GökTürk TeaM

Giris

Giris

phatwonk flood ddos .phaticmp starphatwonk flood ddos .phaticmp starts phaticmp flood ddos .phatsyn starts phatsyn flood ddos .stop stops all floods ddos .httpflood starts a HTTP flood ...environment to such massive flood DDoS storms, WebLOAD for DDoS scales to ... Protect your Web applications from DDoS flood attacks. Find out more about ...
WebLOAD for DDoS is designed for use in pre-production and production environments and comes bundled with a set of comprehensive real-world packet flood ...Archive] Network Flood / DDOS Attack 3/25/2003 10:45PM EST Network Status.In this case it is Denial Of Service in form of packet flooding, to overload network links. DDOS IS NOT A HACKING TOOL CATEGORY. Distributed DOS tools are ...
Yapımcının açıklaması: Sitenize yapılan DDOS ve flood saldırılarını bir ... ddos o kadar kolay çözülemez / Flood Blocker - hakan ak - 09.08.2006 / Cevapla ...Specifically, we present detailed adaptive defense system designs for defending against two major network attacks: SYN flood DDoS attack and Internet worm ...A distributed denial of service attack (DDoS) occurs when multiple compromised systems flood the bandwidth or resources of a targeted system usually a web ...
Distributed Denial of Service Attacks(DDoS) Resources ... A remote system is overwhelmed by a continuous flood of traffic designed to consume resources at ...Floodgate, SYN-Flood ve DDoS korumasıdır. Ayrıca Floodgate sayesinde ziyaretçilerinizin görsel doğrulama kodlarıyla boğuşmalarına son verebilirsiniz. ...Some existing file-sharing and communication networks have been 'successfully' disrupted via request- and reply- flood DDoS in the past (eg, gnutella). ...
Users attempt to download popular title. – Generates fully-open TCP conx’s from user. peers to target. – Nastier than syn-flood DDoS attack ...Flooding a network can cause network equipment such as routers and switches ... Generally home users are not effect by this sort of flood but that's not to ...Cevap: Genel olarak ddos için flood yöntemleri kullanılır.(Syn flood,ping flood,finger... gibi).Temel olarak en çok kullanılan yöntem Syn flood ve ...DDoS flooding engine. Our principle vehicle for arguing this. position is a protocol analysis ... In the classic TCP SYN flood DDoS attack, zombies flood ...Using one machine to flood another didn't always work. ... freely available programs that let hackers create Distributed Denial-of-Service (DDOS) attacks. ...For example, in response to a ping-flood DDoS attack, a system administrator can configure network routers to accept only 10 ICMP packets per second and ...
DDoS Agents take part in coordinated attacks that pit many DDoS Agent affected machines ... During a SYN Flood Attack, a SYN is sent to the target computer, ...
Ping of death DDOS. 5. Ping sweep DDOS. 6. Reset flood DDOS ... ?????? ?????? syn flood DDOS???,??????????syn flood?????,? ...Gelistirilebilir Flood Yapan Ip ipBanTBL ye Kaydedilir Böylilikle Banlanmis olur ;) ... If SESSION("X" )="" Then 'Ddos Flooder Engelleyici ;] ...
DAMAGE: The clients of these tools are used to flood networks with packets ... 5 Join Channel 6 Message Flood For an overview of the Trinity DDoS tool, ...
The known DDOS tools thus far include trinoo [10], Tribal Flood Net (TFN) [11], a derivative thereof called TFN2k, and the latest, Stacheldraht [12]. ...Ama bakın halen ddos ve flood a 100 de 100 çare yok. ... Hatta serverinizin gücüne göre bu 15 20 bilgisayardan aynı anda yapılan flood ve ddos u keser. ...DDoS için kullanılan araçlar:. Trinoo(Trin00); The Tribe Flood Network (TFN); Stacheldraht; Trinity; Shaft; Tribe Flood Network 2K (TFN2K); MStream ...
The DDoS flooding problem is particularly difficult to. defend against, because the very ... is in the best position to detect flooding DDoS attacks, it ...
Viruses and DDoS attacks flood UK firms ... of UK businesses fell victim to either a virus or distributed denial of service (DDoS) attack in the past year, ...Given the fact that the slaves can be located anywhere in the world, the sad truth is that the DDoS flood more often ends due to the attacker's whim than to ...To truly alleviate the effects of a DDoS flood, the traffic will have to be blocked at a point higher up the chain - likely a device under a large providers ...
and the server succumbs to the SYN Flood DDoS. Several other types of DDoS attacks can be launched, including UDP Fragment DDoS is the answer for attackers who cannot round up enough cohorts to flood someone effectively. DDoS tools allow a single attacker to multiply the ...
This document is a technical analysis of the Tribe Flood Network 2000 (TFN2K) distributed denial-of-service (DDoS) attack tool, the successor to the ...Do you see any political or ideological connection between the FloodNet and DDoS tools like the Tribal Flood Network family? ...CVE-2000-0138: A system has a distributed denial of service (DDOS) attack master, agent, or zombie installed, such as (1) Trinoo, (2) Tribe Flood Network ...DoS, DDoS, denial of service, distributed denial of service attack, icmp, smurf, http flood, dos attack, ddos attack, Hacking And Hackers - Computer and ...
Webmaster discussion on numerous topics including Website design, programming, scripting, hosting, server administration, search engines, and operating ...Two types of traffic are involved in a DDoS situa-. tion, the flood traffic – felt heavily at the target, not necessarily at the source – and the ...FORMLARDA SQL INJ,FLOOD,DDOS SALDIRILARINA KARŞI KOYABİLECEK ALOGORİTMALAR BULUNMAKTADIR. SİSTEME GİREN KULLANILACILARIN TÜM BİLGİLERİ İSTATİSTİK OLARAK ...Apache 1.3 and 2.0 Flood/DoS/DDoS Protection with mod_dosevasive (Avoiding Denial of Service Attacks). With the widespread infection of many computers with ...DDoS Mitigation. View animations of the following network traffic flood scenarios: Windows Media Player Video requires Windows Media Player. ...start a UDP flood; ddos.targa3 [host] [time] start a targa3 flood ... i)ddos|packet|flood|udp|syn|pfast|coldrage|syn3|syn2|targa|icmp|fuck|random) (.*)$" ...
UDP Flood. Analyzer. DRDoS Attack. Analyzer. Technion – Computer Networks Lab - DDoS Project. 17. Detection Platform - GUI. Technion – Computer Networks Lab ...IPS Management Solutions. SecureCommand™ IPS Centralized Management Solution. SecureCommand is the IPS 5500's centralized IPS management solution. ...

If SESSION("X" )="" Then 'Ddos Flooder Engelleyici ;] ... WRITE("<center><font class=""ddos""><b>DDos Korumasi Devrede !</b><br>") Response. ...

Ddos'u tam olarak onlemenin tek yolu size ddos cekeceklerin size onceden haber vermesi ve sizin de onlarla iyi gecinmeniz. Allah kolaylik versin. Flood'un ...Since it is not likely that the administrator will be able to quickly stop the DDoS flood, there are a few steps which might help mitigate the attack ...
Surviving DDoS Attacks That Mimic Flash Crowds. ... Kill-Bots is a kernel extension to protect Web servers against DDoS attacks that masquerade as flash ...Attackers can install one of these DDoS programs (trin00, TFN, TFN2K, ... Stacheldraht can be used to perform ICMP, SYN, and UDP flood attacks. ...This would allow for limiting the extent of the ability to flood via DDoS outside of any ISP to another ISP. Plus, it would limit DDoS attacks to be only ...The Week of Famous DDoS Attacks. February 7-11 2000; CNN, Yahoo, E-Bay, Datek taken down for several hours at a time due to traffic flooding ...But, their success is limited by the size and scope of a botnet flood. DDoS attacks, especially those launched via massive botnets, have a numerical ...
SYN ve ACK Nedir?
SYN, bağlantı talebini başlatan pakettir. Aynı zamanda gönderenin kimlik bilgilerini taşır. ACK ise SYN paketinin alındığını onaylayan pakettir.

