GİRİŞ:
NetScaler'ın benzersiz SYN baskını
korunma sistemi, 2000 yılı mayıs ayında çıkmış ve TCP/IP SYN
cookie yaklaşımlarının geliştirilmiş versiyonuna dayandırılarak
yayımlanmıştır. Bu koruma yönteminin standart SYN cookie uygulamalarından
daha etkili ve daha verimli olmasının nedeni çeşitli sebebleri
ile aşağıda incelenmiştir.
SYN Baskını Tanımlama
Genel olarak, SYN baskınlarının
oldukça etkili olmasının en önemli nedenli, bu baskınların
bağlantı kurma sürecinde kaynakların yerinin belli edilmesi
hususunda sunucuları oldukça kolay bir şekilde aldatmasıdır.
Böyle bağlantı kurulumları süresince IP'nin kaynağı neredeyse
her zaman sahte olduğundan sunucu saldırının gerçekte nereden
geldiğini bilemez ve SYN onaylamalarına karşılık olarak bir
diğer yere verilen sözde cevaplamalar yeni mağdurların oluşmasına
neden olmaktadır.
SYN cookileri 1996 yılı Eylül ayında D.J. Bernstein tarafından
tanımlanmıştır. Dikkat çektiği konu, TCP/IP protokolünde (http://cr.yp.to/syncookies.html),
herhangi bir değişiklik yapmadan önlem alınabileceğidir. Buradaki
temel fikir, yeni bağlantı yollarının giriş etiketlerinin kriptografik
tekniği ile sağlanması idi. Bağlantı isteği gerçekleştiğinde,
SYN cookie formüle edilecekti ve istekçiye geri gönderilecekti.
SYN cookie içerisindeki bilgi son onaylamada istemcinin yasal
olduğunu ispatlayacak ve bağlantı kaynaklarının yerinin tespit
edilmesini sağlayacakdı.
SYN cookieleri küçük ölçekli SYN baskınlarını durdurmada etkilidir.
Ancak buradaki problem, muntazam çalışan sistemler SYN cookie
kullanması durumunda dahi hala çok kolay bir şekilde bunaltılılabilmektedir.
Ayrıca, standart SYN cookie leri ile korunan sunucular sahte
bağlantılar ile çökebilmektedir.
NETSCALER BENZERSİZ SYN FLOOD KORUMASI:
Kaynak Yerinin Tayin Edilmesi:
Çok önemli ve ilk olarak denilebilirki
NetScaler, istemcinin üç yollu TCP/IP haberleşmesi tamamen
bitmeden asla herhangi bir kaynak yeri tayin etmez. Bu olay,
SYN paketlerinin son derece etkili baskınlarına karşı koymak
için temeldeki en önemli faktördür. NetScaler, saldırılar
süresince bağlantı süreci tamamlanana kadar bağlantı kaynağı
her ne olursa olsun geri çevirme yaparak herhangi bir sunucu
kaynağını sınırlama sorunu yaratmaktan kaçınır.
Buna ek olarak, istemciler geçerli taleplerde bulunmadığı sürece
NetScaler sunucuları herhangi bir kaynak tayini ile meşgul
etmez bu da sunucuların yalnızca tamamen bitirilmiş yasal veya
uygun istemcilere yanıt vermesine oalnak sağlar. Aslında sunucular,
uygun istemler yerine getirilirken istemciler hakkında hiç
bir şey bilmezler.
TCP/IP Verimliliği:
Standart SYN cookielerdeki gibi
limit bağlantılar yani tüm istemciler için Maximum Segment
Size (MSS) değerlerinden yalnızca sekiz adet kullanım büyük
bir işlem yükü gibi görünmesede aslında sunucular tarafından
yapılmış bütün bağlantıların tüm verimliliklerini etkileyecektir.
