İçindekiler

  •   Özet
  •   Giriş
  •   DoS ve DDoS Nedir?
  •   DoS ve DDoS Saldırı Çeşitleri
  •   Bant Genişliğine Yönelen Saldırılar
  •   SYN-Flood Saldırıları
  •   GET-Flood Saldırıları
  •   Land Attack
  •   Smurf Attack
  •   Gözyaşı Saldırısı
  • DDoS Saldırısında Bulunanların Cezalandırılması
  •   Suçun Maddi Unsuru
  •   Suçun Manevi Unsuru
  • DoS ve DDoS Saldırılarından Korunma Yöntemleri
  • Sonuç

 

 

ÖZET

20. yüzyılın sonundan itibaren, teknolojinin hızlı bir şekilde gelişmesi, kablosuz ağların da gelişmesine ve kullanım oranının artmasına neden olmuştur. Artan kullanım oranı kullanılan ağların güvenliğinin sağlanmasını gerekli kılmıştır. Teknolojinin gelişmesi, beraberinde “bilişim toplumu” kavramını ortaya çıkarmıştır. Bilişim toplumu ile beraber, suç ve suçlular ile mücadele yöntemleri değişime uğramış ve ceza kanununda “bilişim suçları” adında bir topluluk ortaya çıkmıştır. Son zamanlarda Dos(Denial of Service) ve DDoS(Distrubuted Denial of Service Attack) yani dağıtık hizmet engelleme şeklinde Türkçe’ye çevrilen saldırılar sık görülmeye başlanmış saldırı tipleridir. Bunlar kısaca, saldırganların sunuculara yönelik anlık ve ciddi bir şekilde yoğunluk oluşturarak kaynak tüketimini hedeflemesidir. Bu makalede DoS ve DDoS saldırıları anlatılmış, türleri belirtilmiş ve cezaları üzerinde durulmuştur.

Anahtar Kelimeler: Bilgisayar, DoS, DDoS, Bilişim Suçları.

 

ABSTRACT

Since the end of the 20th century, the rapid development of technology has led to the development of wireless networks and the increase in their usage rate. The increasing usage rate has made it necessary to ensure the security of the networks used. The development of technology has brought the concept of “information society” with it. Together with the information society, the methods of combating crime and criminals have changed and a community called “cyber crimes” has emerged in the penal code. Recently, Dos(Denial of Service) and DDoS(Distributed Denial of Service Attack) attacks are the most common types of attacks. These are, in short, attackers targeting resource consumption by creating instant and severe congestion on servers. In this article, DoS and DDoS attacks are explained, their types are specified and their penalties are emphasized.

Key Words: Computer, DoS, DDoS, Cyber Crimes.

 

GİRİŞ

Teknolojinin gelişmesi ile birlikte son yıllarda bilişim aracılığıyla işlenen suçlar günden güne artmakta ve suç türleri değişiklik göstermektedir. DoS ve DDoS da son zamanlarda en sık karşılaşılan saldırı türlerindendir. Saldırılar farklı biçimde gerçekleştirilmesine rağmen aynı amaca hizmet etmektedirler. Bu çalışmada DoS saldırı türlerinden, korunma yöntemlerinden ve suçun cezalandırılmasından bahsedilmiştir.

 

DoS ve DDoS NEDİR?

DoS(Denial of Service) ve DDoS(Distributed Denial of Service), bilişim alanında görülen siber saldırı türlerindendir. DoS saldırısı -ya da hizmet reddi saldırısı-, hedef bir ağ ya da web kaynağına meşru kullanıcıların erişimini engellemek amacıyla kullanılan bir yöntemdir. Kurban seçtiklerinin sistemlerinin hizmetlerini aksatır ve çalışmasını yavaşlatır ya da durdurur. DoS saldırıları, seçilen kurbanın sisteminin hizmetlerini aksatmaya veya çalışmasını engellemeye yöneliktir. Bu tür saldırıda saldırganın amacı kurbanın bilgilerini çalmak ya da şifresini kırmak değildir. Hedef olan bilgisayarın kilitlenmesi asıl amaçtır. Bu çeşit saldırıda hizmet iki yolla engellenir. Birincisi işlemci, bellek veya bant genişliği benzeri kaynaklar aşırı bir şekilde kullanılır. İkincisi ise protokol ve hizmetlerdeki açıktan faydalanılır.

DoS saldırısı eğer birden fazla bilgisayar üzerinden yapılırsa yani “dağıtılmış ” (distributed) bir şekilde gerçekleştirilirse bu DDoS (Distributed Denial of Service) saldırısı anlamına gelir. Bu saldırı tipinde saldırgan, önceden hazırlamış olduğu birçok makine yoluyla kurbanın sistem trafiğini arttırır ve sistemini işlemez hale getirir. Saldırgan bu makineleri hacking yoluyla ele geçirmektedir. Kurbanın bilgisayarlarına saldıran bu makinelere “zombi” denmektedir. Saldırgan, zombileri daha önceden bir açık bularak ele geçirmiştir. Yani zombiler saldırının merkezinde olsa da saldırıdan habersiz makinelerdir. Zombi programları zayıf güvenlik sistemlere yerleştirilir. Bu programlar birden fazla bilgisayara yerleştirilerek, bilgisayarlara uzaktan kontrol (remote) imkanı sağlamaktadır. Bu sayede saldırganlar istedikleri servera istedikleri sayıda veri gönderirler ve o serveri çalışmaz hale getirirler. DDoS saldırısı hedef sistemi kilitler ve çalışmaz duruma getirir. Zombi bilgisayarların sayısının fazlalığı ve gönderilen isteklerin yoğunluğu sistemin kilitli kalma süresini etkiler. Bu işlem belli bir işlem sırası izlenerek yapıldığı için saldırı yoğunluğu artmakta ve gerçek saldırganın kimliği gizlenmektedir. Saldırılar tek bir IP adresi üzerinden yapılırsa eğer bir Firewall bunu önleyebilir. Fakat çok sayıda IP adresinden saldırı yapılırsa log taşması sebebiyle Firewall servisleri durmaktadır ve devre dışı kalmaktadır. Sonuç olarak DDoS saldırısı şu şekilde işler. Saldırgan bilgisayar üzerinden bir istek (request) yollar ve bunu devamlı olarak yapar. Bunun sonucunda ana bilgisayarda aşırı yüklenme oluşur ve hizmetler erişilemez bir duruma gelir. Böylelikle kullanıcılar erişmek istedikleri sitelere ya da erişim noktasına erişemezler.

 

DoS ve DDoS SALDIRI ÇEŞİTLERİ

Bant Genişliğine Yönelen Saldırılar:

Bu saldırı tipi hedef sisteme ait hattın doldurulması ile gerçekleşir. Saldırgan, kurbanın sistemine fazlaca istek göndermektedir ve eğer gönderilen isteklerin hattın dolması için yeterli değilse, bu sefer geri dönen cevaplar aracılığıyla hat doldurulup sistem kilitlenmeye çalışılır.

SYN-Flood Saldırıları:

Bilgi ağında bulunan bilginin iletimi ve paylaşımı işlemleri bazı kurallar doğrultusunda yapılmaktadır. Bu kurallar TCP/IP (Transmission Control Protocol/Internet Protocol) protokolleridir. Bu protokoller iki yer arasında veri alışverişi sağlayan, verinin iletilmesi ve alınması arasında koordinasyon sağlayan protokollerdir. Bu tip saldırının temelinde yatan TCP’nin yapısıdır. TCP 3 aşamada kurulan bir bağlantıdır. SYN- Flood yönteminde saldırganlar TCP bağlantısı kurulurken fazlaca SYN paket göndermektedirler. Sistem bu kaynaklar için kendine ait alanda bir bağlantı noktası oluşturur. Gönderilen isteklerin sonu bir türlü gelmez ve sunucu bunları biriktirmeye başlar. Bu yüzden üçlü bağlantı tamamlanamaz ve bir süre sonra bağlantı tablosu şişer. Dolayısıyla hedef olan sistem yeni bağlantı alamamaya başlar ve gerçek kullanıcılara hizmet veremez.

GET-Flood Saldırıları:

Bu yöntem, HTTP metotlarından biri olan GET ile gerçekleştirilir. HTTP, TCP kullanın bir protokoldür. HTTP bağlantısı kurulmadan önce kesinlikle bir TCP bağlantısı kurulmalıdır. Üç aşamalı TCP bağlantısı tamamlandıktan sonra sunucuya HTTP GET isteği gönderilir. Saldırgan sunucuya istekte bulunur ve sonrasında cevabı yine kendisi alır. Çok sayıda zombi bilgisayarlar, çok sayıda GET isteği yaparsa sunucu yapılan bu istekleri karşılayamaz ve yine esas kullanıcılar sisteme erişemez hale gelir.

