CyberFlow Logo CyberFlow BLOG
Ntp Pentest

Bozuk Paketler ile Denial of Service Saldırıları: NTP Üzerine Kapsamlı Bir Rehber

✍️ Ahmet BİRKAN 📂 Ntp Pentest

Bu blog yazısında, bozuk paketler ile Denial of Service saldırılarının nasıl gerçekleştirileceğini öğreneceksiniz.

Bozuk Paketler ile Denial of Service Saldırıları: NTP Üzerine Kapsamlı Bir Rehber

Bozuk paketler üzerinden yapılan Denial of Service saldırılarını öğrenmek için gerekli temel bilgileri ve teknik detayları bu yazıda bulabilirsiniz. NTP protokolünde yaşanan potansiyel zafiyetler, yöntemler ve çözüm önerileri burada sizi bekliyor.

Giriş ve Konumlandırma

Siber güvenlik alanındaki tehditlerin sürekli evrildiği günümüzde, Denial of Service (DoS) saldırıları, özellikle Network Time Protocol (NTP) gibi temel hizmetleri hedef alarak, önemi giderek artan bir risk oluşturmaktadır. Bu tür saldırılar, kesinlikle işlevselliği etkileme potansiyeline sahip olup, sistemlerin kesintisiz çalışmasını sağlamak için kritik olan zaman senkronizasyonunu bozar. Bu bağlamda, bozuk paketler kullanılarak gerçekleştirilen DoS saldırıları, her siber güvenlik uzmanının dikkat etmesi gereken bir konudur.

DoS Saldırılarının Temelleri

DoS saldırıları, belirli bir hizmetin veya sistemin kaynaklarının aşırı şekilde tüketilmesi yoluyla meşru kullanıcıların bu hizmete erişimini engellemeyi amaçlar. Bu tür saldırılar, genellikle sistemin hata vermesine veya yanıt verememesine neden olur. NTP üzerinden gerçekleştirilen DoS saldırıları, saldırganların, sistemin beklemediği biçimlendirilmiş veya hatalı paketler (bozuk paketler) göndererek sunucunun işlemekten aciz kalacağı bir durum yaratmalarıyla gerçekleştirilir.

NTP ve Bozuk Paketler

NTP, cihazların doğru zaman bilgisi almasını sağlamak için kritik bir rol oynar. Ancak, bozuk paketler göndermek, kötü niyetli bir saldırgan için NTP sunucusunu devre dışı bırakmak için ideal bir yöntemdir. Bu tür saldırılar, genellikle paket başlığındaki standart dışı değerlerin sisteme enjekte edilmesiyle başlar. Örneğin, NTP protokolündeki "mode" alanı gibi belirli alanlara bozuk veriler yerleştirerek, sunucunun beklemediği durumlarla karşılaşmasını sağlayabiliriz.

send(IP(dst='target')/UDP(dport=123)/NTP(mode=7,stratum=255))

Bu komut ile Scapy kütüphanesi kullanılarak, sunucunun yanıt verememesi ve potansiyel olarak çökmesi sağlanabilir. Hedef sistemin yanıt verme durumu, saldırganlar için önemli bir geri bildirim sağlar; bu nedenle saldırının etkisini değerlendirmek için periyodik olarak sistemin durumu izlenmelidir.

Savunma ve Önleme Stratejileri

NTP üzerinde yapılan DoS saldırılarına yanıt vermek ve sistemin güvenliğini sağlamak için çeşitli savunma teknikleri mevcuttur. Öncelikle, sistemin hangi NTP yazılımını (ntpd, chrony vb.) kullandığını belirlemek, yazılıma özgü zafiyetleri tetiklemenin önüne geçmek açısından kritik öneme sahiptir. Ayrıca, bozuk paketlere karşı sistemin zayıf yönlerini tespit etmek için Tshark gibi araçlar kullanılabilir.

tshark -Y "ntp.malformed" -V

Bu komut, ağa yönlendirilen bozuk NTP paketlerini izlemek ve analiz etmek için kullanılabilir. Ayrıca, Intrusion Prevention Systems (IPS) veya benzeri güvenlik çözümleri aracılığıyla ağ kapılarında bozuk paketlerin tespit edilip durdurulması sağlanabilir.

