Güvenlik ve Hacking
İnternet kullanımının yaygınlaşması ve büyük şirketlerin, bankaların internet ortamında büyük miktarlarda işlemler yapmaları ile birlikte hacker olarak adlandırılan yüksek düzeyde bilgili bilgisayar programcılarının bazıları mevcut sitelere saldırarak bunlardan bazı çıkarlar sağlamaya başladı.
Bir hacker neden bir siteye saldırır ?
Genel olarak bazı sebepler şunlardır:
* Maddi kazanç sağlama
* Rakip şirkete saldırı
* Kişisel saldırı
* Kendini kanıtlama
gibi özetlenebilir. Hacker'ların saldırılarında genel olarak her seferinde farklı yöntemler uyguladığı ve mevcut yazılımların eksik yönlerini de bu saldırılarında kullandığı gözlenmiştir.
Yani siz sitenizi bazı mevcut saldırılara karşı bilinen yöntemler ile korumaya çalışsanız bile hacker'ların yeni bir saldırı yöntemi ile karşınıza çıkıp sizin daha önce düşünmediğiniz saldırılar yapmaları mümkündür.
Bu gibi durumlara sıkça düşmemek için sisteminizin kapalı ve güvenli olduğunu sürekli test edip yeni koruma yöntemlerini uygulamalısınız. Aşağıda hacker'lar ve sistemlere uyguladıkları saldırılar ile ilgili genel bir makalemi okuyabilirsiniz
Internet Üzerinde Hacker Saldırıları ve DOS Saldırı Yöntemi
Hacker'ların internet üzerinde gerçekleştirdikleri atakları anlamak ve bu konuda bir bilgi sahibi olmak için önce internet'te bilgisayarlar arası bağlantı nasıl olur ? IP nedir ? gibi sorulara yanıt vermek gerekir. Belli bir TCP/IP protokol ve sistem bilgisinden sonra bu tip ataklar anlaşılabilir ve bunlara karşı önlemler alınabilir.
Bu yazıda temel bazı kavramlara değinilecek ve ardından güncel bir saldırı şekli olan DOS ( Denial Of Service ) saldırı tipi incelenecektir.
Bir internet bağlantısının ( yada TCP/IP bağlantısının ) başlaması için üç temel adıma ihtiyaç vardır. Bu adımların doğru bir şekilde gerçekleşmesi ile iki bilgisayar birbiri ile bağlantıya geçebilir. Bu adımların açıklanmasını bir örnek ile gerçekleştirelim. İki bilgisayar düşünün, biri bağlanmak için başvuran bilgisayar ( client ) diğeri ise kendisine gelen bağlantı isteğini kabul edecek ve bağlantıyı sağlayacak olan bilgisayar ( server ). Biraz önce söz ettiğim üç adımın işleme şekli aşağıdaki gibi gerçekleşir.
* Client olan bilgisayar bağlantı isteğini belirtir bir IP paketini server olan bilgisayara gönderir. ( Bu paketteki SYN bit'i 1'e ayarlanmıştır )
* Client paketi alır ve sadece ACK bit'ini 1 yaparak server’a geri gönderir ve bağlantı başlar.
İşte karışık görülen ve bağlantıyı sağlayan üç adım temel olarak böyle gerçekleşir. Bu üç adımdan birinde bir sorun yaşandığında bağlantı gerçekleşmez.
Yukarıda bahsettiğim IP paketleri iki bilgisayarın bağlantı anında veya veri iletimi anında birbirlerine gönderdikleri veri paketleridir ve bu paketler aracılığı ile bilgi akışı sağlanır. Bilgi akışı ve bağlantıyı sağlayan bu paketler normalde "doğru biçimlenmiş" ( well formed ) veri paketleridir. Hacker’ların sistemlere saldırıda kullandıkları IP paketleri "doğru biçimlenmiş" IP paketleri değildir ve bu sebeple bazı problemler meydana gelmektedir.
Genel olarak Hacker'lar gerçekleştirdikleri pekçok saldırıda "sahte" paketler üretir ve bunu hedef aldıkları sisteme gönderirler. Gönderilen bu paketler hedef sistemde özel bir soket açar ( raw socket ) ve bu sahte soket'i hedef bilgisayarın işletim sistemi değiştiremez. Şimdi bu ve buna benzer saldırı tipleri kategorilerinden DOS tipi saldırıları inceleyelim.
