İnternet kullanıcılarının ve ağ yöneticilerinin dikkat etmesi gereken çok sayıda siber tehdit bulunuyor; ancak hizmetleri büyük ölçüde çevrimiçi olarak çalışan kuruluşlar için, giderek yaygınlaşması nedeniyle farkında olunması gereken en önemli saldırılardan biri Dağıtık Hizmet Reddi (DDoS) saldırılarıdır. Peki, hizmet reddi saldırısı nedir, nasıl çalışır ve bunları önlemenin yolları var mıdır?
Dağıtılmış Hizmet Reddi (DDoS) saldırıları
DDoS saldırısı nedir? Bu tür saldırılar, bir şirketin web sitesini sağlayan altyapı gibi, herhangi bir ağ kaynağı için geçerli olan belirli kapasite sınırlarından faydalanır. DDoS saldırısı, saldırıya uğrayan web kaynağına birden çok istek göndererek web sitesinin çok sayıda isteği işleme kapasitesini aşmayı ve doğru şekilde çalışmasını engellemeyi amaçlar. DDoS saldırılarının tipik hedefleri arasında e-ticaret siteleri ve çevrimiçi hizmet sunan kuruluşlar yer alır.
Nasıl Çalışır?
DDoS saldırılarını anlamanın önemli bir parçası, bu saldırıların nasıl işlediğini öğrenmektir. Web sunucuları gibi ağ kaynaklarının eş zamanlı olarak hizmet verebileceği isteklerin sayısı sınırlıdır. Sunucunun kapasite sınırına ek olarak sunucuyu internete bağlayan kanal da sınırlı bir bant genişliğine/kapasiteye sahiptir. İstek sayısı altyapıdaki herhangi bir bileşenin kapasite sınırını her aştığında hizmet düzeyi büyük olasılıkla aşağıdaki sorunlardan biriyle karşılaşır:
Genellikle herhangi bir DDoS saldırı örneğinde saldırganın amacı, web kaynağının sunucusunu aşırı yüklemek, normal işleyişini engellemek ve tam bir hizmet reddi durumuyla sonuçlanmaktır. Saldırgan, saldırıyı durdurması karşılığında para da isteyebilir. Bazı durumlarda DDoS saldırısı rakip bir firmanın itibarını zedeleme ya da işine zarar verme girişimi niteliğinde de olabilir.
Saldırgan saldırıyı gerçekleştirmek için bir ağın veya cihazın kontrolünü ele geçirerek onu kötü amaçlı yazılımla enfekte eder ve bir botnet oluşturur. Daha sonra botlara özel talimatlar göndererek saldırıyı başlatırlar. Buna karşılık, botnet hedef sunucuya IP adresi üzerinden istekler göndermeye başlar, onu bunaltarak düzenli trafiğine hizmet reddi politikası uygulanmasına neden olur.
DDoS Saldırı Örnekleri: Saldırıların farklı türleri nelerdir?
DDoS'un anlamını ve bu saldırıların nasıl işlediğini öğrenmek, bunları önlemenin bir adımıdır, ancak DDoS saldırılarının farklı türlerinin olduğunu anlamak da önemlidir. Bu, öncelikle ağ bağlantılarının nasıl oluştuğunun ana hatlarıyla belirlenmesine dayanır.
Uluslararası Standardizasyon Örgütü tarafından geliştirilen Açık Sistemler Bağlantısı (OSI) modeli, internet ağ bağlantılarını oluşturan yedi ayrı katmanı tanımlar. Bunlar fiziksel katman, veri bağlantı katmanı, ağ katmanı, taşıma katmanı, oturum katmanı, sunum katmanı ve uygulama katmanıdır.
Çok sayıda DDoS saldırı örneği hedef aldıkları bağlantı katmanına göre farklılık göstermektedir. Aşağıda en yaygın örneklerden bazılarını bulabilirsiniz.
- Uygulama katmanı saldırıları
Bazen 7. katman saldırısı olarak da adlandırılan (çünkü OSI modelinin 7. (uygulama) katmanını hedef alır), bu saldırılar DDoS web sitelerini kullanarak hedef sunucunun kaynaklarını tüketir. 7. katman, sunucunun bir HTTP isteğine yanıt olarak web sayfaları ürettiği katmandır. Saldırganlar çok sayıda HTTP isteği yürütür ve hedef sunucunun yanıt olarak çok sayıda dosyayı yüklemesi ve bir web sayfası oluşturmak için gereken veritabanı sorgularını çalıştırmasıyla bunaltır.
HTTP taşkını
Bu DDoS saldırılarını, birçok bilgisayarda web tarayıcısının defalarca yenilenmesi gibi düşünün. Bu, HTTP isteklerinin "akın"ına neden olarak hizmet reddi zorunluluğunu zorlar. Bu saldırıların uygulanması basit olabilir (dar bir IP adresi aralığına sahip tek bir URL kullanılması) veya karmaşık olabilir (bir dizi IP adresi ve rastgele URL'ler kullanılması).
