Solucanların Hedef Tarama Stratejileri - SOLUCAN YAYILIM KESTĠRĠMĠ

4. SOLUCAN YAYILIM KESTĠRĠMĠ

4.6. Solucanların Hedef Tarama Stratejileri

Solucanlar yayılacakları adresleri bulmak için çok çeĢitli stratejiler kullanırlar. Bu bölümde solucanların hedeflerini bulmak için ortaya koydukları tarama stratejileri anlatılmıĢtır.

4.6.1. Ġdealize solucan

Ġdealize Solucan bilgisayar dünyasında gerçekte var olması oldukça güç olan bir solucan türüdür [32]. Bu solucan türünün saldıracağı savunmasız tüm hedeflerin adreslerini saldırıdan önce bildiği, dolayısıyla çok hızlı bir biçimde tüm bilgisayarlara enfeksiyon bulaĢtırdığı kabul edilir [32]. Ġdealize Solucanlar‟ın ilk hedefleri enfeksiyon bulaĢtırma süresi hedeflerin ilk %10‟undan sonrasına enfeksiyon bulaĢtırma süresine göre oldukça düĢüktür. Ġlk birkaç hedefe enfeksiyon bulaĢtırıldıktan sonra bu solucanların yayılımı çok hızlı artıĢ gösterir.

4.6.2. Ani solucan

Staniford ve diğ. (2002) tarafından geliĢtirilmiĢ bir terimdir, bir ideal solucan türüdür [32]. Bu tür solucanların saldırıya baĢlamadan önce ağda var olan, savunmasız, saldırılabilecek tüm bilgisayarları bildikleri varsayılır [32]. Savunmasız bilgisayarların tüm listesine sahip olan solucanlar ise çok büyük bir hızla, çok kısa sürede bütün ağa yayılırlar [32]. ġekil 4.12‟de bir ani solucan yayılım örneği görülmektedir. ġekil baĢlangıçta 10 tanesi enfeksiyonlu olan 360.000 bilgisayar için

gecikme olmadan ve her bir atakta iki saniye gecikme olduğu varsayılarak oluĢturulmuĢtur.

ġekil 4.12: Ani solucan [32]

4.6.3. Mükemmel solucan

Mükemmel Solucan ideal bir solucan türüdür. Bu solucanın ağdaki tüm savunmasız bilgisayarların adresini bildiği kabul edilir [32]. Üstelik bilgisayarların haberleĢtiğini ve bu nedenle enfeksiyon bulaĢmıĢ bir bilgisayarın, baĢka bir bilgisayar tarafından asla boĢ yere enfeksiyon bulaĢtırılmaya çalıĢılmayacağını (enfeksiyonlu bilgisayarların ağdaki bilgisayarlarla haberleĢtiğini) varsayar [32]. Tüm adresler önceden bilindiği ve gereksiz ataklar yapılmadığı için Mükemmel Solucan bilgisayar dünyasında görülebilecek en hızlı solucan türüdür [32]. ġekil 4.13‟de bir mükemmel solucan yayılım örneği görülmektedir. Grafikler baĢlangıçta 10 tanesi enfeksiyonlu olan 360.000 bilgisayar için gecikme olmadan ve her bir atakta iki saniye gecikme olduğu varsayılarak oluĢturulmuĢtur.

4.6.4. Düzgün tarama yapan solucan

Düzgün tarama yapan solucanlar rastgele tarama yapan solucanlar ve hit listesine göre tarama yapan solucanlardan oluĢmaktadır [32].

4.6.4.1. Rastgele tarama yapan solucan

Rastgele tarama yapan solucanların en bilineni hatta kimi kaynaklarda türe ismini veren solucan Code Red‟dir [32]. Solucan saldırıya baĢlamadan önce savunmasız kaynakların adreslerini bilmediği için hedef bulma amacıyla tüm IP adresleri arasında rastgele tarama yapar [32]. Bu tarama türü bilinen en basit tarama Ģeklidir [32].