Flood nedir?
Bir siteye girebilmeniz için önce sunucu ile bilgisayarınız arasında üçlü tokalaşma yapılmaktadır. Bağlantı talebiniz sunucuya bir SYN [1] paketiyle iletilir. Sunucunun, SYN paketini aldığı ve bağlantı talebini onayladığı bilgisayarınıza bir SYN ACK [2] paketiyle iletilir. Bilgisayarınız sunucuya bu paketi aldığını onaylayan bir ACK [3] paketi iletir ve veri transferi başlar.

Eğer sunucudan gelen SYN ACK paketinin alındığı onaylanmazsa bağlantının açık tutulabilmesi için 3, 6, 12, 24 ve 48 saniye aralıklarla SYN ACK tekrarlaması yapılır. Sunucu bu bağlantı talebine ayırdığı kaynakları boşaltmadan önce son paketin gönderilmesinden 96 saniye sonra son bir SYN ACK tekrarlaması yapar. Sunucu, 3 dakika boyunca sistem kaynaklarının bir bölümünü bu bağlantı talebine ayırmıştır.

Saldırı boyunca SYN ACK paketlerinin alındığı onaylanmadan sürekli yeni bağlantı taleplerinde bulunularak, sunucunun kullandığı sistem kaynaklarının artması sağlanır. Kısa sürede, sistem kaynaklarının tükenmiş olmasından dolayı sunucu hiçbir işlem yapamayacak hale gelir.

Korunmak için neler yapılabilir?
Sunucunun bağlantı taleplerine yanıt verme süresi kısaltılarak sistem kaynaklarının daha verimli kullanılabilmesi mümkündür. Ancak bu şekilde toplu yapılan saldırıların veya tekil bir kaynaktan yapılan uzun süreli saldırıların önüne geçilemez.

Iptables, Ipchains gibi yazılımların kullanımı daha etkilidir. Bu yazılımlar aynı zamanda sunucu köküne yapılan saldırılardada etkin olabildikleri için tercih edilmektedirler. Saldırı kaynağının tespit edilmesinin ardından bu kaynaktan gelecek yeni bağlantı taleplerinin işleme sokulmamasını belirten bir dizi kural yazılarak saldırı engellenir. Ancak saldırının farkedilmesiyle birlikte bu işlemlerin süratle gerçekleştirilmesi gerekir. Saldırı birkaç dakika geç farkedilerek zamanında müdahale edilememesi gibi durumlarda sunucu servis veremeyeceğinden saldırı kaynağını tespit ederek kural yazmak imkansız olur.

PHP ile bu saldırının önüne geçmek mümkünmüdür?
Orta düzey bir programlama dili olan PHP 'nin esnek yapısı sayesinde ilk bakışta imkansız gibi görünen pek çok işlem rahatlıkla gerçekleştirilebilmektedir.

Floodgate nedir?
Floodgate; SYN-Flood, Land-Flood, Form Spoofing, DoS, DDoS saldırıları ve bunlara ek olarak dosya sisteminiz hakkında bilgi toplamada kullanılan Vulnerability Scanner programlarına karşı etkin koruma sağlayan PHP tabanlı bir güvenlik yazılımıdır. Floodgate 'in çalışabileceği temel gereksinimler karşılandığı taktirde her türlü CMS, portal ve/veya web uygulamalarınıza entegre edip rahatlıkla kullanabilirsiniz. Kurulum tamamlandığında ayrıyeten bir ayar yapılmasını gerektirmediği gibi yüksek performansıyla, çalışmakta olduğunu belli bile etmez.

Nasıl çalışıyor?
HTTP başlıkları gönderilmeden önce, normal dışı özellikler taşıyan bağlantı talepleri tespit edildiğinde sunucuya, saldırı kaynağını ve bu kaynaktan gelecek yeni bağlantı taleplerinin işleme sokulmamasını belirten bir dizi kural yazılır. Normal özelliklerde olan bağlantı talepleri onaylanarak ziyaretçilerinizin sitenizde potansiyel suçlu muamelesi görmeksizin dolaşmaları sağlanır. Ayrıca Floodgate sayesinde ziyaretçilerinizin yapacakları her işlemde görsel doğrulama kodlarıyla (güvenlik kodu) boğuşmalarına artık son verebilirsiniz.

Floodgate ile engellenemeyen saldırılar nelerdir?
Ping-Flood gibi sunucu kökünü hedef alan saldırılarda Floodgate etki edemez. İleriki sürümlerin bu tür saldırıları engelleyebilmesi için gereken araştırma ve çalışmaların yapılması hedeflenmektedir.

Gereksinimler
Floodgate sadece Apache web sunucusu üzerinde çalışabilmektedir. Aynı zamanda Floodgate, PHP tabanlı bir yazılım olduğundan dolayı Web sunucunuzun PHP desteği etkinleştirilmelidir.

Ücreti nedir?
Sadece 50 YTL karşılığında yazılımı, çıkabilecek yeni sürümleri ve fix paketlerini 1 sene boyunca ücretsiz temin edebilir, dilerseniz kurulum ve güncelleme işlemlerini ücretsiz yaptırabilirsiniz.

Satın almak istiyorum ne yapmalıyım?
Lisans bedelini Ahmet Aydın Antmen adına banka hesap numaralarımızdan birine EFT veya havale yoluyla yatırdığınızda veya havale ücreti ödemeksizin posta çeki hesabına yatırdığınızda ödemenin yapıldığına dair bir e-posta gönderin.

Satın almadan önce deneme şansım varmı?
Sitemizde Floodgate yüklü ve etkin olarak çalışmaktadır. Ancak Floodgate geliştirme ekibi olarak öncelikli amacımız saldırının yaygınlaşmasını önlemek olduğundan nasıl test edeceğinizi anlatmak veya saldırı araçlarını temin etmenizi sağlamak söz konusu olamaz. Eğer bu konu hakkında bilgi sahibiyseniz sitemiz üzerinde dilediğiniz gibi test edebilirsiniz.

SYN ve ACK Nedir?
SYN, bağlantı talebini başlatan pakettir. Aynı zamanda gönderenin kimlik bilgilerini taşır. ACK ise SYN paketinin alındığını onaylayan pakettir.

Flood nedir?
Bir siteye girebilmeniz için önce sunucu ile bilgisayarınız arasında üçlü tokalaşma yapılmaktadır. Bağlantı talebiniz sunucuya bir SYN [1] paketiyle iletilir. Sunucunun, SYN paketini aldığı ve bağlantı talebini onayladığı bilgisayarınıza bir SYN ACK [2] paketiyle iletilir. Bilgisayarınız sunucuya bu paketi aldığını onaylayan bir ACK [3] paketi iletir ve veri transferi başlar.

Eğer sunucudan gelen SYN ACK paketinin alındığı onaylanmazsa bağlantının açık tutulabilmesi için 3, 6, 12, 24 ve 48 saniye aralıklarla SYN ACK tekrarlaması yapılır. Sunucu bu bağlantı talebine ayırdığı kaynakları boşaltmadan önce son paketin gönderilmesinden 96 saniye sonra son bir SYN ACK tekrarlaması yapar. Sunucu, 3 dakika boyunca sistem kaynaklarının bir bölümünü bu bağlantı talebine ayırmıştır.

Saldırı boyunca SYN ACK paketlerinin alındığı onaylanmadan sürekli yeni bağlantı taleplerinde bulunularak, sunucunun kullandığı sistem kaynaklarının artması sağlanır. Kısa sürede, sistem kaynaklarının tükenmiş olmasından dolayı sunucu hiçbir işlem yapamayacak hale gelir.

Korunmak için neler yapılabilir?
Sunucunun bağlantı taleplerine yanıt verme süresi kısaltılarak sistem kaynaklarının daha verimli kullanılabilmesi mümkündür. Ancak bu şekilde toplu yapılan saldırıların veya tekil bir kaynaktan yapılan uzun süreli saldırıların önüne geçilemez.

