Dağıtılmış hizmet reddi (DDoS) saldırısı nedir ve sunucu için nasıl bir tehlike oluşturur?

Bilgisayar korsanlarının faaliyetleri ve yazılım hackleme girişimleri hakkında giderek daha fazla rapor ortaya çıkıyor. DDoS saldırıları bu raporlarda sık sık gündeme geliyor. Ne yazık ki, DDoS saldırılarının ne olduğu ve sunuculara nasıl zarar verebileceği açıklanmadan bu saldırılardan sıklıkla bahsediliyor.

Bu makalede, DDoS saldırılarının tam olarak ne olduğunu ve neden bugüne kadar İnternet güvenliği uzmanları için büyük bir endişe kaynağı olduğunu tartışacağız. Ayrıca, DDoS saldırılarının nasıl çalıştığını ve nasıl durdurulacağını öğreneceksiniz.

DDoS saldırısı nedir?

DDoS saldırısı terimi, dağıtık hizmet reddi saldırısı anlamına gelen "Distributed Denial of Service" kısaltmasından gelmektedir. DDoS saldırısının amacı bir sunucunun, hizmetin veya yerel ağın normal çalışmasını bozmaktır. Böyle bir saldırının temel amacı, hizmetinizi başarısızlığa uğratmak veya normal kullanıcıların hizmetinize erişmesini zorlaştırmaktır. Görevi başarmak için, normal bir bilgi işlem sisteminin kaldıramayacağı kadar fazla bir İnternet trafiği seli oluşturulur.

Saldırı trafiği birden fazla bilgisayar, yerel ağ ve IoT cihazları tarafından oluşturulur. Bir bireyin veya grubun kötü niyetli eylemleri, saldırıya uğrayan sisteme çok sayıda istek göndererek saldırganların değerli bilgilere yetkisiz erişim elde etmesine olanak tanır. Bu bilgiler hassas bir veri tabanı, program kodu ya da bir yazılım sürümü olabilir.

Günlük yaşamda DDoS saldırısı, birden fazla aracın neden olduğu trafik sıkışıklığına benzer. Sonuç olarak, sıradan sürücüler hedeflerine ulaşamazlar.

Dağıtılmış bir hizmet reddi saldırısı nasıl gerçekleştirilir?

Yalnızca İnternet bağlantısı olan bilgisayar sistemleri DDoS saldırısına maruz kalabilir. Küresel bir ağ, İnternet bağlantısı olan birçok bilgisayar ve diğer cihazlardan oluşur.

Bir bilgisayar ağına kötü niyetli (virüs) bir yazılım sokmanın birçok yolu vardır. DDoS saldırıları, saldırı trafiğinin kaynağı olarak birden fazla tehlikeye atılmış bilgisayar sistemini kullanarak etkili olur. İstismar edilen makineler genellikle argoda "zombi" olarak adlandırılır ve grupları sırasıyla botnet olarak adlandırılır.

Bir botnet sistemi oluşturduktan hemen sonra, bir bilgisayar korsanı aşağıdaki şekilde gerçekleştirilen bir DDoS saldırısı düzenleme fırsatı elde eder.

• Her bir bot için ağ üzerinden kendisine iletilen özel bir talimat geliştirilir.

• Bunu aldıktan sonra, yönetilen bilgisayar veya sistem, saldırıya uğrayan yerel ağın veya sunucunun IP adreslerine istek oluşturmaya ve göndermeye başlar.
• Bu, trafik işlemenin yavaşlamasına ve aşırı yüklenmiş bir ekipmanın arızalanmaya başlamasına neden olur. Sonuç olarak, sıradan kullanıcılardan gelenler de dahil olmak üzere tüm trafiğe hizmet verilmez.

Dağıtık DDoS saldırılarına karşı koymadaki temel sorun, saldırı trafiğini normal trafikten ayırt etmenin son derece zor olmasıdır. Bilgisayar korsanları tarafından kullanılan botların her biri meşru İnternet cihazlarıdır ve kötü niyetli talepleri sıradan taleplerden ayırmak son derece zordur.

Sunucuya yönelik bir DDoS saldırısının ana işaretleri

Sunucunun aniden yavaşlaması, hizmete veya ayrı bir siteye erişimin olmaması, bilgisayar korsanlarının yasadışı eylemlerini gösterebilir. Aynı zamanda, örneğin normal trafikte keskin bir artış gibi doğal nedenlerin bir sonucu olarak da zorluklar ortaya çıkabilir.

Halka açık analiz hizmetleri, bir DDoS saldırısını bir dizi karakteristik özelliğe göre tanımlamanıza olanak tanır:

• Aynı aralığa ait bir veya daha fazla IP adresinden gelen önemli miktarda trafik.
• Analiz edilen web sayfalarına erişim için talep alan çok sayıda kullanıcının aynı davranış profillerine sahip olması (coğrafi konum, tarayıcı sürümü veya cihaz türü).
• Belirli aralıklarla, örneğin her iki veya üç saatte bir veya farklı bir programa göre trafikte keskin bir artış.
• İnternet hizmetlerinden veya web sayfalarından birine yönelik taleplerin sayısında patlayıcı bir artış.

Bunlara ek olarak, belirli türdeki dağıtık DDoS saldırılarının doğasında bulunan başka işaretler de vardır. Bu gibi durumlarda, geleneksel İnternet analiz araçlarının yetenekleri yeterli olmayabilir ve bunları tanımlamak için özel yazılımlar gerekecektir.

DDoS saldırılarının sınıflandırılması: en yaygın türler

Bilgisayar korsanları web sitelerine girmek için çeşitli araçlar kullanırlar. Bazı DDoS saldırı türleri internet kaynaklarının, sunucuların ya da bilgisayarların belirli bileşenlerini hedef alır. Algoritmalarının nasıl çalıştığını anlamak, belirli bir ağ bağlantısının nasıl çalıştığını anlamayı gerektirir.

Özel bir yazılım, "katmanlar" olarak adlandırılan birçok bileşenden oluşan İnternet bağlantısını sağlar. Her bir bileşen belirli bir amaca hizmet etmek üzere tasarlanmıştır ve birlikte modeli oluşturabilirler. İnşaat halindeki yapıları desteklemek, taşımak ve çevrelemek gibi.

Yedi seviyeli OSI modeli ağ bağlantı yapısını tanımlamak için kullanılır:

• Uygulama katmanı Buseviye e-posta istemcileri, mesajlaşma programları ve tarayıcılar tarafından verileri doğrudan işlemek için kullanılır.
• Görünüm seviyesi Veri hazırlamanın amacı (sıkıştırma, çeviri ve şifreleme) verileri uygulamalarda kullanılmak üzere hazırlamaktır.
• Oturum seviyesi Ağdaki iki cihaz arasında bir iletişim kanalı kurar ve oturum süresinin sonunda bunu kapatır.
• Taşıma seviyesi Belirli cihazlar arasında uçtan uca iletişimi sağlamanın yanı sıra belirli cihazlar arasındaki veri akışlarını ve hata kontrolünü yönetmekten sorumludur.
• Ağ katmanı Farklı ağlara ait cihazlar arasında veri aktarımını kolaylaştırır. Bu katman, optimum yönlendirme, bilginin paketlere ayrılması ve ardından hedef noktada birleştirilmesini sağlar.
• Veri iletim kanalı seviyesi Ağ katmanına benzer şekilde, bir ağ içindeki cihazlar arasında veri alışverişini kolaylaştırır.
• Fiziksel seviye Cihazlar arasında veri alışverişi için kullanılan ekipmanı (kablolar, anahtarlar, vb.) içerir. Bu seviyede, bilgi paketleri bir bit akışına dönüştürülür ve sinyaller eşleştirilir.

DDoS saldırılarının çoğu belirli bir sunucuyu veya ağı aşırı yüklemeyi amaçlar. Saldırı vektörlerinin sayısı ve doğasına göre, bu eylemler üç kategoriye ayrılabilir:

• tekli
• çoklu;
• döngüsel.

İkincisi, esas olarak bir İnternet kaynağını korumak için kullanılan karşı eylemlere yanıt olarak kullanılır.

Uygulama düzeyinde gerçekleştirilen DDoS saldırıları

Yukarıdaki modele dayanarak, bu tür saldırılara yedinci seviye DDoS saldırıları denir. Amacı, siteyi aşırı yüklemek ve normal trafiğe hizmet vermenin imkansız hale geldiği koşullar yaratmaktır.

Bu tip hacker saldırıları, web sayfasının sunucuda oluşturulduğu seviyede gerçekleştirilir. Saldırılar HTTP isteklerine yanıt olarak iletilir. İstemci tarafında, bu tür talepler bilgi oluşturmak ve işlemek için büyük kaynaklar gerektirmez. Aynı zamanda, sunucu önemli bilgi işlem kaynakları kullanmak zorundadır. Bu işlem sırasında, hedef sunucuda birçok veritabanı isteği işlenebilir ve istenen web sayfasını oluşturmak için birkaç dosya indirilebilir.
Kötü niyetli trafiği normal trafikten ayırt etmenin kolay olmaması nedeniyle 7. seviye dağıtık saldırılara karşı koruma sağlamak zordur.

