DoS ve genel bilgiler - Güvenlik/Güvenlik Açıkları Webmaster bilgi bankası, knowledge base Webmaster Araçları

AnaSayfa > Güvenlik/Güvenlik Açıkları > DoS ve genel bilgiler
Kategori: Güvenlik/Güvenlik Açıkları
Gönderen: Admin
Tarih: 2008-10-19
Puan: 0   Puan:0 | Katılımcı:0 | Katılımcı : 0
Okunma: 5341
  
 
1 puan 2 puan 3 puan 4 puan 5 puan 6 puan 7 puan 8 puan 9 puan 10 puan

Kritik bilgilere kullanıcı erişimini engelleyen ve her geçen gün daha da tehlikeli hale gelen saldın araçları, kurum ve ISS'lerin kâbusu
olmaya devam ediyor.

DoS Cephesinden İyi ve Kötü Haberler
İyi haber: Kurumsal network'ler ve Web sitelerim hedef alan DoS (Denial of Service) ataklarının sayısında 11 Eylül'den sonra belirgin bir düşüş görüldü. Bu düşüş sadece eBay, Yahoo ve Amazon'u vuran bariz ataklarda değil, basına gürültülü bir şekilde yansımayan diğer DoS saldırılarında da gözlendi.
Netvvork yöneticileri için güvenlik eğitimleri veren ŞANS Institute (www. şans. org) firmasının araştırma müdürü Alan Paller'a göre hacker olarak adlandırdığımız pek çok kişi ya da grup Web sitelerine saldırılar düzenlemeyi şu günlerde çok doğru bulmuyor. Bu da DoS ataklarının sayısının düşmesinde önemli bir etken. Computer Security Institute (CSI, www.gocsi.org) ile FBI'm verileri de bu sonuçları destekliyor ve 2001 yılında internet sitelerine düzenlenen DoS ataklarının sayısında 2000 yılına göre sadece çok küçük bir artış olduğunu belirtiyor.
CSI ve FBI tarafından 2002 ilkbaharında yayınlanan yıllık "Bilgisayar Suçlan ve Güvenlik" anketinde 503 katılımcının % 40*1 2002 yılı içinde DoS saldırılarına maruz kaldıklarını ifade ediyor (katılımcılar çeşitli kurumlar, kamu birimleri ve üniversitelerden). Bu oran 2001 yılındaki ankette çıkan % 38'lik orandan çok az yukarıda. Ne var ki 2000 yılı anketinde çıkan sonuç % 27 düzeyindeydi. İşte kötü haber: Son dönemlerde gözlenen yavaşlama büyük ihtimalle geçici bir durum. Araştırma firması Aberdeen Group'un (www.aberdeen.com) yöneticilerinden Eric Hemmendinger, işlerin yakın zaman içinde giderek kötüleşmeye başlayacağım düşünüyor.
DoS ve DDoS (Distributed DoS - Dağıtık DoS) saldırılan özellikle 2001 yılı içinde yoğunlaşmış ve bu dönemde pek çok e-ticaret sitesi bu tür ataklann hedefi haline gelmişti. CSI anketine katılanlardan bir e-ticaret sitesi sahibi olanların % 55'i bu dönem içinde DDoS saldırılarına maruz kaldıklarını belirttiler. (CSI'ın sahibi aynı zamanda Netıuork Maga-zine'in de yayıncısı olan CMP Media'dır.) 2001 ortasındaki 3 haftalık bir periyodu kapsayan bir başka ankette de California Üniversitesi'ndeki araştırmacılar 5,000 ayrı hedefe 12,800 DoS atağı düzenlenmiş olduğunu tespit ettiler. Peki bir kurum bu tür DoS saldırılanyla karşı karşıya kaldığında ne yapmalıdır? Aşağıdaki satırlarda bu sorunun cevabı olabilecek çeşitli stratejilere ve DoS ataklarını engelleyebilecek (ya da en azından hafifletebilecek) bazı taktiklere yer veriyoruz. Ayrıca bu saldırıları önleyebileceği ileri sürülen birkaç yeni ürünü de inceliyoruz.

DDoS: Ciddiye Alınmalı
CSI ve California Üniversitesi'nin araştırma sonuçlan, Robert Francis Group (www.rfgonline.com) analistlerinden Chad Robinson için hiç de şaşırtıcı değildi. Robin-son'a göre DDoS saldırıları servis sağlayıcı firmaların günümüzde karşı karşıya olduğu en büyük tehditlerden biriydi.
Robinson, DoS ataklarının normal kullanıcı trafiğini kesintiye uğratmadan engellenmesi gerektiğini hatırlatıyor ve bir e-ticaret sitesinde DDoS'la ilgili çok kısa süreli bir erişim engelleme tedbirinin bile milyonlarca dolarlık bir gelir kaybına yol açabileceğini söylüyor.
DoS saldırılarının tek hedefi e-ticaret veya bilgi servisleri sunan Web siteleri değil. Robinson ve diğer analistler İP tabanlı herhangi bir semsin bir DoS atağının açık hedefi olabileceğini, buna sanal özel ağların (VPN'ler) ve diğer Web servislerinin de dahil olduğunu belirtiyor.
Hacker'lar bir DoS saldırısında bulunacakları zaman ilk olarak çeşitli bilgisayarlara (Trinoo ve Stacheldraht gibi freeware araçları kullanarak) zombi kod yüklüyorlar. Zonbi kodlar sayesinde bu bilgisayarlar, hacker'ların kurbanın sitesini veri paketleriyle bombardıman etmesi için kullanılabiliyor. Bombardımanın neticesi ise aşırı yüklenmiş ve normal kullanıcı taleplerine cevap veremeyen bir sunucu oluyor.
Bu yöntem, Mafiaboy lakabıyla bilinen lise çağındaki Kanadalı hacker-ın Şubat 2000'de Yahoo, Schvvab, Amazon.com, eTrade, CNN.com ve diğer Web sitelerini tek başına çökertirken kullandığı metot. Bu tür saldırılar bu tür siteleri hedef aldığında milyonlarca dolarlık kayıplardan da bahsedebiliyoruz.

