DoS önleme
Categories:
DDoS önleme
İki DoS saldırı yöntemi:
- Hizmeti çökertmek
- Ağ yoğunluğunu artırmak
Saldırı türleri
| Saldırı türü | Saldırı yöntemi | Müdahale yöntemi |
|---|---|---|
| Dağıtılmış DoS | Aynı anda birden fazla bağımsız IP’ye sahip makine saldırısı başlatır | 1. Hizmeti düşürme 2. Kara liste 3. Ağ aygıtı kapatma |
| Yo-yo saldırısı | Otomatik genişletme kaynağının olduğu hizmetlerde, kaynakların azaldığı ara zamanlarda saldırı yapar | Kara liste |
| Uygulama katmanı saldırıları | Belirli bir işlev veya özellik hedefine yönelik saldırı, LAND saldırısı bu tip saldırıya örnek verilebilir | Kara liste |
| LANS | Bu saldırı yöntemi, hedef makinenin kaynaklarını tüketip çökmesine kadar sürekli kendi kendine yanıt veren, kaynak adresi ve hedef adresi kendi IP adresi olan boş bir bağlantı oluşturan özel olarak hazırlanmış TCP SYN veri paketlerini kullanır. Bu saldırı yöntemi SYN taşkını saldırısından farklıdır. | Kara liste |
| Gelişmiş kalıcı DoS | Gizlilik/ hedef belirleme/ savunma önleme/ uzun süreli saldırı/ yüksek hesaplama gücü/ çoklu iş parçacığı saldırısı | Hizmeti düşürme |
| HTTP slow POST DoS saldırısı | Meşru bir bağlantı oluşturduktan sonra çok yavaş bir şekilde büyük miktarda veri gönderir, sunucu kaynağının tükenmesine neden olur | Hizmeti düşürme |
| Challenge Collapsar (CC) saldırısı | Standart meşru istekleri sıkça gönderir, bu istekler daha fazla kaynak tüketir, örneğin arama motorları büyük miktarda bellek tüketir | Hizmeti düşürme, içerik tanıma |
| ICMP taşkını Internet Control Message Protocol (ICMP) taşkını | Büyük miktarda ping/hatalı ping paketleri/Ping of death (bozuk ping paketi) | Hizmeti düşürme |
| Kalıcı reddetme saldırıları | Donanıma yönelik saldırı | İçerik tanıma |
| Yansıma saldırısı | Üçüncü tarafa istek göndererek sahte adresle yanıtı gerçek kurbanına yönlendirir | ddos kapsamı |
| Amplifikasyon | Yansıtıcı olarak bazı hizmetleri kullanarak trafiği büyütür | ddos kapsamı |
| Mirai botnet | Kontrol altındaki IoT cihazlarını kullanır | ddos kapsamı |
| SACK Panik | Maksimum segment boyutu ve seçmeli onaylamayı kullanarak yeniden göndermeyi tetikler | İçerik tanıma |
| Shrew saldırısı | TCP yeniden gönderme zaman aşımı mekanizmasının zayıflıklarını kullanarak aynı bağlantı üzerindeki TCP bağlantılarını kısa süreli senkronize trafik patlamalarıyla keser | Zaman aşımına bırakma |
| Slow Read saldırısı | Slow post benzeri, meşru bir istek gönderir, fakat okuma çok yavaştır, TCP Receive Window boyutuna çok küçük bir sayı duyurarak bağlantı havuzunu tüketir | Zaman aşımına bırakma, hizmeti düşürme, kara liste |
| SYN taşkını | Büyük miktarda TCP/SYN veri paketi gönderir, sunucuda yarı açık bağlantılar oluşturur | Zaman aşımı mekanizması |
| TearDrop saldırısı | Hedef makineye çakışan, aşırı büyük payloada sahip bozuk IP parçaları gönderir | İçerik tanıma |
| TTL süresi dolmuş saldırı | TTL süresi dolmuş olduğunda veri paketleri atılır, router CPU’su ICMP zaman aşımı yanıtı oluşturup göndermek zorundadır. Bu tür yanıtların çoklu üretimi router CPU’sunu aşırı yükler | Trafik atma |
