Merhabalar,
Şu aralar aktif olarak güvenlikle ilgililenmeye başladım ve düzensiz olarak (:)) sizlerle güvenlik kategorisi altında bazı makaleler paylaşacağım. Bugün SYN, SYN saldırısı nedir, SYN ve ACK paketi nedir, SYN saldırısı nasıl tespit edilir, bu saldırıda kullanılan araçlar nelerdir, SYN saldırısı nasıl engellenir? başlıklarıyla başlayalım. (Kısa ve öz bir makale olmasına dikkat edeceğim.)
SYN nedir?
TCP ‘ye özgü bir özelliktir ve TCP oturumlarını başlatmak için kullanılır.
SYN Saldırısı Nedir ?
SYN saldırısı (SYN flood) kısaca, bir hizmet engelleme saldırısıdır. Peki çalışma mantığı nedir? Art arda istekler göndererek (SYN requests) sunucu kaynaklarını tüketmeyi amaçlar. Bu tanım size bir yapıyı anımsattı mı ? SYN saldırısı aslında bir DoS / DDoS atak çeşitidir. DoS atak nedir ? Denial of Service ‘ten gelir yani yukarda da bahsettiğimiz gibi servisin engellenmesidir. Gündelik hayattan örnekleyerek gitmek gerekirse, bir bankaya gittiğinizi düşünün ve burada 5 gişe ve 30-40 kişilik bir bekleme salonu kapasitesi olduğunu varsayalım. İçeriye bir anda 200 kişinin girmeye çalıştığını ve aslında bu kişilerin gerçek birer müşteri olmadığını ve meşgul etmek için gittiğini düşünün aynı zamanda ya da sonrasında gelen gerçek müşteriler ise gişe görevlilerinden hizmet alamamış ve böylece hizmet engellenmiş olacak.
Ayrıca syn ataklarının bir DoS saldırı çeşiti olduğunu söylemiştik (en sık kullanılanı diyebiliriz) peki bunların arasındaki bağlantı nasıldır derseniz? DoS saldırısı syn paketleri ile yapılırsa bu syn atak olur.
- Teknik yapısı hakkında:
İstemci ve sunucu arasında bir takım mesajlaşma gerçekleşir. Buna kısaca üçlü el sıkışma diyebiliriz. Bu adımlar nelerdir ?
1-) İstekte bulunan yapı hedef sunucuya kendisiyle ilgili bir paket gönderir bu paket SYN (synchronize) paketidir ve bağlantı kurmak istediğini bu şekilde belirtir. (herhangi bir sunucu servisine örn: httpd servisine istekte bulunur)
2-) Sunucu ise aldığı mesaja istinaden kendi yapısıyla ilgili istemciye bir SYN – ACK paketi gönderir ve
3-) İstemci bu mesajı aldığına dair bir ACK (acknowledged) paketi ile yanıt verir ve böylece köprü kurulmuş olur.
Bu durum bütün TCP bağlantıları için temeldir.
SYN Saldırısında Kullanılan Başlıca Araçlar:
Netstress, Juno, Hping, BotNet yönetim sistemleri ve Windows tabanlı benzeri araçlar mevcuttur. Bu saldırı türlerinde yakın geçmişte genellikle sahte ip adresleri kullanılırken dünya genelinde haberlere konu olan büyük saldırılarda (kurbanların) gerçek ip adresleri kullanılmaktadır. Örneğin geçen bir iki ay önce IoT (internet of things) cihazları kullanılarak büyük bir saldırı yapılmıştı IoT de ayrı bir konu şu an hiç detayına girmeyelim :)
SYN Saldırısı Nasıl Tespit Edilir ?
Netstat ile kolaylıkla belirlenebilir.
SYN Saldırısı Nasıl Engellenir ?
Sık kullanılan iki yöntem vardır. Birincisi Syn Cookie ve ikincisi Syn proxy ‘dir. Ek olarak, TCP Timeout değerlerini düşürebilirsiniz
Ticari kısmına da değinmeden geçmek olmaz, Türkiye ‘de bir sunucuda barınan web sayfanız dos atak için kurban olarak seçilirse eğer, maalesef bir çok hosting sağlayıcısının altyapısı yeterli olmadığı için hizmetinizi durdurarak yani deyim yerindeyse fişi çekerek bunu önlemeye çalışacaktır. Peki siz hosting kullanıcısı olarak neye dikkat etmelisiniz ? Yurtdışındaki bazı datacenter ‘ların piyasaya sunmuş olduğu hizmet var, anti-ddos. Benim 1.öncelik tercihim diyebilirim ;)
Arkadaşlar şimdi bahsettiğim her şeyi unutun ve aşağıdaki görsele bakın :D Son nokta !
Bu makaleyi yazmama Mehmet Bey ‘in bir sunumu vesile oldu, kendisine buradan da teşekkür ederim.
Görsellerden birisini ise verisign.com ‘dan alıp kullanmıştım.
Bir önceki yazımız olan SMSlerin / Mesajların Sonundaki Kodlar (B001,B002,B003), Tanımları ve Şikayet başlıklı makalemizde b001 b002 b003 sms kodu, b001 sms kodu ve b002 sms kodu hakkında bilgiler verilmektedir.