DDoS Saldırılarına Tam Rehber: Nedirler ve Kendinizi Nasıl Korursunuz
Bu rehberde, DDoS saldırılarıyla ilgili geniş bir konu yelpazesini tartışacağız, bu da bir DDoS saldırısının ne olduğunu, nasıl çalıştığını, DDoS saldırı türlerini, DDoS saldırılarının etkilerini ve DDoS saldırılarına karşı nasıl savunma yapılacağını içeriyor.
- DDoS saldırısı nedir?
- DDoS saldırısı nasıl çalışır?
- DDoS saldırılarının etkileri
- Temel DDoS saldırı türleri
- DDoS saldırı stilleri
- Bir DDoS saldırısını nasıl tespit edersiniz?
- DDoS saldırılarına karşı kendinizi nasıl korursunuz?
Hızlı Özet
Dağıtık Hizmet Reddi (DDoS) saldırıları yirmi yıldır internet üzerinde güçlü bir silah olmuştur. Zamanla daha yaygın ve güçlü hale geldiler ve şimdi çevrimiçi işletme yürüten herhangi bir şirket için ana tehditlerden biri haline geldiler.
Genellikle, DDoS saldırıları, bir web sitesini veya çevrimiçi hizmeti, sunucusunun veya ağının alabileceğinden daha fazla trafikle boğarak çalışır. Bir DDoS saldırısının amacı, o web sitesini veya çevrimiçi hizmeti kullanıcılara kullanılamaz hale getirmektir. Saldırganlar genellikle botnetlere, merkezi olarak kontrol edilen kötü amaçlı yazılımla enfekte olmuş bilgisayar ağlarından oluşan ağlara bağlıdırlar.
DDoS Saldırısı Nedir?
Dağıtık Hizmet Reddi (DDoS) saldırısı, bir saldırganın kullanıcılara bir çevrimiçi hizmetin teslimatını kesmeye çalışmasıdır. Bu, sunuculara, ağlara, cihazlara, hizmetlere, uygulamalara ve hatta uygulamalar içindeki belirli işlemlere erişimi engelleyerek yapılabilir.
DDoS saldırıları, bir saldırganın veya saldırgan grubunun birden çok cihazı eş zamanlı olarak bir DoS saldırısı gerçekleştirmek için kullanmasını içeren hizmet reddi saldırılarının (DoS) bir türevi olarak adlandırılabilir.
DoS saldırıları ile DDoS saldırıları arasındaki temel fark şudur: DoS, kötü amaçlı veriyi veya istekleri göndermek için bir sistem kullanırken, DDoS saldırısı birden çok sistemden gönderilir, bu da gücünü ve etkinliğini artırır.
DDoS saldırıları, kurbanların erişimini tamamen engelleyerek ve hatta saldırıyı durdurmak için haraç talep ederek tüm seviyelerde kurbanlara hedef olur.
Bankalar, web siteleri, çevrimiçi perakendeciler ve haber kanalları, saldırganların ana hedefleri arasında yer almakta, bu da hassas bilgilere güvenli bir şekilde erişilip yayımlanmasının gerçek bir zorluk haline gelmesine neden olmaktadır.
Bu DDoS saldırılarını tespit etmek ve engellemek zordur, çünkü ürettikleri trafik takip etmesi zor ve meşru trafikle kolayca karıştırılır.
DDoS Saldırısı Nasıl Çalışır?
Çoğu DDoS saldırısı, hackerların kontrolü altında olan büyük IoT cihazları ağları, kötü amaçlı yazılımla enfekte olmuş bilgisayarlar ve diğer internete bağlı cihazlardan oluşan botnetler aracılığıyla gerçekleştirilir.
Saldırgan, botnet içindeki makineleri belirli bir web sitesine veya bir sunucunun IP adresine büyük miktarda bağlantı isteği göndermesi için talimatlandırır.
Bu, web sitesini veya çevrimiçi hizmeti, sunucusunun veya ağının kaldırabileceğinden daha fazla trafikle boğar. Sonuç olarak, bu web siteleri veya çevrimiçi hizmetler, aşırı internet bant genişliği, RAM kapasitesi ve CPU ile kullanıcılara erişilemez hale gelir.
