IDS/IPS Atlatma (Evasion) Teknikleri
Mart 21, 2026
IDS/IPS Atlatma Teknikleri
Ağ güvenliği tarafında IDS (Intrusion Detection System) ve IPS (Intrusion Prevention System), uzun süredir “erken uyarı” ve “trafik engelleme” rolünü üstlenir. IDS genellikle şüpheli trafiği tespit edip alarm üretirken, IPS bu trafiği akış üzerinde durdurmayı hedeflere. Kurumlar için bu sistemler kritiktir; çünkü saldırılar çoğu zaman ağ üzerinden ilerler ve doğru sinyal üretimi, olay müdahalesinin hızını belirler. Ancak IDS/IPS’ler de kusursuz değildir: yanlış pozitif üretmemek için toleranslı kurallar kullanabilir, şifreli trafikte görünürlük kaybedebilir veya yüksek trafikte performans kaygılarıyla bazı kontrolleri gevşetebilir.
“Atlatma” (evasion) denildiğinde amaç, savunma sistemlerini yanlış yapılandırmaya zorlamak veya algılama/engelleme mantığını by-pass etmektir. Bir kurumun IDS/IPS tasarımı, yalnızca ‘kurallar var mı?’ sorusuyla değil, ‘kurallar hangi koşullarda kaçırır?’ sorusuyla değerlendirilmelidir.
IDS ve IPS Nasıl Çalışır?
IDS/IPS çözümleri, genel olarak üç tür sinyal üzerinden karar üretir:
İmza Tabanlı Tespit (Signature-based): Bilinen saldırı desenlerini (karakter dizilerini) veri paketleri içinde arar.
Anomali/İstatistik Tabanlı Tespit (Anomaly-based): Ağın “normal” trafik profilini öğrenir ve bu profilden sapan (ani trafik artışı vb.) durumları işaretler.
Protokol Farkındalığı (Protocol-aware): HTTP, DNS, SMB gibi protokollerin standartlara uygun çalışıp çalışmadığını denetler.
Atlatma teknikleri, bu karar mekanizmalarının paket birleştirme farkları veya normalizasyon eksikleri gibi zayıf noktalarını hedefler.
Yaygın IDS/IPS Atlatma Yaklaşımları
Saldırganlar genellikle “görünürlük azaltma” veya “analizi yanlış yönlendirme” hedefiyle şu teknikleri kullanır:
Trafiği Şifreleme: TLS (HTTPS) kullanımı arttıkça içerik denetimi zorlaşır. Saldırgan zararlı içeriği şifreli tünel içine saklar. Savunma için TLS Inspection (şifre çözme) veya trafik metadatasının analizi gereklidir.
Protokol ve İçerik Normalizasyonu: IDS/IPS’in analiz ettiği veri ile hedef sunucunun yorumladığı veri farklı olabilir. URL kodlamaları (URL encoding), çift kodlama veya büyük/küçük harf varyasyonları ile imzalar atlatılabilir.
Parçalama (Fragmentation): Veri ağ üzerinde küçük parçalara bölünerek taşınır. Eğer IDS/IPS bu parçaları hedef sistemden farklı bir sırayla birleştirirse, zararlı imza bütün halde görülemez.
Trafik Gürültüsü: Gerçek saldırı trafiği devasa bir “gürültü” (sahte alarmlar) içinde saklanır. Analistlerin dikkati dağıtılır veya sistemin eşik değerleri yükseltilmeye zorlanır.
Performans Baskısı: Yüksek hızda trafik gönderilerek cihazın kapasitesi zorlanır. Bazı sistemler performans düşmemesi için denetimi gevşetebilir veya Bypass moduna geçebilir.
Kör Noktalar: IDS/IPS’in görmediği yollar (VPN tünelleri, Kubernetes iç trafiği vb.) üzerinden sızma gerçekleştirilir.
Riskin Etkisi
IDS/IPS atlatma başarılı olduğunda sonuç sadece bir alarmın kaçırılması değildir:
Erken Uyarının Kaybı: Saldırı zincirinin ilk adımları görünmez kalır; müdahale çok geç başlar.
Yanlış Güven Hissi: “IPS var, güvendeyiz” varsayımıyla diğer güvenlik katmanları (segmentasyon, hardening) ihmal edilirse hasar büyür.
Operasyonel Yorgunluk: Bilinçli oluşturulan gürültü, ekibi gerçek olayları gözden kaçırmaya iten bir “alarm körlüğü” yaratır.
Etkili Savunma için Gerekli Adımlar
Normalizasyonu Güçlendir: Protokollerin (HTTP/DNS) farklı yorumlanmasını engelleyen sıkı parse kuralları uygulayın.
Şifreli Trafik Stratejisi: Kritik noktalarda şifre çözme (inspection) yapın, diğer alanlarda davranışsal analiz (metadata analizi) kullanın.
Konumlandırmayı Doğrula: Doğu-batı (iç ağ) ve kuzey-güney (dış ağ) trafiğinde kapsama haritası çıkararak kör noktaları kapatın.
Performans Testleri: Cihazın yük altındaki davranışını (fail-open/fail-close) ve paket birleştirme (reassembly) limitlerini bilin.
Çok Katmanlı Savunma: IDS/IPS’i EDR, WAF ve SIEM ile tamamlayın; tek bir güvenlik noktasına bağımlı kalmayın.
Düzenli Doğrulama: Purple Team çalışmalarıyla sistemin hangi saldırı desenlerini kaçırdığını periyodik olarak test edin.
Sonuç olarak IDS/IPS atlatma, saldırganın savunmanın sınırlarını test etmesidir. Doğru konumlandırma, performans analizi ve çok katmanlı kontrollerle bu risk minimize edilebilir.