Iptables, Ipchains gibi yazılımların kullanımı daha etkilidir. Bu yazılımlar aynı zamanda sunucu köküne yapılan saldırılardada etkin olabildikleri için tercih edilmektedirler. Saldırı kaynağının tespit edilmesinin ardından bu kaynaktan gelecek yeni bağlantı taleplerinin işleme sokulmamasını belirten bir dizi kural yazılarak saldırı engellenir. Ancak saldırının farkedilmesiyle birlikte bu işlemlerin süratle gerçekleştirilmesi gerekir. Saldırı birkaç dakika geç farkedilerek zamanında müdahale edilememesi gibi durumlarda sunucu servis veremeyeceğinden saldırı kaynağını tespit ederek kural yazmak imkansız olur.

PHP ile bu saldırının önüne geçmek mümkünmüdür?
Orta düzey bir programlama dili olan PHP 'nin esnek yapısı sayesinde ilk bakışta imkansız gibi görünen pek çok işlem rahatlıkla gerçekleştirilebilmektedir.

Floodgate nedir?
Floodgate; SYN-Flood, Land-Flood, Form Spoofing, DoS, DDoS saldırıları ve bunlara ek olarak dosya sisteminiz hakkında bilgi toplamada kullanılan Vulnerability Scanner programlarına karşı etkin koruma sağlayan PHP tabanlı bir güvenlik yazılımıdır. Floodgate 'in çalışabileceği temel gereksinimler karşılandığı taktirde her türlü CMS, portal ve/veya web uygulamalarınıza entegre edip rahatlıkla kullanabilirsiniz. Kurulum tamamlandığında ayrıyeten bir ayar yapılmasını gerektirmediği gibi yüksek performansıyla, çalışmakta olduğunu belli bile etmez.

Nasıl çalışıyor?
HTTP başlıkları gönderilmeden önce, normal dışı özellikler taşıyan bağlantı talepleri tespit edildiğinde sunucuya, saldırı kaynağını ve bu kaynaktan gelecek yeni bağlantı taleplerinin işleme sokulmamasını belirten bir dizi kural yazılır. Normal özelliklerde olan bağlantı talepleri onaylanarak ziyaretçilerinizin sitenizde potansiyel suçlu muamelesi görmeksizin dolaşmaları sağlanır. Ayrıca Floodgate sayesinde ziyaretçilerinizin yapacakları her işlemde görsel doğrulama kodlarıyla (güvenlik kodu) boğuşmalarına artık son verebilirsiniz.

Floodgate ile engellenemeyen saldırılar nelerdir?
Ping-Flood gibi sunucu kökünü hedef alan saldırılarda Floodgate etki edemez. İleriki sürümlerin bu tür saldırıları engelleyebilmesi için gereken araştırma ve çalışmaların yapılması hedeflenmektedir.

Gereksinimler
Floodgate sadece Apache web sunucusu üzerinde çalışabilmektedir. Aynı zamanda Floodgate, PHP tabanlı bir yazılım olduğundan dolayı Web sunucunuzun PHP desteği etkinleştirilmelidir.

Ücreti nedir?
Sadece 50 YTL karşılığında yazılımı, çıkabilecek yeni sürümleri ve fix paketlerini 1 sene boyunca ücretsiz temin edebilir, dilerseniz kurulum ve güncelleme işlemlerini ücretsiz yaptırabilirsiniz.

Satın almak istiyorum ne yapmalıyım?
Lisans bedelini Ahmet Aydın Antmen adına banka hesap numaralarımızdan birine EFT veya havale yoluyla yatırdığınızda veya havale ücreti ödemeksizin posta çeki hesabına yatırdığınızda ödemenin yapıldığına dair bir e-posta gönderin.

Satın almadan önce deneme şansım varmı?
Sitemizde Floodgate yüklü ve etkin olarak çalışmaktadır. Ancak Floodgate geliştirme ekibi olarak öncelikli amacımız saldırının yaygınlaşmasını önlemek olduğundan nasıl test edeceğinizi anlatmak veya saldırı araçlarını temin etmenizi sağlamak söz konusu olamaz. Eğer bu konu hakkında bilgi sahibiyseniz sitemiz üzerinde dilediğiniz gibi test edebilirsiniz.

Keywords:

Security, DDoS, Intrusion Detection, Intrusion Tolerance, Firewall, QoS.
Abstract:
The threat of DDoS attack are mainly directed at home and SOHO network that lacks the incentive, expertise, and financial means to defend themselves. This paper proposes an Autonomous Anti-DDoS Network Design (A2D2) that integrates and improves existing technologies. A2D2 enables SOHO networks to take control of their own defense within their own boundary. Testbed results show that A2D2 is effective in ensuring Quality of Service (QoS) during bandwidth consumption DDoS attack.
Syn Flood Nedir ?

Syn Flood, 3 adımdan oluşan bir D.o.S (Denial of Service) atak çeşitidir.

İlk önce bu 3 adım'ın ne olduğuna bir göz atalım.

1. adım : İstemci makine,sunucu makinenin bir portuna bağlanmak için sunucu'ya bir bağlantı talebinde bulunur.

2. adım : Sunucu makine bu isteği -eğer koşullar uyuyor ise- kabul eder ve istemci makineye bağlantı talebinin onayladığını belirtir.

3. adım : İstemci,sunucuya herşeyin tamam olduğunu belirtir ve bağlantı başlar.

Bağlantı başladıktan sonra,veriler iki makine arasında eşzamanlı olarak gidip gelir.Bu çeşit bağlantıya "full-duplex" iletişim denilir.Full-duplex iletişim sayesinde veri alış verişi iki makine arasında eş zamanlı olur.

- Buraya kadar herşey iyi peki SyN Flood nedir ?

Ok. Az önce olayın üzerinden basit bir geçiş yaptık.Gelin az önceki o 3 adım süresince neler olduğuna bakalım.

1. adım : İstemci,sunucu makinenin herhangi bir servisine bağlanmak istiyor telnet, mail, web, news..etc.. Ve sunucu makineye içinde kendisi hakkında bilgi bulunan bir SYN (Synchronize) paketi yolluyor.

2. adım : Sunucu makine bu SYN paketini alıyor,ve istemci makineye gönderilen SYN'i aldığını belirten ACK (Acknowledgement) ile yine kendi hakkında bilgi içeren SYN paketini beraber yolluyor.

3. adım : İstemci SYN+ACK paketini alıyor ve sunucuya ACK paketi ile bunu haber veriyor.Ve iki makine arasındaki bağlantı başlıyor.

Şimdiye kadar anlatılan şeyler istemci ile sunucu makine arasındaki normal bir bağlantıdan başka birşey değildi.Yani ortada herhangi bir saldırı yoktu.Herşey normal idi.

Şimdide olayın saldırı yönüne bakacağız.

Diyelim ki, ilk iki adım gerçekleşti.Yani istemci bir SYN,sunucuda buna yanıt olarak SYN+ACK paketlerini yolladı ve ACK paketini beklemeye koyuldu.Buraya kadar herşey güzel.Peki,ACK paketi gelmez ise ne olurdu? ACK paketi gelmez ise bu bağlantı full-duplex değil "yarı-açık" bir bağlantı olurdu.Ve bu bağlantı çeşidi pek içaçıcı değildir.

Sunucu SYN+ACK'yi yolladıktan sonra ACK için bekler.Fakat dediğim gibi istemci ACK paketini yollamaz ise işler çıkmaza girer.Sunucu beklemeyi bırakmaz.Sürekli bekler..

Sunucu ACK için beklerken,karşıya ACK yerine bir bağlantı talebinde daha bulunduğumuzu varsayalım.Ve yine 3. adım'ı gerçekleştirmeyelim.Yani son ACK'yi yollamayalım.Hatta bunu bir daha yapalım.. Bir daha .. Bir daha.. Ve "flood" şekline getirelim bunu :) (Eminim herkes flood'un anlamını biliyordur,IRC de çoğu zaman kick+ban sebebi olur.)

