DDoS saldırısı nedir?

DDoS saldırıları, saldırı trafiği kaynakları olarak güvenliği ihlal edilmiş birden çok bilgisayar sistemini kullanarak etkinlik sağlar. İstismar edilen makineler, bilgisayarları ve IoT cihazları gibi diğer ağ bağlantılı kaynakları içerebilir .

Yüksek bir seviyeden, bir DDoS saldırısı, otoyolu tıkayan ve düzenli trafiğin hedefine ulaşmasını engelleyen beklenmedik bir trafik sıkışıklığı gibidir.

DDoS saldırısı nasıl çalışır?

DDoS saldırıları, internete bağlı makinelerin ağları ile gerçekleştirilir.

Bu ağlar, kötü amaçlı yazılım bulaşmış bilgisayarlardan ve diğer cihazlardan (IoT cihazları gibi) oluşur ve bir saldırgan tarafından uzaktan kontrol edilmelerine olanak tanır. Bu bireysel cihazlara botlar (veya zombiler) denir ve bir grup bota botnet denir .

Bir botnet kurulduktan sonra, saldırgan her bir bota uzaktan talimat göndererek bir saldırı yönlendirebilir.

Bir kurbanın sunucusu veya ağı botnet tarafından hedeflendiğinde, her bot hedefin IP adresine istekler gönderir , bu da potansiyel olarak sunucunun veya ağın aşırı yüklenmesine neden olarak normal trafiğe hizmet reddine neden olur.

Her bot meşru bir İnternet cihazı olduğundan, saldırı trafiğini normal trafikten ayırmak zor olabilir.

DDoS saldırısı nasıl belirlenir

Bir DDoS saldırısının en belirgin belirtisi, bir sitenin veya hizmetin aniden yavaşlaması veya kullanılamaz hale gelmesidir. Ancak trafikte böylesine meşru bir artış gibi birçok neden benzer performans sorunlarına yol açabileceğinden, genellikle daha fazla araştırma yapılması gerekir. Trafik analizi araçları, bir DDoS saldırısının bu açıklayıcı işaretlerinden bazılarını tespit etmenize yardımcı olabilir:

• Tek bir IP adresinden veya IP aralığından kaynaklanan şüpheli trafik miktarları
• Cihaz türü, coğrafi konum veya web tarayıcısı sürümü gibi tek bir davranış profilini paylaşan kullanıcılardan gelen trafik akışı
• Tek bir sayfaya veya uç noktaya yapılan isteklerde açıklanamayan artış
• Günün garip saatlerinde ani artışlar veya doğal olmayan gibi görünen modeller (örneğin her 10 dakikada bir ani artış) gibi garip trafik kalıpları

DDoS saldırısının, saldırının türüne göre değişebilen daha belirgin başka işaretleri de vardır.

Bazı yaygın DDoS saldırıları türleri nelerdir?

Farklı DDoS saldırıları türleri, bir ağ bağlantısının değişen bileşenlerini hedefler. Farklı DDoS saldırılarının nasıl çalıştığını anlamak için bir ağ bağlantısının nasıl yapıldığını bilmek gerekir.

İnternetteki bir ağ bağlantısı, birçok farklı bileşenden veya “katmandan” oluşur. Sıfırdan bir ev inşa etmek gibi, modeldeki her katmanın farklı bir amacı var.

Aşağıda gösterilen OSI modeli , 7 farklı katmanda ağ bağlantısını tanımlamak için kullanılan kavramsal bir çerçevedir.

Neredeyse tüm DDoS saldırıları, bir hedef cihazı veya ağı trafiğe boğmayı içerirken, saldırılar üç kategoriye ayrılabilir. Bir saldırgan, hedef tarafından alınan karşı önlemlere yanıt olarak bir veya daha fazla farklı saldırı vektörü veya döngüsel saldırı vektörü kullanabilir.

Uygulama katmanı saldırıları

Saldırının amacı:

Bazen 7. katman DDoS saldırısı olarak anılır (OSI modelinin 7. katmanına atıfta bulunarak), bu saldırıların amacı, hizmet reddi oluşturmak için hedefin kaynaklarını tüketmektir.

Saldırılar, web sayfalarının sunucuda oluşturulduğu ve HTTP isteklerine yanıt olarak teslim edildiği katmanı hedefler . Tek bir HTTP isteğinin istemci tarafında yürütülmesi hesaplama açısından ucuzdur, ancak sunucu genellikle birden fazla dosya yüklediğinden ve bir web sayfası oluşturmak için veritabanı sorguları çalıştırdığından, hedef sunucunun yanıt vermesi pahalı olabilir.

Kötü niyetli trafiği yasal trafikten ayırt etmek zor olabileceğinden, Katman 7 saldırılarına karşı savunmak zordur.

HTTP seli

Bu saldırı, aynı anda birçok farklı bilgisayarda bir web tarayıcısında yenilemeye tekrar tekrar basmaya benzer – çok sayıda HTTP isteği sunucuyu doldurarak hizmet reddine neden olur.

Bu saldırı türü basitten karmaşığa doğru değişir.

Daha basit uygulamalar, aynı aralıkta saldıran IP adresleri, yönlendiriciler ve kullanıcı aracıları ile tek bir URL’ye erişebilir. Karmaşık sürümler, çok sayıda saldıran IP adresi kullanabilir ve rastgele yönlendiriciler ve kullanıcı aracıları kullanarak rastgele URL’leri hedefleyebilir.

Protokol saldırıları

Saldırının amacı:

Durum tüketme saldırıları olarak da bilinen protokol saldırıları, sunucu kaynaklarını ve/veya güvenlik duvarları ve yük dengeleyiciler gibi ağ ekipmanı kaynaklarını aşırı tüketerek hizmet kesintisine neden olur .

Protokol saldırıları, hedefi erişilemez kılmak için protokol yığınının 3. ve 4. katmanındaki zayıflıkları kullanır.

Protokol saldırısı örneği:

SYN seli

SYN Flood , tedarik odasındaki bir işçinin mağazanın önünden talep almasına benzer.

İşçi bir istek alır, gidip paketi alır ve paketi öne çıkarmadan önce onay için bekler. Çalışan daha sonra daha fazla paket taşıyamayacak hale gelene, bunalmış hale gelene ve talepler yanıtsız kalmaya başlayana kadar onay almadan çok daha fazla paket isteği alır.

Bu saldırı, bir hedefe sahte kaynak IP adresleriyle çok sayıda TCP “İlk Bağlantı İsteği” SYN paketi göndererek, iki bilgisayarın bir ağ bağlantısını başlattığı iletişim dizisi olan TCP el sıkışmasından yararlanır.

Hedef makine, her bağlantı isteğine yanıt verir ve daha sonra, işlemdeki hedefin kaynaklarını tüketerek, hiçbir zaman gerçekleşmeyen el sıkışmanın son adımını bekler.

Hacimsel saldırılar

Saldırının amacı:

Bu saldırı kategorisi, hedef ve daha büyük İnternet arasındaki mevcut tüm bant genişliğini tüketerek tıkanıklık yaratmaya çalışır. Büyük miktarda veri, bir yükseltme biçimi veya bir botnet’ten gelen istekler gibi büyük trafik oluşturmanın başka bir yolu kullanılarak bir hedefe gönderilir.

Amplifikasyon örneği:

DNS Amplifikasyonu

DNS amplifikasyonu , birisinin bir restoranı arayıp “Her şeyden bir tane alacağım, lütfen beni geri arayın ve tüm siparişimi tekrar edin” demesine benzer, burada geri arama numarası aslında kurbana aittir. Çok az bir çabayla uzun bir yanıt üretilir ve kurbana gönderilir.

Sahte bir IP adresiyle (kurbanın IP adresi) açık bir DNS sunucusuna istekte bulunarak , hedef IP adresi daha sonra sunucudan bir yanıt alır.

Bir DDoS saldırısını hafifletme süreci nedir?

Bir DDoS saldırısını azaltmanın temel kaygısı, saldırı trafiği ile normal trafik arasında ayrım yapmaktır.

Örneğin, bir ürünün piyasaya sürülmesinde bir şirketin web sitesi hevesli müşterilerle doluysa, tüm trafiği kesmek bir hatadır. Bu şirketin bilinen saldırganlardan gelen trafiği aniden artarsa, muhtemelen bir saldırıyı hafifletmek için çaba gösterilmesi gerekir.

