DDoS Nedir?

Yayınlayan
Kaan KARATAŞ
Yayınlanma tarihi
30/5/2022
Okuma süresi
7
Dakika
go back icon
Geri Dön

DDoS Nedir?

Disturbed Denial of Service (Dağıtılmış Hizmet Reddi), sistemi olabildiğince fazla trafikle meşgul edip yavaşlatma veya kaldırabileceğinden çok istek atarak hizmeti tamamen sekteye uğratmayı amaçlayan DoS (Denial of Service - Hizmet Reddi) saldırılarıdır. Saldırıların amacı hizmeti tamamen engellemek veya yavaşlatmak olduğundan etkisi birkaç dakika sürebileceği gibi saatler hatta günler sürebilir. Saldırılar; web sitelerini, sunucuları, firewall veya load balancerı kısacası tüm ağı ve barındırdığı cihazları hedef alabilir.

DDoS saldırısının hedeflerinin bant genişliği ve aynı anda kaldırabileceği istek sayısı sınırlıdır. Bu sınırlar aşıldığında servis yavaşlaması, serviste aksaklıklar gibi çeşitli problemler yaşamaya başlar, sonucunda ise kullanıcılardan gelen isteklere cevap veremeyerek tamamen servis dışı kalabilir. Saldırı, bir veya birden fazla saldırgan tarafından, birbirine bağlı dağıtılmış olarak bulunan remote sunucu veya cihazlar aracılığı ile aynı anda hedefe saldırı yaparak gerçekleştirilir. Saldırganlar tarafından zombi network olarak da bilinen botnet'ler (Bkz. Botnet) sıklıkla kullanılır. Botnet'ler saldırganlar tarafından birçok kullanıcının kişisel cihazlarına bulaştırılır ve DDoS sırasında bu cihazlar da hedefe uzaktan saldırı gerçekleştirir.

DDoS Saldırı Türleri

Hacim Bazlı Saldırılar (Volume Based Attacks)

Hedef siteye yüksek hacimli trafik yollayarak bant genişliğini aşmayı ve siteyi hizmet dışı bırakmayı amaçlar. ICMP flood, UDP flood metodları hacim bazlı saldırılara örnektir. Bits per second (bps - saniye başına bit) ile ölçülür.

Protokol Saldırıları (Protocol Attacks)

3 ve 4. katmanlara yapılan bu saldırıda network cihazlarına ve sunucular gibi kritik sistemlerin kaynaklarını tüketerek sistemleri hizmet dışı bırakmayı amaçlar. SYN flood (SYN saldırısı), DNS amplification (DNS büyütme/güçlendirme) ve NTP amplification (yollanan paketleri güçlendirme) gibi saldırı vektörleri vardır. Packet per second (pps - saniye başına paket) ile ölçülür.

Uygulama Katmanı Saldırıları (Application Layer Attacks)

Uygulama katmanına yapılan DDoS saldırısında hedef, bir Apache sunucusu veya bulut tabanlı uygulama gibi servislerdir. GET/POST isteklerini flood halinde kullanarak yüksek sayıda istek atıp sunucu veya uygulamayı hizmet dışı bırakmak amaçlanır. HTTP flood, gibi saldırı vektörleri vardır. Request per second (rps - saniye başına istek) ile ölçülür.

Ping (ICMP) Flood

Bir cihazdan diğerine "ICMP Echo Request" yollandığında, cevap olarak karşı taraftan "ICMP Echo Reply" mesajı döner. Saldırgan, bunu kullanarak hedef ağa çok sayıda botnet ve cihazdan ICMP isteği yollar. Her gelen echo isteğine bir cevap dönüleceğinden, büyük bir trafik oluşur. Sonucunda sistem yavaşlar veya erişilemez hale gelir.

UDP Flood Saldırısı

UDP protokolü, üç yollu el sıkışma gerektirmez ve oturuma ihtiyaç duymaz, bu yüzden daha hızlı bir şekilde DDoS saldırılarında kullanılabilir. Sunucu bir UDP paketi aldığında, öncelikle gitmek istediği porta bakar ve orayı dinleyen bir uygulamanın olup olmadığını kontrol eder. Eğer herhangi bir sonuca ulaşamazsa, varış noktasına erişilemediğini belirtmek için kaynağa ICMP “Destination Unreachable (Ulaşılamaz Hedef)” mesajını yollar. UDP saldırısı bunu kullanılarak çok sayıda UDP paketinin hedefe yollayıp cihazın işlem hızını düşürmeyi amaçlar. Aynı anda gelen UDP paketlerinin varış noktalarını kontrol edip, ICMP mesajı dönmeye çalışan sunucu bir süre sonra hizmet dışı kalacaktır. Genelde saldırganlar hem gizlenmek için hem de sunucudan dönecek ICMP mesajlarının ulaşmaması için IP adreslerini sahte adreslerle değiştirir.

SYN Flood Saldırısı

TCP üç yollu el sıkışmasından yararlanılarak ortaya çıkar. Basitçe, istemci iletişimi başlatmak için bir SYN paketi yollar, sunucu ise SYN/ACK adındaki paketle cevap döner, son olarak istemci ACK mesajı ile cevap verir ve veri alıp, yollanması için bağlantı kurulmuş olur. Saldırganlar, genellikle sahte IP adreslerine sahip çok sayıda botnet üzerinden SYN paketlerini hedefe yollar. Ardından sunucu SYN/ACK ile cevap verir ve karşıdan gelecek cevap için bir portu açık bırakır. Ancak saldırganlar üç yollu el sıkışmayı tamamlamaz ve SYN paketi yollamaya devam eder. Cevap bekleyen portlar bir süre açık kalacağından diğer isteklere yanıt dönemez. Sonucunda, sunucu kısa sürede hizmet veremez hale gelir.

HTTP Flood Saldırısı

Bu saldırıda HTTP istekleri kullanılarak hedef sunucuya birçok cihazdan istek gönderilir. Sunucu kaldırabileceğin fazla trafik ile karşılaşınca hizmet dışı kalır. Genellikle GET veya POST metodu kullanılarak yapılır.

DNS Flood Saldırısı

Bir veya birden fazla DNS sunucusunu hedef alan bu saldırıda, DNS çözümlemelerini engellemek amaçlanır. Genellikle yüksek bant genişliğine sahip cihazlar kullanılır. Bu cihazlardan gelen istekler, DNS sunucusunu hizmet dışı bırakır ve kullanıcıların sunuculara ulaşamamasına sebep olur.

DNS Amplification Saldırısı

DNS çözümleyicileri (DNS Resolver) üzerinden yapılan bu saldırıda, saldırganlar IP adreslerini, DNS çözümleyicisini yanıltmak için hedefin IP adresi ile değiştirirler. Saldırganlar DNS sunucusuna birçok UDP paketi yollar. Amplification ise, yollanan paketlerin boyutunu büyütmek için kullanılan bir yöntemdir. Hedefe dönecek cevabın daha büyük olması için DNS ANY sorgusu kullanılır. ANY sorgusu ile büyük bir DNS kaydı için istek atılarak, sunucuda bulunan tüm DNS kayıtları çıkartılır. Bu şekilde çok sayıda sorgunun hedefe yollanmasından dolayı, hedef cihaz trafik ile dolacak ve hizmet dışı kalacaktır.

NTP Amplification Saldırısı

Ağ Zaman Protokolü (NTP - Network Time Protocol) ağdaki tüm cihazların saatlerini senkronize etmek için kullanılır. Eski sürümlerde varsayılan olarak açık olan monlist komutu, NTP sunucusuna gelen son 600 IP adresi cevap olarak döner. Burada hedefe dönecek cevabı büyütmek (amplification) için bu komuttan yararlanılır. Saldırganlar, NTP sunucusuna, hedefin IP adresi ile UDP paketi yollar. Ardından NTP sunucusu, bunun cevabını hedefe gönderir. Burada birden fazla NTP sunucusuna, birçok botnet tarafından, hedefin IP adresi ile paket yollandığından, hedef ağ trafiği kaldıramayacak ve hizmet veremez hale gelecektir.

DDoS Saldırıları Neden Zararlı?