Land Attack:

Land Attack yönteminde, kurban olan sistemin IP ve portlarına yanıltma tekniği ile elde edilmiş paketler gönderilmektedir. Bu paketlerde tokalaşma (handshake) süreci ile sonuçlandırılmış bir bağlantı talebi bulunur. Bu sürecin sonunda, kurban sistem bir ACK onay talebi yollar. Hedefin ve kaynağın koordinatları aynı olduğu için kurban kendisimi yanıtlar. Eldeki veri ile ele geçmesi beklenen veri eşleşmez ve ACK talebi tekrardan yollanır. Ağ yapılanması bozuluncaya dek devam eden bir döngü olur.

Smurf Attack:

Bu metotta, saldırganlar kurban olarak belirledikleri çok sayıdaki makineye ping komutu gönderirler. Ancak saldırgan, “IP spoofing” yoluyla istek gönderen kaynak adreslerini, kurban makinanın IP adresi olarak değiştirir ve istek gönderilen ağdaki tüm makinalar isteğin kurban makinadan geldiğini düşünerek bu makinaya cevap dönerler. Bu durumda, çok sayıda bilgisayar bir anda kurban makinayı cevap yağmuruna tutar ve kısa bir süre içerisinde kurban bilgisayar kilitlenerek normal hizmet verememeye başlar (Özocak, 2012).

Gözyaşı Saldırısı:

Bu saldırı, IP paketleri yeniden birleştirilirken oluşan zafiyetten yararlanılacak şekilde tasarlanmıştır. Veri aktarıma uğrarken küçük parçalara ayrılmaktadır. Bu parçaların tümü ayrı ayrı orijinal paket görünümündedirler. Fakat bunların haricinde ofset bir alan da bulunmaktadır. Teardrop programı paket parçalarından oluşan bir küme meydana getirir. Bu parçalarla ayrı ayrı eşleşen ofset alanları bulunur. Bu parçalar sistemin bünyesinde tekrar bir araya geldiğinde sitem bozulur, durur ya da yeniden başlar(Gezgin vd. , 2013).

 

DOS VE DDOS SALDIRILARINDA BULUNANLARIN CEZALANDIRILMASI

Suçun Maddi Unsuru: DDoS saldırısında hedeflenen sisteme birçok bilgisayar üzerinden istek gönderildiği için sistem kilitlenir ve çalışmaz hale gelir. Saldırgan sistemin içine girmeden ve bir veriye müdahale etmeden yalnızca sisteme girişi engeller. 5237 sayılı TCK’nun 244/1. maddesi uyarınca “Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.” O halde, DDoS saldırıları “bir bilişim sisteminin işleyişinin engellenmesi” fiiline karşılık geldiğinden, TCK m. 244’te öngörülen suça vücut vermektedir (Özocak, 2012). Aynı hükmün 3. fıkrasında ise, “Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır” şeklinde düzenleme yer almakta olup, DDoS saldırısının hükümde sayılan kurumların bilişim sistemleri hedef alınarak gerçekleştirilmesi halinde, bu durum kanun koyucu tarafından ağırlaştırıcı neden olarak kabul edilmiştir (Özocak, 2012).

Suçun Manevi Unsuru: DDoS saldırısı failinin ceza sorumluluğunun dayandığı TCK m. 244’ün taksirli hali ceza kanununda özel olarak düzenlenmediğinden, DDoS failinin manevi unsuru hiç şüphe yok ki kasıttır (Özocak, 2012). Kast, TCK’nun 21/1. maddesinde “Suçun kanuni tanımındaki unsurların bilerek ve istenerek gerçekleştirilmesi” olarak tanımlanmaktadır. Bu durumda, DDoS saldırısında bulunan kişinin cezalandırılabilmesi için, mutlaka suçu düzenleyen ceza normundaki unsurları bilerek ve isteyerek meydana getirmiş, bir başka deyişle “hedef olarak belirlediği bilişim sisteminin işleyişini engellemek veya bozmak” fiilini bilerek ve bu sonucu irade ederek hareket etmiş olması gerekir (Özocak, 2012).