Bu DDoS saldırılarının etkisi, hafif rahatsızlıklardan ve kesintili hizmetlerden tam web sitelerine, uygulamalara veya hatta tüm işletmelere kadar çeşitlilik gösterebilir.
DDoS Saldırılarının Etkileri
DDoS saldırıları, kurbanları birkaç şekilde etkileyebilir.
- Maddi kayıp
- İtibarın zarar görmesi
- Veri kaybı
- Müşteri güveninin zarar görmesi
- Temel hizmetler üzerindeki etki
- Sistemleri onarmak için doğrudan ve dolaylı maliyetler
- Üçüncü taraflar üzerindeki etki
DDoS Saldırılarının Temel Türleri
DDoS saldırıları genellikle bir veya daha fazla kategoriye girer, bazı ileri saldırılar farklı vektörlerdeki saldırıları birleştirir. İşte DDoS saldırılarının üç ana kategorisi.
1. Hacim bazlı saldırılar
Bu, bir web sitesinin veya sunucunun bant genişliğini tamamen doldurmak için sahte trafik üretmek için yöntemler kullanan klasik DDoS saldırısı tipidir. Bu sahte trafik, hedeflenen siteye gerçek trafik akmasını veya oradan çıkmasını imkansız kılar. Bu saldırılar UDP, ICMP ve sahte paket taşma saldırılarını içerir. Hacim bazlı saldırıların boyutu saniyede bit (BPS) olarak ölçülür.
2. Protokol saldırıları
Bu saldırılar daha odaklıdır ve bir sunucudaki kaynakların zayıf yönlerini kullanır. Mevcut sunucu kaynaklarını veya ara iletişim ekipmanlarını, örneğin güvenlik duvarlarını ve yük dengeleyicilerini tüketir ve onlara büyük paketler gönderir. Bu saldırılar genellikle SYN taşmaları, Ping of Death, parçalı paket saldırıları, Smurf DDoS vb. içerir ve boyutları saniyede paket (PPS) olarak ölçülür.
3. Uygulama katmanı saldırıları
Bu, özel web uygulamalarını hedef alan DDoS saldırılarının en sofistike tipidir. Kötü amaçlı isteklerle uygulamaları ezerek onları gerçekleştirirler. Bu saldırıların boyutu saniyede istek (RRS) olarak ölçülür.
DDoS Saldırı Stilleri
1. UDP ve ICMP seli
Bu saldırı stilleri, hacimsel saldırılar kapsamına giren en yaygın saldırı yöntemlerindendir. UDP seli, host kaynaklarını User Datagram Protocol (UDP) paketleriyle doldurur. Buna karşılık, ICMP seli aynı şeyi Internet Control Message Protocol (ICMP) echo isteği (ping) paketleriyle yapar, ta ki servis ezilene kadar.
Ayrıca, saldırganlar bu sellerin ezici akışını artırmak için yansıtma saldırılarına başvurabilir. Burada kurbanın IP adresi, UDP veya ICMP isteğini yapmak üzere sahte görünmekte ve bu nedenle yanıt, saldırgan paketinin kurbandan geldiği gibi göründüğü için sunucuya geri gönderilmekte. Bu şekilde, bu saldırılar hem gelen hem de giden bant genişliğini tüketir.
2. DNS Büyütme (Amplifikasyon)
İsminin de belirttiği gibi, bu saldırılar suçluların bir ağı işlevsiz hale getirmek için sayısız DNS arama isteği göndermelerini içerir. Büyütme, gelen trafiği artırarak sunucunun bant genişliğini tüketir.
Bu, sunucuya yüksek miktarda veri içeren yanıtlar olarak dönen bilgi isteklerini göndererek yapılır. Ardından bu veri, yanıt adresini sahteleme yoluyla sunucuya doğrudan yönlendirilir.
Yani, saldırgan bir botnetin birçok farklı kaynağı aracılığıyla bir DNS sunucusuna, örneğin DNS adı arama istekleri gibi uzun bir yanıt isteyen, sayısız nispeten küçük paket gönderir. Sonrasında DNS sunucusu bu dağıtılmış isteklere yanıt paketleriyle cevap verir ve tüm bu veri kurbanın DNS sunucusuna geri gönderilir.