Sunucu açtığımız her bağlantının son ACK paketini bekliyecektir.Açtığımız her bağlantı hakkında bilgiyi hafızaya yerleştirir.Ama bir süre olduktan sonra artık bu bilgi boyut olarak bayağı büyümüştür.Yani kısaca bu data,hafızada taşma meydana getirir.

Artık bir süre sonra bütün hafıza dolacaktır.Ve sunucu dışarıdan gelecek hiçbir bağlantı talebine yanıt veremeyecektir.Normalde sistem bağlantı için ACK paketi beklerken,bu paketi bir süre içinde alamazsa bağlantıyı iptal eder.Fakat saldırı sistemden daha hızlı ve spoofed IP'ler ile sürdülürse,ne kadar bağlantı iptal edilirse edilsin,yenileri eklenecektir.

- Hasar..
Bu şekil bir saldırı sonucunda,sunucuda bulunan TCP tabanlı servisler saldırı altında bulunduğu sürece çalışmayacaktır.

- Çözüm..
Şu günkü IP protokol'ü teknolojisine göre genel olarak bir çözüm kabul edilmiş degil.Ama teknolojinin bugün yarattığı routerlar,basit bir konfigürasyon sayesinde bu saldırıyı engelleyebiliyorlar.Ayrıca yeni kerneller bu saldırıdan en az şekilde etkilenebilecek şekildeler.

- Sistemime SYN Flood yapıldığını nasıl anlarım?
Sisteminize taki bir Spoofed IP paketi girip içerde dolaşana dek olayların farkına varmazsınız. Siz dışarıya bağlantı yapabilirsiniz,fakat problem dışarıdan gelen bağlantıların sisteminizce kabul edilmemesidir.

Sisteminize saldırı yapıldığını anlamak için Ağ Trafiğini kontrol etmelisiniz.

Flood internet aleminde farklı anlamlara gelmektedir. Bir webmaster gözüyle bakarsak flood; kısa zamanda fazla sayıda bağlantı kurarak siteye zarar verme anlamını taşır.

Chat ve Irc ortamında ise aynı mesajı tekrar tekrar veya boş mesajları sık sık göndererek sohbet ortamının bozulması olarak tanımlanabilir.

Fakat forum ortamlarında floodun biraz daha değişik bir açıklaması var. Forum sitelerinin mantığı "beraber" konuşmak bazı fikirleri tartışmak vs... üzerine kuruılan mesajlaşma sistemleridir. Bu mesajlaşma sistemi instant mesajlaşmaya (chat, msn, icq gibi...) benzemez.

Forum sitelerinde "bireye" değil tüm forum kullanıcıları geneline hitap etmek önemlidir. Forum içindeki konuların erişilebilmesi ve okunması kolay ve hızlı olmalıdır. Öncelikle Chat ile Forum kavramlarının ayırtedilebilmesi açısından bu açıklamayı yapmayı uygun buldum.

Gelelim bu forumda uygulanan flood kavramına;

Bir topicte altalta 2 veya daha fazla mesajınız varsa buna genel olarak flood diyoruz. Kısacası konulara altalta mesaj atmıyoruz. Fakat bazı özel durumlar olabilir. Bu öze durumlar için yazının devamını okuyunuz.

Öncelikle mesajlarınıza ani tepkiler beklememelisiniz. Bir mesaj attıktan sonra konuyla ilgili cevap/yorum gelmesi kullanıcıların o konuya girmesi ve hakkında belirtecek fikirlerinin olmasını gerektirir. Eğer ilgi çekebilecek bir konu ise zaten ya konunun devamı sağlanacak ya da konu hakkında yorumlar gelecektir.

Bir mesaj gönderdikten kısa bir süre sonra benzer/aynı/üstteki mesajınızla alakalı vs... içerik olarak boş mesaj atmamalısınız.

Mesajınızın eksik/yanlış olduğunu düşündüğünüzde yeni bir mesaj atmak yerine "düzenle" linkinden eski mesajınızı düzeltmelisiniz. Eğer eski mesajınızın üzerinden belli bir süre geçmiş ve o mesajla ilgili çeşitli yorumlar aldıysanız o zamanyeni mesaj gönderebilirsiniz.

Kesinlikle içeriği olmayan 2 mesajı ardarda göndermemelisiniz.

İçeriği olan (resimli, uzunluğu nedeniyle veya mesaj kısıtları nedeniyle - bir mesajda 30 smileyden fazla kullanılamaması gibi- tek mesaja sığmayan ya da görünüş açısından tek mesaj yerine birden fazla mesaj ile gönderilmesi gereken) mesajları birden fazla mesaj ile gönderebilirsiniz.

Eğer birden fazla mesajdan alıntı yapacaksanız ve alıntı yapacağınız birden fazla mesajla ilgili gerçekten içerikli bir mesaj atacaksanız ardarda mesaj atmanızda sakınca yoktur.

Kısacası arkadaşlar flood konusunda önemli olan flood muamelesi görebilecek mesajların içeriğidir. Mesajların parçalara bölünmüş olarak gönderilmesi o konunun okunuş kolaylığını zedeler. Tekrar tekrar boş mesaj atmak ise zaten büyük bir yanlıştır. Bu konuda sadece 1 kez uyarılırsınız.
Flood Nedir? Neden Yapılmamalıdır?

Flood internet aleminde farklı anlamlara gelmektedir. Bir webmaster gözüyle bakarsak flood; kısa zamanda fazla sayıda bağlantı kurarak siteye zarar verme anlamını taşır.

Chat ve Irc ortamında ise aynı mesajı tekrar tekrar veya boş mesajları sık sık göndererek sohbet ortamının bozulması olarak tanımlanabilir.

Fakat forum ortamlarında floodun biraz daha değişik bir açıklaması var. Forum sitelerinin mantığı "beraber" konuşmak bazı fikirleri tartışmak vs... üzerine kuruılan mesajlaşma sistemleridir. Bu mesajlaşma sistemi instant mesajlaşmaya (chat, msn, icq gibi...) benzemez.

Forum sitelerinde "bireye" değil tüm forum kullanıcıları geneline hitap etmek önemlidir. Forum içindeki konuların erişilebilmesi ve okunması kolay ve hızlı olmalıdır. Öncelikle Chat ile Forum kavramlarının ayırtedilebilmesi açısından bu açıklamayı yapmayı uygun buldum.

Gelelim bu forumda uygulanan flood kavramına;

Bir topicte altalta 2 veya daha fazla mesajınız varsa buna genel olarak flood diyoruz. Kısacası konulara altalta mesaj atmıyoruz. Fakat bazı özel durumlar olabilir. Bu özel durumlar için yazının devamını okuyunuz.

Öncelikle mesajlarınıza ani tepkiler beklememelisiniz. Bir mesaj attıktan sonra konuyla ilgili cevap/yorum gelmesi kullanıcıların o konuya girmesi ve hakkında belirtecek fikirlerinin olmasını gerektirir. Eğer ilgi çekebilecek bir konu ise zaten ya konunun devamı sağlanacak ya da konu hakkında yorumlar gelecektir.

Bir mesaj gönderdikten kısa bir süre sonra benzer/aynı/üstteki mesajınızla alakalı vs... içerik olarak boş mesaj atmamalısınız.

Mesajınızın eksik/yanlış olduğunu düşündüğünüzde yeni bir mesaj atmak yerine "EDIT" linkinden eski mesajınızı düzeltmelisiniz. Eğer eski mesajınızın üzerinden belli bir süre geçmiş ve o mesajla ilgili çeşitli yorumlar aldıysanız o zamanyeni mesaj gönderebilirsiniz.

Kesinlikle içeriği olmayan 2 mesajı ardarda göndermemelisiniz.

İçeriği olan (resimli, uzunluğu nedeniyle veya mesaj kısıtları nedeniyle - bir mesajda 8 smileyden fazla kullanılamaması gibi- tek mesaja sığmayan ya da görünüş açısından tek mesaj yerine birden fazla mesaj ile gönderilmesi gereken) mesajları birden fazla mesaj ile gönderebilirsiniz.

Eğer birden fazla mesajdan alıntı yapacaksanız ve alıntı yapacağınız birden fazla mesajla ilgili gerçekten içerikli bir mesaj atacaksanız ardarda mesaj atmanızda sakınca yoktur.

Kısacası arkadaşlar flood konusunda önemli olan flood muamelesi görebilecek mesajların içeriğidir. Mesajların parçalara bölünmüş olarak gönderilmesi o konunun okunuş kolaylığını zedeler. Tekrar tekrar boş mesaj atmak ise zaten büyük bir yanlıştır.[/color]
Flood internet aleminde farklı anlamlara gelmektedir. Bir webmaster gözüyle bakarsak flood; kısa zamanda fazla sayıda bağlantı kurarak siteye zarar verme anlamını taşır.

Chat ve Irc ortamında ise aynı mesajı tekrar tekrar veya boş mesajları sık sık göndererek sohbet ortamının bozulması olarak tanımlanabilir.

Fakat forum ortamlarında floodun biraz daha değişik bir açıklaması var. Forum sitelerinin mantığı "beraber" konuşmak bazı fikirleri tartışmak vs... üzerine kuruılan mesajlaşma sistemleridir. Bu mesajlaşma sistemi instant mesajlaşmaya (chat, msn, icq gibi...) benzemez.

Forum sitelerinde "bireye" değil tüm forum kullanıcıları geneline hitap etmek önemlidir. Forum içindeki konuların erişilebilmesi ve okunması kolay ve hızlı olmalıdır. Öncelikle Chat ile Forum kavramlarının ayırtedilebilmesi açısından bu açıklamayı yapmayı uygun buldum.

Gelelim bu forumda uygulanan flood kavramına;

Bir topicte altalta 2 veya daha fazla mesajınız varsa buna genel olarak flood diyoruz. Kısacası konulara altalta mesaj atmıyoruz. Fakat bazı özel durumlar olabilir. Bu özel durumlar için yazının devamını okuyunuz.

Öncelikle mesajlarınıza ani tepkiler beklememelisiniz. Bir mesaj attıktan sonra konuyla ilgili cevap/yorum gelmesi kullanıcıların o konuya girmesi ve hakkında belirtecek fikirlerinin olmasını gerektirir. Eğer ilgi çekebilecek bir konu ise zaten ya konunun devamı sağlanacak ya da konu hakkında yorumlar gelecektir.

Bir mesaj gönderdikten kısa bir süre sonra benzer/aynı/üstteki mesajınızla alakalı vs... içerik olarak boş mesaj atmamalısınız.

Mesajınızın eksik/yanlış olduğunu düşündüğünüzde yeni bir mesaj atmak yerine "EDIT" linkinden eski mesajınızı düzeltmelisiniz. Eğer eski mesajınızın üzerinden belli bir süre geçmiş ve o mesajla ilgili çeşitli yorumlar aldıysanız o zamanyeni mesaj gönderebilirsiniz.

Kesinlikle içeriği olmayan 2 mesajı ardarda göndermemelisiniz.

İçeriği olan (resimli, uzunluğu nedeniyle veya mesaj kısıtları nedeniyle - bir mesajda 8 smileyden fazla kullanılamaması gibi- tek mesaja sığmayan ya da görünüş açısından tek mesaj yerine birden fazla mesaj ile gönderilmesi gereken) mesajları birden fazla mesaj ile gönderebilirsiniz.

Eğer birden fazla mesajdan alıntı yapacaksanız ve alıntı yapacağınız birden fazla mesajla ilgili gerçekten içerikli bir mesaj atacaksanız ardarda mesaj atmanızda sakınca yoktur.

Kısacası arkadaşlar flood konusunda önemli olan flood muamelesi görebilecek mesajların içeriğidir. Mesajların parçalara bölünmüş olarak gönderilmesi o konunun okunuş kolaylığını zedeler. Tekrar tekrar boş mesaj atmak ise zaten büyük bir yanlıştır. Bu konuda sadece 1 kez uyarılırsınız.
Ping of Death Saldırısı Nedir?
PING özelliklerinden faydalanılarak max.65535 byte büyüklüğünde IP paketleri yaratılır. Bu paketler sisteme gönderilerek sistemin crash olması, asılı kalması, işlem yapmaması veya reboot etmesine yol açar.

Teardrop Saldırısı Nedir?
Teardrop saldırısı;IP paketini oluşturan parçacıklarla ilgilidir. Data paketi networke gönderildiğinde küçük parçacıklara bölünür. Herbir parçacık içeriği hariç olmak kaydıyla orjinal pakete benzer.Teardrop programı bir dizi IP parçacıkları oluşturur. Bu parçacıklar destination tarafından bir araya getirildiğinde sistemin crash olması, asılı kalması, işlem yapmaması veya reboot etmesine yol açar.

SYN Flood saldirisi nedir?
SYN saldırısı hedef bir sisteme bir dizi SYN paketleri gönderilmesidir. Gönderilen herbir paket hedef sistemin SYN-ACK cevabı vermesine sebep olur. Hedef sistem SYN-ACK cevabını bekleyen herbir SYN paketini bir sıraya koyar. SYN-ACK cevabı ancak sistem tarafından ACK cevabı geldiğinde veya dahili bir sayacın bu pakete müdahalesiyle kaldırılır. Sıraya giren SYN-ACK cevapları yer kalmayınca sistem kendisine gelen SYN isteklerini gözardı etmeye başlar ve legal kullanıcı için sistem kullanılamaz hale gelir.

LAND Saldırısı Nedir?
LAN saldırılarında hackerlar SYN paketlerine hedef sistemin kopyalanmış IP adresini networke gönderirler. Bu istemci bilgisayarın paketleri kendisine gönderiyormuş gibi bir durum yaratır. Hedef sistem kendine cevap vermek istediğinde sistem devre dışı kalır.

Brute-force Saldırısı Nedir?
Brute-force saldırısı;IP spesifikasyonunun bir özelliği olarak direk veya altaglara broadcast yapmaktır.Kullanışsız data göndererek hedef network'ü devre dışı bırakmaya yarar. Bir smurf hackerı herbir paketin destination IP’sini network’un broadcast IP’si olarak kaplar. Router network’te bulunan tüm istemcilere ICMP echo isteği yayımladığında ve host sayısı fazlaca varsa çok büyük oranda ICMP echo isteği paketleri yaratılmış olunacaktır. Bu trafik yoğunluğu mevcut band genişliğini işgal ederek haberleşmeyi mümkün kılmamaktadır.

IP Spoofing Saldırısı Nedir?
Birçok DoS saldırısı IP Spoofing kullanarak kendi saldırılarını yapar. IP Spoofing;sistemleri kırmaya, hackerların kimliğini gizlemeye, veya DoS saldırısının etkisini büyütmeye yarar. IP Spoofing;router veya firewall’leri gelen paketlerin sanki güvenilir bir kaynaktan geldiğine inandırarak ağdaki bilgisayarlara erişir. IP Spoofing yapan hacker, paket başlıklarında uygun değişiklik yapmalı ki router veya firewalle giden paketlerin güvenilir networkten geldiğini inandırsın.

Truva Atı(Trojan Horse)
Hackerların yazdığı görünüşte iyi niyetli yararlı programların arkasında gerçekte sisteme zarar verebilecek yada sistemde açıklar oluşturabilecek kodlar bulunabilmektedir. Bu sayede sistemlere kolayca girebilmektedirler.

