Güncel Akademik Çalışmalarda DOS Saldırılarının Tespit Edilmesi

0
1258
views
DOS (Denial of Service) saldırıları sistemin erişilebilirliğine zarar vererek (erişilebilirliği azaltma, kısıtlama, önleme gibi), sistemden hizmet alan meşru kullanıcılara doğru şekilde hizmet verememesine (durmasına veya oldukça yavaşlamasına) sebep olur. Bu yazıda DOS saldırılarının güncel akademik çalışmalarda nasıl tespit edildiği incelenecektir.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

1) Giriş

Günümüzde çeşitli ihtiyaçlarımız için doğrudan internet tabanlı uygulamalar ve sitelerden hizmet alıyoruz. Bunlardan en sık kullandıklarımız örneğin Facebook, Twitter, Instagram, E-devlet uygulaması veya banka web siteleri/mobil uygulamalarıdır. Bu hizmetlere hızlı ve kolay bir şekilde erişebilmeyi bekleriz. Bu hizmetlerde yaşanan hafif bir gecikme olsa bile, kullanıcıları rahatsız edebilir ve başka bir servise geçmeyi düşünebilir.

Bu bağlamda, bir işletmeye zarar vermenin aslında en kolay yolu Dağıtılmış Hizmet Reddi (DDoS) saldırısına maruz bırakmaktır. Sahte bir trafik yaratarak bir hizmeti veya siteyi servis dışı bırakmak üzere tasarlanan bu saldırı başladığında sistem yavaşlar veya çevrimdışı duruma geçer. Bu tür saldırılar hem işletmeler hem de buna erişenler için ciddi aksamalara neden olur. David Larson’un (Corero şirket yetkililerinden) bir yazısı bu konu ile alakalı hasar boyutlarını anlamamıza yardımcı olacaktır. “Beş dakikalık bir DDOS saldırısı güvenlik duvarlarını, yönlendiricileri ve altyapıdaki diğer ekipmanları devre dışı bırakmaya yeter. Eğer bu ekipmanlar hala ayakta kalıyorsa da müşteriler hizmet almakta sıkıntı yaşayacaktır. Hele ki bulut sistemli bir yapı kullanılıyorsa çok sayıda servis hizmet veremeyecektir.” [1]

 

2) DOS Nedir?

Bir uygulama, amacına yönelik olarak aynı anda çeşitli sayıda kullanıcıya ve paket sayısına göre tasarlanıp bir sunucuda hizmete sunulur. Sunucu, her kullanıcıya istek doğrultusunda cevap paketi gönderir. Eğer normal hizmet verdiği kullanıcı sayısı, paket sayısı ve aldığı istek sayısında aşım görürse her istek yapan kullanıcıya cevap göndermeye çalışacağından bir süre sonra cevap gönderemez duruma düşer.

Tipik bir DDOS senaryosunda saldırgan güçlü bir bilgisayarı komuta kontrol sunucusu olarak kullanır ve handler‘lar aracılığı ile ağdaki zafiyetli kullanıcıları tespit eder. Bu zafiyetli bilgisayarları uzaktan kontrol etmek için gerekli olan zararlı botnet kodunu yükler.

İnternete bağlı olan bu bilgisayarlar haberleri dahi olmadan artık birer saldırgan haline gelmiştir. Bu zararlı bilgisayarlar DOS saldırısının yanında bilgi hırsızlığı da yapabilirler.
Bu saldırılar 2018 yılında yapılan bir araştırmaya göre 2017 yılından yüzde 17 daha fazladır ve artarak sürecektir.

DDOS Saldırılarının Hedeflediği Sektörler
DDOS Saldırılarının Hedeflediği Sektörler

 

3) DOS Saldırı Tipleri

3.1) SYN Flood

SYN Flood, üç yollu el sıkışma olarak bilinen TCP bağlantı sırasındaki zayıf taraflardan yararlanır. Ana makine, “el sıkışmasına” başlamak için senkronize (SYN) bir mesaj alır. Sunucu, ilk ana bilgisayara bir onay (ACK) bayrağı göndererek mesajı onaylar ve ardından bağlantıyı kapatır. Tam bu noktada bir SYN saldırısı ile DDOS yapılması için SYN gönderiminde sahte mesajlar gönderilir ve bağlantı kapatılmaz. Bu sayede sunucu fazla yorulmuş olur ve belki de hizmet veremez hale gelir.

 

3.2) UDP Flood

Kullanıcı Datagram Protokolü (UDP), verinin gidip gitmediğine bakmayan bir ağ protokolüdür. Video akışları gibi gerçek zamanlı uygulamaların kullandığı bir protokoldür. Bir UDP taşması, bir bilgisayardaki veya UDP paketleri olan bir ağdaki rasgele bağlantı noktalarını hedefler. Ana bilgisayar, bu bağlantı noktalarını dinleyen uygulamayı kontrol eder.

 

3.3) HTTP Flood

HTTP Seli, bir hacker tarafından sömürülen legit GET veya POST isteklerini kullanır. Diğer saldırı türlerinden daha az bant genişliği kullanır, ancak sunucuyu maksimum kaynakları kullanmaya zorlayabilir.

 

3.4) Ping of Death

Death of Ping, sisteme kötü amaçlı ping’ler göndererek IP protokollerini değiştirir. Bu, yirmi yıl önce popüler bir DDoS türüdür, ancak günümüz sistemlerinde çok etkili değildir.

 

3.5) Smurf Attack

Smurf Saldırısı, Smurf adında bir kötü amaçlı yazılım programı kullanarak Internet Protokolü’nden (IP) ve Internet Kontrol İletisi Protokolünden (ICMP) yararlanır. Bir IP adresini taklit eder ve ICMP kullanarak, belirli bir ağda IP adreslerine ping gönderir.

 

3.6) Fraggle Attack

Bir Fraggle Saldırısı, bir yönlendiricinin (router) yayın ağına büyük miktarda UDP trafiği gönderir. ICMP yerine UDP kullanır.

 

3.7) Slowloris

Slowloris, saldırganların saldırı sırasında asgari kaynakları kullanmalarını ve web sunucusundaki hedefleri kullanmalarını sağlar. İstenilen hedef ile bağlantı kurduktan sonra, Slowloris bu bağlantıyı HTTP taşması ile mümkün olduğu kadar uzun süre açık tutar. Bu tür saldırı, 2009 İran cumhurbaşkanlığı seçimlerinde dahil olmak üzere bazı yüksek profilli hacktivist grupları tarafından DDoS saldırıları için kullanılıyor.

 

3.8) Uygulama Seviyesi Saldırıları

Uygulama Düzeyi Saldırıları, uygulamalardaki güvenlik açıklarından yararlanır. Bu tür bir saldırının amacı tüm sunucu değildir, bilinen zafiyetleri olan servislere sahip portlardır.

 

3.9) NTP Amplification

NTP Amplification, UDP trafiğini zorlamak için bilgisayar saatlerini senkronize etmek için uzun süredir kullanılan bir ağ protokolü olan Ağ Zaman Protokolü (NTP) sunucularını kullanır. Herhangi bir yansıma saldırısında, sunucudan sahte bir IP adresine yanıt vardır. Yükseltilmiş sürüm, sunucudan gelen yanıtın orijinal talebe göre orantısız olduğu anlamına gelir. DDoS’da kullanılan yüksek bant genişliği nedeniyle, bu tür bir saldırı yıkıcı ve yüksek hacimli olabilir.

 

3.10) Advanced Persistent DoS (APDoS)

Advanced Persistent DoS (APDoS), ciddi zarar vermek isteyen bilgisayar korsanları tarafından kullanılan bir saldırı türüdür. Daha önce belirtilen çeşitli saldırı stillerini (HTTP sel, SYN sel, vb.) kullanır ve saniyede milyonlarca istek gönderen çoklu saldırı vektörlerini düzenli olarak hedefler. APDoS saldırıları, büyük ölçüde korsanların her an taktikleri değiştirme ve güvenlik savunmalarını engellemek için sapmalar yaratma kabiliyetleri nedeniyle haftalarca sürebilir.

 

3.11) Zero-day DDoS Attacks

Sıfır gün DDoS saldırısı, henüz açığa çıkmamış güvenlik açıklarından yararlanan yeni DDoS saldırı yöntemlerine verilen addır.

 

4) Güncel Akademik Çalışmalar – Tespit ve Önleme Yöntemleri

4.1) DNS Bazlı DDOS Saldırılarının Spark Üzerinde Random Forest Algoritması İle Tespit [2]

İncelenen makalede, TLD sunucularında DDoS trafiğini azaltmaya yönelik yeni bir yöntem tanıtılmış ve makine öğrenim algoritmalarına dayalı trafik filtresinin internetteki büyük özyinelemeli DNS sunucularına uygulandığı açıklanmıştır.

TLD ise internetteki alan adlarının kök tarafında bulunan uzantıya denir. En üst düzey alan adıdır.Örneğin 1.xyz.com adresinde TLD .com kısmıdır. Sınıflandırma modeli Spark üzerine kuruludur. Spark, in-memory çalışan yani veriyi RAM’de işleyen çeşitli yazılım dilleri ile makine öğrenmesi yöntemlerinin çalıştırılabileceği bir ortamdır. Bu yöntem yüzde 0.0 FPR ve yüzde 4.36 FNR ile çalışır, bu da uygulamada hem doğruluk hem de performans taleplerinin karşılandığı anlamına gelir. Gelecekteki çalışmalarda bu yöntemi gerçek zamanlı yapacakları hakkında bir detay da makalede mevcuttur.

 

4.2) Baidu Cloud Computing Veri Merkezlerinde TCP Tabanlı DDoS Saldırıları Tespiti [3]

Saldırı çeşitini ikiye ayırmışlardır. (FSIA) fix source IP attacks ve (RSIA) random source IP attacks. Fix source IP saldırılarında zararlı IP tespit edilip o anda trafik kesilebilir. Çeşitli öznitelikler ağ trafiklerinden çıkarılmıştır. Bazıları: ack in pps , in pps, out pps, port num RIP, port num LIP.. Bu öznitelikler arasından Ki kare yöntemi uygulanarak öznitelik azaltmasına gidilmiştir. 99.76 oranda tespit yapıldığı hesaplanmıştır.

 

4.3) Bilgi mesafe(Information Distance) Metriklerini Kullanan SDN Tabanlı Veri Merkezi Ağlarına Düşük Hızda DDoS Saldırısının Erken Tespiti [4]

Düşük sıklıkta DDoS saldırısı, SDN tabanlı veri merkezinin kontrol katmanına ciddi bir tehdit oluşturuyor. Saldırı gerçekleşmeden önce tanımlamak bu noktada önemli hale geliyor. Denetleyici katmanından yapılan bir diğer saldırı yöntemi, packet in kontrol olaylarının sayısındaki artıştır. Bu değer arttığında, denetleyici engellenir ve kaynaklar sona erer. Böyle bir durumda standart Shanon entropi ( Shannon entropisi, bilgi teorisindeki en önemli ölçütlerden biridir. Entropi, rastgele bir değişkenle ilişkili belirsizliği, yani mesajdaki bilginin beklenen değerini ölçer.) yanlış alarmları tespit etmenin etkili sayılmayan bir yoludur. Bu nedenle, genelleştirilmiş entropiyi (GE) düşük hızlı DDoS saldırıları ile normal trafik arasında ayırt etmek için bir bilgi mesafesi ölçüsü olarak bu makalede kullanmışlardır. Bu metriğin, saldırı trafiğini iyileştirilmiş FN(false negative) oranla meşru trafikten daha fazla tespit edebileceği gözlemlenmiştir.

Testlerinde ise trafiğin %30 u oranında saldırı gerçekleşen sistemde % 0.66 oranında false positive (yani yanlış alarm) üremiştir. Bu da bir başarı göstergesidir.

