DDOS Attack Nedir?

DDOS (distributed denial-of-service) ve DOS (denial-of-service) birer siber saldırı türüdür. İnternete bağlı hizmet veren bir servisin geçici süreliğine kaynaklarını tüketerek işlevsiz hale getirilmesi durumuna DOS saldırısı denir.

DDOS saldırı ise bu saldırının birden fazla kaynak üzerinden yapılması durumuna verilen addır. Birden fazla kaynak sağlamak için kötü amaç güden kişiler, internete bağlı cihazların sistem açıklarını kullanarak malware yazılımları yerleştirirler. Bu yerleştirilen malware yazılımları saldırıyı düzenleyecekleri zaman aktif hale gelir ve belirli bir hedefe doğru yönelirler. İnternete bağlı her türlü cihaza (akıllı buzdolabı, akıllı elektrik süpürgesi, akıllı telefon gibi) IOT (internet of things) denir. IOT cihazlarının tamamı malware tehdidi altındadır.

DOS ve DDOS saldırı çeşitleri bir grup insanın bir mağazanın girişini kapatarak alışverişi engellemesine benzer. Bu saldırı çeşidinde internete bağlı servisin kaynaklarının tüketilmesi ile gerçek ziyaretçilerin servise bağlanamamasına ya da yavaş bağlanmasına sebep olur. DDOS saldırıları genelde büyük ziyaretçi çeken popüler hizmetlere yapılır web sunucuları, kredi kartı servisleri, internet bankaları gibi ama bu küçük ölçekli internet sitelerine yapılmayacağı anlamına gelmez. Küçük ölçekli hizmetlerin toparlanması müşteri kaybı durumunda oldukça zordur.

DDOS Attack Çeşitleri

TCP Connection Attack

Hizmet veren sunucuya yapılan saldırı türüdür. Sunucu ziyaretçilere portlar üzerinden erişim sunar. Portlar ziyaretçiler için birer pencere gibidir. Ziyaretçi buradan açmak istediği sayfayı söyler, sunucu sayfayı gönderir ve ziyaretçi ile iletişimi keser. Bu saldırı türü sunucunun aktif olarak uygun olan tüm portlarını işlemez hale getirilmesidir. Bu şekilde hizmet almak isteyen ziyaretçi sunucuya erişemez.

Application Attack

İnternet sayfasına ulaşmak için birden fazla katmanı atlatmak gerekir. Uygulama katmanı ise internet sitesini ziyaret eden kullanıcının sunucu ile bağlantı yaptığı katmandır. Burada saldırıyı düzenleyen kötü amaç güden kişiler uygulama katmanı üzerinde sanki sıradan bir ziyaretçi gibi davranarak binlerce istekte bulunurlar. Sunucu ise bu isteklere cevap vermekte zorlanır. Bu uygulama seviyesi saldırı (application layer attack) olarak bilinir. Bu saldırı tipi tüm sistemi devre dışı bırakılması hedeflemez, belli bir özellik (finansal, satış gibi) hedeflenerek saldırı düzenlenir.

Saldırı genelde bilindik CMS ve yeni geliştirilen sayfalar üzerinde yaygındır.

IP Fragmentation Attack

Veri birimine düzenlenen DDOS saldırı türüdür. Siber suçlular bu bölgedeki açıklardan yararlanarak saldırı düzenleyebilirler. Veri tabanına bilgiler küçük paketler halinde gönderilir. Veri tabanına yazılmadan önce paketler birleştirilir. Saldırı bu birleştirme noktasında yapılır ve verilerin birleşmesi malware yazılımları ile engellenir. Her sistemin belli bir maksimum transfer birimi (MTU) vardır. Eğer sistem bu limiti aşarsa uygulama hataya düşer. Veriler birleştirilemediği için uygulamanın kaynakları kullanılmaz hale gelmiş olur.

Volumetric Attack

En çok tercih edilen DDOS saldırı çeşididir. Saldırı otomatik botlar kullanılarak sunucuyu devre dışı ya da yavaşlatmak için yapılır. Bu saldırı tipi koruma seviyesi düşük olan internet sunucuları üzerinde daha etkili olur. Siber suçlular saldırının seviyesini çeşitli amplifikasyon metotlarını kullanarak yükseltirler. Bu da sunucunun isteklere cevap verememesine sebep olur. Volumetric saldırı türünde sunucuyu kullanan herkes risk altındadır.

DDOS Amplifikasyon

DDOS saldırılarında amplifikasyon kullanımının amacı yapılan saldırının gücünü arttırmak ve verilecek zararı arttırmak içindir. Bu yöntem DNS sunucularına yönelik yapılır. DNS (domain name server) sunucuları internet sitesine yönlendirme yapmak ile görevli cihazlardır. Bazı DNS sunucuları bu saldırıları yönlendirirler bazıları ise saldırı karşısında savunmasız kalır. DNS sunucuların güvenliği ve alınacak önlemler ile bunun önüne geçilir ancak yapılan saldırıların çoğu meşru sunuculardan ya da belirlenmesi zor IP adreslerinden gelmektedir. Bu noktada internet site sahipleri çözüm ortaklarının sorunu çözmesini ya da farklı bir çözüm ortağı bulmaları gerekebilir.