Protokol saldırıları
Genellikle durum tüketme saldırıları olarak adlandırılan bu DDoS saldırıları, OSI modelinin 3. ve 4. katmanlarındaki (ağ ve taşıma katmanları) güvenlik açıklarını istismar eder. Bu saldırılar, sunucu kaynaklarını veya güvenlik duvarları gibi ağ ekipmanı kaynaklarını aşırı yükleyerek hizmet reddi yaratır. SYN flood'ları da dahil olmak üzere çeşitli protokol saldırıları türleri vardır. Bunlar, iki kişinin bir ağ bağlantısı kurmasına olanak tanıyan TCP (İletim Kontrol Protokolü) el sıkışmasını istismar ederek, sahte IP adreslerinden yönetilemez sayıda TCP "İlk Bağlantı İsteği" gönderir.
- Hacme yönelik saldırılar
Bu DDoS saldırı örnekleri, hedef sunucudaki tüm kullanılabilir bant genişliğini kullanarak sunucuda trafikte artış yaratmak için büyük miktarda veri göndererek bir hizmet reddi saldırısı oluşturur.
DNS yükseltme
Bu, sahte bir IP adresinden (hedef sunucunun) bir DNS sunucusuna bir istek gönderilerek, DNS sunucusunun isteği doğrulamak için hedefi geri "aramasını" isteyen yansıma tabanlı bir saldırıdır. Bu eylem, hedef sunucunun kaynaklarını hızla tüketen bir botnet kullanılarak güçlendirilir.
DDoS saldırısının belirlenmesi
DDoS saldırılarını tespit etmek zor olabilir çünkü bunlar geleneksel hizmet sorunlarını taklit edebilir ve giderek daha karmaşık hale gelebilir. Ancak bir sistemin veya ağın DDoS saldırısına maruz kaldığını düşündürebilecek bazı işaretler vardır. Bunlardan bazıları şunlardır:
- Bilinmeyen bir IP adresinden kaynaklanan ani trafik artışı
- Coğrafi konum veya web tarayıcısı sürümü gibi belirli benzerlikleri paylaşan çok sayıda kullanıcıdan gelen bir trafik seli
- Tek bir sayfa için isteklerde açıklanamayan bir artış
- Alışılmadık trafik düzenleri
- Yavaş ağ performansı
- Hiçbir sebep yokken aniden çevrimdışı olan bir hizmet veya web sitesi
DDoS saldırılarının önlenmesi ve azaltılması
DDoS saldırılarının tespiti zor olsa da, bu tür siber saldırıları önlemek ve saldırı durumunda oluşabilecek zararları azaltmak için çeşitli önlemler alınabilir. DDoS saldırılarının nasıl önleneceğini merak eden kullanıcılar için en önemli nokta, sistemleri güvence altına almak ve saldırı durumunda oluşabilecek hasarı azaltmak için bir eylem planı oluşturmaktır. Genel olarak işletmeler için kötü amaçlı trafiği sürekli analiz eden ve yönlendiren Kaspersky DDoS koruması gibi bir çözümün uygulanması faydalıdır. Ayrıca aşağıdaki genel tavsiyeler savunmanızı daha da güçlendirmenize yardımcı olabilir:
- Güvenlik risklerini ve potansiyel tehditleri belirlemek için yazılım, cihazlar, sunucular ve ağlar dahil olmak üzere mevcut sistem kurulumunu değerlendirin, ardından bunları azaltmak için önlemler uygulayın; düzenli risk değerlendirmeleri yapın.
- En son güvenlik yamalarını çalıştırdıklarından emin olmak için tüm yazılım ve teknolojilerinizi güncel tutun.
- DDoS saldırılarının önlenmesi, tespiti ve azaltılması için uygulanabilir bir strateji geliştirin.
- Saldırı önleme planında yer alan herkesin DDoS saldırısının anlamını ve kendilerine atanan rolleri anladığından emin olun.
Bir saldırı durumunda, şu eylemler bir miktar hafifletme sağlayabilir:
- Anycast ağları: Trafiği yeniden dağıtmak için bir Anycast ağı kullanmak, sorun giderilirken sunucunun kullanılabilirliğini korumaya yardımcı olabilir ve sunucunun tamamen kapatılmasına gerek kalmamasını sağlar.
- Kara delik yönlendirme: Bu senaryoda, İSS'nin ağ yöneticisi hedef sunucudan gelen tüm trafiği bir kara delik rotasına (hedeflenen IP adresi) yönlendirir, böylece ağdan çıkarılır ve bütünlüğü korunur. Ancak bu, aynı zamanda meşru trafiği de engellediği için aşırı bir adım olabilir.
- Hız sınırlaması: Bu, bir sunucunun herhangi bir anda kabul edebileceği istek sayısını sınırlar. Tek başına çok etkili olmasa da, daha geniş bir stratejinin parçası olarak faydalı olabilir.
- Güvenlik Duvarları: Kuruluşlar, sunucularını korumak için ters proxy görevi gören Web Uygulama Güvenlik Duvarlarını (WAF) kullanabilirler. WAF'lara trafiği filtrelemek için kurallar ayarlanabilir ve yöneticiler bir DDoS saldırısından şüphelenirlerse bunu gerçek zamanlı olarak değiştirebilirler.
İlgili Makaleler ve Bağlantılar:
- Truva Atı Virüsü nedir? Türleri ve nasıl kaldırılır
- DDoS saldırılarının bir sonraki oyun oturumunuzu mahvetmesini nasıl önleyebilirsiniz?
İlgili Ürünler ve Hizmetler:
