DDOS-SYN Saldırısı Önleme Yolları

Ddos saldırılarının çoğunluğu DNS ve UDP hizmetini hedef almaktadır.

DNS Flood saldırı tipi genelde iki şekilde gerçekleşir:

• Hedef DNS sunucuya kapasitesinin üzerinde (bant genişliği olarak değil) DNS istekleri gönderip, normal isteklere cevap veremeyecek hale gelmesini sağlayarak.
• Hedef DNS sunucu önündeki Firewall/IPS’in “Session” limitlerini zorlayarak, Firewall arkasındaki tüm sistemlerin erişilemez olmasını sağlayarak.

Her iki yöntem için de ciddi oranlarda DNS sorgusu gönderilmesi gerekir.

UDP Flood saldırılarında amaçlardan biri; güvenlik duvarının oturum tablosunun dolması ve cevap veremez hale gelmesidir.
UDP Flood, belirlenen hedefe boş UDP paketlerini göndermektir.
DNS Flood, DNS servisine yönelik rastgele istekleri göndermektir.

DNS Flood genelde sahte IP adresleri kullanarak gerçekleştirilir, bunlar;
• Rastgele seçilmiş IP adresleri ile,
• Bilinen DNS sunucularının IP adreslerinin kaynak olarak kullanarak.

Bu “IP Spoofing”  yani  IP sahteciliği demektir.

DNS, UDP tabanlı bir protokol olduğu için; hem DNS istekleri hem de DNS cevaplarında kullanılan IP adresleri istenildiği gibi belirlenebilir. IP Spoofing yapılıyor olması, hem DNS isteklerinin hem de cevaplarının sahte olabileceği anlamına gelir. Sahte DNS isteğini engelleyecek herhangi bir yöntem bulunmamaktadır.

En çok gördüğümüz ise Amplified DNS Ddos saldırılarıdır. DNS isteğine dönecek cevabın kat ve kat fazla olması özelliğini kullanarak, sisteme gönderilen 50 Byte’ lık bir DNS isteğine 500 Byte cevap döndüğü düşünülürse saldırganın sahip olduğu bant genişliğinin 10 katı kadar saldırı trafiği oluşturabilir.

DNS önemli bir protokol olduğu için sık sık kurcalanır ve güvenlik zafiyetleri çıkarılır.
Bunların bazıları;
• DNS sunucunun çalışmasını durdurabilecek zafiyetler,
• DNS sunucunun güvenliğini sıkıntıya sokacak zafiyetler,
• DNS sunucuyu kullanan istemcilerin güvenliğini sıkıntıya sokabilecek zafiyetlerdir.

Saldırıları engelemek için bilinen bazı öneriler :
1. DNS Flood Detector Yazılımı: DNS Flood Ddos saldırılarını yakalamak için Dns Flood Detector yazılımı kullanılabilir.
2. Rate Limit: Rate Limit yöntemi ile kaynak IP adresin engellenmesi amaçlanır.Ama UDP tabanlı protokollerde kaynak IP adresinin gerçekliği kesin olmadığı için genellikle sonuç vermez.
3. DFAS Yöntemi: TCP üzerinden gelen saldırın paketlerine geri dönülerek IP adresinin, gerçek olup olmadığı tespit edilir. Fakat bu UDP üzerinden gelen paketler için geçerli değildir.
4. Router Koruma: Router tarafında koruma seçeneğinde, ilk paketler routerdan geçtiği için yine ilk etkilenen router olmaktadır. Router üzerinde yapılacak bazı ayarlar saldırıyı kesmekte ya da şiddetini düşürmektedir. Saldırı anında gönderilen paketlere ait karakteristik bir özellik belirlendiğinde, routerda yazılacak ACL ile saldırılar önlenebilir. Bu yöntem de kesin bir sonuç vermemektedir.
5. IPS: IPS, yani saldırı engelleme sistemi; bilinen Ddos saldırına yönelik saldırı imzalarını kendi veri tabanında tutar ve bu imzalar devreye alınarak saldırılara karşı önlem alır.
6. Web Sunucularına Yönelik Koruma: Ratelimit ve firewall tarafından kısmen sağlanabilir. Ek olarak, “Snort Saldırı” ve “Tespit Sistemi” kullanılabilir.

Ddos saldırılarından korunmanın en temelinde; network yapısının iyi tasarlanması, bilinmesi ve ekibin TCP/IP bilgisinin iyi derecede olması vardır.

Saldırılara Maruz Kalmamak İçin Öneriler:

Türkiye’ de IT sektöründe gerçekleşen saldırıların çoğu müşteri kaynaklıdır.

Bunların önüne geçmek için yapılması gerekenler;
• Doğru satış stratejisi belirlenip, rakip firmaların gözünde haksız rekabete girmemek.
• Yeni müşteri analizinin doğru şekilde yaparak, kesin potansiyel durumunda müşteriyi kabul etmemek.
• Saldırıya maruz kalan müşterilerin belirlenip, uyarılara rağmen saldırıların sürekliliğinde ilişiği kesmek.