ddos

• hack çilingirlikse, ddos kapıya omuz atıp kırmaktır.
• hukumetlerin internet erisimini engellemek icin kullandigi yeni yontem. en son ornegini israil'in ihh sitesini kapatmasinda gorduk.
  
  ister dns'ini degistir ister ip'ni, ulasmaya calistigin site calismiyorsa hicbiri ise yaramaz.
  
  "lieutenant, your men are already dead"
• halen engellenemeyen saldiri turu.
  
  ddos saldirilari, bilgi guvenligi konseptini olusturan gizlilik, butunluk ve erisilebilirlik kavramlarindan erisilebilirligi hedefliyor. amacin hedef sistemleri arzu edilen sure boyunca kullanilamaz hale getirmek oldugunu anladik. peki nedir ddos saldirilarini bu kadar tehlikeli ve onlenemez yapan ?
  
  ddos saldirilari, internetin varolusuna da katkida bulunan anonimity ve accessibility gibi temel olgulardan besleniyor. saldirilarin hemen hepsi birim zamanda buyuk boyutlu trafik olusturma ya da cok sayida veri paketi yaratma tabanli. bunu yapabilecek sistemlerin internet uzerinde bol miktarda bulunmasi ve cogu zaman saldirilan ve saldiriyi yapanin da gelen trafigin kaynagini bilememesi/anlayamamasi sebebiyle saldirilar onlenemiyor. bircok durumda normal veri trafigiyle atak trafigi ayirt edilemiyor. saldiri basladiginda ilgili sistemler uzerinde connection sayilarina bakiliyor, loglar inceleniyor, ips cihazlari uzerinde aktif edilmemis imzalardan medet umuluyor, birkac dakika icerisinde de atagin bir ddos saldirisi oldugu anlasiliyor ve kahve molasi veriliyor. bu arada da saldirganin sikilmasi ve atagi sonlandirmasi icin dua ediliyor. o kadar.
  
  atak basladiginda genelde hedeflenenler web sunuculari oldugu icin web siteleri kisa sure icerisinde ulasilamaz hale geliyor. ips urunleri ddos saldirilarini engelleyemiyor. firewall lar birakin engellemeyi, ilk once kendileri down oluyorlar. hadi engellemeyi gectik, ips ve firewall cihazlari ayakta kalmayi basardiklarinda bu sefer de omurga routerlari asagi iniyor. ddos saldirilarini onune cikan herseyi yokeden cekirge surulerine benzetiyorum. network uzerindeki hemen her donanim bir sekilde fonksiyonunu yerine getirememeye basliyor ve inbound/outbound trafik mutlaka olusan darbogazdan etkileniyor. uygulama sahipleri basiniza ususuyor. musteriler telefonlara sariliyor. insanlar saldirinin nedenini ve ne kadar surecegini ogrenmek istiyorlar. cevap veremiyorsunuz; cevabi bilemiyorsunuz. netten buldugu programin dugmesine tiklayip eglenen o lise ogrencisi ya da saati yuz dolara botnet kiralayip orayi burayip cokerten o siber andaval ben degilim ki ?
  
  saldiri altindeyken orta ve cogu buyuk olcekli firmada, hosting firmalarinda, servis saglayicilarda durum boyle. piyasada ddos ataklarini network olceginde engelleyen urun sayisi bir elin parmaklari kadar. fiyatlari da birkac elin parmaklari kadar; her bir parmaga bin dolar fiyat bictiginizde. her sekilde munasip bir yerinize kacan ise orta parmagin ta kendisi. buyuk bir isp veya hosting firmasi iseniz birkac onbin dolarlik urunler de kurtaramiyor sizi. gerizekali anomaly detection sistemi bile ancak "bir anormallik var ama ney haci?" diyebiliyor size. sistemler engellemeyi birakin, sorunu teshis bile edemiyorlar.
  
  su sermayeyi bir toparlayayim, hemen bu ise giriyorum haci. her cinliye bir dolarlik ddos protection saticam; kral olucam kral..
• basit bir java script ile yapılabilir:
  1. sözlük gibi 1000lerce kişinin olduğu bir yerde insanları organize edin.
  2. bir tane javascript yazın:
  while(true)
  http://www.abc.abc.xy/ adresindeki sayfayı açma requesti gönder.
  3. 1000lerce kişi aynı anda 10-15 dakika boyunca bu scripti çalıştırsın.
  4. beşinci dakikadan sonra site mite kalmayacaktır. (yahoo gibi ciddi load balancerları olmayan siteler seçin)
• tam olarak ne olduğunu anneye anlatır gibi anlatmak için metrobüs örneğinin kullanılabileceği atak türüdür.
• distributed dos da denilen "dagitilmi$" dos attack'ler. ahmet voltran can sikintisindan bayilmi$ bir coderdir. tam bu esnada oturup yazdigi program kendi kendini cali$tigi her bilgisayarin tum address bookuna gizlice gonderdikten sonra merkezden komut beklemeye ba$lar, olaylar geli$ir...
• script kiddy'lerin hayatta yapamayacagi, koca bir ulkeyi internet yuzey(?)inden silecek kadar etkili olabilen^*, teorik bir cozumu hala bulunamamis, siber alemin tek gercek saldiri yontemidir.
  
  ddos yapmak icin once kendini yayan polymorphic bir rootkiti windows gibi tutarli bir mantigi olmayan apilere sahip derme catma bir platformda yazmak, sonra bunu yuzbinlerce terminale yaymak, sistemi ise bir yandan emir vereni gizleyecek kadar dagitik, diger yandan etkili bir ddos baslatacak kadar senkronize tasarlamak gerekir. bunlari yaparken surekli microsoft, symantec, interpol vs ile kovalamaca oynamak da isin tuzu biberidir. bunca is de, kimse kusura bakmasin, her babayigidin harci degildir.
  
  ddos ile dos arasindaki fark ise
  
  while true; do wget www.acayipgicikoldugumsite.com; done
  
  scriptiyle yukarida sayilanlar arasindaki farktir.
• durdurmanın çok zor olduğu bir saldırıdır. firewall falan pek bir işe yaramaz. çoğu firewalllar ve adsl modemlerin üzerindeki firewalllar engelleme yöntemi olarak kullanılmayan bir prota gelen talebi "ret" eder. bu reddetme de kendi arasında "ağ erişilemez", "uç erişilemez", "port erişilemez", "protokol erişilemez", "ağ yasaklı" ve "uç yasaklı" olarak ayrılır. en sık kıllanılanı port erişilemezdir. ama bu yöntemler geriye paket yollanmasına sebep oluğundan saldırıya maruz kalan aletin gönderimini (upload) etkiler. en kötüsü de sizin indirdiğiniz paketler için gönderdiğiniz teşekkür mesajlarının (ack) gidememesidir. bu teşekkür mesajları gidemeyince size veri yollayan uçlar verinin gitmediğini düşünür ve yeniden veri yollamaya başlarlar. size yeni bir ek indirmeye neden olur. böylece size dolaylı olarak saldıran yeni uçlarınız olur. bu durumdan kurtulmanın en kolay yolu paketlerin düşmesini sağlamaktır. bu sefer size saldıran uçlar bağlantılarını kapatmak için ek işlem yapmaları gerekir. bu da sizin karışı saldırınızdır. bu da size gelen saldırı miktarını azaltır. ama unutmayın hala saldırı altındasınız ve kaynaklarınız harcanmaktadır. ve saldırının durmasını beklemekten başka bir seçeneğiniz yoktur.
• bir market düşünelim. en basitinden bim olsun. giriş ve çıkış kapısı tek kapı bunu not edelim.
  
  indirim yapmışlar, atıyorum 5 litre yağ 10 tl. tek bir kasiyer var. tek bir kasiyer bir anda bir kişiyi alabilir. ama 10 kişi birden girerse sıra birikir. ve durmadan artar bu. kasiyer işlemleri hızlandırmak için sadece yağ geçerse sıra pek birikmez. ama bime girip sadece yağ almayacak insanlarda olacak. yanindaki çocuğa çikolata da aldı diyelim. 2 ürün kasiyere ek 10 sn getirdi.
  
  gözünüzde bu kısım canlandı. şimdi kasiyer fiş kestiklerini gönderdi. ama tek çıkış var. giren kişilerle çıkan kişiler aynı yerden geçecek. burası dar boğaz oluşturup hattı doldurmaya başlıyor.
  
