DDoS Saldırıları
Last updated
Last updated
DDoS (Distributed Denial of Service) saldırıları, internet üzerindeki bir hizmetin her zaman devam eden işlevselliğini bozmak veya erişilemez hale getirmek için yapılan bir tür siber saldırıdır. Bu makalede, DDoS saldırıları ile ilgili birçok konuya değineceğiz.
DDoS saldırıları, bir hizmeti sağlayan sunucuya aşırı miktarda trafik göndererek kaynakları tüketme veya ağ bağlantısını aşırı yükleyerek erişimi engelleme amacını taşır. Bu saldırılar genellikle bot ağları veya dağıtılmış bilgisayarlar aracılığıyla gerçekleştirilir. Her sistemin kaldırabileceği bir ağ trafiği hacmi vardır. Sistemin sahip olduğu bu ağ trafiği hacmine saldırganlar tarafından hacmi aşacak şekilde trafik yüklenildiğinde sistem hizmetleri yavaşlamakta hatta sistemin verdiği hizmetler bu saldırılar sonucunda tamamen durmaktadır.
DDoS saldırılarını gerçekleştirmek için zombi adı verilen cihazlardan oluşan büyük bir ağ bizi karşılamaktadır yani BotNetler kullanılmaktadır. Bu zombi cihazlar, internet korsanları tarafından ele geçirilmiş elektronik cihazlardır ve saldırganların saldırı yapmak istediği amaç doğrultusunda kullanılırlar. DDoS saldırıları, istenilen başarılı sonuca ulaşmakta DoS saldırılarına göre daha başarılıdır. Birden fazla kaynaktan hedefe doğru gerçekleştirildiği için de ana kaynağı tespit etmek oldukça zorlaşmaktadır.
İlk DoS saldırısı 1974’te bir lise öğrencisi tarafından gerçekleştirilirken, ilk DDoS saldırısı ise 1999’da Minnesota Üniversitesi'ne karşı Trinoo adlı araç kullanılarak gerçekleştirilmiştir. DoS ve DDoS saldırılarıyla amaçlanan sisteme sızıp sisteme karşı bir tahribat oluşturmak değil, tam tersi sistemin verdiği hizmetleri aksatmaktır ya da tamamen durdurmaktır. Saldırı hedefi olan kurum, hizmet veremediği süre boyunca maddi ve manevi olarak zarara uğrar. Uluslararası siber savaşlarda da sıklıkla kullanılan saldırılardır. Günümüzde çok kolay bir şekilde yapılabilir hale gelmiştir. Kolayca ulaşılabilen, basit araçlarla bu saldırılar gerçekleştirilebilir.
DoS saldırılarında, saldırganlar genellikle tek bir bilgisayar veya sunucu üzerinden hedefe saldırırlar. DDoS saldırılarında, saldırganlar genellikle Botnet adı verilen bir ağdaki birçok farklı bilgisayarı veya cihazı kullanırlar.
Makalenin başında da söylediğimiz gibi DDoS saldırıları, bir hedefi büyük miktarda trafik veya taleple boğarak, hedefin kullanıcı trafiğini kaldıramaz hale getirerek çalışır. DDoS saldırılarının arkasındaki temel prensipler aşağıdaki şekildedir:
Bilgisayar korsanı ilk olarak, genellikle “Botnet” olarak adlandırılan, güvenliği ihlal edilmiş ve Botnet ağına dahil olan bilgisayarlardan oluşan bir ağ oluşturur veya bu ağ üzerinde kontrol iznine sahibi olur. Bu ele geçirilmiş cihazlar normal bilgisayarlar, sunucular, Nesnelerin İnterneti (IoT) cihazları ve hatta mobil cihazlar dahil olabilir. Ele geçirilen cihazlara genellikle bilgisayar korsanının bu cihazları uzaktan kontrol etmesini sağlayan kötü amaçlı yazılımlar bulaştırılır ve dediğimiz gibi ele geçirdiği bu cihazlarla bir ağ oluşturur.
Bilgisayar korsanı, Botnet’te dahil olan cihazlarla iletişim kurmak için yani onları kontrol edebilmek için bir komuta ve kontrol (C&C) altyapısı kullanır. Bu altyapı, bilgisayar korsanının DDoS saldırılarını takip etmesini ve koordine etmesini sağlar.
