DDoS Nedir?

Yayınlayan
Kaan KARATAŞ
Yayınlanma tarihi
30-05-2022
Okuma süresi
7 DK

DDoS Nedir?

Disturbed Denial of Service (Dağıtılmış Hizmet Reddi), sistemi olabildiğince fazla trafikle meşgul edip yavaşlatma veya kaldırabileceğinden çok istek atarak hizmeti tamamen sekteye uğratmayı amaçlayan DoS (Denial of Service - Hizmet Reddi) saldırılarıdır. Saldırıların amacı hizmeti tamamen engellemek veya yavaşlatmak olduğundan etkisi birkaç dakika sürebileceği gibi saatler hatta günler sürebilir. Saldırılar; web sitelerini, sunucuları, firewall veya load balancerı kısacası tüm ağı ve barındırdığı cihazları hedef alabilir.

DDoS saldırısının hedeflerinin bant genişliği ve aynı anda kaldırabileceği istek sayısı sınırlıdır. Bu sınırlar aşıldığında servis yavaşlaması, serviste aksaklıklar gibi çeşitli problemler yaşamaya başlar, sonucunda ise kullanıcılardan gelen isteklere cevap veremeyerek tamamen servis dışı kalabilir. Saldırı, bir veya birden fazla saldırgan tarafından, birbirine bağlı dağıtılmış olarak bulunan remote sunucu veya cihazlar aracılığı ile aynı anda hedefe saldırı yaparak gerçekleştirilir. Saldırganlar tarafından zombi network olarak da bilinen botnet'ler (Bkz. Botnet) sıklıkla kullanılır. Botnet'ler saldırganlar tarafından birçok kullanıcının kişisel cihazlarına bulaştırılır ve DDoS sırasında bu cihazlar da hedefe uzaktan saldırı gerçekleştirir.

DDoS Saldırı Türleri

Hacim Bazlı Saldırılar (Volume Based Attacks)

Hedef siteye yüksek hacimli trafik yollayarak bant genişliğini aşmayı ve siteyi hizmet dışı bırakmayı amaçlar. ICMP flood, UDP flood metodları hacim bazlı saldırılara örnektir. Bits per second (bps - saniye başına bit) ile ölçülür.

Protokol Saldırıları (Protocol Attacks)

3 ve 4. katmanlara yapılan bu saldırıda network cihazlarına ve sunucular gibi kritik sistemlerin kaynaklarını tüketerek sistemleri hizmet dışı bırakmayı amaçlar. SYN flood (SYN saldırısı), DNS amplification (DNS büyütme/güçlendirme) ve NTP amplification (yollanan paketleri güçlendirme) gibi saldırı vektörleri vardır. Packet per second (pps - saniye başına paket) ile ölçülür.

Uygulama Katmanı Saldırıları (Application Layer Attacks)

Uygulama katmanına yapılan DDoS saldırısında hedef, bir Apache sunucusu veya bulut tabanlı uygulama gibi servislerdir. GET/POST isteklerini flood halinde kullanarak yüksek sayıda istek atıp sunucu veya uygulamayı hizmet dışı bırakmak amaçlanır. HTTP flood, gibi saldırı vektörleri vardır. Request per second (rps - saniye başına istek) ile ölçülür.

Ping (ICMP) Flood

Bir cihazdan diğerine "ICMP Echo Request" yollandığında, cevap olarak karşı taraftan "ICMP Echo Reply" mesajı döner. Saldırgan, bunu kullanarak hedef ağa çok sayıda botnet ve cihazdan ICMP isteği yollar. Her gelen echo isteğine bir cevap dönüleceğinden, büyük bir trafik oluşur. Sonucunda sistem yavaşlar veya erişilemez hale gelir.