 

4.4) SDN’de Bilişsel Esinlenen (cognitive-inspired computing) Bilgisayar Tabanlı DDoS Algılama ve Savunma Mekanizması [5]

SDN yani yazılım tanımlı ağ teknolojisi bulut yöntemiyle ağ yapılandırması sağlayan ve ağ performansını ve izlemeyi iyileştirmek için kullanılan bir yaklaşımdır. SDN, gelecek için ağ teknolojilerinde merkezi kontrol programlanabilirliği ile uyum sağlayan bir yöntemdir. Bu yararlı sistem tabiki herşeyde olduğu gibi beraberinde saldırıya açık bir kapı haline geliyor. Malesef DDOS SDN için bir güvenlik tehtididir. Mevcut araştırma ve uygulamaların çoğu sadece DDOS tespitine yönelik bir altyapı sağlarlar. Bu makalede hem tespit hem de savunma mekanizması önerilmiş. Switch lerin akış tablosu karakteristikleri çıkarılır. Bu veri her periyotta kaynak ve hedef adreslerinin veri paketlerinin değişim miktarını hesaplamak için kullanılır ve SVM sınıflandırma algoritması kullanılarak DDOS saldırı modeli inşa edilir. Bu yöntem savunma aşamasından sonra DDOS ile kopan iletişimi de yeniden restore eder ve normal iletişimin kurulmasını sağlar.

 

4.5) DDoS Saldırı Sınıflaması İçin Kümelenmeye Dayalı Yarı Denetimli(Semi-supervised) Makine Öğrenmesi [6]

Semi-supervised makine öğrenmesi tekniklerini kullanarak çeşitli sınıflandırma algoritmalarının başarı oranları ölçülmüştür.

Semi-supervised öğrenme, öğrenme verisinin etiketsiz olduğu ve bu verinin küçük bir kısım etiketli veri ile kullanarak başarım oranının artırıldığı bir yöntemdir. Bu yöntem supervised ve unsupervised makine öğrenmesi tekniklerinin arasında bulunur.

Bahsi geçen yöntem ile DDOS saldırılarının tespitini gerçekleştirmişlerdir.

Bir internet log verisi üzerinde öznitelik olarak trafik hızı, işlem gecikmesi ve CPU kullanımı seçilmiştir. Bu etiketsiz veri 2 farklı algoritma ile kümelenmiştir. Daha sonra bu etiketli veri KNN, SVM ve Random Forest gibi sınıflandırma algoritmaları kullanılarak sınıflandırılmıştır. Ek olarakön işleme aşamasında PCA yöntemi kullanılarak sınıflandırmada başarım oranının artırılması hedeflenmiştir.

Sonuç olarak SVM, KNN ve RF algoritmaları başarım oranı sırası ile yüzde 95, 92 ve 96.66 olmuştur.

 

4.6) Akışa Dayalı Ağ Trafiğinde Dinamik Eşikleme Kullanarak Verimli DDoS Saldırı Tespiti [7]

Bu makalede , ağ trafiğinin özelliklerini ve DDOS saldırılarını tespit etmek için mevcut algoritmaları(DARPA gibi) analiz etmişlerdir ve daha iyi bir yaklaşım öne sürmüşlerdir. Trafik özelliklerine ve dinamik eşik algılama algoritmasına dayalı saldırıları tespit etmektedir.

Hem ağ etkinlikleri hem de kullanıcının davranışı zaman içinde değişebileceğinden dinamik eşik değerinden yararlanılır. Önerilen algoritma, farklı trafik özelliklerini ayıklar, DDOS’un özelliklerine göre dört özellik hesaplar ve bir zaman aralığı içinde hesaplanan değer eşik değerden büyük olduğunda saldırı tespit edilir.

MIT Lincoln Üniversite laboratuvarında geliştirilen DARPA veri setleri ve kendi laboratuvarlarında yarattıkları veri setleri, bu çalışmada önerilen algoritmayı ve modeli doğrulamak için kullanılmıştır.