DDOS Attack Semptomları

İnternet performansının internet siteler veya dosya açmanın yavaşlaması
Belli bir internet sitesine erişimin mümkün olmaması
Hiçbir internet sitesine erişimin mümkün olmaması

Bu üç faktörden bir tanesi yaşandığı zaman DDOS saldırısı yapılıyor olabilir. Saldırı tek bir internet sitesine, ülkeye veya belli bir DNS sunucusuna yapılabilir.

Dijital saldırı haritası ile günlük olarak yapılan DDOS saldırılarını görebilirsiniz. Harita saatlik olarak güncellenmekte ve sayfanın altında son tespit edilen büyük saldırılar gösterilmektedir.

DDOS Attack Önleme Metotları

Application Front End Hardware

Trafik sunucuya erişmeden önce sunucunun önündeki donanıma gelir. Bu donanım gelen paketleri sunucudan önce inceler. Gelen trafiği sınıflandırarak tehlike içeren trafiğin önüne geçmek için kullanılır. Sunucunun cevap veremeyeceği bir paket ise ya da verilen limitin üzerine çıkılmışsa donanım gelen paketin sunucuya ulaşmasını engeller. Bu bant genişliği yönetim metodu olarak geçer.

Application Level Key Completion Indicator

Bu önlem bulut tabanlı çalışan uygulamalar için geçerlidir. Bulut tabanlı uygulamaların avantajı trafik büyüdükçe buna cevap veren sunucularında aynı oranda büyüyebilmesinden kaynaklanır.

Bulut yatırımı yapan kuruluşlar muazzam miktarda işlemci ve depolama birimine sahiptir. Bu yüksek miktarda kaynak ile hizmet verdikleri uygulamaların ihtiyaçlarını karşılarlar. Bu yatırım modelinde uygulama ne kadar kaynak kullanırsa kuruluş o kadar faturalandırma yapar. DDOS saldırısı altında olan bulut tabanlı bir uygulama, bu sayede hizmet vermeye devam edebilir. Ancak yoğun trafik nedeniyle firma fazladan masraf ile karşılaşacaktır. Bu durumda uygulama bu trafiği kontrol edebilmiş ama yine de masraftan kaçamamış olur.

Blackholing ve Sinkholing

Blackholing, sunucuya gelen istek karşılığı olmayan bir IP adresine yönlendirilir. Bu şekilde sunucu DDOS saldırısının etkisinin azalmasını bekler. Blackholing de gelen tüm paketler karşılığı olmayan IP adresine gönderilir, tabi bu durumda gerçek olan kullanıcılarda internet sitesine ya da DNS sunucusuna bağlanamazlar. Bu bir router korumasıdır amacı koruduğu ağın bu saldırıdan etkilenmemesidir.

Sinkholing ise sunucuya gelen istek karşılığı olan bir IP adresine yönlendirilir, bu adreste gelen istek analiz edilir ve istenmeyen bir istek ise reddedilir.

IPS Based Prevention

IPS (Intrusion prevention systems) Siber saldırgan arakasında iz bıraktığı takdir de yani DOS saldırısında etkili bir korunma yöntemidir ancak günümüzde saldırganlar meşru IP adresleri üzerinden saldırı düzenlemekteler. DDOS saldırılarından korunmak için etkili bir yöntem değildir.

IPS, bir cihaz ya da bir yazılım olabilir, amacı ağı tarayarak gelen paketleri sınıflandırmak ve kötü amaç güden (malicious) paketlerin hedeflerine ulaşmasını engellemektir.

Kasıtsız DOS Attack

Bazı durumlarda site DDOS saldırısı altındaymış gibi görünebilir. Bu durum sitenin ani olarak popüler olmasından ya da başka sebeplerden tepe noktaya ulaşmasından kaynaklanıyor olabilir. Aynı DDOS saldırısı gibi bunda da ziyaretçiler siteye erişemez ve sunucu işlev göremez hale gelebilir. Buna VIPDOS denir.

Michael Jackson 2009 yılında öldüğü zaman, Google ve Twitter yavaşladı. Pek çok sunucu sahibi kuruluş saldırı altında olduklarını düşündü halbuki bu meşru bir durumdu ve herkes Michael Jackson haberine ulaşmaya çalışıyordu.

Sonuç

Günümüzün iletişim çağı olduğu düşünülürse DDOS saldırısı haberleşmeyi engelleyen bir siber suçtur. Tek bir uygulamanın ya da kuruluşun siber suçların önüne geçmesi mümkün değildir ancak bilinen saldırı türleri bilinen yöntemler ile önlem almak zararın daha az olmasını sağlar.

Kaynak: