1. Dış Tehditler: Bilgisayarları ağlarla birbirine bağlamak, teknolojinin de bununla doğru orantılı olarak gelişmesine yol açmıştır. Bu kültürel değişikliklerle daha yüksek güvenliğe olan ihtiyaç da artmıştır. Eskiden bir bilgisayar suçlusu sistemlere tek bir noktadan saldırı yapabilmekte ve bu da sistem yöneticilerine bir siteyi koruma avantajını sunmaktaydı.
Servis Reddetme (DoS): DoS yani açılımı Denial of Sevice olan bu saldırı çeşidi bir hizmet aksatma yöntemidir. Bir kişinin bir sisteme düzenli veya arka arkaya yaptığı saldırılar sonucunda hedef sistemin kimseye hizmet veremez hâle gelmesi veya o sisteme ait tüm kaynakların tüketimini amaçlayan bir saldırı çeşididir. Birçok yöntemle hizmet aksatma saldırıları gerçekleştirilebilir.
Genellikle kullanılan yöntemler üç sınıf altında toplanabilir:
- Bant Genişliğine Yönelik Ataklar
- Protokol Atakları
- Mantıksal Ataklar
DoS Ataklarının Türleri:
- Service overloading: Bu atak tipi belirli host ve servisleri düşürmek için kullanılır. Atak yapan kişi özel port ve host’a bir çok ICMP paketi gönderir. Bu olay network monitör ile kolayca anlaşılır
- Message flooding: Service overloading’den farkı sistemin normal çalışmasını engellemez. Yine aynı şekilde gönderilen paketler bu sefer normal olarak algılanır. Örnek Nis server’ında flood yapılırsa (Unix network) Nis bunu şifre isteği gibi görür ve saldırganın host’a hükmetmesi sağlanır.
- Clogging: Saldırganın SYN gönderip ACK alıp ondan sonra da gelen ACK’ya cevap vermeyip sürekli SYN göndermesinden oluşur. Bu durum defalarca kez tekrarlanırsa server artık cevap veremez hâle gelir. Bu paketler sahte IP ile gönderildiğinden sistem bunu anlayamaz ve hizmeti keser. Anlasa ne olur? Anlasa aynı IP’ den gelen o kadar isteğe cevap vermez. Kurtuluş yolu bunları tarayan firewall’lardır.
DoS Atakları İçin Kullanılan Programlar:
- Ping of death: Bir saldırgan hedef aldığı bir makineye büyük ping paketleri gönderir. Birçok işletim sistemi, gelen bu maksimum derecede paketleri anlayamaz, cevap veremez duruma gelir ve işletim sistemi ya ağdan düşer ya da
çöker.
- SSPing: SSPing bir DoS aracıdır. SSPing programı hedef sisteme yüksek miktarda ICMP veri paketleri gönderir. İşletim sistemi bu aldığı data paketlerini birbirinden ayırmaya çalışır. Sonuç olarak bir hafıza taşması yaşar ve hizmet vermeyi durdurur.
- Land exploit: Land Exploit bir DoS atak programıdır. TCP SYN paketiyle hedef sisteme saldırıdır. Saldırı aynı port numarasına sürekli olarak yapılır. Land Expoit aynı kaynak ve hedef portları kullanarak SYN paketleri gönderir.
- Smurf: Smurf broadcast adreslere ICMP paketleri gönderen bir DoS Saldırı programıdır. Saldırgan ICMP echo istekleri yapan kaynak adresi değiştirerek ip broadcast’a gönderir. Bu broadcast network üzerindeki her makinenin bu istekleri almasını ve her makinenin bu sahte ipli adrese cevap vermesini sağlar. Bu sayede yüksek seviyede network trafiği yaşanır. Sonuç olarak bir DoS saldırısı gerçekleşmiş olur.
- WinNuke: WinNuke programı hedef sistemin 139 nu.lı portuna “out of band” adı verilen verileri gönderir. Hedef bunları tanımlayamaz ve sistem kilitlenir.
- Jolt2: Jolt2 kendisini farklı segmentte bulunuyormuş izlenimi vererek NT/2000 makinelere DoS atak yapabilen bir programdır. İllegal paketler göndererek hedefin işlemcisini %100 çalıştırıp kilitlenmesine yol açar.
c: \> jolt2 1.2.3.4 -p 80 4.5.6.7
- Bubonic.c: Bubonic.c Windows 2000 makineleri üzerinde DoS exploitlerinden faydalanarak çalışan bir programdır. Hedefe düzenli olarak TCP paketlerini gönderir.
c: \> bubonic 12.23.23.2 10.0.0.1 100
- Targa: Targa 8 farklı modül içinde saldırı yapabilen bir Denial of Service programıdır.
DoS (nuke) saldırı türleri aşağıdaki gibidir.
- NUKE: Nuke, sisteminizi kilitleyen, göçerten, internet erişimini kesen ve bu gibi zararlar veren saldırılara Nuke (nükleer bombanın kısaltması gibi) adı verilir. Nuke, siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler göndermesi ve bu paketlerin bilgisayarınıza zarar vermesidir.
- OOB Nuke: (Out of band Nuke ) Sadece Windows NT ve 95’te bir bug olan OOB nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios session port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminizin mavi ekran vererek internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.
- Land: Bilgisayarı kendi kendine senkronize ettirerek, arka planda internet meselelerini yürüten Winsock adlı programın sonsuz döngüye girmesini sağlar. Böylece farenizi bile hareket ettiremezsiniz. Kaynak IP (Source), Kaynak Port ve Hedef IP (Destination IP) IP, Hedef Port’un aynı olduğu bir IP paketi, Land saldırısının gerçekleşmesini sağlar.
- Teardrop, Boink, Nestea: İnternet üzerinde gelen giden veri, parçalar hâlinde taşınır, daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş 2 paketi birleştirmeye çalışması ile gerçekleşir. Boink, teardrop saldırısının ters olarak çalışan hâlidir. Nestea, teardrop saldırısının küçük değişimlere uğramış hâlidir ve teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.
- Brkill: Eğer Windows yüklü bir bilgisayara, bağlantının sonlanması ile oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki herhangi bir bağlantıyı zorla kesmeniz mümkün olur.
- ICMP Nuke: Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar. Bu saldırı var olan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.
- Jolt/SSPing: Windows 95 ve NT’nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı tipidir. 65535+5 byte’lık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.
- SMURF: Networkler’de “broadcast address” olarak tanımlanan ve kendine gelen mesajları bütün network’e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki bütün çalışan makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresinden ping çekerek saldırı hâline çevirir. Bir anda bilgisayarlarınıza on binlerce bilgisayarın ping çektiğini düşünürsek değil sizin şirketinizin bağlantısı, maalesef Turnet (Türkiye internet omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.
- Suffer: Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir. Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.
DDoS Atakları İçin Kullanılan Programlar:
- Trinoo
- TFN
- Stacheldraht
- Shaft
- TFN2K
- Mstream
2. İç Tehditler: Olası saldırıların nereden geleceği sorusuna kesin bir yanıt vermek zorlaşırken, ağların temel hizmet alıcısı durumundaki kullanıcılar, saldırıların hedefi konumundan hem hedef hem de kaynak olma konumuna doğru kayıyor. Ağ güvenliğine yönelik saldırıların kaynakları konusunda yapılan araştırmalar, iç tehditlerin giderek dış tehditler boyutuna geldiğini gösteriyor. Ağın içi, artık sadece korunan bir yer değil, aynı zamanda kendisine karşı tedbir alınan bir yer olarak algılanmalıdır.
Firma Casusluğu (Corporate Espionage): Firmanız hangi ağ çözümünü uygularsa uygulasın güvenlik son derece önemlidir. Bilgisayar güvenliği bilgi, donanım ve yazılım gibi firmanın kaynaklarını koruyacak şekilde dizayn edilir. Firma casusluğunu, çalışanlardan kaynaklı servis kullanımının engellenmesi ve sistemin zarara uğratılması olarak adlandırabiliriz.
Kötü Amaçlı Kullanıcılar (Rebellious Users): İnsanlığın değişik milletler ve toplumlardan meydana geldiğini hepimiz biliyoruz. Bu insan toplulukları içerisinde yaptıkları çalışmalarla diğer insanlara faydalı olan kişiler bulunduğu gibi, çevresindeki insanları rahatsız eden insanlar da vardır.
Bilgisayar programı yazan firmaların ya da kişilerin çoğunluğu insanların, şirketlerin vb. kuruluşların işlerini kolaylaştırıcı programlar, doğan yeni ihtiyaçlar doğrultusunda bu yazılımlarını da yenileyerek geliştirirler. Bunların yanında topluma zarar vermeyi alışkanlık hâline getirenler de bozucu programlar yazarak piyasaya gizlice sürmektedir. İşte bu işi yapanlara kötü amaçlı kullanıcılar diyoruz. Kötü amaçlı kullanıcılar yapmış oldukları bu saldırılarla çok değişik suçlar işleyebilirler. Bu suçları işlerken çok değişik yöntemler de kullanabilirler.
<< Bilişim Teknolojileri Ders Notları >> |