Botnet kurulduktan sonra bilgisayar korsanı, ele geçirilen cihazlara hedefe bir trafik veya istek yığını göndermeleri komutunu verir. Bu trafik yığını HTTP talepleri, UDP veya TCP paketleri ve hatta DNS sorguları gibi çeşitli şekillerde olabilir. Trafik hacmi genellikle hedefin hacminden çok daha fazladır ve hedefin ayakta kalmasını yani çalışmasını zorlar.
Http talepleri nedir diye merak edecek olursak https://docs.yavuzlar.org/protokoller/http-https adresinden HTTP/HTTPS adlı makalemizi okuyabilirsiniz.
UDP Nedir?: UDP, uygulamaların veri aktarımında kullandığı protokollerden biridir. Yaratılan UDP paketleri IP tarafından kapsüllenir ve IP ortamında taşınır. UDP paketlerini taşımak için önceden bir bağlantı kurulmasına gerek duyulmaz
TCP Nedir?:
Bağlantı temelli bir protokol olan TCP’de kullanıcı verisi taşınmadan önce bağlantı kurulması gerekir. Protokol, ulaşım katmanında uçtan-uca güvenilir bir ortam yaratmayı amaçlar. Ortamın güvenilirliği, kaybolan paketlerin tekrar gönderilmesini temel alır.
DNS Nedir?:
DNS, “Domain Name System” tabirinin kısaltmasıdır. Söz konusu terimin Türkçe karşılığı ise “alan isimlendirme sistemi”dir. Bir diğer ifade ile; "DNS, internetin telefon rehberidir" diyebiliriz. DNS, isimlerin IP’ye dönüştürülesi maksadıyla kullanılan ve 256 karaktere kadar da büyüyebilen bir sistemdir.
Bir web sitesi, yoğun trafik talebiyle dolup taşar. Sonuç olarak, hedefin sunucuları, bant genişliği veya diğer kaynakları tükenir ve dışarıdaki kullanıcılar ya da hizmetin sahibi biraz önce çalışmış durumda olan ve DDoS saldırısı düzenlenerek yavaşlatılmış ya da durdurulmuş bir hizmete veya web sitesine erişmesi zorlaşır ya da erişemez.
Birden fazla ele geçirilmiş cihaz (Botnet) hedefin durdurulmasında ya da hizmetin aksamında kritik önem taşır. Bilgisayar korsanı, siber saldırıyı çok sayıda cihaza dağıtarak hedefin hacmini aşan oldukça fazla bir trafik yığını oluşturabilir. Saldırı trafiği, ele geçirilmiş cihazlara ilişkili çeşitli IP adreslerinden geliyor gibi göründüğünden, tek bir kaynağı engelleyerek saldırıyı durdurmak zorlaştırır ve saldırganı bulmak anlaşılacağı üzere oldukça zorlaşır.
Genel olarak DDoS saldırıları, bir Botnet’in gücünü kullanarak hizmetleri durdurmak amacıyla hedefin altyapısındaki güvenlik açıklarından faydalanır ve dışarıdaki kullanıcıların yada hizmet sahibinin hizmetten yararlanmaması için çevrimiçi hizmetlerde ve web sitesi kullanılabilirliğinde aksamalara ve durdurulmasına neden olur.
Bir DDoS saldırısının hedefi her zaman sistemi aksatmak ya da durdurmak olsa da, hedefe ulaşmak için kullanılan atak stratejileri farklılık gösterebilir. DDoS saldırı türleri 3’e ayrılır:
Volumetrik DDOS saldırıları en çok kullanılan ve etkili olanlarıdır. Hedef kuruluşun hacmini yani kaynaklarını tüketmek için hedef ağı oldukça fazla bir ağ trafiğiyle zorlar. Bu saldırılarda, saldırganın bir kuruluşu hedef almak için bot olarak bilinen çok sayıda ele geçirilmiş cihazlarla kullanması yaygındır.
User Datagram Protokolü (UDP) ve İnternet Kontrol Mesajı Protokolü (ICMP) Floodları volumetrik saldırıları gerçekleştirme de baya yaygın kullanılmaktadır. UDP ve ICMP, bütünlük kontrolleri olmadan hızlı veri iletimine izin veren bağlantısız protokollerdir bu da onları saldırganlar için başlıca suistimal araçları haline getirir.