DARPA veri setinde yüzde 94.4 99.5 başarım gösteren hali hazırda bulunmuş yöntem (Nezhad et al., 2016) ile bu makalede oluşturulan algoritmanın başarım oranı ölçülmüştür. Bu makaledeki algoritmanın aynı veri üzerindeki başarım yüzdesi 98 dir.

 

5) Karşılaştırma ve Analiz

Çalışmaların 6 farklı örneğini ilgili çalışmalar bölümünde gördük. Çeşitli başarım oranlarına sahip bu çalışmalardan en yüksek başarıma ulaşan örnek 2. çalışma olan TCP Tabanlı DDOS saldırı tespitidir. Öznitelikleri seçme konusunda Ki-Kare yöntemi ile bir hayli başarı artışı göstererk %99,76 başarım elde edilmiştir.

Hemen arkasından entropi değişimi hasaplama temeline dayanan Bilgi Mesafe(Information Distance) Metriklerini Kullanan SDN Tabanlı Veri Merkezi Ağlarına Düşük Hızda DDoS Saldırısının Tespiti çalışması gelmektedir. %99,34 başarım oranı gösteren bu algoritma saldırıların erken tespiti için tasarlanmıştır.

DDOS Saldırı Tespit Çalışmalarının Karşılaştırılması
DDOS Saldırı Tespit Çalışmalarının Karşılaştırılması

 

6) Sonuç ve Öneriler

Bu çalışmada DDOS teknik detaylarına, tiplerine ve son yıllarda yapılan DDOS tespit & önleme çalışmalarına yer verildi. Tespit çalışmalarının çoğu makine öğrenmesi tabanlıdır. Siber güvenlik alanında tespit ve önleme çalışmaları eldeki veriyle doğru orantılı olarak anomali tabanlı bir yönteme dayandırılmaktadır. Bunun da sebeplerinin en başında günümüzde zombi olarak hiç kara listede olmayan IP lerden saldırıların gelebilmesi yer alıyor. Sadece kara listede olup olmadığına bakılarak DDOS saldırılarını tespit etmek mümkün olmuyor. Akış verisi içerisinde bulunan çeşitli öznitelikler işlenerek anormal bir durum varsa önlem alınabiliyor. İleriki çalışmalarda gerçek zamanlı sistemler için çalışılabilir.

 

Kaynaklar:

[1] S. Mansfield-Devine, The evolution of ddos, Computer Fraud Security 2014 (2014) 15 – 20.
[2] K. S. Sahoo, D. Puthal, M. Tiwary, J. J. Rodrigues, B. Sahoo, R. Dash, An early detection of low rate ddos attack to sdn based data center networks using information distance metrics, Future Generation Computer Systems 89 (2018) 685 – 697.
[3] J. Cui, M. Wang, Y. Luo, H. Zhong, Ddos detection and defense mechanism based on cognitive-inspired computing in sdn, Future Generation Computer Systems 97 (2019) 275 – 283.
[4] L. Chen, Y. Zhang, Q. Zhao, G. Geng, Z. Yan, Detection of dns ddos attacks with random forest algorithm on spark, Procedia Computer Science 134 (2018) 310 – 315. The 15th International Conference on Mobile Systems and Pervasive Computing (MobiSPC 2018) / The 13th International Conference on Future Networks and Communications (FNC-2018)/ Affiliated Workshops.
[5] J. Jiao, B. Ye, Y. Zhao, R. J. Stones, G. Wang, X. Liu, S. Wang, G. Xie, Detecting tcp-based ddos attacks in baidu cloud computing data centers, in: 2017 IEEE 36th Symposium on Reliable Distributed Systems (SRDS), pp. 256–258.
[6] Clustering based semi-supervised machine learning for ddos attack classification, Muhammad Aamir, Syed Mustafa Ali Zaidi 2018 (2014) 15 –20.
[7] J. David, C. Thomas, Efficient ddos flood attack detection using dynamic thresholding on flow-based network traffic, Computers Security 82 (2019) 284 – 295.
https://meleknurtenyavuz.wordpress.com/2019/06/05/dos-saldirilari-guncel-akademik-calismalarda-nasil-tespit-ediliyor/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.