HTTP seli

Bu tür bir saldırı, bir web tarayıcısında aynı anda birden fazla bilgisayarda gerçekleştirilen birden fazla güncellemeyi simüle eder. Sanki çok sayıda kullanıcı sürekli olarak sıfırlama düğmesine basıyor ve bu da çok sayıda HTTP isteğine neden oluyor. Bu nedenle, sunucu aşırı yüklenir ve hizmet arızalarına neden olur. Saldırı karmaşıklığı seviyesine bağlı olarak, HTTP flood tipi DDoS saldırıları şu şekilde sınıflandırılabilir:

• Basit olanlar. Bu tür bir DDoS saldırısında, aynı kullanıcı aracıları ve geçiş kaynakları kullanılarak uygulanan aynı URL'ye yetkisiz erişim sağlamak için aynı aralıktaki IP adreslerinden koordineli eylemler kullanılır.
• Karmaşık olanlar. Birkaç web sayfasını aynı anda ele geçirmek için saldırgan hem rastgele trafik kaynaklarından alınan IP adreslerini hem de kullanıcı aracılarını kullanır.

Karmaşık DDoS saldırılarını yönetmek, uygun özelliklere sahip bilgisayarların yanı sıra kaynak yoğun yazılımlar gerektirir.

Protokol Saldırısı

Uzmanlar bu tür saldırıları saldırı ve tükenme olarak adlandırmaktadır. Protokol saldırıları, çok fazla sunucu kaynağı veya belirli ağ ekipmanı tüketerek farklı hizmetlerin çalışmasını aksatabilir. Bu gibi durumlarda saldırganlar genellikle yük dengeleyicileri veya güvenlik duvarlarını hedef alır.

Hedef web sayfasını erişilemez hale getirmek için protokol saldırısı, Katman 3 ve Katman 4'teki (protokol yığını) güvenlik açıklarından yararlanır.

SYN-sel

Böyle bir saldırı sırasında, botlardan sahte IP adreslerine sahip çok sayıda TCP paketi gönderilir. Söz konusu SYN paketleri ağ bağlantılarını başlatmak içindir. Hedef makine bu isteklere yanıt verir ve alamadığı onaylarını bekler. Buna göre, saldırıya uğrayan web sayfasının kaynakları tükenir ve gelen isteklere yanıt vermeyi durdurur.

SYN-flood, tedarik departmanı çalışanlarının belirli bir ürünün teslimatı için ticaret katından talimat aldığı büyük bir mağazanın çalışmasıyla karşılaştırılabilir. Depoya giderler, ihtiyaç duyduklarını bulurlar, ancak bir sipariş onayı almadan bundan sonra ne yapacaklarını anlamazlar. Sonuç olarak, koşullar netleşene kadar çalışmayı durdururlar.

Toplu tip DDoS saldırıları

Bu durumlarda bilgisayar korsanlarının eylemleri, İnternet bağlantısının mevcut bant genişliğinin tamamının kullanılacağı bir yük oluşturmayı amaçlamaktadır. Büyük ölçekli DDoS saldırıları uygulanırken, büyük veri paketleri hedef kaynağa çeşitli büyük trafik oluşturma araçları veya diğer amplifikasyon araçları kullanılarak gönderilir. Saldırı sırasında, hem bireysel botlar hem de tüm botnet'ler kullanılır ve bunlardan hedef web sayfasına veya bireysel sunucuya çok sayıda istek oluşturulur.

DNS Güçlendirme

Bir hacker saldırısı sırasında, hedef cihazın IP adresini içeren istekler genel DNS sunucularına gönderilir. Cihaz, sözde büyük veri içeren bir paketle yanıt verir. Sonuç olarak, bu sahte taleplerin birçoğu oluşturularak hedefin aşırı yüklenmesine ve hizmet reddine neden olur.

DNS amplifikasyonuna bir örnek, bir kişinin bir restoranı veya süpermarketi arayıp yiyecek veya malların teslim edilmesini istemesi ve geri aramasını istemesidir. Bu sırada komşusunun telefon numarasını alır. Çok sayıda kullanıcı hedefe bu tür aramalar yapar ve bu da teslimat hizmetini kesinlikle aşırı yükler.

DDoS saldırılarını önleme yöntemleri

Hacker saldırılarına karşı koruma sağlamak için saldırgan ve normal trafiği birbirinden ayırmak şarttır. Yeni ürünler için yapılan reklam kampanyalarında birçok kullanıcı geliştiricinin web sitesini ziyaret edebilir. Bu durum trafiğin acil olarak kapanmasına ve hatalara neden olabilir. Bu web kaynağı bilinen hacker gruplarından gelen bir trafik artışına sahipse, dağıtılmış bir DDoS saldırısının etkisini azaltmak için önlemler almak gerekir.

Hack girişimleri, tek bir şüpheli trafik kaynağı ile en basitinden çok vektörlü etkilerle daha karmaşık olana kadar çeşitli şekillerde olabilir. İkinci durumda, savunan tarafı güçlerini ve fonlarını dağıtmaya zorlamak için birkaç farklı DDoS saldırısı türü aynı anda kullanılır.