3. Ölüm Pingu (Ping of Death)
Bu, bir bilgisayara birçok kötü amaçlı veya bozuk ping gönderen bir diğer protokol saldırısıdır. Bir IP paketinin maksimum uzunluğu 65.535 byte olmasına rağmen, veri bağlantı katmanı bir Ethernet ağı üzerinden izin verilen maksimum çerçeve boyutunu sınırlar.
Bu nedenle, büyük bir IP paketi birden fazla pakete (parçaya) bölünür ve alıcı ana bilgisayar bu parçaları tam bir paket oluşturmak üzere yeniden bir araya getirir. Ölüm Pingu durumunda, ana bilgisayar kötü amaçlı pinglerin parçalarını bir araya getirmeye çalışırken 65.535 byte’tan daha büyük bir IP paketiyle sonuçlanır. Bu, paket için ayrılan bellek tamponlarını aşarak hizmetin hatta meşru veri paketleri için bile engellenmesine neden olur.
4. SYN Sel
SYN Sel, istemciler ve sunucular arasında TCP bağlantıları kurmak için gereken üç aşamalı el sıkışma sürecini atlatan en yaygın protokol saldırılarından biridir.
Bu bağlantılar genellikle istemcinin sunucuya başlangıçta bir senkronizasyon (SYN) isteği yapmasıyla oluşturulur, sunucu bir onaylama (SYN-ACK) yanıtıyla yanıtlar ve istemci el sıkışmayı nihai bir onaylama (ACK) ile tamamlar.
SYN selleri, bu başlangıç senkronizasyon isteklerini hızla yaparak çalışır ve son onayla bir yanıt vererek sunucunun asılı kalmasına neden olur. Sonuç olarak, sunucunun sonunda sunucunun çökmesine kadar kaynakları boğan bir dizi yarım açık bağlantıyı açık tutması istenir.
5. HTTP Sel
Bunlar, uygulama katmanı DDoS saldırılarının en yaygın tiplerindendir. Burada, suçlu bir web sunucusu veya uygulama ile normal görünen etkileşimlerde bulunur.
Tüm bu etkileşimler normal bir kullanıcı aktivitesi gibi görünen web tarayıcılardan gelse de, sunucudan mümkün olduğunca çok kaynak tüketmek üzere düzenlenmiştir.
Saldırganın yaptığı istek, belgeler veya resimler için URL’leri GET istekleriyle çağırmaktan sunucunun bir veritabanına çağrıları işlemesi için POST isteklerini yapmaya kadar her şeyi içerebilir.
DDoS saldırı hizmetleri sıklıkla karanlık ağda satılmaktadır.
DDoS Saldırısını Nasıl Tespit Edebilirsiniz
DDoS saldırıları, sıklıkla erişilebilirlik sorunlarına yol açabilecek zararsız şeyler gibi gelebilir. Örneğin, bir sunucunun ya da sistemin çökmesi, gerçek kullanıcılardan çok fazla istek ya da bazen kesilen bir kablo gibi gözükebilir. Bu yüzden, ne olduğunu belirlemek için trafiği her zaman analiz etmeniz gerekecektir.
Eğer bir DDoS saldırısının kurbanı olduysanız, sunucunuzun bu baskı altında çökmesine neden olan gelen trafikte ani bir artış fark edeceksiniz. Ayrıca, bir DDoS saldırısı altında olan bir web sitesini ziyaret ederseniz, site son derece yavaş yüklenir veya 503 “hizmet kullanılamıyor” hatası gösterir. Saldırı durdurulana kadar muhtemelen o siteye erişemeyeceksiniz.
