Permanent Denial Of Service (PDOS) Nedir ?

Permanent Denial Of Service (PDOS) Saldırıları

PDOS saldırıları, sunucularda doğrudan doğruya çalışan uygulama ve servisleri hedef alma yerine, Router (yönlendiricı), Printer veya ağda çalışan herhangi bir donanımı hedef alır. Saldırılarda amaç, ilgili donanımın Firmware yazılımını değiştirmek, bozmak veya silmektir. PDOS saldırıları, donanımın yönetimsel ara yüzüne erişebilmeyi sağlayan güvenlik açıklarını sömürür.PDOS saldırıları, DDOS saldırılara göre çok daha az kaynak ve zaman gerektirir. Hatırlayacağınız üzere, DDOS saldırılarda Zombi Network kurmak gerekliydi. Ancak PDOS saldırılarda böyle bir durum söz ko­nusu değildir.Genel anlamda hizmet aksatma saldırı tipleri bunlarla smırlı değildir.

Bazı işletim sistemlerinde, TCP/IP fragmentleri doğru şekilde birleşti­ rilmediği zaman kullanılan saldırı tipi Teardrop saldırılarıdır. Bir kor­ san, Spoofing yaparak gönderilen paketin kaynak (source) ve hedef (taıget) IP’ le rini aynı yapabilir ve bu durum bazı sistemlerin çökmesine sebebiyet verir. Bu açığı sömüren saldırı tipi Land saldırılarıdır. Win­ dows NT makinelerde, NETBIOS’un bir açığından faydalanarak, 139. porta paketler göndererek , sistemin mavi ekran hatası vermesi sağlana­ bilmektedir. Bu saldtrı tipi de Nuke saldırıs ıdır.
Teardrop, Land ve Nuke saldırıları, güncelliklerini yitirdiklerinden dolayı çok fazla detay verme gereği duymuyorum.

Permanent Denial Of Service (PDOS) Korunma Yöntemleri Nelerdir ?

Hizmet aksatmaya yönelik saldırıların neredeyse tamamı , hedeflenen sistemin (güven)jk açıklarından da faydalanarak) bant genişliğini hedef alır. Bant genişliği (b andwith), sistemin veri akışı yapabileceği limiti belirler. Bant genişliğinin artması demek , belirli bir süre zarfında akta­ rılan veri boyutunun da büyümesi demektir. Bununla beraber, sistem hafızası, ağ stack hafızası ve işlemci gibi hedefler de bulunmaktadır.
Hizmet aksatma saldırılarından korunabilınek için alınabilecek önlemler:

• Ağ Trafiğini İzleyin

Güvenlik, saldırı başladıktan sonra değil, başlamadan önce alınması ge­ reken önlemler bütünüdür. Bu, şu demektir: Saldırı başladıktan sonra her şey geç olabilir, henüz ortada saldırı yokken, en kötü olasılıklar he­ saba katılarak yeterli güvenlik tedbirlerinin alınması gerekir. Bu aşama­ da size ağ trafiğini izlemenizi tavsiye ederim.
Ağ trafiğini izlemek size ne kazandırır? Büyük çaplı olmayan DOS sal­ dırılarında, ağ geçidinizin kullanılarak paketler gönde rilmesini engelle­ yebilirsiniz. Şöyle ki, aynı porta sürekli gönderilen paketleri izleyerek, anormal bir durum olması halinde, paketleri gönderen IP’yi bloke etme­ niz, saldırıyı başlamadan bitirmeniz anlamına gelir.
Ağ trafiğini izleyebilmeniz için çeşitli yazılımlar mevcut.

• Tcpdump

UNlX/Linux ailesinin en iyi gözetl yicile rinden biridir. Ya­zılım , UNiX, Linux, Solaris, BSD, Mac OS X, HP-UX ve AIX gibi sistemlerde çalışabilınektedir. Her ne kadar UN1X ve türevleri için yazıl­ mış olsa da Network Research Group (NRG) tarafından Microsoft Windows’a da uyarlanmıştır. Windows’ta çalışan sürümü ” windump ” olarak bilinir. Ağınıza gelen ve ağınızdan gönderilen TCP/IP ve diğer paketleri izleyebilmek için kullanacağınız ideal programlardan birisidir.UNiX ve türevi olan sistemlerde, yazılımı çalıştırabilmek ve ağ trafiği­ ni izleyebilmek için libpcap, Windows’ ta ise WinPcap yüklemeniz gerekmektedir. Aynca UNiX türevi sistemlerde, yazılımın özel yetkiler istediğini de belirtmek istiyorum. tcpdump yazılımıyla, ağ trafiğini izleyebildiğiniz gibi, ayrıca gelen-gi­ den paket trafiğini de kaydedebilirsiniz. Yazılımın kurulum ve kullanımıyla ilgili detaylar için http://www.beyazsapka.org/files/tcpdumpl .pdf adresine bakabilirsiniz.

• Wireshark

Eski adıyla Ethereal olan Wireshark yazılımı da bu alan­ da en tanınan yazılımlardan biridir. GPL lisansı altında yayınlanan Wireshark; Linux, Mac OS, Solaris, Windows gibi birçok sistemde çalışı­ yor. Bu yazılım sayesinde, sisteme gelen-giden tüm paket akışını takip edebilirsiniz. Yazılım, 750’den fazla protokolü analiz etme özelliğine sahiptir. Anlık trafiği izleyebilir, paketleri yakalayıp kaydedebilir ve di­ ğer yazılımlardan farklı olarak terminal ve kullanıcı arabirimi şeklinde kullanılabilir. Bu yazılımın en sevdiğim özelliklerinden biri de belirli kıiterlere göre filtrel eme yapabil mesidir. Mesela sadece HTTP ile yapılan paket alışver işini izleme olanağına sahipsiniz .Whireshark ile diğer paket yakalama yazılımlarının kaydettikleri log dosyalarını açabilir, onların açabileceği şekilde de kayıt yapabi lirsiniz. Örneğin daha önce tcpduınp ile yaptığınız bir kaydı, Whireshark ile aç­ ma şansına sahipsiniz.

• Saldırı Tespit/Önleme Sistemi Kurun

Hizmet aksatma saldırılarından korunabilmek için ağ trafiğini izlemeniz tek başına yeterli değildir. Ağ trafiğini izleyerek küçük çaplı saldırıları manüel olarak bloke edebilirsiniz fakat büyük çaplı saldırılarda yapabi­ leceğiniz çok fazla bir şey yoktur. Yeterli bir güvenlik çözümü için sal­ dın tespit ve önleme sistemle ri mevcuttur: Intrusion Detection System (IDS) ve Intrusion Prevention System (IPS).
IDS, saldırı tespit sistemlerinin genel adıdır. IDS’ler, ağ üzerinde çalı­ şırlar ve ağ trafiği, sistem dosyaları ve log (kayıt) dosyaları gibi önemli alanları izlerler. İzleme işini kendi yapay zekasına göre değil, belirle­ nen kurallara göre yaparlar. Genelleyecek ol ursak, çalışına prensibi, be­ lirli metotlara dayanır. İlki, belirlenen konfigürasyon kurallarıdır, ikin­cisi ise anormal bir durumda bağlantıyı sonlandırınasıdır gelen-giden paketlerin analizi yapılır. IDS’ler; worın ve virüs gi­bi host tabanlı saldırılan veya ağ trafiğindeki kural dışı iletişimleri, tes­ pit edebilirler. Tespit edilen tüm anormal durumlar, kayıt altına alınarak ağ yöneticisine gönderilir. Gönderilen kayıt dosyalarında , saldırıda kul­ lanılan yöntem ve saldırı kaynağı gibi önemli bilgiler bulunur

IDS’ler saldırıları engellerken, istemci ve sunucu bilgisayarlar arasında­ ki paket alışve rişlerinde kuraldışı bir etkileşim fark ettiği zaman, bağ­ lantıyı sonlandırır. Saldın yapan IP adresini engeller ve sistemde kuru­ lu olan Firewall ‘ un IP blok listesine yazdırır. Ancak bu durum bazen, faydadan çok zarara sebep olur. Çünkü bu çalışma prensibi, Spoofing yapılmış saldırılarda işe yaramadığı gibi, kullanılan iP adresine de blok atılmasına neden olur. Bloklanan IP adresinin, Internet Servis Sağla­yıcınıza (ISP) ait IP adresleri olduğunu düşünebiliyor musunuz? İşin karmaşası bu kadarla da sınırlı değil. UDP yoluyla yapılan saldırılarda, bağlantıyı resetleıne gibi bir durum söz konusu olmadığından dolayı IDS’Jer sadece izlemekle yetinirler.

IDS’lerin ağ dışında pasif izleme yapması ve az önce bahsettiğim olum­ suzlu klar, Intrusion Prevention System’e (IPS) geçişi hızlandırmıştır. Aslına bakarsanız IPS’ler , IDS ‘ lerin bir sonraki adımıdır.IPS’ler, iyi sayılabilecek bir IDS’in sahip olduğu tüm özelliklere sahip­ tir. Ayrıca bu özelliklerin haricinde , ağ dışında değil, in-line olarak ağ trafiği içerisinde çalışırlar. Böylece trafiği kontrol etmenin yanısıra, ge­lebilecek olası saldırılara karşı, saldırının geldiği IP adresini bloklaya­ rak bağlantıyı sonlandırır. Bunu yapabilmek için de herhangi bir ek uy­ gulamaya ihtiyaç duymaz. IPS’}erin yaptıklarını sadece saldırı engelle­ me olarak sınırlamamız hata olur. Bu işlevlerinin yanında, ağ akışı içe­ risinde istenmeyen misafirleri engelleme , CRC düzeltme , TCP sekans­ larındaki olumsuzlukları giderme gibi özellikleri de bulunur.

Bant Genişliğin izi Artırın

En tehlikeli sayılabilecek DDOS saldırılarında bile bant genişliğine yö­ nelik saldırı tipleri kullanılmaktadır. Genel olarak ICMP Flood saldırı­ ları (Smurf, Fraggle, Ping, Ping of Death…) da bant genişliğini tüketme­ ye yönel iktir. Bu nedenle DOS saldırılarına karşı alabileceğiniz en iyi önlemlerden biri bant genişliğinizi arttırmak olacaktır. Saldırının gel­ mesi durumunda dahi müdahale edecek vaktiniz olacaktır.

• Gerekli Güncellemeleri Yapın

Günümüzde, güvenlik açıklarırun birçoğu, sistem üreticileri tarafından yayınlanan yamalarla giderilmektedir. Bu açıkların tehlikelerini minimi­ze edebilmek hatta yok edebilmek için alabileceğiniz en iyi önlemlerden 1
biri de sisteminizi güncel tutmaktır. Bu güncellemeleri yaparak, hem gü­ venlik açıklarını yamalayabilir , hem de sisteminizin çalışması için gerek­ li olan paketleri yükleyebilirsiniz. Bu işi yapabilmek için, güncellemele­ rin takipçisi olmanıza da gerek yok. Artık işletim sistemlerinin çoğu, güncelleme olması halinde sizi bilgilendiren bir uyarı yapıyor. Bu uyarı­ ları dikkate almanız, bazen birçok tehlikeyi bertaraf etmenizi sağlar

• Doğru Konfigürasyon Yaptığınıza Emin Olun

Hizmet aksatma saldırıları farklı tiplerde olsa da, genel olarak belirli me­ totları kullandıklarını artık biliyorsunuz. En tehlikeli sayılabilecek saldı­ rı türlerinden olan DDOS saldırılarında bile Smurf/Fraggle ve SYN Flo­od gibi saldırı tiplerinin kullanıldığından bahsetmiştik. Hatırlayacak olur­sanız, bu saldırıların ortak özellikleri, konfigürasyon eksikliklerinden faydalanrnalarıydı. Şöyle ki, Ping (ICMP Echo Request) paketleri, yayın iP adresine (Broadcast) gönderiliyor, bu adresten de ağ üzerindeki bilgi­ sayarlara iletilmesi sağlanıyordu. Saldırının bu şekilde geliştiğini düşü­ nürsek, saldırıya karşı alınabilecek önlem şu şekilde olmalıdır: Yönlendi­ rici, gelen paketleri Broadcast adresine yönlendirmemelidir.

Yazan; X-master

Yorum Yap

E-posta hesabınız yayımlanmayacak. Doldurulması zorunlu alanlar işaretlendi *