UDP Flood Saldırısı

UDP protokolü, üç yollu el sıkışma gerektirmez ve oturuma ihtiyaç duymaz, bu yüzden daha hızlı bir şekilde DDoS saldırılarında kullanılabilir. Sunucu bir UDP paketi aldığında, öncelikle gitmek istediği porta bakar ve orayı dinleyen bir uygulamanın olup olmadığını kontrol eder. Eğer herhangi bir sonuca ulaşamazsa, varış noktasına erişilemediğini belirtmek için kaynağa ICMP “Destination Unreachable (Ulaşılamaz Hedef)” mesajını yollar. UDP saldırısı bunu kullanılarak çok sayıda UDP paketinin hedefe yollayıp cihazın işlem hızını düşürmeyi amaçlar. Aynı anda gelen UDP paketlerinin varış noktalarını kontrol edip, ICMP mesajı dönmeye çalışan sunucu bir süre sonra hizmet dışı kalacaktır. Genelde saldırganlar hem gizlenmek için hem de sunucudan dönecek ICMP mesajlarının ulaşmaması için IP adreslerini sahte adreslerle değiştirir.

SYN Flood Saldırısı

TCP üç yollu el sıkışmasından yararlanılarak ortaya çıkar. Basitçe, istemci iletişimi başlatmak için bir SYN paketi yollar, sunucu ise SYN/ACK adındaki paketle cevap döner, son olarak istemci ACK mesajı ile cevap verir ve veri alıp, yollanması için bağlantı kurulmuş olur. Saldırganlar, genellikle sahte IP adreslerine sahip çok sayıda botnet üzerinden SYN paketlerini hedefe yollar. Ardından sunucu SYN/ACK ile cevap verir ve karşıdan gelecek cevap için bir portu açık bırakır. Ancak saldırganlar üç yollu el sıkışmayı tamamlamaz ve SYN paketi yollamaya devam eder. Cevap bekleyen portlar bir süre açık kalacağından diğer isteklere yanıt dönemez. Sonucunda, sunucu kısa sürede hizmet veremez hale gelir.

HTTP Flood Saldırısı

Bu saldırıda HTTP istekleri kullanılarak hedef sunucuya birçok cihazdan istek gönderilir. Sunucu kaldırabileceğin fazla trafik ile karşılaşınca hizmet dışı kalır. Genellikle GET veya POST metodu kullanılarak yapılır.

DNS Flood Saldırısı

Bir veya birden fazla DNS sunucusunu hedef alan bu saldırıda, DNS çözümlemelerini engellemek amaçlanır. Genellikle yüksek bant genişliğine sahip cihazlar kullanılır. Bu cihazlardan gelen istekler, DNS sunucusunu hizmet dışı bırakır ve kullanıcıların sunuculara ulaşamamasına sebep olur.

DNS Amplification Saldırısı

DNS çözümleyicileri (DNS Resolver) üzerinden yapılan bu saldırıda, saldırganlar IP adreslerini, DNS çözümleyicisini yanıltmak için hedefin IP adresi ile değiştirirler. Saldırganlar DNS sunucusuna birçok UDP paketi yollar. Amplification ise, yollanan paketlerin boyutunu büyütmek için kullanılan bir yöntemdir. Hedefe dönecek cevabın daha büyük olması için DNS ANY sorgusu kullanılır. ANY sorgusu ile büyük bir DNS kaydı için istek atılarak, sunucuda bulunan tüm DNS kayıtları çıkartılır. Bu şekilde çok sayıda sorgunun hedefe yollanmasından dolayı, hedef cihaz trafik ile dolacak ve hizmet dışı kalacaktır.

NTP Amplification Saldırısı

Ağ Zaman Protokolü (NTP - Network Time Protocol) ağdaki tüm cihazların saatlerini senkronize etmek için kullanılır. Eski sürümlerde varsayılan olarak açık olan monlist komutu, NTP sunucusuna gelen son 600 IP adresi cevap olarak döner. Burada hedefe dönecek cevabı büyütmek (amplification) için bu komuttan yararlanılır. Saldırganlar, NTP sunucusuna, hedefin IP adresi ile UDP paketi yollar. Ardından NTP sunucusu, bunun cevabını hedefe gönderir. Burada birden fazla NTP sunucusuna, birçok botnet tarafından, hedefin IP adresi ile paket yollandığından, hedef ağ trafiği kaldıramayacak ve hizmet veremez hale gelecektir.

DDoS Saldırıları Neden Zararlı?

Günümüzde kurumlar web servislerle, uygulamalarla ve internetle iç içe girmiş yapıdadır. Bu yapıların tümünün her an erişilebilir olması kurumlar için çok önemlidir. DDoS saldırıları eğer saldırganlar amacına ulaşırsa servislerde downtime’a sebep olacağından dolayı, bu süreçte etkilenen sistemler hizmet veremeyecek, kurumun günlük iş akışını aksatacak sonucunda ise finansal problem doğuracaktır. Kullanıcılar websitesine ulaşamayınca marka değerinde ve kullanıcı güveninde düşüş, kârın azalması gibi sonuçlar ortaya çıkartabileceği gibi aynı zamanda müşteri kaybına da yol açabilir.

DDoS Saldırıları nasıl önlenir?

DDoS saldırıları için birçok önlem alınabilir. Öncelikle sistemi DDoS için test ederek başlamak, alınması gereken önlemlerin daha da ayrıntılı görülmesini sağlayacaktır. (DDoS Testi hizmetimiz için bkz. "DDoS Testi Hizmeti")

Testler, tüm yapının saldırılara karşı nasıl ve ne ölçüde korunduğunu ortaya koyar. DDoS testinde, gerçek trafiği simüle ederek kontrollü bir şekilde test yapılır. Sistemin sınırlarını aktif bir şekilde tespit eder. Tüm DDoS türleri için farklı şekilde özelleştirilen testler aynı zamanda kontrol edilebildiğinden güvenli şekilde yapılır. Testin sonunda ise yapıdaki zayıf noktalar, sistemin limitleri gibi parametreler daha net olduğundan alınacak önlemler test sonuçlarına göre düzenlenip, yapının daha güvenli hale gelmesi için verimli bir şekilde çalışılabilir.

  • DDoS saldırılarına karşı eylem planı hazırlanması, herhangi bir saldırı anında hızlı bir şekilde karşılık verilmesini sağlayacağı gibi oluşabilecek hasarı en aza indirir. Diğer yandan DDoS saldırılarının tanınması, saldırı sırasında yaşanacak durumların önceden bilinmesi saldırıları daha hızlı bir şekilde tespit edilmesini de sağlayacaktır.

  • Network’deki, olağandışı trafik göstergelerinin anlaşılabilmesi önemlidir.

  • Bir web sitesini belli bir süre için önbelleğe alıp, içeriğin daha hızlı sunulmasını sağlayan Content Delivery Network (CDN), DDoS saldırılarının etkisini azaltmak için kullanılabilir. CDN sunucuları dünyanın çeşitli bölgelerinde bulunabildiğinden kullanıcılara daha yakın sunuculardan içerik sunabilir. Bir DDoS saldırısı sırasında, yüksek trafik oluştuğunda, CDN trafiği diğer sunuculara aktararak yoğunluğu engelleyecektir. Sonucunda, erişilebilirlik düşmeyecek ve DDoS saldırısının etkisi azalacaktır.

  • Network Redundancy (Ağ Yedekleme) kullanılarak, aynı anda farklı yerlerde birçok sunucu açılarak DDoS saldırılarının etkileri azaltılabilir.

  • Birden fazla ISP’den hizmet almak, DDoS saldırısı sırasında hizmeti yavaşlayan, erişilebilirliği düşüren veya hizmet veremeyen ISP yerine diğer ISP’ye geçilmesini ve saldırının etkilerinin azaltılmasına olanak sağlar.

  • Yüksek bant genişliğine sahip olmak, sistemin kaldırabileceği trafik hacmini de arttıracağından hacim bazlı saldırıların tehlikesini azaltacaktır.

  • Bulut servisleri, on-prem servislerinin bazı sınırlamalarına sahip olmadığından, örneğin bulut servisleri daha yüksek bant genişliğine sahiptir ve bu yüzden hacim bazlı saldırıları daha rahat kaldırırlar. Aynı zamanda bulut servisler Network Redundancy (Ağ Yedekleme) bakımından daha iyi hizmet sunar.

 

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)