Sonuç

Siber güvenlik alanında DoS saldırılarının etkisini azaltmak için saldırganların yöntemlerine dair bilgi sahibi olmak ve güvenlik önlemlerini sürekli güncel tutmak hayati önem taşımaktadır. NTP üzerinden gerçekleştirilen bozuk paket saldırıları hakkında bilgi sahibi olmak, siber güvenlik uzmanlarının bu tür tehditlere karşı hazırlıklı olmalarına yardımcı olabilir. Sonuç olarak, siber güvenlik eğitimleri ve pratik uygulamalar, bu tür saldırılarla başa çıkmanın ilk adımlarını temsil eder. Bu rehberin ilerleyen bölümlerinde, bozuk paketlerle gerçekleştirilen DoS saldırılarının daha derinlemesine teknik detaylarına dalacağız.

Teknik Analiz ve Uygulama

Adım 1: Servis ve Versiyon Keşfi

Siber güvenlik alanında, bir Denial of Service (DoS) saldırısının ilk aşaması, hedef sistem hakkında detaylı bilgi edinmektir. Bu aşama, kullanılan NTP (Network Time Protocol) yazılımının belirlenmesi ile başlar. Bu tür bilgileri elde etmek için yaygın olarak Nmap aracı kullanılır. Örnek bir Nmap komutu ile hedef sunucudaki NTP hizmeti ve versiyonu hakkında bilgi edinebilirsiniz:

nmap -sU -sV -p 123 target_ip

Bu komut, belirli bir IP adresine (target_ip) UDP üzerinden 123 numaralı portu tarar ve açık olan NTP hizmetinin versiyonunu gösterir. Hedefin hangi yazılımı kullandığı (ntpd, chrony vb.) belirlenmelidir; çünkü her protokolün zafiyetleri farklıdır.

Adım 2: NTP Paket Başlığı Risk Alanları

Bozuk paket saldırıları, genellikle NTP paket başlığındaki standart dışı değerlerin sistemde tetiklediği istismarlar ile gerçekleşir. NTP protokolü, birden fazla alan içerir; bunlardan bazıları Leap Indicator (LI), Version Number (VN) ve Mode'dur. Bu alanların beklenmedik değerlerle nasıl manipüle edilebileceğini anlamak, etkili saldırılar için kritik öneme sahiptir.

Adım 3: Tanım: Denial of Service

Denial of Service (Hizmet Dışı Bırakma) saldırısı, meşru kullanıcıların bir servise erişimini engellemeyi hedefler. Bu, sistem kaynaklarının aşırı tüketimi veya yazılım hataları ile gerçekleştirilebilir. NTP üzerinde yapılan bozuk paket saldırıları, sunucunun yanıt verme yeteneğini etkileyebilir.

Adım 4: Scapy ile Malformed Paket Üretimi

Scapy kütüphanesi ile bozuk NTP paketleri oluşturmak, bu tür saldırıların simülasyonunda son derece etkilidir. Aşağıda gösterilen komut, geçersiz bir mod ve stratum içeren bir NTP paketi oluşturur:

from scapy.all import *

send(IP(dst='target_ip')/UDP(dport=123)/NTP(mode=7, stratum=255))

Bu komut, hedef unsurun (target_ip) yanıtını etkileyerek, sunucu üzerinde analiz yapmanıza olanak tanır. Bozuk paketlerin sunucu üzerindeki etkisini gözlemlemek, NTP hizmetinin zayıf noktalarını anlamak için gereklidir.

Adım 5: Servis Çökme Belirtileri

Bozuk paket gönderildiğinde, sunucunun verdiği tepki oldukça önemlidir. Aşağıda, çökme belirtilerini ve bu belirtilerin sistem üzerinde yarattığı etkileri sıralayabiliriz:

  • Segmentation Fault: Servisin geçersiz bellek adreslerine erişime çalışması sonucu çökmesi.
  • CPU Spiking: Bozuk bir paket, sunucunun sonsuz bir döngüde kalmasına neden olabilir.
  • Timed Out: Servis, istekleri kabul ediyor gibi görünse bile yanıt veremeyebilir.

Bu tür belirtileri gözlemlemek, saldırının etkinliğini değerlendirirken önemlidir.

