SYN FLOOD ATTACK NEDİR?

SYN, TCP ‘ye özgü bir özelliktir. Peki nedir bu tcp?

|||||||||TCP Protokolü verinin bir bilgisayara en güvenli bir şekilde iletilmesiyle görevli protokoller bütünüdür.||||||||

TCP/IP (Transmission Control Protocol/Internet Protocol) bilgisayarların karşılıklı haberleşebilmesi ve internetin çalışmasını sağlayan bir iletişim protokolleri bütünüdür.
Eskiden bilgisayarların birbiriyle haberleşebilmesi için aynı marka ve model olması gerektiğinden, bunun önüne geçmek için bir sürü standart geliştirilmeye başlanmış. İşte bunlardan en çok kullanılanı da açık sistem bağlantıları komitesi tarafından geliştirilen 7 katmanlı OSI referans modeli ve Amerika Savunma Bakanlığı tarafından geliştirilen TCP/IP referans modelidir.

Tcp/ıp osı referans modelindeki 7 katmana karşılık 4 katman sunar ve çok daha hızlıdır. Osi modeli daha çok iletişim standartlarını belirlemeye yönelik diyebiliriz, tcp/ıp de bunun yanında daha uygulanabilir bir model olduğundan daha çok uygulamaya yöneliktir.

TCP/IP birçok protokolün toplandığı bir protokoller ailesidir. Bu referans modeline en çok kullanılan iki protokolün ismi verilmiştir; TCP (Transmission Control Protocol) ve IP (Internet Protocol). Bu referans modelinde 4 farklı katmanda 15’ten fazla protokol vardır. Veriler bu katmanlar arasında sırasıyla paketlenerek gönderilir, alıcıda ise paketlemenin tersi sırayla teker teker açılarak veri ulaştırılmış olur.

►Uygulama katmanı: Bu katmanda gönderilecek veri tipi ve veriyi işleyen uygulamalar bulunur. Örneğin bir HTML web sayfası ve bu veri tipini kullanan HTTP protokolü bu katmandadır. OSI modelindeki sunum ve oturum katmanları TCP/IP modelinde uygulama katmanı içerisinde yer alır. E-Posta gönderimi için kullanılan SMTP ve dosya gönderimi için kullanılan FTP protokolleri bu katmanda bulunur.

►Taşıma katmanı: Bu katmanda verinin nasıl gönderileceği belirlenir. Veri güvenliği, hata kontrolü gibi işlemler yapılır. TCP ve UDP bu katmandadır. TCP klasik veri aktarımında UDP ise medya aktarımında kullanılır. TCP, UDP ye göre daha güvenli fakat daha yavaş çalışır. Çünkü TCP ‘de gönderilen her veri paketinin ardından verinin yerine doğru bir şekilde ulaşıp ulaşmadığı kontrol edilir.

►Ağ katmanı: IP katmanı olarak da adlandırılan bu katman da verilerin gideceği adres veriye eklenir yani veri bu katmandan gönderilir ve yönlendirilir. IPv4 ün gelecekte yetersiz kalma durumuna karşı IPv6 sistemine geçmek için çalışmalar başlatılmıştır.IPv4 32 bit iken IPv6 ile 128 bitlik adresler kullanılacak. Bu sayede daha fazla cihaza IP adresi atanabilecek.

►Fiziksel katman: Bu katman verinin hangi yolla gönderileceği belirlenir. İletişim ortamının özelliklerini, haberleşme hızını ve kodlama şemasını belirler. Ethernet, Wi-Fi, Token Ring, ATM gibi protokoller bu katmanda çalışır.

- [ ] TCP’yi anladığımıza göre şimdi SYN’nin ne olduğuna bakalım.

En başta da belirttiğim gibi tcp’ye özgü bir özellik olmakla beraber, tcp yi başlatmak için kullanılır.(TCP bayrağı olarak da bilinir.)
SYN paketleri veri taşıyamaz.

SYN FLOOD nedir kısmına geçersek de aslında çoğunuzun bunu bilmesi gerekir çünkü internet dünyasının en fazla kullanılan DDOS saldırı tipidir. Eğer önlem alınmamışsa 2 mb ile 100 mb arası hatları kolayca devre dışı bırakabilir. Saldırısı kolay olduğu gibi savunması da çok kolaydır. Genellikle bu saldırılar sahte ip adresleri üzerinden yapılır. Bu sorunun temel kaynağı kısmına gelirsek hem ip lerin sahte olup olmadığının ayırt edilememesi hemde SYN paketleri alan tarafta paketi gönderen onaylanmadan kaynak ayrılması diyebiliriz.

SYN saldırısı, bir sunucunun TCP bağlantı yeteneğinden yararlanan bir katman 4 DDos saldırısıdır. Tipik olarak, bir istemci ve sunucu ‘üç yönlü’ el sıkışması kullanarak bir TCP bağlantısı oluştururlar:
1. İstemci sunucuya bağlanma isteğinde bulunur ve bir SYN (senkronizasyon) mesajı gönderir
2. Sunucu SYN mesajını aldığını bildirir ve bir SYN-ACK (senkronizasyon bildirimi) mesajı gönderir
3. İstemci tekrar bir ACK (bildirim mesajı) ile yanıt vererek bağlantıyı kurar
Bir SYN saldırısı sırasında, saldırganın istemcisi hedef sunucuya çok sayıda SYN mesajı gönderir. Sunucu aldığı her SYN için bağlantı tablosunda bir giriş oluşturur ve her birine bir SYN-ACK mesajıyla yanıt verir. Saldırgan ya ACK mesajı göndermez ya da çoğu kez istemcisinin IP adresini SYN paketlerinde yanlış bildirir, bu sayede hedef sunucunun SYN-ACK yanıtları asla alınmaz. Saldırgan SYN mesajı göndermeye devam ettikçe, hedef sunucunun bağlantı tablosu tümüyle dolar ve sunucu hiçbir bağlantı isteğine yanıt veremez hale gelir. Tüketilen tüm kaynakları sonucunda, hedef sunucu hizmet reddi oluşturur ve yasal istemcilerle bağlantı kuramaz.

|||||||||Sisteme gönderilen her syn paketine karşılık sistem ack syn paketi üretir karşılık olarak.||||||||||||

SYN FLOOD ATTACK ARAÇLARI

Netstress
Juno
Hping
Windows tabanlı araçlar
Botnet yönetim sistemleri

Temel olarak konumuz bu şekilde özetlenebilir.