4.6.4.2. Hit listesine göre tarama yapan solucan

Hit listesine göre tarama yapan solucanlar bilgisayar dünyasına Staniford ve diğ. (2002) kazandırdığı bir terimdir. Hit listesine göre tarama yapan bir solucan internetteki savunmasız bilgisayarlardan oluĢan bir listeye sahiptir. Ġlk olarak bu bilgisayarları tarar ve listedeki tüm savunmasız bilgisayarlara enfeksiyon bulaĢtırır. Daha sonra rastgele interneti tarayarak diğer makinelere enfeksiyon bulaĢtırmaya çalıĢır [32]. Hit listesine göre tarama yapan solucanlar, baĢta listelerinde bulunan savunmasız bilgisayarlara enfeksiyon bulaĢtırırken bir ani solucan gibi davranırlar [32]. Listedeki savunmasız bilgisayarlara saldırdıktan sonra, rastgele tarama yapacakları için rastgele tarama yapan bir solucan gibi hareket ederler [32]. Dolayısıyla ne ani solucan kadar hızlıdırlar, ne de rastgele tarama yapan solucan kadar yavaĢtırlar [32].

4.6.5. Yönlendirici solucan

Zou ve diğ. (2002) çalıĢmalarında BGP yönlendirme önceliklerini kullanarak solucanın arama uzayını düĢüren "yönlendirici solucanı" tanıtmıĢlardır. Solucan BGP yönlendirme öncelikleri bilgisini kullanarak arama uzayını üç kattan daha fazla azaltır [32]. Yönlendirici solucanın sıradan düzgün bir solucandan farkı arama stratejisinin farklı olması değil arama uzayının farklı olmasıdır [32]. Yönlendirici solucan diğer solucan türleriyle karĢılaĢtırılırsa ġekil 4.14‟de görüldüğü gibi baĢlangıçta hit listesine göre tarama yapan solucandan daha yavaĢ yayılır ancak

ilerleyen aĢamalarda BGP yönlendirme tablosu önceliklerini kullandığı için çok daha büyük bir yayılım hızına ulaĢır [32].

ġekil 4.14: Yönlendirici solucan, hit list solucanı ve gerçek ölçüm kıyaslaması [32]

4.6.6. Böl ve iĢgal et yaklaĢımını kullanan solucan

Düzgün tarama yapan bir solucan "böl ve iĢgal et" yaklaĢımını kullanarak IP alanının farklı kısımlarında, enfeksiyonlu bilgisayarların yapmalarına ve savunmasız bilgisayarlara da enfeksiyon bulaĢtırmalarına izin verir [32]. Bu tarz bir solucan "böl ve iĢgal et yaklaĢımını kullanan solucan" denir [32]. Bu tarz bir solucanın yayılımında, iki enfeksiyonlu bilgisayar enfeksiyon güçlerini aynı hedefi enfeksiyon bulaĢtırmaya çalıĢarak harcamayacaklardır [32].

Bir böl ve iĢgal et yaklaĢımına sahip solucan hedefine enfeksiyon bulaĢtırdığında ettiğinde arama uzayının yarısını bu yeni enfeksiyon bulaĢtırılmıĢ bilgisayara bölüĢtürür, daha sonra kendisine kalan arama uzayının yarısını taramaya devam eder.

4.6.7. Yerel tercihli tarama yapan solucan

Düzgün tarama bir solucanın kullanabileceği en basit tarama Ģeklidir. Ancak en iyisi değildir [32]. Çünkü Ġnternet düzgün bir yapıda dağılmaz (en azından Ġnternet IP alanı düzgün bir biçimde paylaĢtırılmamıĢtır) . Yerel tercihli tarama yapan solucan enfeksiyonlu bilgisayarların yakınındaki IP adreslerini daha yüksek oranda tarayan bir tarama modelidir [32]. Saldırganlar "yerel tercihli tarama yapan" solucanları kullanarak rastgele bir IP adresi kullanmak yerine aynı alt ağın A sınıfında veya B sınıfında olma olasılığını yükseltirler [32]. Eğer bir ağın içindeki bir bilgisayara

enfeksiyon bulaĢtırılabiliyor ise ağın içindeki bilgisayarlara da enfeksiyon bulaĢabilmesi yüksek olasılıktır [32]. Ayrıca solucanlar ateĢ duvarlarını geçmekte zorlanabilirler, eğer ateĢ duvarının arkasındaki bir bilgisayar enfeksiyon bulaĢtırılabilir ise aynı ağın içindeki diğer bilgisayarlara da ateĢ duvarını geçerek saldırmak kolay olacaktır [32].

Belgede Ağ güvenliğinde solucan yayılımlarının incelenmesi ve yeni model yaklaşımları (sayfa 62-67)