  ddos ise bunun networkteki daha karmaşığı. en basit tabiri böyle. normalde herkes yağ isteseydi bu dos olurdu. çünkü servisi kitliyoruz tek bir işlem için. ama araya farklı ürün girip farklı istekler gelmeye başladığı için kasiyer çıldırıyor. marketin kapısında ve kasada yığılma oluşuyor. dağınık bir yapı.
  
  ddos %100 engellemek basit değil. gelen istekleri yüzüp, hangileri temiz hangileri değil anlamak lazım. istek yapan client'ın ipsi saniyede kaç istek bulunuyor, hangi tür istekte bulunuyor, ip sahte mi yoksa gerçekten o clienta mı ait gibi.
  
  tr deki çoğu dc artık yurt dışından gelen istekleri direkt kapatabiliyor. ama bu çözüm mü? değil.
  
  mesela firewall şunu anlayamaz. botnet ağındaki bir zombi bilgisayar atıyorum ekşi sözlüğe saldıracak diyelim:
  
  eksisozluk.com/konu?param=1
  eksisozluk.com/konu?param=2
  eksisozluk.com/konu?param=3
  
  türünde istekler göndererek sunucudan farklı bir işlem yapıyor gibi gösterir. bunun yanında saniyede 1 kere yapıp firewallın dikkatini çekmez. tarayıcı tanımını(user-agent) değiştirebilir ve böylelikle kendini gizleyebilir. tor ağına bağlanıp her isteğin ip sini değiştirebilir. bunu aynı anda 50 bin kişi yaparsa iş sarpa sarabilir. tcp/ip de şöyle bir sorun var. 3 yollu el sıkışma(^*) yüzünden sunucu istek yapana ben sana cevap veriyorum diye geri dönüş yapar. verin bana geldi. şimdi sana datayı da gönderiyorum bilgisi. syn - ack merak edenler için.
  
  burda da trafik şişer ve otomatik olarak sunucu yorulmaya başlar. isteklere cevap veremez hale getir. servis çöküyor kısacası.
  
  çözüm nasıl olur:
  
  istek filtreden geçer, filtre bir bakar kendi öğrendiği gibi, daha önceden belirlenmiş modellere göre isteği ya geçmesine izin verir ya da direkt keser. ama hala darboğaz olmasını engelleyemez. bu sefer filtre şişer.
  
  filtre şişmemesi için birden fazla router a yönlendirme yapılabilir ve bu sayede ağ şişmesi engellenebilir. birinci istek a routerına giderken, ikinci istek b sunucusuna yönlendirilebilir.
  
  en basit çözüm ise ip yi null etmek ve istekleri tamamen kesmek. bu en kötüsü.
  
  ovh ddos süzme işlemi grafiği mesela çok güzel bir örnek ama ovh'ın network omurgası çok büyük.
  
  100 gbps lık ddos saldırısı süzülürken
  
  peki tr deki dc ler neden çözüm sunamıyorlar kolay kolay? çünkü çok büyük bir yatırım gerekiyor. hat pahalı, firewall ve routerlar pahalı. izmirdeki çalıştığım dc lerden biri 4x10 gbit portu olan bir routera 76 bin tl para ödediler, ki bu tek başına yeterli değil...
  
  şimdi bazıları ddos üzerinden tunneling ile trafiği süzmeye çalışıyorlar ama bu sefer gelen istek ile giden istek çok fazla ülke geziyor. bu da ping sürelerini otomatikman 50 - 100 ms üzerine çıkartıyor. sayfalar yavaş açılıyor ama yinede sunucu cevap veriyor. %100 uptime korumaya yaklaşılıyor.
  
  basit bir konu değil gerçekten. eğer sunucunuza gelirse baya bir can sıkabiliyor. bir çok optimizasyon yapmalar, indeksi değiştirmeler, networkü izlemek vs vs...
  
  direkt ip ye gelen istek kesilebiliyor ama dns üzerinden farklı şekilde gelen istekler?
  
  son olarak: (bkz: amlarına koyayım onların çok ayıp ediyorlar)
  
  hızlı edit:
  
  cloudflare iyi bir çözüm böyle durumlarda. unuttum bunu söylemeyi.
• tibe göre sayfa aynı anda çok tık alıyormuş gibi bir durum dur.