DDos nedir? Nasıl önlenir?

75

Son yıllarda siber saldırılar, milyonlarca internet kullanıcısını ve yüzbinlerce web sitesini etkileyerek önemli bir tehdit kaynağı olduklarını göstermişlerdir. Bilgi sızdırmak, kar sağlamak, politik amaçlar ve hatta keyfi istekler gibi pek çok farklı sebeple gerçekleşen bu saldırıların en önemlilerinden birisi de 2017 yılında sayısı 10 milyona ulaşması beklenilen DDoS saldırılarıdır. Bu yazımızda DDoS saldırıları nedir? Nasıl gerçekleştirilir? ve Nasıl engellenir? sorularını sizler için yanıtladık.

DDoS Nedir?

DDoS (Distrubuted Denial of Service Attack) en yalın tanımıyla, web siteleri, e-posta sistemleri, online ödeme sistemleri gibi sistemlerin karşılayabileceğinin çok üzerinde sahte bir yoğunluk yaratılması ya da hedef sistemin kaynaklarının yüksek oranlarda tüketilmesi ile sitelerin yayınını engellemek ve işlevsiz kılmak için gerçekleştirilen siber saldırılardır. DDoS saldırılarında temel amaç bilgi sızdırmak ya da kar sağlamak değil, saldırı geçekleştirilen hedef sistemin çalışamaz hale gelmesine neden olmaktır.

DDoS saldırıları genel çerçevede “zombi” makineler kullanılarak oluşturulan “botnetler” ile gerçekleştiriliyor.

Zombi; sahibinin haberi olmadan, virüs ya da trojen ile ele geçirilmiş ve çeşitli amaçlar için kullanılan bilgisayar sistemleridir. Zombi bilgisayarların oluşturulmasının temel nedenleri; saldırganların gizlenerek, kendilerini tehlikeye atmadan işlem gerçekleştirmek ve saldırı ağlarını güçlendirmek istemeleridir. Bu sebepler ile zombiler, DDoS saldırıları için önemli bir kaynak oluşturmaktadır.

Botnet ise zombiler kullanılarak oluşturulan sanal bilgisayar orduları olarak tanımlanabilir. Botnet’ler istenmeyen e-posta gönderimi, virüs ve zararlı yazılım yaymak, siber saldırılarda kullanılmak gibi amaçlar için oluşturulmakta ve DDoS saldırılarında ara eleman olarak kullanılmaktadırlar.

DDoS Belirtileri Nelerdir?

Artık günümüzde normalin dışında gerçekleşen her türlü data trafiğini DDoS olarak adlandırabiliriz. Ağır çalışan ya da hiç çalışmayan web siteleri DDoS saldırısının nedeni olabilir. Aşırı network kullanımı ise DDoS saldırılarının en büyük belirtisidir.
Bunların yanı sıra yine aşırı UDP, SYN ve GET/POST Request’ler de genellikle DDoS saldırılarının belirtileri arasında gösterilebilir.

DDoS Türleri Nelerdir?

DDoS saldırılarını genel olarak 3 ana gruba ayırabiliriz. Bunlar;

Volume Based DDoS (Hacim Odaklı Saldırılar): Volume based DDoS %65’lik bir oran ile DDoS saldırıları içerisinde en çok gerçekleştirilen ve en basit şekilde uygulanabilen saldırı türüdür. Volume based DDoS, UDP, ICMP ve diğer sahte paket (spoofed-packet) floodları ile gerçekleştirilmektedir ve amaç, saldırıya hedef olan sistemin bant genişliğini doyurmaktır.

Protocol Based DDoS (Protokol Odaklı Saldırılar): Protokol tabanlı DDoS saldırıları, OSI (Open Systems Interconnection) katmanınında bulunan “katman 3” veya “katman 4’teki” bir zayıflığın kullanılması ile gerçekleştirilmektedir. Syn flood, ping of death, smurf DDoS ve daha fazla çeşit saldırıyı içeren protokol tabanlı DDoS saldırılarının en yaygın örneği TCP Syn flood’dur.

Application Layer DDoS (Uygulama Katmanlı Saldırılar): Düşük ve yavaş saldırılar, GET / POST flood’ları, Apache, Windows veya OpenBSD güvenlik açıklarını ve daha fazlasını hedefleyen saldırıları içeren diğer DDoS türlerine oranla daha sofistike, tespit edilmesi ve hafifletilmesi zor olan DDoS türüdür.

Daha alt kategorilerde ele aldığımızda ise bazı DDoS türlerini aşağıdaki gibidir;

SYN Flood DDoS: SYN flood saldırılar, spesifik olarak baktığımızda günümüzde en sık karşılaşılan DDoS saldırı türü olarak karşımıza çıkmaktadır. SYN flood saldırılarında amaç, hedef alınan sisteme kapasitesinin üzerinde SYN bayraklı TCP paket göndererek sistemin kaynaklarının çalışamaz hale gelmesine neden olmaktır. Bu özelliğiyle de genellikle web sunuculara yönelik gerçekleştirilmekte ve web sayfalarının hizmet vermesi engellenmektedir.

SYN flood saldırısı alıp almadığınızı anlamak için Linux ve Windows işletim sistemlerinde “Netstat –an –p tcp” komutunu kullanabilirsiniz. Bu komutu çalıştırdığınız zaman çok sayıda “SYN_RECEIVED” satırı olduğunu görüyorsanız yüksek ihtimalle bir SYN flood saldırısına uğruyorsunuzdur.

UDP Flood DDoS: UDP flood saldırılar, bağlantısız ve oturumsuz bir ağ protokolü olan UDP’yi etkileyen ve temel amacı UDP servisini koruyan güvenlik duvarının oturum tablosunun doldurularak erişilemez hale getirilmesi olan DDoS türüdür.

UDP flood saldırılarının işleyişi temelde hedef sistemin rastgele portlarına çok sayıda UDP paketi gönderilmesi prensibine dayanır. Çok sayıda UDP paketine maruz kalan hedef sistem öncelikle portu dinleyen bir uygulamanın olup olmadığını kontrol eder. Her bir kontrol sonrasında portu dinleyen hiçbir uygulama olmadığını gören sistem buna karşılık ICMP (Internet Control Message Protocol) “hedef erişilemez” paketi ile cevap verir. Bu döngü sonunda çok sayıda UDP paketine, çok sayıda ICMP paketi ile karşılık vermek zorunda kalan hedef sistem erişilemez duruma gelir.

Ping of Death (PoD): Bu tür DDoS saldırıları, saldırganın basit bir ping komutu ile hatalı biçimlendirilmiş ya da büyük boyutlu ping paketleri kullanarak, hedef sisteminin çalışma istikrarını bozmak, dondurmak ya da çalışamaz duruma getirmek için gerçekleştirdiği saldırılardır. Ancak ping of death saldırıları, işletim sistemlerinin tümünün karşı önlemler almasıyla birlikte geçerliliğini yitirmiştir.

Ping Flood: ICMP flood olarak da bilinen ping flood saldırılarında temel amaç ping olarak da bilinen ICMP talep paketleri ile hedef sistemin hem giden hem de gelen bant genişliğine aşırı yük bindirerek sistemi çalışamaz hale getirmektir.

Normalde ping istekleri iki bilgisayar arasında ICMP talebi gönderildiğinde, talep ile talebe verilen yanıt arasında geçen zamanı ölçmek için kullanılır. Bununla birlikte bu tarz saldırılarda hedef sisteme yönelik aşırı yük oluşturmak için de kullanılırlar.

Bir ping flood saldırısın uygulanabilmesi, saldırganların hedef sistemlerin IP’lerini bilmesine bağlıdır. Bu nedenle saldırılar, hedefe ve IP adresinin nasıl çözüldüğüne bağlı olarak üç kategoriye ayrılabilir.

  • Yerel bir ağda tek bir bilgisayarın hedef alındığı, lokal hedefli ping floodlar. Bu saldırılarda, saldırganın IP adresini keşfedebilmesi için hedef bilgisayara fiziksel erişimi olması gerekir.
  • Yönlendirici hedefli ping floodlarda, bir ağ üzerinde bulunan bilgisayarlar arasındaki iletişimin kesilmesi amacıyla yönlendiriciler hedef alınır. Saldırganın yerel yönlendiricinin IP adresini bilmesi gerekir.
  • Kör ping floodlarda, saldırı gerçekleştirilmeden önce hedef bilgisayarın veya yönlendiricinin IP adresini ortaya çıkarmak için harici bir program kullanılır.

DDoS’tan Nasıl Korunulur?

Ne yazık ki, DDoS saldırılarının hedefi olmaktan korunmanın kesin ve kalıcı bir çözüm yolu yoktur. Ancak hedef olma ihtimalini ve saldırı etkilerinin azaltılmasını sağlayabilecek bazı yöntemler bulunmaktadır.

Genel olarak yukarda belirttiğimiz DDoS belirtilerinin, sisteminizde yaşandığını düşünüyorsanız erken önlem almanız en iyi savunma yollarından birisi olduğu için oldukça önemlidir. Ancak bu belirtileri sisteminizde yaşanan anlık ve normal performans artış / azalışlarından ayırmak doğru teknoloji ve uzmanlık gerektirmektedir.

İşletmeler açısından ise öncelikle çalışılan network altyapısının iyi tasarlanmış olması ve ilgili personelin sistem ve TCP/IP bilgisinin üst düzey olması korunma önlemlerinin başında gelmektedir.

Bunun haricinde gerçekleştirilecek bazı uygulamalar ile DDoS saldırılarından korunmak ya da saldırı etkisini azaltmak mümkündür.

Router Düzeyinde Koruma

Hedef sistemlere gönderilen paketler ilk olarak router’dan geçer ve diğer sistemlere iletilir. Bu özelliğiyle router’lar saldırı ile ilk karşılaşan sistemlerdir ve router’lar üzerinden alınacak önlemler saldırının ilk andan karşılanması açısından oldukça önemlidir. Router’lar üzerinde gerçekleştirilecek bazı ayarlamalar ve saldırı esnasında gelen paketlere yönelik özellikler belirlenebilir ise oluşturulacak erişim kontrol listesi ile saldırılar engellenebilir ya da etkisi azaltılabilir.

Fakat çoğu paylaşımlı serviste, servis sağlayıcı sorumluluğunda olan router’lar üzerinde kullanıcılar tarafından özel ayar yapılmadığını da hatırlatmak isteriz.

Güvenlik Duvarı Düzeyinde Koruma

Bir diğer uygulama ise güvenlik duvarı düzeyinde alınabilecek önlemlerdir. Bu önlemlerin başında da“rate limiting” özelliğinin kullanılması gelmektedir. Eğer ilgili cihaz bu özelliği destekliyor ise rate limiting ile belirli bir IP adresinden gelecek olan maksimum paket sayısı belirlenerek, maksimum değeri aşan IP’lerin engellenmesi sağlanabilir.

Bireysel kullanıcılar açısından bakıldığında ise;

  • Sistem güncellemelerinin zamanında ve eksiksiz yapılması
  • Anti virüs programları kullanılması
  • Güvenlik duvarının aktif biçimde kullanılması
  • Güvenli e-posta trafiği için gereken filtrelerin kullanılması ve spam trafiğin engellenmesi

gibi basit önlemlerin alınmasında yarar vardır. Bu önlemlere rağmen yine de bir sorun yaşanıldığı düşünülüyorsa internet servis sağlayıcısına başvurulması en doğru çözüm olacaktır.


Article Tags: · · ·

Leave a Comment

Paylaş