MSS, her bir istemci için (yaklaşık 64 ile 1460 arasında)
tek tek en uygun değeri ararken bağlantı, benzer veri akımları
için daha az sayıda paket gönderecektir. Buda yüksek üretim
ve yüksek performans demektir. 1396 adet MSS değerinden sadece
sekizinin kullanılması ile, istemcilerin bir çoğu en uygun
MSS değerlerinden daha düşük değerlerdekini seçmek zorunda
kalacaktır. Bunun anlamı, aynı miktarda verinin daha çok
paket ile gönderilmesine neden olacaktır. Bu nedenle de,
yüksek sayıdaki paket adeti çevrim içerisinde kapasiteyi
küçültür ve kullanıcılar için düşük performans oluşmasını
sağlar.
Ezilemeyen Bağlantılar:
Normal SYN cookieleri şifrelenmiş
bilgiler taşırlar ve sahte (hileli) kökenli adreslerden host
edilen bağlantı isteklerini neredeyse imkansız kılar. Bu
çerçevede, saldırgan geçerli TCP seri numarası tahmin etmeli
ve bu numarayı kullanarak sunucuya diğer yasal hostlardan
bağlanmalıdır. Standart SYN cookielerdeki kriptografik korumalarda
bu tür bir saldırının gerçekleşmesi ve başarılı olması milyonda
birdir. Ancak, son derece kararlı bir saldırgan için imkansız
değildir.
NetScaler geliştirilmiş SYN cookie koruma şemasını kullanır
ve bu TCP/IP protokolü ile tamamem uyumludur. Fakat sahte bağlantı
tekniğinin eski olmasından dolayı kabul etmez. Her bir yeni
bağlantı bir öncekiyle ilişkisizdir ve bilinmelidir ki önceki
bağlantı için geçerli seri numarası kullanımı saldırganın sahte
bağlantılar ile saldırmasını engelleyecektir.
Yüksek Hızlı Paket Motoru:
SYN cookie mekanizması küçük
ölçekli saldırıları durdurmada oldukça etkilidir fakat saldırı
hızla arttığında sunucu kendini ayakda tutamaz. SYN baskını
saldırısı ile karşılaşıldığında düzgün çalışan dağıtıcı ve
firewalllar uzun bir süre devre dışı kalmadan önce kablo
hızı idrak edilmelidir. Bunun nedeni, işlemlerin devam edebilmesinin
sistemin ayakda tutunabilmesi gerekliliği ve SYN baskınlarının
çok kolay bir şekilde başka bir tür olan DoS şartlarını yaratabilmesi
ve CPU'nun aşırı yüklenmeye maruz kaldığının bilinmesidir.
NetScaler 9000 serisi, kablo hızlarında TCP/IP işlemleri için
dizayn edilmiştir. Bu, değişmeyen gigabit hızlarında, ilave
olunan geliştirilmiş TCP/IP işlemlerinin tamamlatıcısı olarak
anlaşılabilir. NetScaler başarılı bir şekilde ispat etmiştir
ki, SYN baskınında olabilecek saniyede bir milyon adet paketi
engelleyebilmektedir, bu durum NetScaler'i bu katagorideki
diğer network cihazlarından uzak ara farklı kılmaktadır.
ÖZETLE:
NetScaler 9000 serisi, kablo hızlarında
(wire-speed) geliştirilmiş SYN cookie mekanizması operasyonları
ile üstün bir saldırı koruma sağlamaktadır. GET baskını,
SYN-ACK baskını ve geçerli yada kanuni trafikteki karışık
dalgalanmalar gibi DoS saldırılarından korunabilmek için
NetScaler oldukça üstün ve mükemmel bir seçimdir. Standart
SYN cookieleri FreeBSD ve Linux ile kullanırken küçük ölçekte
SYN trafiğine engel olabilirsiniz ancak bu cookieler DoS
istemcileri tarafından dağıtılan daha büyük ölçekli ve hedefli
saldırılara karşı koyamazlar. Bunun yanında, standart cookie
uygulamaları hızla artan DoS saldırıları listesine karşı
koruma sağlayamazken NetScaler saldırıları hafifletir ve
ağ trafiğinin yasal olan hizmeti devam ederken kullanıcılar
saldırı girişimleri boyunca etkilenmezler.
| 