DDoS Uzmanı
Galiba hiç kimse DDoS tehdidini Washington Üniversitesi araştırma mühendisi Dave Dittriclvden daha iyi anlayamaz. Dr. DDoS olarak da adlandırabileceğimiz Dave DDoS'un sebep olabileceği tehlikelere dikkat çeken ilk araştırmacıydı. Dave sadece konu hakkında geniş bir bilgi birikimine değil aynı zamanda bu problemle savaşmak için gereken silahlara da sahip.
Dave'in Web sayfası (http:// staff.Washington.edu/dittrich/misc/ ddos) DDoS'la ilgili çok sayıda linkin ve zengin bilgilerin bulunduğu bir kaynak. Sayfa, çeşitli DDOS saldırı araçlarını (Trinoo ve Stac-heldraht gibi) ve ücretsiz savunma programlarım (Remote Intrusion Detector [RID] ve BindView firmasının (www. bindview. com) Zombie Zapper'ı gibi) detaylı bir şekilde inceleyen kaynaklara linkler içeriyor. Dave üniversitenin bilgisayar ağı yöneticilerinden biri olarak DDoS saldırılarına hiç de yabancı değil ve üniversite ağı üzerindeki bilgisayarların dışarıdaki hacker'lar tarafından kötü emellere alet edilebileceğinin fazlasıyla farkında.
Dave Dittrich bir örnek veriyor ve 1999 yılı ortalarında birkaç özel şirketten gelen şikâyet mektuplarını anlatıyor. Şirketler bu mektuplarda Web sitelerinin çöktüğünü söylüyor, buna sebep olan trafiğin kaynağının da Washington Üniversitesi kampusu olduğunu iddia ediyordu. Gerçekte olan şeyse Trinoo saldın programının üniversitedeki 28 tane Sun Solaris sistemine bulaştırılmış olması ve Avrupa'deki bir hacker grubunun bir başka grubun IRC sunucularına saldırmak için bu sistemleri kullanmasıydı. Dittrich bu tür saldırıları! (hacker grupları arasındaki IRC sunucu saldırıları) en sık görülen DDoS atakları olduğunu ifade ediyor ve DDoS ataklarının sadece çok küçük bir kısmının ekonomik ya da politik nedenlere dayandığını söylüyor.
Ancak Dittrich bu gerekçeden yola çıkarak DDoS saldırılarını hafife almanın büyük bir hata olabileceği uyarısını da yapıyor: "Etrafta ellerinde bir sürü etkili saldırı aracı bulunduran çocuk ya da yetişkin var. Bu araçlar küçük ISS ve e-ticaret sitelerinin trafiğini boğmaya yeter de artar bile."
Dittrich aynı zamanda "IRC DDoS botları" denilen araçların da son dönemlerde büyük bir hızla geliştiğini belirtiyor. IRC DDoS botları (kod parçacıkları), savunmasız bir bilgisayarın bulunması ve ardından bu bilgisayara saldın programlarının bulaştırılması için kullanılıyor. Hiçbir şeyden haberi olmayan masum bilgisayarlara bulaşan bu saldırı programları daha sonra IRC'ler arasında sürekli yer değiştiriyor ve saldınya karışan bilgisayarların hangileri olduğunun tespit edilmesini son derece zor bir hale getiriyor. Bu programlar ayrıca yeni çıkan araçlar hakkında birbirlerine bilgi de verebiliyor.
Bu tür programları yazanlar tetiği e-ticaret siteleri de dahil olmak üzere istediklerine doğrultabilirler. Dittrich, "Felaket senaryoları üretmek istemem ancak bu tür programlar herkesin başına ciddi dertler açabilir." diyor.
Yukarıda anlattığımız Mafiaboy saldırısına benzer atakların yanı sıra ekonomik ve politik sebeplere dayanan DoS taarruzları da olmuştur. Dittrich Pakistan ve Hindistan'ın birbirlerine karşılıklı DoS ataklarıyla saldırdığını, kendilerine ElectroHippies diyen bir online protestocular grubunun da 2002 Ocak ayında World Economic Forum'un Web sitesinin geçici olarak kapanmasına yol açan bir DoS saldırısında bulunduğunu hatırlatıyor.
Çok daha ciddi bir örnek olarak İngiliz internet servis sağlayıcısı CloudNine Communications-ın başına gelenler verilebilir. CloudNine maruz kaldığı DDoS saldırılarına daha fazla dayanamadı ve bu yılın başlarında servislerine son verdi. Bir DDoS saldırısı sonucu CloudNine aboneleri Internet'e girememiş, CloudNine sunucularında host edilen Web sitelerine erişim de durmuştu.
Benzer DDoS kuşatmaları yüzünden İtalyan servis sağlayıcı Tiscali'nin (www.tiscali-.com) İngiliz internet portalı birkaç gün, İngiliz ISS Donhost (www.donhost.com) da birkaç saat servis veremez duruma düşmüştü. Goldman Sachs (www.goldmansach.com) ve Investcorp (www.investcorp.com) yatırım danışmanlıkları da DDoS ataklarını kurbanı olmuş, ancak Web sitelerini kapatmak zorunda kalmadan olayın üstesinden gelmeyi başarmışlardı.

CERT'in Raporu
Dittrich'e DDoS saldırılarından nasıl korunabileceğimizi sorduğumuzda bize, CERT'i: 1999 Kasım'mda Carnegie Mellon Üniversite si'nde düzenlemiş olduğu Dağıtık Sistemler Saldın Yöntemleri konulu seminerin ardından yayınlanan raporu gösteriyor. Rapor hazırlayanlar arasında CERT yetkilileri, Dave-in kendisi, Naval Surface Warfare Cente SHADOVV Team, çeşitli güvenlik ve Internt altyapı üreticilerinin yöneticileri bulunuyor. www.cert.org/reports/dsit_work shopfinal.html adresinden temin ede bileceğiniz raporda çeşitli kullanıcı sınıfları için DDoS saldırılarından korunma teknikleri anlatılıyor. Kullanıcı sınıfları içinde ISS'ler sistem yöneticileri ve yayın ekibinin ÎR' (Incident Response Teams) adını verdiği olay müdahale ekipleri gibi taraflar yer alıyor.Rapordaki tavsiyeler kuram yöneticileri içi hazırlanmış olan genel önerilerden daha teknik önerilere kadar uzanıyor (ISS'ler, sistem yöneticileri ve IRT'ler için).
Örneğin raporda, işletme yöneticilerinin saldırıların doğası ve muhtemel sonuçları hakkında kesin bilgi sahibi olmaları tavsiye ediliyor. Üst yönetimin direkt olarak teknik personelden konuyla ilgili bilgiler alması, bu şekilde hadisenin çok açık bir şekilde anlaşılması gerektiği vurgulanıyor. Standart servis ve konfigürasyonlarm daha güvenli bir hale getirilmesi için üreticiler üzerinde baskı kurmak da rapordaki tavsiyeler arasında.
Raporda yer alan önemli bir tavsiye de kurum yöneticilerinin güvenlik prosedürlerini yakından izlemesi. Minimum güvenlik standartlarının, zombi kodlarla gizlice bir saldırı aracı haline getirilen bilgisayarlar üzerindeki kullanıcı haklarının ve internet bağlantılarına yönelik şartların güvenlik politikalarmca açık bir şekilde tanımlanmış olması öneriliyor.
CERT raporunda sistem yöneticileri için de özel tedbir paketleri anlatılıyor. Bu paketler hemen (30 gün içinde), kısa vadede (30 - 180 gün arasında) ve uzun vadede (6 ay veya daha fazla) alınabilecek tespit, korunma ve aksiyon önlemlerini kapsıyor.