Zorluk, gerçek müşterilere saldırı trafiğini anlatmakta yatar.

Modern İnternet’te DDoS trafiği birçok biçimde gelir. Trafiğin tasarımı, sahte olmayan tek kaynaklı saldırılardan karmaşık ve uyarlanabilir çok vektörlü saldırılara kadar değişebilir.

Çok vektörlü bir DDoS saldırısı, bir hedefi farklı şekillerde boğmak için birden fazla saldırı yolu kullanır ve herhangi bir yörüngede potansiyel olarak dikkati dağıtan azaltma çabalarına yol açar.

Bir HTTP taşması (hedefleme katmanı 7) ile birleştirilmiş bir DNS yükseltmesi (hedefleme katmanları 3/4) gibi aynı anda protokol yığınının birden çok katmanını hedefleyen bir saldırı, çok vektörlü DDoS’a bir örnektir.

Çok vektörlü bir DDoS saldırısını azaltmak, farklı yörüngelere karşı koymak için çeşitli stratejiler gerektirir.

Genel olarak konuşursak, saldırı ne kadar karmaşık olursa, saldırı trafiğinin normal trafikten ayrılması o kadar zor olur – saldırganın amacı mümkün olduğunca karışmak ve azaltma çabalarını mümkün olduğunca verimsiz hale getirmektir.

Trafiği ayrım gözetmeksizin düşürmeyi veya sınırlamayı içeren azaltma girişimleri, iyi trafiği kötüyle birlikte dışarı atabilir ve saldırı ayrıca karşı önlemleri değiştirmek ve atlatmak için uyarlanabilir. Karmaşık bir bozulma girişiminin üstesinden gelmek için, katmanlı bir çözüm en büyük faydayı sağlayacaktır.

Kara delik yönlendirme

Neredeyse tüm ağ yöneticilerinin kullanabileceği bir çözüm, bir kara delik rotası oluşturmak ve trafiği bu rotaya yönlendirmektir. En basit haliyle, karadelik filtreleme belirli kısıtlama kriterleri olmadan uygulandığında, hem meşru hem de kötü niyetli ağ trafiği boş bir rotaya veya karadeliğe yönlendirilir ve ağdan çıkarılır.

Bir İnternet mülkü bir DDoS saldırısı yaşıyorsa, mülkün İnternet servis sağlayıcısı (ISS), sitenin tüm trafiğini savunma olarak bir kara deliğe gönderebilir. Saldırganın istediği hedefi etkili bir şekilde sağladığı için bu ideal bir çözüm değildir: ağa erişilemez hale getirir.

Hız sınırlaması

Bir sunucunun belirli bir zaman aralığında kabul edeceği istek sayısını sınırlamak, hizmet reddi saldırılarını azaltmanın bir yoludur.

Hız sınırlaması, web kazıyıcıların içerik çalmasını yavaşlatmada ve kaba kuvvetle oturum açma girişimlerini azaltmada yararlı olsa da, karmaşık bir DDoS saldırısını etkili bir şekilde ele almak için muhtemelen tek başına yetersiz olacaktır.

Bununla birlikte, hız sınırlaması, etkili bir DDoS azaltma stratejisinde yararlı bir bileşendir. Cloudflare’ın hız sınırlaması hakkında bilgi edinin

Web uygulaması güvenlik duvarı

Web Uygulaması Güvenlik Duvarı (WAF) , katman 7 DDoS saldırısını azaltmaya yardımcı olabilecek bir araçtır. WAF, İnternet ve bir kaynak sunucu arasına bir WAF koyarak , hedeflenen sunucuyu belirli türdeki kötü niyetli trafikten koruyan bir ters proxy görevi görebilir.

DDoS araçlarını tanımlamak için kullanılan bir dizi kurala dayalı olarak istekleri filtreleyerek, 7. katman saldırıları engellenebilir. Etkili bir WAF’nin anahtar değerlerinden biri, bir saldırıya yanıt olarak özel kuralları hızla uygulama yeteneğidir. Cloudflare’ın WAF’si hakkında bilgi edinin .

Anycast ağ yayılımı