DoS Atak Türleri

 TCP/SYN Flood Attack:

Bu atak türü klasik bir DoS saldırısıdır ve modern ticari bilgisayar sistemlerinde bu saldırılara karşı önlemler alındığından fazla etkili değildirler. Bu saldırı tekniğine göre hedef sisteme gelen SYN (Synchronize) paketleri hedef sistemin hafızasını doldurur. Hafızası dolan sunucu diğer sisteme bağlı istemcilere servis veremez duruma

gelir. İlk olarak istemci ile sunucu arasında bir bağlantı nasıl hangi adımlardan bunu görelim. Bu olay 3 adımdan oluşur

1. İstemci, sunucu makineye bağlanmak için kendisi hakkında bilgi bulunan bir SYN paketi yollar.(Web, Telnet, Mail, FTP gibi)

2. Sunucu bu SYN paketini alır ve bu paketi aldığını gösteren ACK (AcKnowledgement) ile SYN paketini birleştirerek istemciye gönderir. (ACK+SYN)

3. İstemci, sunucudan gelen bu paketleri alır ve aldığını gösteren bir ACK paketi yollar. Böylece bağlantı başlamış olur.

Şekil 3. 1. TCP 3 Aşamalı Tokalaşma [TCP Tokalaşması, 2002]

Yukarıda anlatılan normal bir bağlantıdır. İşin saldırı kısmına baktığımızda 3. Adımda istemcinin sunucuya göndereceği ACK paketi sunucuya gönderilmediği takdirde sunucu istemciden ACK paketini beklemeye başlar ve bir süre bekler. Bu bekleme anında istemci tekrar bir bağlantı isteği oluşturup her defasında 3.Adımda ki ACK paketini sunucuya göndermezse her bağlantı için sunucu bu istekleri hafızasına kaydeder. Böyle ardı ardına işlem yapıldığında artık istemcinin hafızasını isteklerle doldurmuş oluruz. Bu sunucunun hafızası dolduğunda diğer kullanıcılara artık sunucu cevap veremez olur. Bu bize bir TCP/SYN Flood Attack yapıldığını gösterir.

Şekil 3. 2. TCP SYN Saldırısı [TCP Tokalaşması,2002]

 TCP Replay Flood Attack

Bir kablosuz erişim noktasına açık olduğu portlardan yüksek miktarda veri göndererek hafızayı şişirmeyi sağlamaktır. Bu teknikte MAC Spoofing veya IP Spoofing gibi yöntemlerde beraber kullanılarak saldırının şiddeti arttırılır.

 Land Attack

Land attack aynı kaynak ve hedef yani kurbanın IPlerini ve portlarını sahte IP olarak içeren spoofed paketler gönderilmesi mantığı ile çalışan DoS saldırı türüdür. Bu paket el-sıkışma süreci ile sonuçlanan bir bağlantı talebi içerir. El-sıkışma sürecinin sonunda kurban bir ACK yani onay isteği gönderir. Hedef ve kaynak koordinatları aynı olduğundan kurban kendi gönderdiği istek paketini alır. Alınan veri kurbanın beklediği tür ile uyuşmaz, bu yüzden ACK isteği tekrar gönderilir. Bu süreç ağ çökene kadar devam eder.

Bu atak çeşidinde saldırganlar (hacker) hedef sistemin IP adresini, kaynak IP adresi olarak kullanarak ağı SYN paketleri ile istila ederler. Bu durumda host bilgisayar sanki paketleri kendi kendine göndermiş gibi görünür. Bu durumda hedef sistem kendi kendine yanıt vermeye çalışırken sistem kullanılamaz duruma gelir.

 Brute-Force Attack

Brute-force attack, örneğin ‘Smurf’ atağı, Bu tip ataklar bilgisayar ağını gereksiz verilerle istila ederler. İstila için IP tanımlamasındaki directed veya subnet broadcasting özelliğini kullanırlar. Bu atağı kullanan saldırgan, paketlerin hedef adresini networkün broadcast adresi olarak seçer. Bu durumda router networkteki bütün host’lara ICMP echo isteği gönderecektir. Eğer networkte aşırı derecede host varsa, bu büyük miktarda ICMP echo istek paketi oluşturacaktır. Broadcast seli mevcut band genişliğini tüketecektir. Bu durumda haberleşme mümkün olmayacaktır.

 IP Spoofing Attack

Ip Spoofing, sistemlere girmek için, saldırganın kimliğini gizleyebilmesi için veya DoS atağının etkisini büyütmek için kullanılır. IP Spoofing yönlendiriciyi veya güvenlik duvarını kandırarak isteğin güvenilir ağdan geldiğini sağlamaya çalışan bir tekniktir. Bu sayede sistemlere yetkisiz erişim sağlanır. Saldırgan bunu yapmak için paketin başlığını değiştirir. Bu sayede paket güvenilir ağdan geliyormuş gibi gözükür ve yönlendirici veya firewall bu paketlere izin geçişine izin verir.

 Ping Flood Attack

Ping Flood temel bir DoS atak türüdür. Bu tekniğe göre saldırganlar kurban sistemlere büyük boyutta (65000) ICMP paketleri göndererek sistemin bant genişliğini doldururlar. Böylece ağ iletişimini sabote ederler. Buna örnek Ping of Death atağıdır. Ping of Death atağı “PING” uygulamasını kullanarak IP tanımlamasında izin verilen 65535 byte veri sınırını aşan IP paketleri oluşturur. Normalden büyük paket daha sonra ağa gönderilir. Sistemler çökebilir, durabilir veya kapanıp açılabilir.

 Teardrop Attack

Teardrop atağı IP paketlerinin tekrar birleştirilmesindeki zayıflığı istismar eder. Veri, ağlar içinden iletilirken genellikle daha küçük parçalar ayrılır. Her bir parça orijinal paket gibi görünür. Ama istisna olarak offset alanı vardır. Teardrop programı bir

dizi IP paket parçaları oluşturur. Bu parçalar örtüşen offset alanlarına sahiptir. Bu parçacıklar varış noktasında tekrar birleştirildiklerinde bazı sistemler çökebilir, durabilir veya kapanıp açılabilir.

 UDP Flood Attack

Hızlı, ancak güvensiz bir iletişim protokolüdür. Gönderici bilgisayar veriyi gönderir ancak verinin ulaşıp ulaşmadığını kontrol etmez. Hızın önemli olduğu durumlarda tercih edilir. Bu atak tipi bilgisayar ağ protokollerinden UDP (User Datagram Protocol)’yi kullanan DoS ataktır. DoS atak için UDP’ yi kullanmak TCP gibi kolay ve açık değildir. Aksine UDP Flood Attack uzaktaki erişim noktası üzerinde ki rastgele portlara büyük değerli UDP paketleri göndererek atak yapabilir. Genel mantığı sahte olarak üretilen IP adreslerinden paket yollamaktır. IP Spoofing kullanımı mecburi denilebilir. Örneğin bir bilgisayar flood(taşma) yapıyorsanız verinin doğru gidip gitmediğinden çok verinin çabuk gidip gitmediğini hesaplarsınız.