!!!

Hemen alınabilecek koruyucu önlemler arasında network çıkışlarında anti-spoofing kurallarının uygulanması (Web sitesini saldırganların daha az ilgi duyacakları bir yer haline getirmek için), yazılını sistemlerinin güncellenmesi ve giden paketlerinin uygun bir biçimde sınırlanmış olduğundan emin olmak için de network çıkışlarındaki güvenlik politikalarının gözden geçirilmesi sayılabilir. Hemen yapılabilecek işlerden biriyse IRT'ler, ISS'ler ve hukuk birimleriyle haberleşmede kullanılacak yazılı, detaylı, yönetimce onaylanmış iletişim planlarının hazırlanması olabilir.
Kısa vadeli önlemler arasında kriptografik kontrol araçları kullanılarak referans sistemlerinin kurulması ve bilgisayar ağlarının bilinen güvenlik deliklerine karşı düzenli aralıklarla taranması sayılabilir. CERT raporunda kurumların saldırı tespit sistemlerini değerlendirme ve kullanmaları da öneriliyor. Raporda ayrıca sistem yöneticilerinin ISS'ler ile bir SLA (Service Level Agreement - Servis Sözleşmesi) kapsamında çalışmaları, bu sözleşmede ISS'nin DoS ve DDoS atakları sırasındaki trafiği izleme ve bloke etme rollerinin açıkça belirtilmesini tavsiye ediyor.
Daha uzun vadeli bir önlem olarak da her bir sistem için hangi sistem yöneticisinin esas sorumlu olduğunu belirlemek ve sistemi bir DDoS taarruzundan koruyacak yetki, eğitim ve kaynakların kimde bulunduğunu net bir şekilde tespit etmektir. Rapor bu noktada da sistem yöneticilerinin ISS ile çok yakın bir çalışma içine girmelerini ve servis sözleşmesine gerekli tüm güvenlik ihtiyaçlarını dahil etmelerini öneriyor. CERT raporu aynı zamanda ISS ve IRT'ler için de yakın, kısa ve uzun vadeli koruma, tespit etme ve aksiyon alma taktikleri içeriyor.
Bu taktikler ISS'ler için basitten zora doğru uzanan çeşitli senaryolar içeriyor. Kriz politikalarının belirlenmesi, bu prosedürlerin müşterilere ve çalışanlara bildirilmesi ve saldırıları tespit edebilen bir network altyapısının kurulması ISS'lerin alabileceği temel önlemler arasında. Raporda IRT'ler için de acil durum planlanılın hazırlanması, kısa, orta ve uzun vadeli savunma tekniklerinin oluşturulması ve dağıtık sistem ataklarım tespit etmeye yönelik kriterlerin belirlenmesi tavsiye ediliyor.

Savunma Araçları

Daha önce de belirttiğimiz gibi Dittrich'in Web sayfasında DDoS saldırıları için çeşitli tespit ve korunma araçlarına linkler yer alıyor. Bu araçlardan ikisi RID (www.theorygroup.com/ Toois/Rio) ve Zonıbie Zapper (http: //razor.bindview.com/tools/Zombie Zapper_f orm. shtm).
David Brumley ve Joel de la Garza tarafından işletilen danışmanlık servisi TheoryGro-up'a (www. thetheory. com) göre RID pek çok popüler DDoS saldırı aracını tespit edebiliyor. Bu araçların arasında Trinoo DDoS saldırı istemcisi, Tribal flood netvvork DDoS saldırı istemcisi ve Stacheldraht DDoS saldırı istemcisi bulunuyor.
TheoryGroup RID'in bir açıkları kontrol etme programı ya da bir saldırı tespit sistemi (IDS - Intrusion Detection System) olarak kullanılmaması gerektiğini söylüyor, çünkü RID bir IDS'in yaptığı gibi network'ü sürekli olarak izlemiyor. RID, uzaktaki sisteme paket şeklinde çeşitli gönderiler yapıyor ve sonra da gelen cevapları dinleyerek uzaktaki yazılımın durumunu tespit ediyor.
BindView firmasının Zombie Zapper adlı yazılımı ücretsiz, serbest kaynak kodlu bir program. Zombie Zapper hastalıklı zombi sistemlerinden kaynaklanan yoğun trafiğin durdurulması için kullanılıyor. BindView Zombie Zapper'ın Trinoo, TFN, Stacheldraht, Trinoo for Windows ve Shaft DDoS saldırı yazılımlarına karşı etkili olduğunu söylüyor.
BindVievv bünyesindeki RAZOR takımı, network yöneticilerinin Zombie Zapper kullanarak kendi network'lerinden veya dışarıdaki bir sistemden kaynaklanan flood saldırılarını tespit edebileceğini ve durdurabileceğini söylüyor. RAZOR grubu yeni güvenlik deliklerini yakalamak ve çözümler üretmek üzere bir araya gelmiş olan güvenlik araştırmacılarından oluşuyor.
BindVievv, Zombie Zapper'ın başka bir siteye, karşı kullanılmasının potansiyel problemleri beraberinde getirebileceğini söylüyor. Risklerden biri masum bir İP adresinin spoofing yoluyla flood trafiğinin kaynağı olarak gösterilebilmesi veya saldırganın her şeyden habersiz suçsuz bir sistem üzerinden taarruzda bulunabilmesi. BindVievv'a göre bir diğer risk de Zombie Zapper'ın zararsız bir siteye yönelik olarak kullanılmasının yasal otoriteleri harekete geçirmesi.
Yine de BindView'm sitesinde daha agresif kullanıcıların Zombie Zapper'ı IDS veya firewall yazılımlarıyla birlikte ya da serbest kaynak kodlu diğer çözümleri destekler mahiyette bir "intikam" savunması olarak kullanabilecekleri yazıyor.
BindView'm RAZOR sitesi teknik destek personeline güvenlik konularında yardımcı olabilecek zengin bilgiler de içeriyor. Meselâ bu bilgilerden biri, Funk Softvvare'in (www.funksoftware.com) Proxy '3.x yazılımıyla çalışan kullanıcıların yetkisiz uzaktan kontrol erişimlerine maruz kalabileceklerini söylüyor. Ayrıca saldırıların nasıl kırılabileceğini ya da hafifletilebileceğini açıklayan detaylı talimatlar da var. (Funk Softvvare bu problemi gidermek için BindVievv'la birlikte çalışmış.)
RAZOR sitesi diğer araçlar bakımından da çok zengin. Örneğin sitede VLAD tarayıcısına bir link var. Bu tarayıcı ŞANS Institute'un "En Kritik 20 internet Güvenliği Riski" listesinde yer alan yaygın güvenlik açıklarını tarayan, ücretsiz, serbest kaynak kodlu bir araç.
Dittrich'in Web sayfasında da DDoS'la ilgili çok çeşitli kaynaklara ulaşmanızı sağlayan linkler yer alıyor. CERT, makaleler, yasal düzenlemeler ve DDoS çözümleri sunan üreticilerin Web siteleri bu kaynaklardan bazıları. Bu üreticilerden bazıları şunlar: Arbor Netvvorks (www.arbor.com), Asta Networks (www.astanetworks.com), Captus Netvvorks (www. captus. com) ve Mazu Netvvorks (www.mazunetworks. com).

Yansıtılmış DoS Saldırıları
Gibson Research'ün (www.grc.com) sahibi Steve Gibson açık sözlü bir anti-DoS uzmanı ve bu açık sözlülüğünün bedelini Web sitesinin DDoS atakları sonucunda 2 kez kapanmasıyla ödedi. İkinci saldın Gibson'ın deyimiyle "yansıtılmış bir dağıtık DoS saldırısı" idi ve sitenin ıı Ocak 2002'de kapanmasına yol açtı. (Yazımızın içindeki şekle bakınız).
Bu saldırıda hacker'lar yüzlerce internet router'ını syn/ack paketleriyle bombardıman etmişti, (syn/ack paketleri, Web browser'lar ve FTP istemcileri bir bilgisayarla TCP protokolü üzerinden bağlantı kurmaya çalıştıkları sırada kullanılan paketlerdir.) Gibson'a göre router'lar syn paketlerinin www.grc.com sitesinden geldiğine "inandırılmıştı." Halbuki durum gerçekte öyle değildi; paketlerin orijinal İP adresleri ''İP spoofiııg" ile değiştirilmiş, böylelikle esas kaynağın adresi gizlenmişti. Bu, hacker-laın DDoS ile yüksek trafik oluşturmak için en sık başvurdukları yöntemdi.
Gibson daha sonra Web sitesinde yaptığı açıklamada, sitenin bant genişliğinin gerçekte tamamen masum olan TCP sunucularından gelen syn/ack paketleri yüzünden tükendiğini belirtmişti. Aslında TCP sunucuları sadece kendilerine gelen talebi cevaplamışlardı. Problem, bu sunuculara giden taleplerin gerçekte www. grc. com'dan gelmiyor olmasıydı, ancak hacker'lar İP spoofing yaparak olayın böyle yansıtılmasını sağlamışlardı. Gibson internet servis sağlayıcısını arayıp lüzumsuz trafiği engelleyecek router filtrelerinin kullanılmasını istediğinde ISS bir milyardan fazla (tam olarak 1.072.519.399 adet) syn/ack paketini iptal etmişti bile.
Gibson bu saldırının, kurumlan ve e-ticaret sitelerini neyin beklediğini göstermesi açısından çok önemli olduğunu ifade ediyor ve ekliyor: "Problem anında benim tarafımda yapılabilecek hiçbir şey yoktu. Sorunun giderilmesi için ISS tarafında bir filtrelemenin yapılması gerekiyordu." Şimdiye kadar bu işlem ISS ve Web sunucu istasyonlarındaki teknik kadronun trafik kayıtlarını manuel olarak incelemesini ve kötü trafiği (saldırı) iyi trafikten (normal müşteri akışı) bu şekilde ayırt etmesini gerektiriyordu. Arbor Networks, Asta Networks, Captus Networks, Mazu Networks ve diğerleri gibi bazı yeni firmaların ürünleri bu ayıklama işini daha kolay ve zahmetsiz bir hale getirebilir.

Çözüm ISS Tarafında
Bu firmaların ürünlerini ISS tarafındaki router ya da switch'lerin yanına yerleştiriyorsunuz. Bu da cihazların trafiğin yüksek olduğu kilit noktalarda bulunmalarını, trafiği izleme ve analiz etme görevlerini bu noktalardan yürütmelerim sağlıyor. Üreticilere göre bu cihazlar gelen paketlerden hangilerinin bir DDoS saldırısına ait olduğunu anlayabiliyor ve taarruz trafiğinin nasıl filtrelenmesi gerektiği konusunda önerilerde bulunabiliyor.
Esas olarak bu uzman sistemler nerwork trafiğini normal bir aktivite şemasını baz alarak inceliyorlar. Arbor Networks'den Peakflow, Asta Network'den Vantage System ve Mazu Nehvorks'den TrafficMaster Inspector gibi uzman sistemler DoS saldırılarını router arabirimleri üzerinden geçen trafiği rapor eden router özelliklerini kullanarak tespit ediyor. DDoS pazarında ürün sahibi olan diğer üreticiler arasında ise Captus Netvrorks, Lancope (www.lancope.com) ve ismini Riverhead olarak değiştirmeyi planladığını açıklayan WanWall (www. wanvall. com) bulunuyor.
Bu sistemlerin topladığı bilgiler nervvork yöneticilerinin bir saldırıya nasıl cevap vermeleri gerektiği konusunda çok aydınlatıcı olabiliyor. Router'ların erişim kontrol listelerinin yeniden konfigüre edilmesi veya bazı router arabirimlerinin iptal edilmesi muhtemel tedbirler arasında yer alıyor.
BindView'da bilgi güvenliğinden sorumlu isim olan (ve aynı zamanda BindView RAZOR takımına liderlik de eden) Scott Blake bu ürünlerin vaat edildiği ölçüde başarılı olabileceklerine pek inanmıyor. Blake, "DDoS ataklarının tanınması için gereken zekâ düzeyi günümüz teknolojilerinin sunabileceğinden çok daha yüksek" diyor.
Blake'e göre anti-DDoS üreticilerinin de tıpkı antivirüs üreticileri gibi bir "güncelleme" problemi var. Yani anti-DDoS ürünleri de sürekli güncel tutulmak zorunda; hacker'lar yeni kodlar ve yeni saldırı algoritmalarıyla çıtayı yükselttiğinde bu ürünler de kendilerini yenilemeye mecburlar.
Robert Francis Group'dan Robinson da bu ürünler için henüz çok yeni diyor. Bu yüzden onların ilk etapta daha geleneksel bir çözüm olan IDS'lerle birlikte kullanılması gerektiğini, üreticilerin en son kural setleri ve en etkin konfigürasyonlar konusunda henüz son kararlarını vermemiş olabileceklerini söylüyor.
Css (www.cs3-inc.com) ve Webscreen Technology (www. webscreen-technology.com) gibi diğer bazı yeni firmalar da özellikle kuramsal kullanımı hedefleyen anti-DDoS ürünleri geliştirmişler. ISS'lere yönelik tasarlanan çözümlerden farklı olarak bu ürünler doğrudan veriyolu üzerinde tutuluyor ve kurum içinde hareket eden her paketi izleyip analiz ediyorlar.
Css'ün Reverse Firevvall adlı ürünü dışarıdan gelen DDoS ataklarını tespit edebildiği gibi kurum içindeki hangi bilgisayarların zonıbi kodlarca ele geçirildiğini de anlayabiliyor. Reverse Firevvall, üreticisinin "giden her pakete eşit hizmet" olarak adlandırdığı özelliği sayesinde netvvork'ten beklenmedik biçimde çıkış yapan veya daha önce aksi yönden gelen paketler için cevap niteliğinde olmayan paketlerin sayısını da kısıtlayabiliyor.Webscreen'in WSioo adlı ürünü şirketin dediğine göre DDoS ataklarını tespit etmek için öğrenen algoritmalardan faydalanıyor. WSioo, paket yapılarında görülen belli başlı imzalan kontrol etmek yerine network erişimlerinin doğasına bakıyor ve paketlere bir uygunluk değeri veriyor. Çok çeşitli faktörlerin (kaynak ve hedef İP adresleri, paketin içindeki veriler, vs.) kombinasyonuna dayanan ve dinamik olarak değişebilen bu değer paketlerin kabul veya reddedilmesini sağlıyor. Uygunluk değeri yüksek olan paketler kabul görürken düşük olan paketler reddediliyor.
Webscreen kendi ürününde kullanmış olduğu bu öğrenen algoritma yapısı sayesinde yeni çıkan her DDoS saldırı tekniğinin ardından savunma hattında güncelleme yapmanın gerekli olmadığını iddia ediyor. Şirket, dinamik uygunluk değerleri yaklaşımının sadece varolan değil aynı zamanda yeni DDoS taarruzlarını da enleyebildiğim söylüyor.
Webscreen, 2002 Nisan'ında ürününün ISS'ler için hazırlamış olduğu bir sürümünü çıkardı. WSıooo adını taşıyan bu program ISS'nin hoşt ettiği sunucuların önüne kuruluyor. Böylece internet 'ten gelen ve bu sunuculardaki Web sitelerine erişmek isteyen tüm trafik akışı önce Webscreen'in cihazından onay almak zorunda kalıyor.
Kurumlar ve internet servis sağlayıcılar için verebileceğimiz iyi haber şu anda pazarda DDoS taarruzlarını engellemeye yönelik çeşitli araçların olduğu ve bu araçlara her geçen gün yenilerinin eklendiği. Kötü haberse hacker'larm yeni saldırı taktikleri geliştirmekten asla vazgeçmeyecekleri.




Yorumlar
Henüz Kimse Yorum Yapmamış, ilk yorumu siz ekleyin!
Yorum Ekleme Aparatı
Yorum Eklemek için lütfen sol menuden giris yapınız..
Toplam 0 yorum listelendi.