 

DOS VE DDOS SALDIRILARINDAN KORUNMA YÖNTEMLERİ

DoS ve DDoS saldırılarını tamamen önlemek mümkün değildir. Güçlü altyapı ile önlem almak mümkündür. Yüksek güvenlikli akıllı cihazlar tercih etmek ve güvenlik duvarı (Firewall) kullanmak alınabilecek bir diğer önlemlerdir. Cisco Guard, Radware Defense Pro gibi DDoS engelleyici yazılımlar yâda CheckPoint, Netscreen gibi güvenlik duvarı yazılım çözümleri kullanmak bir çözüm olarak düşünülmelidir (Gezgin vd. , 2013). Ben makalemde size Cloud Armor’dan bahsedeceğim.

NEDİR? 

Cloud Armor, Google Cloud’un DDoS savunma hizmeti ve web uygulaması güvenlik duvarı çözümüdür. Cloud Armor’un bir parçası olarak sunulan özelliklerden biri Uyarlamalı Korumadır. Uyarlamalı Koruma, web sitelerinizi ve hizmetlerinizi DDoS saldırılarına karşı korumanıza yardımcı olur. Uyarlamalı koruma tarafından kullanıcının altyapısına göre web saldırılarını belirlemek ve engel olmak amacıyla makine öğrenimi modelleri oluşturulur. Bunu önce İnternete yönelik her bir web sitesi veya hizmet için normal trafik modelinizin nasıl göründüğünü öğrenerek yapar; trafik modelinin nasıl göründüğünü öğrenmek bir saatten birkaç güne kadar sürebilir. Normal trafik düzeninden anormal bir sapma tespit edilirse bu anormal trafik tarafından uyarılırsınız. Şimdi nasıl çalıştığına beraber bakalım. İlk etapta aşağıdaki gibi bir saldırı düzenlensin.

1. Burası Google Cloud  sayfasındaki Cloud Armor kullanıcı arayüzüdür. Tüm Cloud Armor güvenlik politikaları buradan yönetilir. Listelenenler bu projede sahip olunan birden çok güvenlik ilkesidir.1

2. Gcp- demo- policy’ye tıklayarak örnek kuralların listelendiğini görebilirsiniz. Birkaç kuralın yanı sıra Cloud Armor ilkesi için Uyarlamalı Koruma etkinleştirilmiştir. 

3. Bu sayfada uyarlamalı koruma sekmesi altında, son bir saattir saniyede yaklaşık 22 istekte sabit bir trafik akışı olduğunu görebilirsiniz. Uyarlamalı Koruma etkin olduğundan bu trafik artık Uyarlamalı Koruma tarafından normal bir trafik düzenini gösterecek şekilde profillendirilmiştir. 

4. Şimdi IP adresine saniyede yaklaşık 2.000 istek gönderilsin.

5.Burada saniyede yaklaşık 22 istekten saniyede 2.000’e kadar istek sayısında bir artış görebilirsiniz. Cloud Armor’un bu simüle edilmiş trafiği potansiyel bir saldırı olarak işaretlediğini Potansiyel Saldırılar altında görebilirsiniz.

6. Buradan önizleme modu ya da engelleme modu seçilebilir. Engelleme modu trafiği hemen engellemeye başlar bu yüzden seçilmesi önerilir.

 

SONUÇ

DoS ve DDoS güvenlik önlemlerini üst düzeyde tutmayan ve güvenlik mekanizmaları bulundurmayan cihazları etkileyen saldırı türleridir. Evde ya da kamuya açık alanlarda hizmeti sekteye uğratmak için yapılan saldırılardır.  Bu saldırıları yapanların kimliklerinin saptanmasının zorluğu ve gelişen teknoloji ile beraber bu saldırıların yapılmasının kolaylığı, saldırıların son zamanlarda en çok tercih edilen bilişim suçu olmasına neden olmuştur.

 

KAYNAKÇA  

Özocak, G. (2012). DDoS Saldırısı ve Failin Cezai Sorumluluğu. Bilişim28, 23.

GEZGİN, D. M., & BULUŞ, E. (2013). Kablosuz Ağlar İçin Bir DoS Saldırısı Tasarımı. Bilişim Teknolojileri Dergisi6(3), 17-23.

 

Öne çıkarılan görsel : https://pixabay.com/ adresinden 20.05.2022 tarihinde alınmıştır. Creative Commons lisanslıdır.

Bu makale https://www.duplichecker.com/  sitesi üzerinden 24.05.2022 tarihinde kontrol edilmiştir. Makale benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %18 Unique: %82

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.