DOS ( Denial Of Service ) Saldırıları
Bugünlerde güncel bir saldırı tipi olan ve pekçok ticari sitenin maruz kaldığı bu saldırı tipi iki temel biçimde yapılmaktadır:
* Server olan bilgisayarın RAM, CPU, Printer gibi kaynaklarını aşırı meşgul ederek sistemin durmasına ve çalışamamasına neden olma
* Sistemin bir açığını bulup server'ın çökmesini sağlama
DOS saldırı tipinin farklı uygulamaları vardır bunlar:
a) LAND DOS :
Bu tip saldırıda hedef bilgisayara giden TCP SYN paketinde "gönderen bilgisayarın IP adresi ve portu" kısmına hedef bilgisayarın IP adresini ve portu yazılır. Bu durumda kaynak adres ve port, hedef bilgisayarın adres ve portu taklit edilerek yazıldığından, hedef bilgisayar bu IP paketini aldığında birtakım problemler meydana gelir. Bu problemler bilgisayarın döngüye girmesi, kilitlenmesi olarak özetlenebilir.
b) SYN FLOOD DOS :
Konunun başlarında bir internet ( TCP/IP ) bağlantısının başlayabilmesi için üç adımın gerçekleşmesinden bahsetmiştim, bu saldırı tipinde de amaç üç adımda bir takım sorunlar çıkmasına sebep olmak ve server bilgisayarın çökmesini sağlamaktır. Bu şu şekilde olur;
Saldırıyı yapan bilgisayar, server bilgisayara sahte IP adresi içeren bir paket gönderir ve server bu paketi aldığında memory'de bağlantı için bir yer açar. Bağlantıyı gerçekleştirmek için paketi client'a geri gönderir ve bekler fakat IP adresi sahte olduğundan bir cevap alamaz. Ve yine dener. Bu deneme süresince server’da memory sürekli rezerve edilmiş durumdadır.
İşte saldırıyı yapan bilgisayar pekçok sayıda sahte adresli IP paketini server'a göndererek server'ın memory'sinde aşırı yer ayırır ve server'ın çökmesine bu şekilde sebep olur.
c) SMURF DOS :
Bu saldırı tipinde Internet Control Message Protocol ( ICMP ) echo ping paketleri kullanılır. Bu paketlerin kaynak adresi hedef bilgisayarın adresi olarak yazılır ve bu paketler bir yayıncı bilgisayara gönderilir. Network üzerindeki her bilgisayar bu paketlere yanıt verdiğinde yayıncı bilgisayar hedef bilgisayara bunun katları adedince paketi cevap olarak iletir. Windows tabanlı sistemler yayıncı bilgisayarın bu ping’lerine cevap vermezler.
d) IP FRAGMENTATION DOS :
IP paketleri internet üzerinde iletilirken bazı parçalara ayrılırlar ve daha sonra tekrar birleştirirler. Bazı eski router'lar ( yönlendiriciler ) bu paketlerin ilk kısmındaki TCP başlığına bakar eğer sorun yoksa ve geri kalan paketleri kontrol etmeden geçirirler. Bu saldırı tipi, parçalı gelen IP paketlerinin yeniden birleştirilme aşamasında TCP başlığı kısmına birtakım parçaların yazılması ile yapılır. Bu durumda router’da bir belirsiz durum oluşur ve sistem arızası meydana gelir.
Temel olarak DOS saldırı yöntemleri bu şekilde yapılmaktadır. İnternet ortamında DOS saldırı tipinden farklı saldırı yöntemleri de mevcuttur. Bu tip saldırıları önlemek veya farketmek için öncelikle saldırıları ve hacker'ların kullandıkları yöntemleri iyi araştırmak gerekir.
Gün geçtikçe yeni saldırı yöntemleri uygulandığı göz önüne alınırsa kurulan bir sistemin sağlıklı çalışmasını sağlamak, bahsedilen önlemlerin düzenli bir şekilde alıması ile mümkün olur.
Yer imleri