DDOS/ DOS Attack

DOS ve DDOS (Distributed-DOS) nedir?

DOS (Denial Of Service), bir hizmet reddi saldırısıdır. Hizmet reddinden kasıt nedir? Bir sunucunun ya da sistemin (sunucular topluluğu), son kullanıcıya cevap veya hizmet verememesidir. Buradaki hizmetten kasıt bağlanmak istediğiniz bir siteye bağlanamamaktır.


Örneğin üniversite giriş sınavlarının açıklandığı günü düşünelim. Sonuçların açıklanması ile yüzbinlerce son kullanıcı kendisinin veya bir yakının sınav sonucunu öğrenmek amacı ile sonuçları açıklayan kurumun internet sitesine girmeye çalışır.

Belirli bir süreden sonra sunucu bu kadar fazla yükü kaldıramaz ve kimseye cevap veremez duruma gelir. İşte bu durum aslında doğal bir hizmet reddi durumudur. Bu işlemin çeşitli araçlar vasıtası ile saldırgan kişiler tarafından yapılması ise hizmet reddi yani DOS saldırısıdır.


DOS genellikle tek kişi veya tek ip adresinden yapılan bir saldırı türüdür. Kısıtlı sayıda cihaz veya ip adresinden yapıldığı için başarılı olma ihtimali çok düşüktür. Bunun sebebi ise tamamen saldırıda kullanılan cihazın işlemci gücü ve bant genişliğidir.

Sizin evde ya da herhangi bir ortamda kullandığınız cihaz ve bağlı bulunan network genişliği, bir sisteme hizmet reddi verdirmeye yetmeyecektir. Belki düşük seviye sunucu kullanılıyor ise bir parça sunucuyu yorabilir ama hepsi bu kadar. Peki büyük sistemlerin tamamen kapanmasına yol açan saldırı nasıl yapılır? Cevap basit, DDOS.


DDOS (Distributed Denial Of Service) ise DOS saldırsından farklı olarak çok çeşitli ip ve konumlar ile yapılır. Bu tür saldırılar kullanılırken genellikle botnetler kullanılır. Mail veya farklı bir paylaşım kanalı ile bilgisayarınıza bir yazılım yüklenir ve bundan sonra sizin bilgisayarınız da botnet master’ından emir bekleyen zombi cihaza dönüşür.

Master cihazdan komut geldiği anda hedefe -sizin izniniz veya bilginiz olmadan—bir saldırı başlatır. Düşünün ki sayıları 200.000’ i bulan botnetler mevcut iken (200.000 adet bilgisayar, ip yüzlerce GigaBit bant genişliği..), bu tarz botnetlerden gelen saldırıların başarısız olma ihtimali çok düşütür.

Ülkemizde en çok görülen saldırı tipinin DOS yani hizmet reddi olmasının sebebi yüksek seviye bilgi gerektirmemesidir. Çeşitli hazır yazılım veya linux tool setleri ile DOS saldırısı gerçekleştirilebilir. Unutmamak gerekir ki DOS saldırısı bir hack türü değildir, bir hizmet reddi saldırısıdır.


random source DDOS Attack

Yukarıdaki simülasyonda da görüldüğü üzere DDOS saldırısı binlerce hatta yüzbinlerce farklı ipden gerçekleştirilebilir. Bu tarz büyüklükteki bir saldırının karşısında hiçbir sistemin dayanma gücü yoktur.

Hizmet reddi saldırılarında temel amaç hedef sisteme, sistemin kaldırabileceğinden fazla yük göndermektir. Her sistemin kaldırabileceği yük miktar aralığı bellidir ve bunun aşılması durumunda sistem cevap veremez hale gelir.

DOS saldırılarında genellikle SYN Flood, UDP flood, URG flood gibi işlemler kullanılır. %100 önlemi olmayan tek saldırı tipidir. Şuanda dünyada büyük çaplı bir DDOS saldırısında etkilenmeyecek hiçbir sistem bulunmamaktadır.


DOS saldırı tipleri

Ping of Death:

Temel amaç saldırılan sistemi büyük icmp paketleri yollayarak yavaşlamasına sebep olmaktır. Komut satırından, ping www.site_adi.com -l 65500 -t komutu verdiğiniz anda, -l parametresi ile boyutu 65500 olarak belirlenen icmp (ping paketleri) hedefe gönderilir. -t parametresi ile de sonsuz sayıda paketin hedef sisteme gönderimi ayarlanır. Bu yöntem eski bir yöntem olmasından ötürü günümüz işletim sistemlerine işlemesi düşük olasılıktadır.

UDP Flood:

Hedef sistemin belirli portlarına aşırı miktarda udp datagram gönderilerek, sistemi çökmesine veya çok yavaşlayarak cevap veremez haline gelmesine dayanan bir saldırı yöntemidir. Tep IP veya bilgisayar ile başarılı olması pek mümkün değildir.

HTTP Flood:

Nasıl ki bir sınav sonucu açıklandığında üniversitenizin sitesine tabiri caizse “hücum” edersin, işte saldırı tipi de sanal olarak siteye hücum etmiş gibi etki bırakır. Sitelere sahte GET ve POST istekleri göndererek web sunucunun çökmesine ve hizmet verememesine sebebiyet verir. UDP flood’ da bahsettiğimiz gibi tek bir ip adresi ile başarı sağlanması imkansıza yakındır.

NOT! Hiçbir hizmet reddi saldırısı tek bir ip ile başarıya ulaşamaz. Tek bir ip veya bilgisayardan yapılan saldırılar eğer sistem çok zayıfsa hafif bir yavaşlamaya neden olur ki bu fark edilmeyebilir. Güçlü sistemlere yapılan tek cihazlı saldırılarda sisteme en ufak bir etki dahi verdirilemez.

Land Attack:

95li yılların en ünlü saldırı tipinden birisidir. Saldırı paketlerinin hedef ve kaynak adresleri bölümünün ikisine de saldırılacak sistemin ip adresi yazılır. Paketi alan hedef sistem paketi hedef yani kendine iletmek için göndermeye çalıştığında loop yani döngü meydana gelir. Bu şekilde sistem kaynaklarını boşuna tüketmiş olur. Bu saldırı tipi çok eski olduğu için geçen zamanla işletim sistemleri gerekli önlemleri almış ve zafiyeti ortadan kaldırmıştır. Bu saldırı tipi günümüzde geçerliliğini yitirmiştir.

Smurf Saldırısı:

Network içierisinde cihazların broadcast adreslerine gönderilen çok miktarda ping (icmp) paketi ile gerçekleştirilen saldırı tipidir. Saldırı broadcast adresinden geliyormuş gibi göründüğü için tespit edilmesi zor bir saldırı türüdür.

SYN Flood:

Hedefe çok miktarda TCP SYN paketi gönderilerek gerçekleştirilen saldırı türüdür. Hedef sistem SYN paketini alınca SYN+ACK paketi gönderir ve saldırgan sistemden ACK göndermesini bekler. Saldırdan beklemeden ardarda SYN paketi göndererek hedef sistemde binlerce half-open (yarı-açık) bağlantı bırakarak sistemi bir süre sonra cevap veremez hale getirir.

Bu anlatılan saldırı tiplerinden günümüzde en yaygın olarak kullanılanları UDP, SYN ve HTTP flood saldırılarıdır. Bu saldırılar botnetler vasıtası ile yapıldığı zaman yüksek miktarda etkili olur ve hasar bırakabilirler. Düşük güçlü cihazlar veya az sayıdaki ip adresleri ile hiçbir saldırınınsa başarıya ulaşma imkanı yoktur.

Eğer direk olarak bu makaleyi okuduysanız, DNS ve Network yazılarınında okunmasını tavsiye ediyoruz..