ozztech_logo_white

FortiWeb DoS Saldırıları: Yavaş ve Zayıf Saldırıları Önleme

FortiWeb DoS Saldırıları: Yavaş ve Zayıf Saldırıları Önleme

Düşük ve yavaş saldırı, çok yavaş bir hızda küçük bir trafik akışı gönderen bir DoS saldırısı türüdür. Bu saldırılar uygulama ve sunucu kaynaklarını hedefle. Yavaş bir hızda küçük trafik akışı sağlandığı için sinsidir ve normal trafikten ayırt edilmesi zordur. Slowloris ve RUDY en popüler saldırı araçlarıdır. Slowloris, hedef web sunucusuna olan birçok bağlantıyı mümkün olduğunca uzun süre açık tutmaya çalışır. Bu işlemi, hedef web sunucusuna bağlantılar açarak ve kısmi bir istek göndererek gerçekleştirir. Düzenli aralıklarla, isteğe ekleyen ancak hiçbir zaman tamamlamayan sonraki HTTP başlıklarını gönderir.  Saldırıdan etkilenen sunucular bu bağlantıları açık tutacak, maksimum eşzamanlı bağlantı havuzlarını dolduracak ve sonunda istemcilerden gelen ek bağlantı girişimlerini reddedecektir. FortiWeb, yavaş ve düşük hızda trafik akışı yollayan DoS saldırısı tipini algılar ve kaynağı izlemeniz için saldırı loglarını oluşturur. Böylece FortiWeb cihazınız sunucularınızı saldırılardan koruyarak kayıplar yaşamanızı önler.

Yavaş ve Düşük Saldırılardan Korunma Kurallarının Konfigürasyonu

FortiWeb’inizi uzun süreli HTTP işlemlerini engelleyecek şekilde konfigüre edebilirsiniz.

  1. Bot Mitigation > Threshold Based Detection seçeneğine gidin .
  2. Yeni oluşturmak için Create New ‘u tıklayın .
  3. Name kısmına bot azaltma policysinde başvurulabilecek, eşik tabanlı algılama kuralı için bir isim girin.
  4. Yavaş saldırı algılama ayarlarını konfigüre edin:
  5. Yavaş Saldırı Tespiti için:

HTTP İşlem Zaman Aşımı (HTTP Transaction Timeout)HTTP işlemi için saniye cinsinden bir zaman aşımı değeri belirtin.

Paket Aralığı Zaman Aşımı (Packet Interval Timeout)
İstemci veya sunucudan gelen paketler arasındaki aralık için zaman aşımı değerini saniye cinsinden belirtin.
Olay (Occurrence)
HTTP yanıt türü HTML, düz yanıt, XML, SOAP ve JSON olduğunda sıklıklarını tanımlayın.
Süre (Saniye)
FortiWeb’in yavaş saldırı olaylarını tespit ettiği süreyi saniye cinsinden yazın.
Eylem (Action)
FortiWeb’in bir policy ihlali tespit ettiğinde hangi eylemi gerçekleştireceğini seçin:
Uyarı (Alert)-Bağlantıyı kabul edin. Ardından bir uyarı e-postası ve/veya log mesajı oluşturun.
Uyarı ve Reddet- İsteği engelleyin veya bağlantıyı sıfırlayın. Ardından bir uyarı ve/veya log mesajı oluşturun.
Reddet (log yok)- İsteği engelleyin veya bağlantıyı sıfırlayın.
Period Block- İstemciden gelen sonraki istekleri birkaç saniye boyunca engelleyin. Ayrıca Period Block’u konfigüre edin. Varsayılan değer Alert’tir .
Period Block
FortiWeb, istemcinin poicy ihlali yaptığını tespit ettikten sonra, bir istemciden gelecek istekleri engellemek istediğiniz saniye aralığı sayısını girin. Geçerli aralık 1–3600 saniyedir (1 saat).
Bu ayar yalnızca Eylem (Action), Period Block olarak ayarlanmışsa kullanılabilir.
Önem (Severity)
Saldırı loguna policy ihlalleri kaydedildiğinde, her log mesajı bir Önem Düzeyi ( severity_level) alanı içerir. FortiWeb’in policy ihlallerini loga kaydettiğinde hangi önem derecesini kullanacağını seçin:
Informative (bilgilendirici)
Low (düşük)
Medium (orta)
High (yüksek)
Siz değiştirmediğiniz sürece varsayılan değer Low’dur (düşük).
Tetikleme Policy (Trigger Policy)
Varsa, FortiWeb’in log kaydettiğinde ve policy ihlali gerçekleştiğinde bir uyarı e-postası gönderdiğinde kullanacağı tetikleyiciyi seçin. 

  1. OK’e tıklayın .

Eşik tabanlı algılama kuralındaki konfigürasyonlara ek olarak, server-policy policysinde aşağıdaki iki komut da bir isteğe düzenli olarak HTTP başlıkları ekleyen yavaş ve düşük saldırıları önlemek için faydalıdır.

config server-policy policy
  edit "<policy_name>"
    set http-header-timeout <seconds_int>
    set tcp-recv-timeout <seconds_int>
  next
end
DeğişkenAçıklamaVarsayılan
http-header-timeout <seconds_int>Bir istemci bir TCP bağlantısı kurduktan sonra FortiWeb’in tüm HTTP istek başlığını saniye cinsinden bekleyeceği süredir. FortiWeb , HTTP isteğinin zaman aşımına uğraması durumunda bağlantıyı keser.
Geçerli aralık 0–1200 sn’dir. Zaman aşımı olmadığında değer 0 olur.
0
tcp-recv-timeout <seconds_int>
İstemci bir TCP bağlantısı kurduktan sonra FortiWeb’in istemcinin istek göndermesini saniye cinsinden bekleyeceği süredir. FortiWeb , TCP isteği zaman aşımına uğrarsa bağlantıyı keser. Geçerli aralık 0–300 sn’dir. Zaman aşımı olmadığında değer 0 olur.
0

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »