DDoS Nedir? Türleri Nelerdir?

Dağıtılmış hizmet reddi (DDoS) saldırısı, toplu olarak botnet olarak bilinen ve hedef web sitesini sahte trafikle boğmak için kullanılan birden çok bağlı çevrimiçi cihazları içerir. Diğer siber saldırı çeşitlerinin aksine, DDoS saldırıları güvenlik sistemlerinizi ihlal etmeye çalışmaz. Bunun yerine, bir DDoS saldırısı, web uygulamanızı ve sunucularınızı meşru kullanıcılar tarafından kullanılamaz duruma getirmeyi amaçlamaktadır.

DDoS, diğer kötü niyetli faaliyetler için bir sis perdesi olarak ve güvenlik cihazlarını işlev dışı bırakarak hedefin güvenlik çevresini ihlal etmek için de kullanılabilir. Başarılı bir dağıtılmış hizmet reddi saldırısı, tüm çevrimiçi kullanıcıları etkileyen oldukça dikkat çekici bir olaydır. Bu, onu hacktivistler, siber saldırganlar vs. gibileri için popüler bir silah haline getiriyor. DDoS saldırıları kısa aralıklarla gelebilir veya ardışık saldırılar ile süreci tekrarlayabilir, ancak her iki durumda da bir web uygulaması veya işletme üzerindeki etkisi istenmeyen zaman ve kaynak harcaması ile sonuçlanabilir. Bu, DDoS’ u herhangi bir çevrimiçi hizmet veren kuruluş için son derece yıkıcı hale getirebilir. Diğer şeylerin yanı sıra, DDoS saldırıları gelir kaybına yol açabilir, tüketici güvenini zedeleyebilir, işletmeleri servetlerini tazminat olarak harcamaya zorlayabilir ve uzun vadeli itibar hasarına neden olabilir. 

DOS ve DDoS Arasındaki Fark Nedir?

DoS ve DDoS arasındaki farklar önemlidir. Bir DoS saldırısında, fail, genellikle sunucu kaynaklarını tüketmek amacıyla bir yazılım güvenlik açığından yararlanmak veya bir hedefi sahte isteklerle doldurmak için tek bir İnternet bağlantısı kullanır. 

Öte yandan, dağıtılmış hizmet reddi (DDoS) saldırıları, İnternet üzerinden dağıtılan birden çok bağlı cihazdan başlatılır. Bu çok kişili, çok cihazlı barajların, çoğunlukla ilgili cihazların çok fazla olması nedeniyle, saptırılması genellikle daha zordur. Tek kaynaklı DoS saldırılarından farklı olarak, DDoS saldırıları, ağ altyapısını büyük hacimli trafikle doyurma girişiminde bulunma eğilimindedir. 

DDoS saldırıları, yürütme biçimlerine göre de farklılık gösterir. Genel olarak konuşursak, hizmet reddi saldırıları, basit komut dosyaları veya DoS araçları kullanılarak başlatılırken, DDoS saldırıları, bir saldırganın uzaktan denetimine izin veren kötü amaçlı yazılım bulaşmış büyük bağlı cihaz kümeleri olan botnetlerden başlatılır. 

DDoS Nasıl Çalışır? 

DDoS saldırıları, internete bağlı makinelerin ağları ile gerçekleştirilir. Bu ağlar, kötü amaçlı yazılım bulaşmış ve bir saldırgan tarafından uzaktan kontrol edilmelerine olanak tanıyan bilgisayarlardan ve diğer cihazlardan (IoT cihazları gibi) oluşur. Bu bireysel cihazlara botlar (veya zombiler) denir ve bir grup bota botnet denir. Bir botnet kurulduktan sonra, saldırgan her bir bota uzaktan talimat göndererek bir saldırı yönlendirebilir. Bir hedefin web uygulaması veya sunucusu hedeflendiğinde, her bot hedefin IP adresine istekler gönderir ve potansiyel olarak sunucunun veya ağın aşırı yüklenmesine neden olarak normal trafiğe hizmet reddine neden olur. Her bot bir İnternet cihazı olduğundan, saldırı trafiğini normal trafikten ayırmak zor olabilir. 

DDoS Nasıl Tespit Edilir?