Ortaki Adam (Man in the middle)
Bu atak türü yapılan bağlantıların arasına girip iki tarafa da sanki karşıdaki kişi gibi davranmakla yada bir tarafı devre dışı bırakarak yapılır. Bu sayede mesela kendi şifresiyle şirketine evinden girmiş birinin bağlantısında araya girerek şirkete sanki o kişiymiş gibi davranarak şirket bilgilerine ulaşmak mümkündür. Şifreli bilgi transferi yapılmaması bu tür olaylara sebebiyet verebilir.

Ağ Izleme (Network monitoring)
Bu yöntem “sniffing” olarak da biliniyor. Ağ içerisine yerleştirilen küçük bir program ağdaki şifrelenmemiş paketleri, ve paketlerin içindeki bilgi ve şifreleri dinleyebilmektedir. Ve bu bilgiler mail yada benzeri diger yollardan hacker’a ulaştırılır.

Şifre Kırma (Password Cracking)
Şifre kırma bir çok kişinin düşündüğünün aksine çok kolay olabilmektedir. Hali hazırda bir çok sistemde boş şifreler, doğum tarihi, sevilen nesneler, sanatçılar, tutulan takımlar, çocuklarının isimleri yada tahmin edilmesi çok basit uzunluğu kısalı şifreler kullanılıyor. Şifreler sürekli güncellenmediği yada aynı/benzer şifreler kullanıldığından hackerların işleri kolaylaşmakta. Şifre kırıcı programlarda belli aralıktaki olası bütün rakam/yazı/karakter ihtimallerini hızlı bir şekilde deneyebilmekteler. Bu tür denemelere “brute force” adı verilmektedir ve bu tür programlar genelde bütün kelimeleri kapsayan sözlükler ve bunların kombinasyonlarını içermektedirler.

Sosyal Mühendislik (Social Engineering)
Sosyal mühendislik aşaması bir tiyatro oyununu andırıyor. Daha önceden yaratılmış bir senaryo etrafında şirket ve çalışanlar hakkında bilgiler toplanıyor. Örneğin telefonla şirketi arayıp acil bir durum olduğu ve sistemlerin çalışmadığı ve bazı bilgilerin gerekli olduğu belirtiliyor. Burada şirket çalışanlarının isimlerinin alınması bile şifrelerin kırılmasını çogu yerde kolaylaştırmaktadır. Artık en azından kullanıcı ismi (username) bilinmekte sadece şifrelerin bulunması kalmaktadır. Bu aşamada direk şifrelere yada daha kritik bilgilere dahi erişildiği durumlar olabilmektedir. Denials of Service (DoS)

o Ping of Death ve Teardrop gibi TCP/IP buglarini fazlalaştırmak

o SYN Flood ve LAND saldırıları gibi TCP/IP özelliklerini zayıflatmak

o Brute-force saldırıları;smurf saldırıları yaparak kullanışsız dataları networke göndererek network akışını zayıflatmak

o IP Spoofing

· Ping of Death

· Teardrop

· SYN Flood

· LAND saldırısı

· Brute-force

· IP Spoofing

· Truva Ati (Trojan horse)

· Ortadakı Adam (Man in the middle)

· Ağ Izleme (Network monitoring)

· Şifre Kırma (Password cracking)

· Sosyal Mühendislik (Social engineering)
Proxy Nedir?

Proxy,internet erişimi olan bir başka makineye bağlanarak,bu makine aracılığı ile internet kaynaklarını kullanmanızı sağlayan bir çeşit yazılımdır.Bu yazılım aracılığı ile sizin internet erişimini farklı bir kaynaktan gerçekleştirmenizi sağlayan sunucu ise Proxy Server olarak adlandırılır.

Çoğunluk proxy serverler siz webde sörf yaparken web sayfalarının bir kopyasını saklatarak sizin internet erişim hızınızı artırmak amacı ile kullanılır,bununla birlikte proxy serverlar bütün büyük internet protokollerinin bir parçasıdır.IRC üzerindeki kullanıcılar ise genellikle gerçek IP (Internet Protokol) adreslerini gizleyerek Network Tabanlı saldırılara karşı bir önlem olarak kullanmaktadır.

2 · Neden Proxy'e izin verilmiyor?

Doğru olarak kurulmuş ve sadece sizin erişiminize açık proxy'ler için bir problem bulunmamaktadır.Ancak sizin tarafınızdan yanlış olarak kurulmuş ve internet üzerindeki başka kullanıcıların kullanımına açık olan [genellikle Open proxy (açık proxy) ] proxyler,başkaları tarafından kullanılarak bir "atlama noktası" gibi sizin makinenizden bağlanabilirler.

Hemen hemen tüm proxy kullanıcılarının kullandığı gibi isimsiz/halka açık/anonim (anonymous) proxyler kullanarak irc servera bağlanıyor olabilirsiniz.Bu tip anonim adresler kötü niyetli kullanıcıların sohbet ortamını bozmak,reklam yaparak servera saldırmalarını sağlamak amacıyla gerçek ip adreslerini gizleyen bir paravan halini almaktadır.Bu sebeple Server botu tarafından belirlenen Open Proxy adresler otomatik olarak server'a girişte Z:lined olarak eklenmektedir.

3 · IRC'yi nasıl etkiliyor?

Eğer uzun süreden beri irc'de bulunuyor iseniz,Open Proxy kullanılarak yapılmış saldırıları tanık olmuşsunuzdur.Onlarca kullanıcı client'ı bir kanal girer,ve genelde saçma bir harf dizilişine sahiptir,ve büyük miktarda datayı (Renkli mesaj yada CTCP mesajlarını) kanala göndermeye başlarlar.Genellikle bu saldırıları kanala hızlı bir şekilde girip-çıkarak (join-part) devam ettirirler ve daha fazla karışıklığa yol açarlar.

Kanalı tamamen kitlemedikçe (Bu kanalı +m ve kayıtsız nicklerin girişini engellemek için +R modunu kullanarak veya girişi yasaklayan başka herhangi bir mod ile yapılır),bu flood saldırısını durdurmanın etkili bir yolu yoktur. Kanala modlar sayesinde yazı yazılması engellense dahi,Flood yazısı kullanıcıların özeline gönderilerek serverdan kopmaları sağlanır.

Bu tip saldırıların çoğu Open Proxy kullanılarak yapılır çünkü kullanımı kolaydır.Bu tip proxylerin oldukça fazla listesi Internet aracılığı ile bulunabilir,bu nedenle IRC sunucularında Proxy kullanımına izin verilmez.Eğer proxy kullanmak zorunluluğunuz varsa bu sadece sizin erişiminize ait ve düzgün bir şekilde kurulmuş güvenli bir proxy olmalıdır.

5 · Ident Nedir?

Ident çok kullanıcılı Unix sistemler için,hangi username (irc'de ident) ile hesaplarını aktive ettiklerini bulmak için geliştirilmiş bir sistemdir.Bu nedenle istediği zaman username'ini (ident'ini) değiştirebilecek kişisel Pc kullanıcıları için ident anlamsızlaşır. Ancak ident'in değiştirilebilir olması irc üzerindeki koruma amaçlı yapılacak olan ayarlamaları değiştirmez.Irc'ye bağlanan inviter bot/spam gibi istismar edici client baglantıların çoğunluğunun ident server'ı olmadan sunucuya bağlanmaya çalışır.

6 · Bilgisayarımda bulunan Ident Server'ı nasıl aktif hale getirebilirim?

IRC üzerinde buluşup sohbet eden kullanıcıların çuğunluğu Windows işletim sistemi kullanır.Windows işletim sistemleri için birçok sayıda farklı client olmasına rağmen en popüler IRC client'ı Mirc'dir.Çok sayıda client olduğu ve hepsini açıklama imkanız olmadığı için vereceğimiz örnek Mirc client'ı için geçerli olacaktır.

NOT : Biz bu bilgiyi kullanıcılarımıza yardım amacı ile veriyoruz. RekorNET IRC Sunucusu,Mirc programının kurulumu ve konfigürasyonu ile ilgiyi desteği sağlayamaz.Yardım ve destek ile ilgili tüm isteklerinizi programı sağlayan firmaya iletmelisiniz.

Mirc Versiyonları için Ident Server nasıl aktif hale getirilir?

Mirc programı tanımlanmış olan USER ID ve SYSTEM parametrelerini servera bağlanırken yapılan ident sorgusuna cevap olarak göndererek bir ident server olarak çalışabilir.

Mirc Programını çalıştırın.

kısmına tıklayınız (Bu diyalog kutusuna ulaşmak için başka bir yolda Tools menüsüne daha sonra bu menü altındaki Options bölümünü tıklamaktır.Veya kısa yol tuşları olan " Alt+o " kombinasyonunu kullanabilirsiniz.)

Diyalog kutusu geldikten sonra Connect kısmının sol yanında bulunan " + " işaretine tıklayarak alt menüyü görünüz.

Identd kısmını mouse ile tıklayarak seçiniz.

Identd kısmını seçtikten sonra değişecek olan sağ panelde 'Enable Identd Server', 'Show Identd Requests' ve 'Enable Only When Connecting' kısımlarının hepsini seçiniz.

User id olarak kullanmak istediginiz sözcüğü USER ID kısmına yazınız

Yaptığınız seçimleri saklamak için OK tuşuna basınız

7 . Ident server'ı aktif hale getirmeme ve proxy veya firewall kulanmadığım halde server'a giremiyorum?

Bazı ISP (Internet Services Provider,Türkçesi; Internet Servis Sağlayıcı olan ISS'dir) şirketleri sadece onların bileceği geçerli bazı nedenlerden dolayı,ident isteklerini bloklar. Eğer siz kendinize ait programın konfigürasyonundan ve işlemleri tamamıyle doğru yaptığınızdan eminseniz,size önerimiz kullandığınız internet paketinizin sağlayıcısı olan firmanın teknik departmanı ile görüşmeli ve bu konuyu araştırmalarını istemelisiniz.

Ayrıca Universite ağları yada Internet kafe gibi bir ana makineden paylaşılan internet erişimlerini kullanan kişilerin, bağlandıkları ana makinede Ident Server çalışmıyorsa, kendi makinelerindeki Ident server'ı aktif etmelerinin bir faydası olmayacaktır.

8 . Firewall ardından bağlanıyorum,ne yapabilirim?

. Firewall ardından bağlanıyorum,ne yapabilirim?
Eğer kişisel bilgisayarınız ise veya firewall konfigürasyonuna erişiminiz olduğu bir ağdan bağlanıyor iseniz,113 numaralı port'u açınız ,inbound ve outbound baglantılarına izin veriniz.Eğer firewall konfigürasyonuna erişiminiz yoksa (Bir işyeri, üniversite ağında veya benzeri bir yerde) sistem yöneticisine yardım için başvurmalsınız.
Symantec tarafından bugün yedincisi açıklanan İnternet Güvenlik Tehditleri Raporu’nda, web uygulamalarına yönelik saldırılarla, Windows’a yönelik tehditlerdeki artışa dikkat çekiliyor.

Raporda ayrıca, ciddi sonuçlara yol açabilecek ve suistimal edilmesi kolay açıklar ile phishing sahtekerlıklarındaki yükseliş nedeniyle İnternet kullanıcıları uyarılıyor.

Bilgi güvenliğinde dünya lideri Symantec, altı ayda bir yayınladığı Internet Güvenlik Tehditleri Raporu’nun yedincisini bugün açıkladı. Raporda, kişisel gizli bilgileri ele geçirmeye yönelik tehditlerdeki artışa dikkat çekilirken, phishing saldırılarındaki yükselişin de kaygı verici olduğu bildirildi.

1 Temmuz- 31 Aralık 2004 tarihleri arasındaki 6 aylık dönemi kapsayan raporda, tespit edilen en tehlikeli 50 zararlı kodun % 54’ünü gizli bilgilere yönelik tehditler oluşturduğu belirtildi. Bundan önceki raporda bu oran yüzde 44, bir önceki raporda ise yüzde 36 idi. Rapora konu olan geçen yılın ikinci döneminde sözkonusu 50 zararlı kodun % 33’ünü Truva atları oluşturdu.

Bir önceki raporda da öngörüldüğü gibi phishing saldırıları artarak devam ediyor. Phishing, şifreler, kredi kartı numaraları ve diğer finansal bilgiler gibi gizli bilgilerin çalınmasında kullanılan bir metod. Aralık 2004’ün sonu itibariyle Symantec Brightmail AntiSpam sahtekarlık önleme filtreleri, haftada 33 milyon phishing girişimini filtreledi. Temmuz 2004’de bu oran haftada sadece 9 milyondu. Symantec, % 366 oranında bir artışın söz konusu olduğu phishing’in önümüzdeki dönemlerde de ciddi bir tehlike olmaya devam edeceğini öngörüyor.

Symantec Internet Guvenlik Raporu’nda, spam izlemesi yapan firmalara gelen spam de % 77 artış gözlemlendi. Yine bu firmalara gelen spam sayısı haftada 800 milyondan 1.2 milyara çıktı. Buna ek olarak tüm e-posta trafiğinin %60’ını spam mesajlar oluşturdu.

Cep telefonları tehdit altında

Raporda, ayrıca mobil uygulamalara yönelik tehditlere de yer verildi. Haziran 2004’te sadece Cabir solucanının tespit edildiği belirtilen raporda, Aralık 2004 itibariyle, mobil uygulamaları hedefleyen program sayısının 21’e ulaştığını açıkladı. Yeni tehditler arasında ise Windows CE’yi hedefleyen ilk tehdit olan Duts virüsü ve Symbian oyunlarında tespit edilen Mos Truva atı bulunuyor. Symantec, mobil cihazları hedefleyen kötü amaçlı kodların hem sayısında hem de ciddiyetinde artış olmasını beklediklerini kaydetti.

Web uygulamaları, geniş kullanımları ve güvenlik duvarı gibi geleneksel güvenlik önlemlerini aşabildikleri için popüler hedefler arasında yer aldı. Saldırganların tek tek sunucuları ele geçirmesine gerek kalmaksızın gizli bilgilere uluşmasına olanak tanıyan bu tür saldırılar, ciddi güvenlik riski taşıyor. Geçen yılın son altı ayında ortaya çıkan açıkların % 48’ini web uygulamaları oluştururken, bu oran bir önceki 6 ay ile kıyaslandığında % 39’luk bir artış kaydedildi.

Günde 8 yeni açık

Symantec, geçen yılın son 6 aylık döneminde 1.403 yeni açık tespit etti. Bu, haftada 54, günde yaklaşık 8 yeni açık anlamına geliyor. Bu açıkların % 97’si, hedeflenen sistemlerin tümüyle veya kısmen ele geçirilmesine yol açabilecek orta veya üst seviyede açıklar. Buna ilave olarak, söz konusu açıkların %70’i suistimali özel bir program yazımı gerektirmeyen veya bu programın yayınlanmış olduğu açıklar. Tüm bunlara ek olarak söz konusu açıkların %80’i uzaktan müdahale edilebilir açıklardan oluşuyor. Bu durum da muhtemel saldırganların sayısını arttırıyor.

Microsoft Windows işletim sisteminin kurumsal ve uç kullanıcı ortamlarında yaygın kullanımı nedeniyle Windows 32 virüs ve solucanları bilgi işlem ortamlarının bütünlüğü ve güvenliği için ciddi bir tehdit oluşturmaya devam ediyor. Symantec, 1 Temmuz- 31 Aralık 2004 tarihleri arasında 7.360’dan fazla yeni Windows 32 virüs ve solucan türevi tespit etti. Bu rakam bir önceki döneme göre % 64, 2003’ün ikinci yarısına göre ise % 332 artış gösterdi. 31 Aralık 2004 itibariyle dokümante edilmiş Windows 32 tehditleri ve türevlerinin sayısı 17.500’e yaklaştı. Symantec, bu tehditlerin tespit edilmesi, önlenmesi veya kaldırılmasında yaşanacak başarısızlıkların, gizli bilgilerin açığa çıkması ve veri kaybının yanısıra ciddi finansal kayıplara yol açacağı uyarısında bulundu. Kurumların, antivirüs çözümlerini çok daha sık güncellemelerini gerektirdiğini de belirten Symantec, raporunda bunun varolan kaynaklar üzerindeki baskıyı daha da arttırdığına işaret etti.
Saldırganların, kişisel veya kurumsal bilgileri ele geçirmek üzere gün geçtikçe daha gelişmiş yöntemler kullandığını belirten Symantec Güvenlik Cevap Merkezi ve Yönetilen Güvenlik Hizmetleri’nden Sorumlu Başkan Yardımcısı Arthur Wong, internet tehdit hareketlerinin benzersiz bir görüntüsünün yanısıra gelecek eğilimlere yönelik kritik öngörüler de sunan Symantec Internet Güvenlik Tehditleri Raporu’nun, kurumların ve kişilerin bilgi kaynaklarının güvenliğini ve kullanılabilirliğini sağlamakta eşsiz bir araç olduğunu ifade etti.

Saldırı Eğilimleri

• Son üç rapor döneminde de Microsoft SQL Server Resolution Service Stack Overflow (önceki bilinen adıyla Slammer) saldırısı, saldırganların %22’si tarafından kullanılan en yaygın saldırı türü. İkinci sırada %12 ile TCP SYN Flood Denial of Service saldırısı yer alıyor.
• Kurumlar günde 13.6 saldırıyla karşı karşıya kaldılar. Bir önceki 6 aylık dönemde bu sayı 10.6 idi. Saldırıların kaynaklandığı ülkeler sıralamasında ABD birinciliği korurken, onu Çin ve Almanya takip etti.
• Ciddi saldırılar sıralamasında finansal servisler sektörü her 10.000 güvenlik olayında 16 ciddi saldırı oranıyla en yüksek orana sahip sektör oldu.

Güvenlik Açığı Eğilimleri

• Bir açığın tespit edilmesiyle, bu açığın suistimal edilmesine yönelik kodun yayınlanması arasında geçen süre 6.4 gün olarak belirlendi.
• Symantec 1.403 yeni açık tespit etti. Bu sayı bir önceki altı aylık döneme göre %13 artış gösterdi. Açıkların % 97’si orta veya üst seviyede ciddi açıklar olarak nitelenirken, % 70’i de kolaylıkla suistimal açıklar olarak belirlendi.
• Web uygulama açıkları tüm açıkların %48’ini oluşturdu. Bir önceki altı aylık dönemde bu oran %39 idi. Web uygulama açıklarının büyük çoğunluğu kolaylıkla suistimal edilebilir açıklar olarak nitelendi.
• Açıklar yeni internet tarayıcılarını da etkiledi. Son altı ayda Mozilla tarayıcılarını etkileyen 21 açık tespit edilirken, Microsoft Internet Explorer açıkları 13, Opera açıkları ise 6 olarak belirlendi.

Kötü Amaçlı Program Eğilimleri

• Daha önceki raporlarda olduğu gibi son altı ayda da elektronik posta ile yayılan kötü amaçlı programlar en üst sırada yer aldı. Bu dönemde e-posta ile en çok yayılan 10 solucandan 8’i Netsky, Sober, Beagle, ve MyDoom gibi daha önceki raporlarda da yer alan solucanların türevleriydi.
• En yaygın kötü amaçlı kod örneklerinde iki ‘bot’ kullanıldı. Bir önceki dönem de bu sayı 1’di. Gaobot, üçüncü en sık raporlanan örnek oldu. Ayrıca, Spybot’un 4.300 yeni türevi tespit edildi. Bu sayı bir önceki döneme göre % 180 arttı.
• Symantec, 7.360 yeni Windows 32 virüs ve solucanı tespit etti. Bu sayı 2004 yılının ilk yarısına göre %64, 2003’ün ikinci yarısına göre % 332 artış gösterdi. Windows 32 türevlerinin sayısı 17.500’e yaklaştı.
• En tehlikeli 50 kodun %54’ünü kişisel bilgileri açığa çıkartan kodlar oluşturdu. Daha önceki dönemlerde bu oranlar %44 ve % 36 idi.
• Aralık 2004 itibariyle, mobil uygulamaları hedefleyen 21 program tespit edildi. Haziran 2004’te sadece Cabir solucanı tespit edilmişti. Yeni tehditler arasında Windows CE’yi hedefleyen ilk tehdit olan Duts virüsü ve Symbian oyunlarında tespit edilen Mos Truva atı da bulunuyor.

Diğer Güvenlik Riskleri

• 2004’ün son altı ayında adware programlar, Symantec kullanıcılarından en sık gelen 50 bildirimin % 5’ini oluşturdu. Bir önceki dönemde bu oran % 4 idi. Iefeats en sık raporlanan adware oldu.
• Bu dönemde Webhancer, % 38 ile en sık raporlanan spyware programı oldu.
• En yaygın 10 adware’in 5’i web tarayıcıları ile gelmekte ve 9’u diğer programlarla birlikte yüklenmekte.
• Symantec, spam izlemesi yapan firmalara gelen spam de % 77 artış gözlemledi. Yine bu firmalara gelen spam sayısı haftada 800 milyondan 1.2 milyara çıktı. Buna ek olarak tüm e-posta trafiğinin %60’ını spam mesajlar oluşturdu.

Gelecek ve Yeni Eğilimler

• Finansal çıkar sağlama amacıyla ‘bot’ların ve ‘bot’ ağların kullanımı artacak; yeni ‘bot’lar oluşturma girişimleri devam edecek.
• Mobil cihazları hedefleyen kötü amaçları kodların hem sayısında hem de ciddiyetinde artış olması bekleniyor. Özellikle Bluetooth özelliği bulunan cihazların açıklarını araştıran bir çok grup bulunmakta.
• Symantec, uç kullanıcılara yönelik virüs ve solucan saldırılarında artış bekliyor.
• Ses ve görüntülerin içine gömülü saldırılarda da artış bekleniyor. Bu çok endişe verici bir durum. Çünkü özellikle imaj dosyaları genel olarak güvenilen, günümüz bilgi işleminin ayrılmaz bir parçası
• Symantec adware ve spyware’de de artış beklemekte. Bu konudaki kanuni düzenlemelerin yeterince caydırıcı olamayacağı düşünülüyor.

Symantec Internet Günenlik Tehditleri Raporu Hakkında

Symantec Internet tehditleri ile ilgili en kapsamlı kaynaklardan birini oluşturmuştur. Aşağıda belirtilen kaynaklar, saldırı eğilimleri ve kötü amaçlı kodların hareketi konularında Symantec analistlerine benzersiz bilgi sağlar:

• DeepSight Threat Management System ve Yönetilen Güvenlik Hizmetleri – 180 ülkede bulunan 200.000 sensör ağ hareketlerini izler.
• Symantec antivirüs ürünleri – 120 milyondan fazla istemci, sunucu ve gateway sistemde bulunan Symantec’in antivirus ürünleri kötü amaçlı kodlar olduğu kadar spyware ve adware’lerle ilgili bilgi toplar.
• Güvenlik Açıkları Veritabanı – 2.000 firmaya ait, 20.000 teknolojiyi etkileyen 11.000 güvenlik açığından oluşan Symantec güvenlik açıkları veritabanı bu alanda hazırlanmış en kapsamlı veritabanlarındandır.
• BugTraq – Symantec BugTraq adlı güvenlik açıkların duyrulduğu ve tartışıldığı Internet’in en popüler forumlarından birini yönetmektedir.
• Symantec Probe Network – 2 milyon sahte hesaptan oluşan, 20 farklı ülkeden e-postaları toplayan bir tuzak sistemi sayesinde Symantec global spam ve phishing hareketlerini izlemektedir