DDoS Nedir? DDoS Saldırısı Nasıl Yapılır ve Nasıl Engellenir?
Distributed Denial of Service (DDoS) Web sitelerine yönelik yapılan bir hizmet aksatma yöntemidir. Bu hizmet aksatma yönteminde, berlirlenen hedefteki web sitelerine zombi bilgisayarlar ile farklı IP’ler üzerinden gönderilen yoğun isteklerle, web sitelerinin üzerindeki bandwidth genişliğini bloke edilip, yayınlanan web sitelerinin üzerinde oluşturduğu yoğun trafik sebebi ile erişime kapatılmasıdır. Hedef alınan web sitelerine yönelik yapılan bu hizmet aksatma yöntemi web sunucularına yönlendirilen yoğun trafik sebebi ile hizmeti yavaşlatığı gibi daha ileri seviyesi web sunucularının veri tabanlarını çökertebilmektedir.
DDoS Saldırısı Nasıl Yapılır?
DDoS bir hackleme yöntemi değildir. Kötü niyetli siber saldırganların hackleyemedikleri web sitelerine yönelik zarar vermek amaçlı yaptıkları hizmet aksatma yada tamamen erişimi durdurma işlemidir. Bir ana bilgisayar üzerinden yapılan ve bot olarak tanımlanan zombi bilgisayarlar ile hedef gösterilen web sitelerine aynı anda erişim sağlayıp, erişimi bırakmasıdır.
DDoS Saldırısı Nasıl İşler?
Bir DDoS saldırısı planlanırken kurgulanan senaryo basittir, fakat ileri düzeyde karmaşıklık gösterebilir. DDoS saldırılarında ana hedef, sunucular, hizmet sağlayıcılar, web siteleri ve internet trafiğine neden olmak amacı ile yapılan siber saldırılardır. Bu sadırıların sonucunda, sunucu hizmeti, web siteleri ve internet ağlarına erişim yavaşlatığı ve yahut çalışmaz hale getirilir. İnternetteki ağ bağlantıları, Açık sistemler ara bağlantısı (Open Systems Interconnection) OSI modelinin farklı katmanlarından oluşur. Bir siber saldırganın hedef aldığı, DDoS saldırılarında farklı senaryolar ile 7 OSI katmanı içinde hedef aldığı katmanlara odaklanır. Bu katmanlardan bazılarını örnek vermek gerekirse;
- 3. Ağ katmanı, saldırıları Smurf Attacks, ICMP Floods ve IP / ICMP Fragmentation olarak bilinir.
- 4. Taşıma katmanı, saldırıları arasında SYN Floods, UDP Floods ve TCP Connection Exhaustion bulunur.
- 7. Uygulama katmanı, esas olarak, HTTP ile şifrelenmiş saldırılar.
Botnet – Bot Ağlar
Planlanan bir DDoS saldırısı hedefine ulaşması için, saldırıya uğramış uzaktan kontrol edilen zombi bilgisayarlara veya bot ağlarına ihtiyaç vardır. Ve amaçları doğrultusunda hedefledikleri, web sitelerini, sunucuları ve ağları barındırabileceklerinden daha fazla veri ile doldurarak hizmeti geçici veya kalıcı olarak durdurmakdır. Botnet’ler, hedeflenen kurbanın bant genişliği kapasitesini aşan çok büyük miktarda veri gönderebilir. Bot ağlar, siber saldırganlar tarafından yönetilen binlerce ve milyonlarca bilgisayar arasında değişkenlik gösterebilir. Siber saldırganlar, spam göndermek ve fidye yazılımı gibi çeşitli amaçlarla botnet’leri kullanabilmektedir. Siz farkına dahi varmadan bilgisayarınız yada çalıştığınız ağ bir botnet’in parçası olabilir.
Trafik Flood
Bot ağları, HTTP veya HTTPS flood oluşturmak için kullanılır. Zombi bilgisayarlar botnet’i, bir web sunucusuna saldırmak ve web suncunun band genişliğini yorup HTTP veya HTTPS isteklerini göndermek için kullanılır. HTTP gönderilen mesajların nasıl biçimlendirildiğini ve iletildiğini kontrol eden protokoldür. Gönderilen mesajlarda bir HTTP isteği, bir GET isteği veya bir POST isteği olabilir.
GET: Bilgilerin bir sunucudan alındığı bir istektir.
POST: Bilginin yüklenmesi ve depolanmasının talep edildiği bir istektir.. Bu tarz bir istek, saldırısı planlanan web sunucunuz tarafından daha fazla kaynak kullanımı gerektirir.
POST isteklerini kullanan HTTP flood’leri web daha fazla kaynak , GET isteklerini kullanan HTTP flood’ları daha basit ve uygulanması daha kolaydır.
DDoS Saldırısında Bulunmak İçin Botnet “Zombi Ağı” Kullanma
Botnet, kötü amaçlı yazılımdan etkilenen ve kötü niyetli bir saldırganın kontrolü altına giren bir grup zombi bilgisayarlar veya ağlardan oluşmaktadır. Bot ağları, spam gönderme, veri çalma, fidye yazılımı, hileli olarak reklamlara tıklama veya dağıtılmış hizmet reddi (DDoS) saldırıları dahil olmak üzere yasa dışı veya kötü niyetli görevleri gerçekleştirmek için tasarlanmaktadır.
DDOS Saldırı Türleri;
Volume BasedDDoS: En çok kullanılan saldırı yöntemidir. Web sunucuları üzerindeki bant genişliğini bloke eder ve bloke ettiği bandwidth’i yorup aşırı yoğun trafik oluşturur, bandwidth şişer.
Protocol BasedDDoS: OSI Katmanı 7 katmandan oluşmaktadır. Bu katmanlar içerisinde yer alan 3. Ağ Katmanı ile 4. Taşıma Katmanı bloke edip kilitler.
Application LayerDDoS: Web sunucu üzerindeki sistemde yer alan GET ve POST formlarına yapılan saldırıdır.
SYN FloodDDoS: Web sunucu üzerindeki TCP paketlerine yapılan tehlikeli bir saldırı türüdür.
UDP FloodDDoS: Web sunucu üzerindeki çalışan portlara yönelik yapılan saldırı türüdür.
PingFlood: Web sunuculara yönelik zombi bilgisayarlar üzerinden yapılan ve yoğun bir ping trafiği oluşturan saldırı türüdür.
DDoS Ataklarının Belirtileri Nelerdir?
- Web sitelerinin band genişliğini yorup aşırı yoğun trafik oluşturmak.
- Web sitesi veya web sunucu hizmetlerinde, erişiminde kopmalarının yaşanması
- Sunucu kaynakları üzerinde aşırı yoğun trafik oluşturup, kaynak tüketiminde anlık yoğunluklar oluşmasının sağlanması.
- UDP, SYN ve GET/POST kaynaklı veri paketlerinin yüklemelerinde yaşanan yoğunluk.
- Web sitesi veya web sunucularında uzun süreli hizmet kesintileri yaşamak.
DDoS Saldırısı Nasıl Engellenir?
DDoS saldırılarında en önemli unsur veri hattı (data line)’nı koruyabilmekdir. DDoS saldırılarında veri hattına yönelik yapılan saldırılardır. Veri hattı üzerinde oluşan güvenlik zafiyetinde veri hattının güvenliği yetersiz kalıp, web sunucuya erişim sağlayamayız. Web sunucumuz üzerindeki bant genişliğine de dikkat edilmesi gerekmektedir.
Örnek: Web sunucumuz üzerinde 1000 Mbps bir band genişliği var ise sunucu üzerinde yapılan 1001 Mbps bir saldırı gerçekleşir ise sunucunuza erişim sağlayamazsınız.
Bu saldırıları önlemek için profesyonel yüksek güvenlik sağlayan firewall yazılım ve donanım ürünlerini kullanmamız ve son kullanıcı tarafında ise güncel lisanslı işletim sistemi, antivirus çözümleri ve son kullanıcıların bilgisayarlarında güvenlik duvarı aktif olmalıdır.
Aşırı Trafik Atakları
Yapılan attack saldırılar ile bir siber saldırgan veri hattını (data line) hedef alır. Veri hattı üzerinde yoğun ciddi miktarda trafik oluşturur. DDoS saldırılarında, saldırı trafiği kaynağı olarak birden fazla zombi bilgisayarlar kullanarak etkileşim sağlar. Bu etkileşim ile sunucu sistemleri, bilgisayarlar ve IoT cihazları gibi diğer ağ kaynaklarıda yer alabilmektedir. Ciddi bir boyutta yapılan DDoS saldırısı, otoyolun tıkanması gibi beklenmedik bir trafik sıkışıklığı oluşturur ve düzenli trafiğin akışını bozup varış noktasına ulaşmasını engeller.
IoT Cihazlarının Güvenliği Nasıl Sağlanabilir?
Yönetimini sağladığınız, IoT aygıtlarınızın güvenliği önemlidir. Riski azaltmak için eski ürün yazılımına sahip IoT cihazların, varsayılan kimlik bilgileri genellikle cihazın ilk kurulumundan itibaren değiştirilmeden kullanılmaktadır. Bu davranış sebebi ile IoT cihazlarınızda güvenlik zafiyeti meydana gelir. IoT aygıtlarının olası bir botnet saldırısının, bir parçası olmasını engellemek amacı ile güvenlik yamaları güncel tutulmalı, kullanılan bilgisayarların, güvenlik duvarı açık olmalı ve profesyonel güvenlik yazılım çözümleri kullanılmalıdır. Ayrıca IoT cihazlarda kullanılan şifre politikası karmaşık (complex) ve güvenli bir şifre olmalıdır. Aksi takdirde basit şifreler kullanmak, güvenlik zafiyeti oluşturup, siber saldırılara karşı IoT cihazlarınızı savunmasız bırakacaktır.