Bir DDoS saldırısının belirtisi, bir web uygulamasının, bir sunucunun veya hizmetin aniden yavaşlaması veya kullanılamaz hale gelmesidir. Ancak trafikte böylesine sıra dışı bir artış gibi birçok neden benzer performans sorunlarına yol açabileceğinden, genellikle daha fazla araştırma yapılması gerekir. Trafik analizi araçları, bir DDoS saldırısının bu açıklayıcı işaretlerinden bazılarını tespit edilmesine yardımcı olabilir: 

  • Tek bir IP adresinden veya IP aralığından kaynaklanan şüpheli trafik miktarları. 
  • Cihaz türü, coğrafi konum veya web tarayıcısı sürümü gibi tek bir davranış durumlarını paylaşan kullanıcılardan gelen trafik akışı. 
  • Tek bir sayfaya veya uç noktaya yapılan isteklerde açıklanamayan artış. 
  • Günün belirli saatlerinde ani artışlar veya doğal olmayan gibi görünen durumlar(ör. her bir saatte bir ani artış) gibi garip trafik kalıpları 

DDoS saldırısının, saldırının türüne göre değişebilen daha belirgin başka işaretleri de vardır. 

DDoS Türleri Nelerdir?

Hacimsel Saldırılar 

Hacimsel DDoS saldırıları, dahili ağ kapasitesini ve hatta önemli ölçüde yüksek hacimli kötü amaçlı trafiğe sahip merkezi DDoS azaltma sistemlerini bunaltmak için tasarlanmıştır. Bu DDoS saldırıları, bant genişliğini hedef ağ içinde veya hedef ağ ile İnternet’in geri kalanı arasında tüketmeye çalışır. 

Hacimsel DDoS Saldırılarının Farklı Türleri Nelerdir? 

Hacimsel DDoS saldırıları, genellikle belirli bir hedefe, genellikle kritik Hizmet Sağlayıcı (SP) hizmetlerine veya kurumsal müşterilere karşı başlatılır. Çok yetenekli saldırganlar, gerçek hasarı veren daha odaklı uygulama düzeyindeki saldırıları gizlemek için hacimsel DDoS saldırılarını uygulama katmanı saldırılarıyla birleştirme eğilimindedir. Bu tür DDoS saldırıları, memcached, NTP, DNS ve SSDP gibi savunmasız hizmetlerden yararlanır, hedefi büyük yanıt paketleriyle dolduracak, bağlantıları dolduracak ve birçok durumda hedef ağ altyapısının çökmesine neden olacak sahte sorgular başlatır. 

Yaygın Hacimsel Saldırı Türleri 

  • ICMP seli 
  • IPSec seli 
  • UDP seli 
  • IP/ICMP parçalanması 
  • Yansıma amplifikasyon saldırıları 

Hacimsel DDoS Saldırısının İşaretleri Nelerdir? 

Bu tür DDoS saldırıları tipik olarak çok yüksek bant genişliğidir (+100 Gb’a kadar veya hatta Terabit/saniyenin ötesine geçer) ve hem hedef hem de yukarı akış bağlantı sağlayıcıları için hemen açıktır. Bu nedenle, kararlı saldırganlar, saldırılarının sonuçlarını aktif olarak izlemeyi ve genellikle savunucular DDoS azaltma araçlarını kullanarak mevcut saldırı vektörünü engelleyebildiği veya sınırlayabildiği anda saldırı parametrelerini rastgele hale getirmeyi öğrenmiştir. 

Hacimsel DDoS saldırılarını tespit etmek için akış telemetri analizi (NetFlow, IPFIX, sFlow, vb.) endüstri standardı haline geldi. Akış telemetri analizi genellikle, yönlendiricilerden ve anahtarlardan dışa aktarılan akış telemetrisini işleyen ve saldırının sınıflandırmasına göre uygun savunmaları etkinleştiren özel akış analizi araçları (genellikle merkezi olarak bulunur) kullanılarak yapılır. 

Volumetrik DDoS Saldırıları Neden Tehlikelidir? 

Hacimsel DDoS saldırıları öncelikli olarak tıkanıklığa neden olmaya odaklanmış olsa da, açıkta kalan hizmetlere sızma girişimleri gibi daha karmaşık ve cerrahi DDoS saldırılarını örtbas eden gizli bir amacın işareti de olabilirler. Bu gibi durumlarda, saldırganlar, statik azaltma tekniklerinden kaçınmak için saldırılarını izlemek ve hızla mutasyona uğratmak da dahil olmak üzere, mümkün olduğunca fazla operasyonel kesintiye ve dikkat dağınıklığına neden olmaya çalışıyor olabilir. Bu tür DDoS saldırılarına “Truva Atı” DDoS adı verilmiştir ve bir güvenlik duvarını veya izinsiz giriş önleme sistemini devre dışı bırakma, saldırganların bir ağa sızmasına, kötü amaçlı yazılım yüklemesine ve nihayetinde veri çalmasına olanak tanıması amaçlanmış olabilir. 

TCP Durum Tükenme Saldırıları 

Durum tüketen DDoS saldırıları, temel olarak, son kullanıcılara içerik sağlamaktan sorumlu olan hizmetleri veya altta yatan ağ altyapısını ele geçirmeye odaklanır. Bu, geçersiz ad sorgularıyla DNS ad sunucularını hedefleyen bir saldırganı içerebilir, bu nedenle DNS altyapısının kendisinde artan yüke neden olabilir ve DNS adı IP adreslerine çözümlenemeyeceğinden kullanıcılar artık hizmetlere bağlanamayacağından hizmeti kesintiye uğratabilir. Bu DDoS saldırı vektörü DYN saldırısında kullanıldıAmazon, Twitter, Github ve diğerleri gibi büyük web sitelerinin kullanılamaz hale gelmesiyle sonuçlandı. Saldırgan, Aktarım Katmanı Güvenliği (TLS) uç noktalarını da hedef alarak meşru kullanıcıların hizmetlere bağlanamamasına neden olabilir. Adından da anlaşılacağı gibi, bu DDoS saldırıları, TCP Durum Tablolarını sahte bağlantılarla doldurmak amacıyla Yeni Nesil Güvenlik Duvarları gibi durum bilgisi olan cihazları hedefler. Bu DDoS saldırıları, tipik olarak, saldırılarını maksimum etki için izleyen ve ayarlayan kararlı saldırganlar tarafından kullanılır. 

TCP Durum Tükenme Saldırı Türleri 

Durum tüketen DDoS saldırıları tipik olarak, bu cihazların İletim Kontrol Protokolü (TCP) durum makinesinin ölçeğini vurgulayarak, herkese açık hizmetlerin uç yük dengeleyicilerini, güvenlik duvarlarını ve durum bilgisi olan trafik denetleme hizmetlerini hedefler. Bu DDoS saldırıları, büyük ölçekli kurumsal hizmetleri bile kolayca alt edebilir, ancak çok daha düşük toplam bant genişliği saldırıları (tipik olarak saniyede 10-20 gigabitten daha az) sunar, bu nedenle normalde ağ sağlayıcının altyapısına doğrudan bir tehdit olarak kabul edilmezler. Durum tüketen DDoS saldırıları, durumsuz uç yönlendirici altyapılarında azaltılamaz. 

Yaygın TCP Durum Tükenme Saldırıları 

  • SYN Seli 
  • SSL/TLS tükenmesi 
  • DNS Sorgusu/NXDomain Taşması 

TCP Durum-Tükenme Saldırısının İşaretleri Nelerdir? 

Durum tüketen DDoS saldırıları doğası gereği karmaşıktır. Yasal trafikten ayırt edilemeyecek şekilde tasarlandıkları ve nispeten küçük trafik hacimlerinde çalıştıkları için, bu DDoS saldırılarının nadiren durum bilgisi olmayan yük filtrelerinde eşleştirilebilecek imzaları vardır. 

Onları daha da sinsi yapan şey, kararlı saldırganların, bu vektör hafifletilir edilmez saldırı vektörünü hızla değiştirecek olmasıdır. Bu tür DDoS saldırıları, güvenlik odaklı akış analizi kullanılarak tespit edilebilir; ancak düşük hacimli DDoS saldırıları oldukları için bunları ortaya çıkarmak için davranışsal analiz veya derin paket analizi kullanmak gerekir. Yük tabanlı engelleme basitçe yeterli değildir. Gerekli olan, sanal veya fiziksel cihazların trafikte görünürlüğünü kullanarak kullanılan belirli saldırı vektörünü tespit etmek için IDMS’lerin kullanılmasıdır. 