DDoS saldırılarının belirtileri
Bir sitenin ya da servisin yavaşlaması, bir DDoS saldırısının en bariz belirtisidir. Bir DDoS saldırısının yaygın belirtileri şunlardır:
- Yerel ya da uzaktaki dosyalara yavaş erişim
- Uzun bir süre boyunca belirli bir web sitesine erişememe
- Belli bir kaynaktan veya IP adresinden gelen yoğun trafik
- Benzer davranış, cihaz tipi, web tarayıcısı ve konumu belirten kullanıcılardan gelen trafik yoğunluğu
- Bir sayfaya gelen isteklerde ani ve anormal bir artış
- Tüm web sitelerine erişimde sorunlar
- Büyük miktarda istenmeyen e-posta
- İnternetin kesilmesi
Meşru bir trafik artışı da performans sorunlarına neden olabilir, ama bu tür durumlarda daha fazla araştırma yapmak esastır. Özellikle trafik anormal göründüğünde bir analiz yapılmalıdır.
Örnek: Bir online mağaza, Black Friday indirimlerinden hemen sonra, Noel vb. zamanlarda trafikte bir artış yaşarsa… Yukarıda bahsedilen belirtilerin dışında, DDoS saldırılarının saldırı türüne bağlı olarak özgün belirtileri vardır.
Ayrıca, bir botnet bilgisayarınızı bir DDoS saldırısını gerçekleştirmek için kullanırsa, aşağıdaki uyarı işaretlerini gösterecektir.
- Ani bir performans düşüşü
- Sistem çökmesi
- Sık sık hata mesajları
- Son derece yavaş internet hızı
DDoS Saldırılarına Karşı Kendinizi Nasıl Korursunuz
Bir DDoS saldırısından korunmak zorlu bir görev olabilir. Kuruluşların, bu tür saldırılara karşı savunma ve önlemlerini iyi planlaması gerekmektedir.
Zayıf yönlerinizi belirlemek, her koruma stratejisinin anahtar ve ilk adımıdır. Bunun dışında, aşağıda bahsedilen adımlar bir kuruluşun saldırı yüzeyini azaltmasına ve bir DDoS saldırısı tarafından verilen zararı hafifletmesine yardımcı olacaktır.
- ISP sağlayıcınıza bilgi vererek, yedek bir ISP bulundurarak ve trafiği yönlendirerek hızlı hareket edin.
- İlk savunma hattı olarak sahte trafiği reddetmeye yardımcı olacak şekilde güvenlik duvarlarını ve yönlendiricileri yapılandırın.
- En son güvenlik yamalarına sahip bir antivirüs veya güvenlik yazılımı yükleyerek bireysel bilgisayarları koruyun.
- Uygulama mimarisini ve uygulamasını analiz edin. Uygulama, kullanıcı eylemlerinin sistem kaynaklarını tüketmemesi veya uygulama bileşenlerini aşırı tüketmemesi için uygulanmalıdır.
- Ağ trafiğini izleyerek ağ trafiğinde beklenmeyen artışlarda uyarı alın. Bu, ağa hedeflenen DoS saldırılarını belirlemenize yardımcı olacaktır. Trafik kaynağını analiz ederek ek bilgi edinebilirsiniz.
- Sık sık sağlık kontrolü yaparak sistem sağlığını ve tepkiselliğini izleyin, böylece sisteme hedeflenen DoS saldırılarını tanıyabilirsiniz.
- Uygulama bileşenlerinde sık sık sağlık kontrolleri yaparak uygulama sağlığını ve tepkiselliğini değerlendirin. Bu, uygulamaya hedeflenen DDoS saldırılarını tanımlamanıza yardımcı olabilir.
- Bir hafifletme planı oluşturun. Farklı DDoS saldırı türleri, farklı hafifletme stratejileri gerektirir. Birçok sağlayıcı artık DDoS saldırılarını önlemek için stratejiler ve mekanizmalar sunmaktadır. Bu nedenle, sağlayıcınızın stratejilerinin ve mekanizmalarının ihtiyaçlarınıza iyi uyup uymadığını göz önünde bulundurun.
Ayrıca, internet güvenlik alışkanlıklarını benimsemek, cihazlarınızın botnetlerde kullanılmasını önleyecektir.
Güçlü şifreler kullanın
Tüm hesaplarınız için uzun, benzersiz ve tahmin etmesi zor şifreler kullanın. Ayrıca, şifrelerinizi cihazlarınız arasında güvenli bir şekilde saklamak ve senkronize etmek için bir şifre yöneticisi kullanabilirsiniz.