Bu tür bir çok vektörlü etkinin bir örneği, çeşitli seviyelerde meydana gelen eşzamanlı bir DDoS saldırısıdır. Böyle bir etki, çok sayıda HTTP talebiyle birlikte giden DNS güçlendirmesi yoluyla elde edilir. Bu tür saldırıları önlemek için aynı anda birkaç karşı eylem stratejisi kullanmanız gerekir.

Saldırganlar dağıtılmış hizmet reddi saldırılarını farklı saldırı yöntemlerinin bir kombinasyonuyla kullandıklarında, bunlara karşı koymanın karmaşıklığı büyük ölçüde artar.

Bilgisayar korsanları, koruyucu önlemlerin etkinliğini sıfıra yakın göstergelere düşürmek için saldırı trafiğini mümkün olduğunca normal trafikle karıştırma eğilimindedir.

Filtreleme yapmadan trafiği basitçe devre dışı bırakma veya kısıtlama girişimleri nadiren olumlu sonuç verir. Aynı zamanda DDoS saldırısı adapte olur ve alınan karşı önlemleri atlatmanın yollarını arar. Bu gibi durumlarda en iyi çözüm çok seviyeli bir koruma stratejisi kullanmaktır.

Kara Delik Yönlendirme

Ağ yöneticileri için DDoS'tan korunmanın en erişilebilir yöntemlerinden biri, şüpheli trafik için bir "kara delik" oluşturmaktır. En basit haliyle Kara Delik yönlendirmesi, tüm taleplerin normal ve kötü niyetli olarak ayrılmadan sıfır rotaya yönlendirilmesini ve ardından bu taleplerin ağdan kaldırılmasını sağlar. Belirli bir sitede bir DDoS saldırısı tespit edilirse, sağlayıcı bir koruma önlemi olarak tüm trafiği iptal etme fırsatına sahiptir. Bu çözüm en iyisi değildir, çünkü saldırgan amacına ulaşır ve tüm kaynakları kullanılamaz hale getirir.

DDoS saldırısının hızını sınırlama

Her sunucu belirli bir süre boyunca belirli sayıda istek alabilir ve işleyebilir. Bir DDoS saldırısının hızını sınırlamak, etkinliğini önemli ölçüde azaltmanıza olanak tanır. Aynı zamanda, bu yöntemin web ayrıştırıcıları tarafından içerik ve program kodunun çalınmasında önemli bir yavaşlama sağladığı ve kaba kuvvet kullanarak oturum açma girişimlerini engellediği anlaşılmalıdır. Ancak karmaşık birleşik hizmet reddi saldırılarına karşı yeterince etkili değildir.

Web uygulaması güvenlik duvarları kullanmanın özellikleri

Özel yazılım ürünlerinin kullanımı yedinci seviyedeki DDoS saldırılarını önemli ölçüde azaltabilir. İnternet ile korunan sunucu arasında ters proxy olarak çalışan bir güvenlik duvarı (WAF) vardır. Belirli türlerdeki kötü niyetli trafiği engellemek için kullanılır. Gelen talepler belirlenen kurallara göre filtrelenir, bu da DDoS araçlarını tanımlamanıza ve yedinci seviye saldırıları önlemenize olanak tanır. Bu yöntemin ana avantajlarından biri, bir saldırıya karşı koymak için kendi kurallarınızı belirleme yeteneğidir.

Ağ üzerinden Anycast dağıtımının ilkeleri

Bu yöntem, trafiği sunucu ağı boyunca yeniden dağıtarak DDoS saldırılarının zararlı sonuçlarını azaltır.

Aynı sunucu aynı anda çok sayıda talep alırsa, trafikle aşırı yüklenecek ve gelen ek taleplere etkili bir şekilde yanıt veremeyecektir. Anycast ağında, trafiğin yükünü tek bir kaynak sunucunun çekmesi yerine, yük, her biri gelen bir talebi işleme ve yanıtlama kapasitesine sahip sunuculara sahip diğer mevcut veri merkezleri arasında dağıtılacaktır. Bu yönlendirme yöntemi, kaynak sunucunun kapasitesinin genişlemesini önleyebilir ve ondan içerik talep eden istemcilerin hizmetinin kesintiye uğramasını engelleyebilir.

Anycast dağıtım yönteminin ağ üzerindeki en iyi benzetmesi, güçlü bir akıntıya sahip büyük bir nehrin akışının ayrı kollar boyunca ayrılmasıdır. Bir DDoS saldırısından gelen trafiğin yeniden dağıtılması sonucunda, yıkıcı kabiliyeti minimuma indirilir ve tamamen yönetilebilir hale gelir.