Bir başka yaygın volumetrik saldırı da Alan Adı Sistemi (DNS) Flood’udur. Bu, saldırganın belirli bir etki alanının DNS sunucularına taşarak o etki alanı için DNS çözümlemesini bozması ve hizmetlerin normal trafiğe yanıt vermesini engellemesi durumunda ortaya çıkar. DNS Flood saldırılarını normal yoğun trafikten ayırt etmek zor olabilir çünkü büyük hacimli trafik genellikle etki alanındaki kayıtları sorgular ve normal trafik olarak görünür.
Flood Nedir?: Kelime anlamı olarak bakacak olursak Flood; basmak, akın etmek veya istila etmek gibi anlamlara gelmektedir. Yani buradaki DNS Flood saldırısı birden çok istek göndermesidir.
Uygulama katmanı, sunucunun gelen bir istemci isteğine yanıt oluşturduğu yerdir. Örneğin, bir kullanıcı tarayıcısında https://example.com/redteam/ adresini girerse, sunucuya /redteam/ sayfasını talep eden bir HTTP isteği gönderilir. Sunucu sayfayla ilgili tüm bilgileri alır, bir yanıtta paketler ve tarayıcıya geri gönderir.
Bu bilgi getirme ve paketleme işlemi uygulama katmanında (Layer 7) gerçekleşir. Uygulama katmanı saldırısında, bir bilgisayar korsanı farklı botlar/makineler kullanarak sunucudan aynı kaynağı tekrar tekrar talep ettiğinde ve sonunda sunucuyu zorladığında meydana gelir.
Uygulama katmanı saldırılarının en yaygın türü, kötü niyetli saldırganların farklı IP adresleri kullanarak bir sunucuya çeşitli HTTP istekleri göndermeye devam ettiği HTTP Flood saldırılarıdır. Bunun bir örneği, bir sunucudan tekrar tekrar PDF belgeleri oluşturmasını istemesidir. IP adresi ve diğer tanımlayıcılar her istekte değiştiğinden, sunucu saldırıya uğradığını tespit edemez.
Protokol saldırıları, belirli bir hedef ağın veya hizmetin tüm hacmini yani kaynaklarını, art arda çok sayıda hatalı bağlantı isteği göndererek kaynağını tüketmeyi amaçlar. SYN Flood, yaygın bir protokol saldırısıdır.
İki bilgisayar arasında bağlantı kuran normal bir üç yönlü el sıkışmada (Three-Way Handshake), istemci bilgisayar, ana bilgisayara bir SYN isteği gönderir. Ana bilgisayar SYN isteğini bir SYN-ACK iletisi göndererek onaylar ve ardından istemci bilgisayar ana bilgisayarla bağlantı kurmak için bir ACK iletisi göndererek SYN-ACK’yi onaylar. SYN Flood’da, sahte bir IP adresi kullanılarak hedeflenen bir sunucudaki her porta çok sayıda SYN paketi gönderilir. Ana bilgisayar bir SYN-ACK ile yanıt verir ancak ilk SYN paketleri sahte olduğu için istemciden yanıt gelmez.
Sonunda, ana bilgisayarın bağlantı noktaları yarı açık bağlantılarla dolup taşar ve normal bağlantı istekleri reddedilir. SYN flood’lara ek olarak, Ping of Death ve Smurf DDOS da dahil olmak üzere bir dizi benzer protokol saldırısı uygulanabilir. Protokol saldırıları güvenlik duvarları, yük dengeleyiciler ve sunucular gibi ağ ekipmanlarının işlem kaynaklarını tüketir ve genellikle saniye başına paket olarak ölçülür.
Ping Of Death: Saldırganın basit bir ping komutu ile büyük boyutlu ping paketleri kullanarak, hedef sistemi çalışamaz duruma getirdiği saldırılardır.
Smurf DDOS: Bir Smurf saldırısı, bilgisayar ağlarını çalışmaz hale getiren bir tür dağıtılmış hizmet reddi (DDoS) saldırısıdır. Smurf programı bunu İnternet Protokolü (IP) ve İnternet Denetim İletisi Protokolü (ICMP) güvenlik açıklarından faydalanarak yapar.
Yürütülmesi çok basit ama etkileri çok büyük olan DDoS saldırılarının bugüne dek bilinen en büyük ve en yıkıcı örneklerini şu şekilde sıralayabiliriz:
MafiaBoy – Şubat 2000‘de, çevrimiçi MafiaBoy adını kullanan 15 yaşındaki Kanadalı Michael Calce çok sayıda bilgisayarı bir Botnet’e bağlayarak bir dizi üniversite ağını ele geçirmeyi başarmış ve Yahoo!, eBay, Amazon, CNN, Dell, Fifa gibi bazı büyük web sitelerini çökerten DDoS saldırıları düzenlemiştir. Calce, tutuklanmış ve para cezasına çarptırılmıştır.
Estonya – Nisan 2007‘de Estonya, ülkedeki tüm çevrimiçi hizmetlerin yanı sıra parlamento, bankalar, bakanlıklar ve medyayı hedef alan bir dizi DDoS saldırısına maruz kalmıştır. Estonya DDoS saldırısının, Rusya ile siyasi bir çatışmaya yanıt olarak geldiği ve ülkeler arası siber savaşın ilk ve en büyük örneklerinden biri olduğu düşünülmektedir.
Spamhaus – Mart 2013, spam e-postaların %80’ini kaldıran, sektör lideri bir web güvenlik şirketi Spamhaus’a yönelik o zamana kadarki en büyük DDoS saldırısının gerçekleştiği tarih olarak bilinir. Neredeyse iki hafta süren ve saniyede 300 gigabit trafik gönderildiği tahmin edilen saldırıda, İngiltere genelinde ağ kesintileri yaşanmıştır.
Mirai / Dyn – Avrupa ve Kuzey Amerika’nın büyük bir bölümünde çok sayıda çevrimiçi hizmeti Ekim 2016‘da çökerten Mirai botnet; haber siteleri, Spotify, Reddit, Twitter, PlayStation Network gibi birçok dijital hizmetin yavaşlamasına ya da tamamen erişilemez hale gelmesine neden olmuştur. Kameralar, yönlendiriciler, akıllı TV’ler ve yazıcılar dahil milyonlarca IoT cihazının kontrolünün ele geçirilmesinin söz konusu olduğu saldırıdan kaynaklanan kesintiler bir gün kadar sürmüştür. Saldırı; Netflix, PayPal, Visa, Amazon ve The New York Times dahil olmak üzere birçok büyük şirketin ağ altyapısı için çok önemli olan büyük DNS sağlayıcısı Dyn’i hedef almıştı.
Google Amplification – 2020 yılına kadar kamuya açıklanmamış olan saldırı, 2017‘de Google’ın binlerce IP’sini çeşitli tekniklerle hedef almış ve yaklaşık altı ay sürmüştür. Saldırı, bir yıl önceki Mirai botnet’in rekor kıran 623 Gbps’lik saldırısından dört kat daha büyüktü.
GitHub – Milyonlarca geliştirici tarafından kullanılan popüler bir çevrimiçi kod yönetimi hizmeti olan GitHub Şubat 2018‘de, Botnetleri içermeyen büyük bir hacimsel saldırının hedefi oldu. Saldırganların, Memcached olarak bilinen veri tabanı önbelleğe alma sisteminden gelen bir komuttaki güvenlik açığından yararlandığı saldırı, DDoS karşıtı sistemler sayesinde 10 dakika içinde tespit edilebilmiş ve 20 dakika içinde hafifletilmiştir.
Amazon Web Servisleri (AWS) – GitHub saldırısının rekorunu kıran bu DDoS atağı, Şubat 2020‘de gerçekleştirilen devasa bir DDoS saldırısıdır. Saldırganlar, Connectionless Lightweight Directory Access Protocol (CLDAP) Reflection, adlı bir teknik kullanarak bir AWS müşterisini hedef almıştır. Bu teknik savunmasız üçüncü taraf CLDAP sunucularına dayanır ve kurbanın IP adresine gönderilen veri miktarını 56 ila 70 kat artırır. Söz konusu saldırı üç gün sürmüş ve saniyede 2,3 terabayt gibi şaşırtıcı bir hızla zirveye ulaşmıştır. Saldırının, AWS müşterilerinin potansiyel gelir kaybı ve marka değerlerinin zarara uğraması üzerinde önemli etkileri olmuştur.
Ünlü DDoS saldırılarını sıraladık bu da bize şu fikri doğuruyor. DDoS saldırılarının işletmelere ve kuruluşlara vermiş olduğu olmuz etkileri biraz da bunları madde madde sıralayalım.
Hizmet Kesintisi: DDoS saldırıları, kuruluşların web sitelerine veya çevrimiçi hizmetlerine erişimi durdurarak veya önemli ölçüde yavaşlatarak hizmet kesintilerine neden olabilir. Bu, müşterilerin veya kullanıcıların hizmetlere erişimini zorlaştırır ve kuruluşların müşteri memnuniyetini olumsuz etkiler.
Maddi Zararlar: Hizmet kesintileri, işletmelere doğrudan maddi zararlar verebilir. Özellikle e-ticaret siteleri veya çevrimiçi hizmet sunan kuruluşlar için, erişim kesintileri satış kayıplarına ve gelir kaybına yol açabilir. Ayrıca, saldırıları önlemek veya sonlandırmak için alınan ek önlemler de maliyetli olabilir.
İtibar Kaybı: Müşterilere veya kullanıcılara hizmet verememek veya sürekli olarak erişim sorunları yaşamak, kuruluşların itibarını olumsuz etkileyebilir. Müşteriler, güvenilirlikleri konusunda endişe duyabilir ve başka hizmetlere yönelebilirler.
Veri Kaybı veya Hırsızlığı Riski: DDoS saldırıları, işletmelerin dikkatini dağıtarak, diğer siber saldırılara karşı savunmasız hale getirebilir. Bu, veri hırsızlığı veya veri kaybı riskini artırabilir.
Operasyonel Verimlilik Azalması: Saldırıların devam etmesi durumunda, kuruluş içindeki operasyonlar gecikmeye başlayabilir. İşletmeler, saldırılara yanıt vermek ve durumu düzeltmek için personel ve kaynaklarını yoğun bir şekilde kullanmak zorunda kalabilirler. Bu da normal iş akışını ve verimliliği olumsuz etkiler.
Uzun Vadeli Güvenlik Zayıflığı: DDoS saldırıları, kuruluşların ağ altyapısını test edebilir ve güvenlik açıklarını ortaya çıkarabilir. Saldırganlar, DDoS saldırılarını bir dikkat dağıtma taktiği olarak kullanarak, kuruluşların dikkatini gerçek saldırılardan uzaklaştırabilir ve bu sırada gerçek güvenlik zayıflıklarını sömürmeye çalışabilirler.
Bu etkilerin hepsi bir araya geldiğinde, DDoS saldırıları işletmeler için ciddi bir tehdit oluşturabilir ve hızlı ve etkili bir yanıt gerektirir.
Dağıtılmış Hizmet Reddi (DDoS) saldırısını tespit etmek zor olabilir, çünkü saldırı trafiği temel olarak birden çok kaynağa dağılır ve bu da doğal olarak saldırının kaynağının belirlenmesini zorlaştırır. Bununla birlikte, DDoS saldırılarını tespit etmek ve azaltmak için kullanılabilecek birkaç yöntem vardır. Bunlar aşağıdaki şekilde olabilir.
Ağ trafiği kalıplarını izleyerek ve anormal trafik hacim veya kalıplarını arayarak bir DDoS saldırısını tespit etmek mümkün olabilir. Örneğin, belirli bir IP adresinden veya ağdan gelen trafiğin aniden normalden çok daha yüksek olması, bir DDoS saldırısına işaret edebilir.
İzinsiz giriş tespit sistemleri (IDS) ve saldırı önleme sistemleri (IPS) gibi ağ izleme araçları, ağ trafiğini gerçek zamanlı olarak analiz ederek ve güvenlik ekiplerini potansiyel tehditlere karşı uyararak DDoS saldırılarını tespit etmeye ve engellemeye yardımcı olabilir.
Ağdaki bireysel kullanıcıların veya cihazların davranışlarını analiz ederek bir DDoS saldırısının belirtilerini tespit etmek mümkün olabilir. Örneğin, belirli bir cihaz belirli bir sunucuya çok sayıda istek oluşturuyorsa, bu bir siber saldırının göstergesi olabilir.
Ağ akış verilerini analiz ederek, bir DDoS saldırısının göstergesi olan kalıpları tespit etmek mümkün olabilir. Örneğin, belirli bir sunucuya çok sayıda paket gönderiliyorsa, bu bir siber saldırının göstergesi olabilir.
İçerik dağıtım ağlarında (CDN’ler), DDoS koruma hizmetleri ve güvenlik duvarları gibi DDoS saldırılarını azaltmaya yardımcı olabilecek çeşitli araç ve hizmetler mevcuttur. Bu araçlar, kötü amaçlı trafiği filtreleyerek ve engelleyerek meşru trafiğin geçmesine izin vererek çalışır.
CDN Nedir?: CDN, bir web sitesinin içeriğini en düşük ağ ve işlem gecikmesi ile yani en hızlı bir şekilde kullanıcılara ulaştırmak üzere coğrafi olarak farklı bölgelerde konumlandırılmış sunucu kümesine verilen isimdir.
Maalesef ki, DDoS saldırılarının kurbanıysanız bu durumdan korunmanın kesin ve kalıcı bir çözüm yolu yoktur. Ancak kurban olma ihtimalini ve saldırı etkilerinin azaltılmasını sağlayabilecek bazı teknikler bulunmaktadır.
İşletmeler açısından öncelikle çalışılan ağ altyapısının iyi tasarlanmış olması ve ilgili personelin sistem ve TCP/IP bilgisinin üst düzey olması korunma önlemlerinin başında gelmektedir.
Hedef sistemlere gönderilen paketler ilk olarak Router’dan geçer ve diğer sistemlere iletilir. Bu özelliğiyle Router’lar saldırı ile ilk karşılaşan sistemlerdir ve Router’lar üzerinde alınacak önlemler saldırının ilk andan karşılanması açısından oldukça önem arz etmektedir. Router’lar üzerinde gerçekleştirilecek bazı ayarlamalar ve saldırı esnasında gelen paketlere yönelik özellikler belirlenebilir ise oluşturulacak erişim kontrol listesi ile saldırılar engellenebilir ya da etkisi azaltılabilir.
Güvenlik Duvarı Düzeyinde Koruma
Güvenlik duvarı seviyesinde alınabilecek önlemler arasında "Rate Limiting" özelliğinin kullanılması öne çıkar. Eğer ilgili cihaz bu özelliği destekliyorsa, Rate Limiting ile belirli bir IP adresinden gelecek olan maksimum paket sayısı belirlenerek, maksimum değeri aşan IP adreslerinin trafiği engellenebilir. Bu, ağa yönelik potansiyel saldırıları sınırlandırarak, güvenlik duvarının etkinliğini artırır ve hedef sistemleri korur.
Bireysel kullanıcılar açısından bakıldığında ise bu duruma alınabilecek önlemler şu şekilde sıralanabilir:
Sistem güncellemelerinin zamanında ve eksiksiz yapılması
Anti virüs programları kullanılması
Güvenlik duvarının aktif biçimde kullanılması
Güvenli e-posta trafiği için gereken filtrelerin kullanılması ve spam trafiğin engellenmesi
DDoS saldırıları, internet üzerindeki kuruluşlar için ciddi bir tehdit oluşturmaktadır, çünkü hizmet kesintilerine, maddi zararlara ve itibar kaybına yol açabilirler. Bu saldırıların tespiti ve önlenmesi için çeşitli teknik önlemler alınabilir, ancak tamamen önlenebilir olmadıkları unutulmamalıdır. İşletmeler için router ve güvenlik duvarı seviyesinde koruma önlemleri almak önemlidir, ayrıca bireysel kullanıcılar da güvenlik yazılımları ve güncel sistemlerle kendilerini koruyabilirler. Sonuç olarak, hızlı ve etkili bir yanıt stratejisi oluşturmak ve gerektiğinde internet servis sağlayıcısından destek almak, DDoS saldırılarının etkilerini en aza indirmek için kritik öneme sahiptir.