Adım 6: Teknik Terim: Malformed

Saldırılara maruz kalan paketler, yapısal kurallarına uymayan ya da hatalı biçimlendirilmiş bilgiler içeren paketlerdir. Bu paketlere genel olarak "malformed" veya "bozuk" paket denir. NTP protokolünde standart dışı değerler, birçok açığın tetiklenmesine yol açabilir, bu yüzden bu kavram üzerinde durmak önemlidir.

Adım 7: Sağlık Kontrolü (Monitoring)

Bozuk paketlerin etkilerini izlemek için, saldırı esnasında servisin hâlâ yanıt verip vermediğini kontrol etmek için ntpdate komutunun kullanılması önerilir:

ntpdate -q target_ip

Bu komut, hedefin NTP sunucusuna günlük periyotlarla sorgular gönderir ve sunucunun durumunu kontrol etmenize yardımcı olur.

Adım 8: Tarihsel Zafiyetler (CVE)

NTP protokolü, zaman zaman çeşitli güvenlik açıkları yaşamıştır. Örneğin, CVE-2014-9295 ve CVE-2015-7871, NTP'nin işlenmesi sırasında meydana gelen bellek hatalarıyla ilişkili DoS açıklarıdır. Bu zafiyetler, statiğin yanlış işlenmesi veya bozuk paketlerin etkisiyle tetiklenebilir.

Adım 9: Kritik Kavram: Panic Threshold

Panic Threshold, NTP'nin zaman ayarlaması çok büyük bir gelecek değer ile karşılaştığında (örneğin 1000 saniye+) senkronizasyon işlemini durdurma kararını almasıdır. Bu kavram, hizmetin gereksiz şekilde çökmesini önlemeye yardımcı olurken, bazı durumlarda saldırganlar tarafından istismar edilebilir.

Adım 10: Tshark ile Hata Analizi

Ağdaki trafiği analiz ederek sunucunun hangi bozuk paketlere yanıt verdiğini görmek için Tshark aracı kullanılabilir. Aşağıdaki komut, yalnızca bozuk NTP paketlerini filtreler:

tshark -Y "ntp.malformed" -V

Bu sayede, ağ trafiği üzerinden olası bir saldırının izlerini sürmek ve analiz yapmak mümkün hale gelir.

Adım 11: Savunma ve Önleme (Hardening)

Bozuk paket tabanlı DoS saldırılarına karşı, kurumların altyapılarında sağlam bir savunma oluşturması gerekir. Bu, Intrusion Prevention System (IPS) kullanarak protokol anomali tespiti yapmak veya tanınmayan IP'lerden gelen tüm paketleri varsayılan olarak reddetmek gibi önlemleri içerebilir. 

restrict default ignore

Bu komut, tanınmayan IP'lerden gelen paketleri sistemin reddetmesine olanak tanır ve böylece olası saldırıları engeller.

Adım 12: Nihai Hedef: Availability

Siber güvenlik uygulamalarındaki temel amaç, sistemlerin erişilebilirliğini sağlamaktır. DoS testleri, sistemin saldırı altında bile meşru kullanıcılara hizmet vermeye devam etmesini doğrulamayı hedefler. Bu süreç, işletmenin sürekliliği ve bilgi güvenliği açısından kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Hedef ve Servis Keşfi

NTP (Network Time Protocol) servisleri, zaman senkronizasyon işlemlerinde kritik bir rol oynamaktadır. Ancak, bu hizmetlerin güvenli olmaması durumunda, siber saldırılara maruz kalabilir ve hedef alınabilirler. DoS (Denial of Service) saldırıları da bu bağlamda önemli bir risk unsuru olarak öne çıkmaktadır. Bu tür saldırılar, bir hedef üzerindeki sistem kaynaklarını tüketerek meşru kullanıcıların hizmete erişimini engellemeyi amaçlar.

Başlangıç olarak, hedef sistemin üzerinde hangi NTP yazılımının çalıştığını doğrulamak önemlidir. NTPD, Chrony gibi farklı sürümlerde, her birinin kendine özgü zayıf noktaları bulunabilmektedir. Dolayısıyla, doğru araçlarla yapılan servis ve versiyon keşfi, güvenlik zafiyetlerini belirlemek için kritik bir adımdır.

nmap -sU -sV -p 123 target_ip

Bu komut, hedef sistemdeki NTP servisini aktif hale getirir ve üzerinde çalışan sürüm hakkında bilgi sağlar.

NTP Paket Başlıklarındaki Risk Alanları

Bozuk paket saldırıları, standart dışı başlık alanları içeren NTP paketlerinin sisteme enjekte edilmesiyle gerçekleşir. NTP protokolü, belirli formatlara ve kurallara uymalıdır. Geçersiz değerler ya da beklenmeyen paket yöntemleri kullanıldığında, sistem üzerinde zafiyet oluşturabilir.

Özellikle "Leap Indicator" ve "Stratum Number" gibi alanların standart dışı değerlerle yapılandırılması, buffer overflow gibi hatalara yol açabilir. Sonuç olarak, sistem çökebilir ya da beklenmedik yanıtlar verebilir.

Denial of Service Saldırılarında Tehditlerin Yorumlanması

Denial of Service saldırıları sırasında, sunucunun yanlış yapılandırması ya da yazılımsal hatalarından kaynaklı olarak sistemler üzerinde ciddi etkiler gözlemlenebilir. Örnek olarak;

  • Segmentation Fault: Geçersiz bellek adreslerine erişim sağlandığında, servis aniden kapanabilir.
  • CPU Spiking: Bozuk paket, sunucuyu sonsuz döngülere sokarak kaynak tüketimi yaratabilir.
  • Timed Out: Sunucu, gelen istekleri kabul ederken yanıt veremeyebilir.

Bu tür belirtiler, sistemlerin DoS saldırısına maruz kaldığını gösterir.

Tarihsel Zafiyetler ve Saldırı Yüzeyleri

NTP tarihindeki zafiyetlerin izlenmesi, saldırıların öngörülmesi açısından büyük önem taşır. Özellikle:

  • CVE-2014-9295: Buffer overflow zayıflığı, özel hazırlanmış NTP paketleriyle RCE (Remote Code Execution) riski doğurur.
  • CVE-2015-7871: NTP'nin kripto-NAK paketlerini yanlış işlemesi sonucu oluşturulan DoS zafiyetidir.

Bu tür bilgiler, güvenlik analistlerinin olası açıkları değerlendirmelerinde büyük bir yardımcıdır.

Sağlık Kontrolü ve İzleme

NTP servislerinin sağlık kontrolünü sağlamak, olası DoS saldırılarının etkilerini minimize edebilir. Bu süreçte ntpdate komutu periodik olarak kullanılabilir. Bu komut sayesinde sunucu durumunun periyodik olarak kontrol edilmesi, saldırı anında dahi sistemin çalışırlığını izlemek açısından kritiktir.

ntpdate -q target_ip

Bu işlem siber güvenlik ekibine, hedef NTP sunucusunun mevcut durumunu hızlı bir şekilde belirleme fırsatı sunar.

Savunma ve Önleme

NTP üzerinden yapılacak DoS saldırılarını önlemek için uygulamada bazı önlemler alınmalıdır:

  1. Güvenlik Duvarı Kuralları: NTP trafiğini izole etmek ve sadece güvenilir IP adreslerinden gelen istekleri kabul etmek için güvenlik duvarı kuralları oluşturulmalıdır.
restrict default ignore

  1. Intrusion Prevention System (IPS): Ağ kapısında bozuk paketleri durdurma yeteneğine sahip IPS'lerin kullanılması, tipik saldırı yüzeylerini azaltabilir.

  2. Hardening: NTP sunucularının donanım ve yazılım bileşenlerini sağlamlaştırmak, potansiyel zayıflıkları azaltabilir. NTPsec gibi güvenli NTP sürümlerinin kullanımı önerilmektedir.

Sonuç

Bozuk paketler ile gerçekleştirilen DoS saldırıları, NTP servisleri için ciddi bir güvenlik tehdidi oluşturur. Bu bölümde belirtilen risk alanları ve savunma önerileri, sistem yöneticilerinin bilinçli kararlar almasına yardımcı olabilir. Gelişen tehditlere karşı kesintisiz bir hizmet sunmak için proaktif önlemler almak, sağlıklı bir siber altyapı için gereklidir.