında bilgiye ihtiyaç duyduğunda, her zaman SQL Çözüm Protokolü’nü kullanılır. Bir veritabanı sunucusuna bağlanıldığında, sunucu istemciye MC-SQLR protokolünü kullanarak bir veritabanı örneği listesi ile yanıt verir ve hangi veritabanı örnekleriyle bağlantı kurmaya çalıştıklarını belirlemeye yardımcı olur.

Siber saldırganlar, hedef sunucudan geldiğini göstermek için sahte bir IP adresi kullanarak kodlanmış istekleri yürüterek SQL sunucularından yararlanabilir. Etkilenen SQL sunucusunda varolan örneklerin sayısı, saldırının gücünü veya büyütme faktörünü belirler.

İstekler doğrultusunda, veritabanı sunucusundan gelen yanıt, sunucuda çalışan veritabanı örnekleri ve bunlara nasıl bağlanılacağı hakkında bilgiler içerir. Veri tabanı sunucusunun konfigürasyonuna ve sunucudaki veri tabanı örneklerinin sayısına bağlı olarak, istemci talebine yanıt, tek bir istek için 25 faktör ile arttırılabilir. Saldırganlar, hedefin IP adresini taklit eden çok sayıda halka açık MS SQL sunucusuna komut dosyası içeren MC-SQLR istekleri gönderebilir. Büyük boyuttaki yanıtlar hedefe geri gönderilir ve hedefin kullanılabilir bant genişliğinin tümünün tüketilir. 

Microsoft SQL   Amplifikasyon Saldırılarına Karşı Alınabilecek Önlemler

  • Böyle bir saldırının olup olmadığını belirlemek için, ağ kayıtlarını inceleyin ve çok sayıda kaynak IP adresinden gelen kaynak portu 1434 / UDP (MC-SQLR) olan trafiğini arayın. Bazı durumlarda, belirli bir veri yükü imzasını tanımlamak mümkün olabilir.  
  • Bir saldırı tespit ederseniz, ağınıza ulaşmadan önce ekkinliğini azaltmak için upstream ağı servis sağlayıcınızdan yararlanmaya çalışın. 
  • Mümkünse, yalnızca güvenilir IP adreslerine izin vermek için 1434 / UDP bağlantı noktasına gelen bağlantıları engelleyin veya filtre bağlantılarını kullanın. 
  • Gelen saldırıları azaltırken, MS SQL sunucunuzun başkalarına karşı saldırılarda kullanmasını önlemek için SQL server portlarını engellemeye yönelik güvenlik duvarlarında giriş ve çıkış filtreleri kullanın. 
  • Bağlantı noktası 1434 / UDP, yalnızca hizmet için belirlenmiş bir ihtiyaç olduğunda açık olmalıdır. Bağlantı noktası açıksa, yalnızca güvenilir IP adreslerine izin vermek için trafiğin filtrelenmesi önerilir.
  • Yalnızca bir veritabanı örneği çalışan SQL sunucularının MS- SQLR çalıştırması gerekmez. Yalnızca bir veritabanı örneği çalıştırıyorsanız, MS-SQLR’yi devre dışı bırakın. 
  • Microsoft SQL Server 2008’den itibaren özellik varsayılan olarak devre dışıdır. Ancak, önceki sürümlerde yöneticilerin bu hizmeti manuel olarak devre dışı bırakması gerekir. Yazılımın daha eski bir sürümünü kullanıyorsanız ve MS-SQLR’ye gerek yoksa, bunu devre dışı bırakın. MS-SQLR’nin gerekli olduğu belirlenirse, hizmetin önüne SSH veya VPN üzerinden kimlik doğrulama isteği gibi ilave bir güvenlik katmanı eklemeyi düşünün.

Genel Öneriler

  • DDoS saldırılarına karşı aşağıdaki genel önerileri dikkate olarak, bu saldırıların  girişimini engelleyebilir ya da başarılı olduğunda daha hızlı müdahalede bulunabilirsiniz
  • Upstream ağı servis sağlayıcınızla etkili olarak çalışın ve iletişimde olun. Bir DDoS saldırısı gerçekleşmesi halinde, size hızlı bir şekilde yardım etmelerini sağlayın. 
  • Bir DDoS saldırısı durumunda, bir sağlayıcı, trafik bloklarını ve engelleme stratejilerini ne kadar hızlı uygularsa, hizmetleriniz o kadar çabuk işlemeye başlar. DDoS saldırılarını önleme hizmetleri sunan şirketlerle de ilişiklerinizi gelişirin.
  • Bir DDoS saldırısına uğradıysanız, upstream ağı servis sağlayıcınıza saldıran IP adreslerini bildirin, böylece kendi seviyelerinde kısıtlamalar uygulayabileceklerdir. 
  • Reflection DDoS saldırılarının tipik olarak meşru açık sunucularından geldiğini unutmayın. 
  • Bir saldırı sırasında ağ kayıtlarını incelerken bir IP’nin kime ait olduğunu tespit etmek önemlidir. Saldırıya dahil olan kaynak IP’leri aramak için Amerikan İnternet Numaraları Kayıt Defteri (ARIN) (https://www.arin.net) gibi araçlar kullanın. Aksi takdirde, yasal ağlardan veya sunuculardan gelen trafiği engelleyebilirsiniz.
  • DDoS’un nereden geldiğini belirlemek için, kabul edilen ve reddedilen trafiğin güvenlik duvarı günlüğünü etkinleştirin.
  •  Güvenlik duvarları ve proxy sunucuları gibi tüm çevre aygıtlarında katı “TCP koruma” ve “maksimum bağlantı” tanımlayın. Bu öneri, SYN Flood saldırılarının başarılı olmasını önlemeye yardımcı olur. 
  • Upstream ağı servis sağlayıcısı ile port ve paket boyutu filtrelemelerinigöz önünde bulundurun. 
  • Açık web siteleri (public) için, temel trafik paternleri (hacim ve tür) oluşturun ve düzenli olarak bunları kontrol edin
  • Tüm test yamalarını uygun testlerden sonra uygulayın. 
  • Güvenlik duvarlarını, ayrılmış IP adreslerinden gelen gelen trafiği en azından engelleyecek şekilde yapılandırın (0/8); loopback (127/8), özel (RFC 1918 blocks 10/8, 172.16/12, ve 192.168/16), atanmamış DHCP istemcileri (169.254.0.0/16), çok noktalı yayın/multicast (224.0.0.0/4) RFC 5735’de ve başka türlü listelenen. Bu yapılandırma, ISP düzeyinde de istenmelidir.
  • Etkin bir şekilde işi yürütmek için, gereken minimum işlem veya bağlantı miktarını sağlamaya yönelik açık sunucu süreçlerini ayarlayın. 
  • Trafik anomalilerini bildirmeleri için güvenlik duvarlarını ve izinsiz giriş tespit / önleme cihazlarını yapılandırın.
  • Güvenlik duvarlarını yalnızca, iş amaçlı gerekli olduğu şekilde, kurumunuzun güvenlik politikasında ayrıntılı olarak açıklanan trafiği kabul edecek şekilde yapılandırın.
  • Normal bağlantıyı bozan bir DDoS saldırısı durumunda, bağlantıyı sağlamak için bir olay yönetim odasına Bant Dışı erişim, internet ve telefon ayarlamayı düşünün.

Share this post

Back to Blog