Günümüzde kurumlar web servislerle, uygulamalarla ve internetle iç içe girmiş yapıdadır. Bu yapıların tümünün her an erişilebilir olması kurumlar için çok önemlidir. DDoS saldırıları eğer saldırganlar amacına ulaşırsa servislerde downtime’a sebep olacağından dolayı, bu süreçte etkilenen sistemler hizmet veremeyecek, kurumun günlük iş akışını aksatacak sonucunda ise finansal problem doğuracaktır. Kullanıcılar websitesine ulaşamayınca marka değerinde ve kullanıcı güveninde düşüş, kârın azalması gibi sonuçlar ortaya çıkartabileceği gibi aynı zamanda müşteri kaybına da yol açabilir.

DDoS Saldırıları nasıl önlenir?

DDoS saldırıları için birçok önlem alınabilir. Öncelikle sistemi DDoS için test ederek başlamak, alınması gereken önlemlerin daha da ayrıntılı görülmesini sağlayacaktır. (DDoS Testi hizmetimiz için bkz. "DDoS Testi Hizmeti")

Testler, tüm yapının saldırılara karşı nasıl ve ne ölçüde korunduğunu ortaya koyar. DDoS testinde, gerçek trafiği simüle ederek kontrollü bir şekilde test yapılır. Sistemin sınırlarını aktif bir şekilde tespit eder. Tüm DDoS türleri için farklı şekilde özelleştirilen testler aynı zamanda kontrol edilebildiğinden güvenli şekilde yapılır. Testin sonunda ise yapıdaki zayıf noktalar, sistemin limitleri gibi parametreler daha net olduğundan alınacak önlemler test sonuçlarına göre düzenlenip, yapının daha güvenli hale gelmesi için verimli bir şekilde çalışılabilir.

  • DDoS saldırılarına karşı eylem planı hazırlanması, herhangi bir saldırı anında hızlı bir şekilde karşılık verilmesini sağlayacağı gibi oluşabilecek hasarı en aza indirir. Diğer yandan DDoS saldırılarının tanınması, saldırı sırasında yaşanacak durumların önceden bilinmesi saldırıları daha hızlı bir şekilde tespit edilmesini de sağlayacaktır.
  • Network’deki, olağandışı trafik göstergelerinin anlaşılabilmesi önemlidir.
  • Bir web sitesini belli bir süre için önbelleğe alıp, içeriğin daha hızlı sunulmasını sağlayan Content Delivery Network (CDN), DDoS saldırılarının etkisini azaltmak için kullanılabilir. CDN sunucuları dünyanın çeşitli bölgelerinde bulunabildiğinden kullanıcılara daha yakın sunuculardan içerik sunabilir. Bir DDoS saldırısı sırasında, yüksek trafik oluştuğunda, CDN trafiği diğer sunuculara aktararak yoğunluğu engelleyecektir. Sonucunda, erişilebilirlik düşmeyecek ve DDoS saldırısının etkisi azalacaktır.
  • Network Redundancy (Ağ Yedekleme) kullanılarak, aynı anda farklı yerlerde birçok sunucu açılarak DDoS saldırılarının etkileri azaltılabilir.
  • Birden fazla ISP’den hizmet almak, DDoS saldırısı sırasında hizmeti yavaşlayan, erişilebilirliği düşüren veya hizmet veremeyen ISP yerine diğer ISP’ye geçilmesini ve saldırının etkilerinin azaltılmasına olanak sağlar.
  • Yüksek bant genişliğine sahip olmak, sistemin kaldırabileceği trafik hacmini de arttıracağından hacim bazlı saldırıların tehlikesini azaltacaktır.
  • Bulut servisleri, on-prem servislerinin bazı sınırlamalarına sahip olmadığından, örneğin bulut servisleri daha yüksek bant genişliğine sahiptir ve bu yüzden hacim bazlı saldırıları daha rahat kaldırırlar. Aynı zamanda bulut servisler Network Redundancy (Ağ Yedekleme) bakımından daha iyi hizmet sunar.
Kaan KARATAŞ

Detaylı Bilgi İçin

info@gaissecurity.com