Güncel yazılım kullanın
Güncel olmayan yazılımlar, hackerların sisteminize girmesi için dolu doludur. Bu yüzden yazılımlarınızı sürekli güncelleyin ve yazılım satıcıları tarafından olabildiğince hızlı bir şekilde yayınlanan güncellemeleri ve yamaları yükleyin. Bu güncellemeler genellikle çeşitli güvenlik açıklarını ele almak için oluşturulmuştur.
Garip bağlantılara ve eklerine dikkat edin
Siber suçlular, kötü amaçlı bağlantılar veya ekler içeren e-postalarla size zararlı yazılımlarını indirtmeye çalışır. Eğer göndereni tanımıyorsanız bu tür e-postalarla ilgilenmeyin. Ayrıca, e-posta eklerini zararlı yazılım için kontrol etmek üzere bir e-posta güvenlik aracı kullanabilirsiniz.
Bir güvenlik duvarı kullanın
Bir güvenlik duvarı, yetkisiz kaynaklardan gelen erişimi engelleme yeteneğine sahiptir. Dahası, akıllı bir güvenlik duvarı, botnet zararlı yazılımıyla makinelerinizi enfekte etmeye çalışırlarsa hackerların makinelerinizle iletişim kurmasını önleyebilir.
Sonuç
DDoS saldırıları, bir web sitesinin veya çevrim içi hizmetin belirli bir süre ya da süresiz olarak kullanılamaz hale getirilmesi için izinsiz kişilere bir yol sağlar.
Bunlar karmaşıklık açısından büyük ölçüde farklılık gösterir ve hedeflenen işletmelere veya kuruluşlara ciddi zarar verebilir. Bu nedenle, çevrim içi işletmeler ve kuruluşlar, DDoS saldırılarını hafifletmek ve sistemlerini güvence altına almak için her türlü adımı atmaları gerekir.
Bu makale ayrıca DDoS saldırılarına karşı nasıl korunacağınıza dair içgörüler de sunmaktadır. DDoS saldırıları, bir web sitesini ya da çevrim içi hizmeti, sunucusunun ya da ağının kaldırabileceğinden daha fazla trafikle boğarak kullanıcılara erişilemez hale getirmeyi amaçlar.
Bu saldırıların etkileri, finansal kayıptan müşteri güvenine verilen zarara kadar değişebilir. Bu tür saldırılara karşı savunma yapabilmek için, kuruluşların zayıf yönlerini belirlemeleri, güvenlik duvarları ve yönlendiricileri yapılandırmaları, ağ trafiğini izlemeleri ve bir hafifletme planı geliştirmeleri gerekir.
Güçlü şifreler ve güvenlik duvarları gibi internet güvenlik alışkanlıklarını benimsemek, cihazların botnetlerde kullanılmasını da önleyebilir.
Sık Sorulan Sorular
Siber Güvenlik profesyonelleri neden DDoS saldırıları konusunda endişe etmelidir?
DDoS saldırıları, kritik çevrim içi kaynakların erişilebilirliğine ağır zarar verebilir ve ağda diğer yasadışı faaliyetleri gerçekleştirmek için aldatıcı bir mekanizma olarak hareket edebilir.Geleneksel siber güvenlik filtreleme yöntemleriyle DDoS saldırılarını önlemek neden zordur?
DDoS saldırıları, birden fazla sistemi kullanarak dağıtılmış bir doğada gerçekleştirildiğinden, belirli bir aygıtı kapatarak kötü amaçlı trafiği engellemek zordur.
DDoS saldırısında bir botnet’in rolü nedir?
Botnetler, bazen bot veya zombi olarak adlandırılan, siber suçlular tarafından kontrol edilen bozulmuş cihazların ağlarıdır. Bu bozulmuş cihazlar masaüstü bilgisayarları, dizüstü bilgisayarları, sunucuları ve IoT cihazlarını içerebilir. Saldırganlar, bu makinelerle iletişim kurar ve bir şirketin altyapısını boğmak için kötü amaçlı trafiğin dağıtılmış kaynaklarını oluşturmak için bunları birleştirirler.