| UPnP saldırısı | DNS amplifikasyonu temeline dayalı, fakat saldırı mekanizması UPnP router’ıdır, bir dış kaynaktan başka bir kaynağa istekleri iletir ve UPnP davranış kurallarını görmezden gelir | Hizmeti düşürme |
| SSDP yansıma saldırısı | Birçok cihaz, bazı konut yönlendiricileri dahil olmak üzere UPnP yazılımında, saldırıların hedef adreslerine yanıt almak için kullandığı bir açıklığa sahiptir. | Hizmeti düşürme, portu engelleme |
| ARP sahtekarlığı | MAC adresini başka bir bilgisayar veya ağ geçidi (örneğin yönlendirici) IP adresiyle ilişkilendirir, böylece orijinal gerçek IP’ye yönelik trafiğin saldırı yapan kişiye yeniden yönlendirilmesine ve hizmet reddine neden olur | ddos kapsamı |
Önleme önlemleri
- Saldırı trafiğini tanıma
- Hizmeti bozmak
- Trafik içeriğini tanıma
- Hizmet yoğunluğunu artırmak
- Erişim zamanını kaydetme
- Hizmeti bozmak
- Saldırı trafiğine müdahale
- Saldırı trafiğini atma
- Saldırı IP’sini engelleme
- ipv4 IP sayısı sınırlı olduğu için, kara liste oluşturmak kolaydır
- ipv6 sayısı daha fazladır, kara liste oluşturmak zordur. ipv6 adres bloklarını kullanabilirsiniz, fakat yanlış engelleme riski vardır
- Erişim sıklığını kontrol etme
Açık kaynak araçlar
Saldırı araçları
https://github.com/palahsu/DDoS-Ripper- 162 fork, 755 yıldız
- https://github.com/MHProDev/MHDDoS
- 539 fork, 2.2k yıldız
- MHDDoS - 40 Yöntemli DDoS Saldırı Scripti
- https://github.com/NewEraCracker/LOIC
- 539 fork, 1.9k yıldız
- C#
- network stress tool
- https://github.com/PraneethKarnena/DDoS-Scripts
- 165 fork, 192 yıldız
- C, Python
- https://github.com/theodorecooper/awesome-ddos-tools
- 46 yıldız
- ddos araçları koleksiyonu
Savunma araçları
- https://github.com/AltraMayor/gatekeeper
- GPL-3.0 Lisansı
- 159 fork, 737 yıldız
- C, Lua
- Gatekeeper, açık kaynak DoS koruma sisteminin ilk örneğidir.
https://github.com/Exa-Networks/exabgp- Apache benzeri lisans
- 415 fork, 1.8k yıldız
- Python
- Ağların BGP İsviçre ordusu bıçağı
- https://github.com/curiefense/curiefense
- Apache 2.0 Lisansı
- 60 fork, 386 yıldız
- Uygulama katmanı koruması
- siteleri, hizmetleri ve API’leri korur
- https://github.com/qssec/Hades-lite
- GPL-3.0 Lisansı
- 24 fork, 72 yıldız
- C
- Çekirdek seviyesinde Anti-ddos sürücü programı
- https://github.com/snort3/snort3
- GPL-2.0 Lisansı
- 372 fork, 1.4k yıldız
- Snort IPS (Intrusion Prevention System) sisteminin bir sonraki nesli
- C++
Trafik izleme
- https://github.com/netdata/netdata
- GPL-3.0 Lisansı
- 5.2k fork, 58.3k yıldız
- C
- https://github.com/giampaolo/psutil
- BSD-3-Clause Lisansı
- 1.2 fork, 8.2k yıldız
- Python, C
- Python için platformlar arası işlem ve sistem izleme kütüphanesi, aynı zamanda ağ izleme
- https://github.com/iptraf-ng/iptraf-ng
- GPL-2.0 Lisansı
- 22 fork, 119 yıldız
- C
- IPTraf-ng, Linux için IP trafiği hakkında bilgi gösteren bir konsol tabanlı ağ izleme programıdır.