TCP Durum Tükenme Saldırısı Neden Tehlikelidir? 

Modern DDoS saldırganları, saldırı araçlarını sürekli olarak geliştirmekte ve durumu tüketen yeni DDoS saldırı teknikleri aramaktadır. Ve artık milyonlarca savunmasız Nesnelerin İnterneti (IoT) cihazına erişimleri olduğundan, daha önce hiç görülmemiş ölçeklerde karmaşık DDoS saldırıları başlatabilirler. 

Durum tüketen DDoS saldırılarını en tehlikeli yapan şey, çok vektörlü saldırılar tanımlanabilir kalıplar içerse bile, kararlı bir saldırganın saldırısının sonuçlarını izlemesi ve yetenekli ve kararlı bir savunucuyu engellemek için değiştirmesidir. Etkin saldırganların basit DDoS azaltmasını önlemek için yük modellerini sürekli olarak değiştirdiği bilindiğinden, bilinen saldırı kalıplarının devam eden bir listesinin tutulması, ölçek sorunları ve bu listenin güncellenmesi gereken hız nedeniyle hızla pratik hale gelir. Ayrıca, faydalı yük kalıpları, ikincil hasara neden olma riskini artırdığından, uzun ömürlü bir faydalı yük kalıpları kümesini sürdürmek akıllıca olmayabilir. 

Uygulama Katmanı Saldırıları 

Uygulama Katmanı saldırıları, Katman-7’deki bir uygulama veya hizmetin bazı yönlerini hedefler. Düşük trafik oranı oluşturan tek bir saldırı makinesiyle çok etkili olabildikleri için bunlar en ölümcül saldırı türleridir (bu, bu saldırıları proaktif olarak tespit etmeyi ve azaltmayı çok zorlaştırır). Uygulama katmanı saldırıları son üç ya da dört yılda yaygınlık kazandı ve basit uygulama katmanı sel saldırıları, vahşi ortamda görülen en yaygın hizmet reddi saldırılarından bazıları oldu. Günümüzün sofistike saldırganları, altyapı cihazlarına yönelik hacimsel, durum tükenmesi ve uygulama katmanı saldırılarını tek bir sürekli saldırıda harmanlıyor. Bu siber saldırılar, savunması zor ve genellikle oldukça etkili oldukları için popülerdir. 

Uygulama Saldırısı Nedir? 

Uygulama saldırıları (diğer adıyla uygulama katmanı DDoS saldırıları), belirli bir uygulamadaki belirli güvenlik açıklarına veya sorunlara saldırmak için tasarlanmıştır ve bu da uygulamanın kullanıcıya içerik sunamamasına neden olur. 

Uygulama Katmanı DDoS Saldırısı Türleri 

Zaman içindeki DDoS eğilimlerine bakıldığında, saldırıların doğası gereği döngüseldir. Saldırganlar, yeni bir saldırı dalgası başlatmak için kullanılan yeni DDoS saldırı türleri ve vektörleri geliştirir. Savunucular bu yeni DDoS saldırılarını durdurmada daha yetkin hale geldikçe, saldırganlar yeni saldırı türleri geliştirir ve döngü kendini tekrar eder. 

Son yıllarda güvensiz IoT cihazlarının yaygınlaşması, artık daha gelişmiş uygulama katmanı saldırıları başlatmak için kullanılabilecek neredeyse sınırsız sayıda akıllı cihaz olduğu için DDoS saldırganları için bir nimet oldu. 

Yaygın Uygulama Katmanı Saldırıları 

  • BGP ele geçirme 
  • Yavaş Gönderi 
  • HTTP/HTTPS taşması 
  • Slowloris 
  • Yavaş okuma 
  • Düşük ve yavaş saldırı 
  • Büyük POST yükü 
  • Taklit Kullanıcı 

Uygulama Katmanı Saldırısının İşareti Nedir? 

Uygulama katmanı DDoS saldırıları, güvenlik odaklı akış analizi kullanılarak tespit edilebilir; ancak düşük hacimli DDoS saldırıları oldukları için bunları ortaya çıkarmak için davranışsal analiz veya derin paket analizi kullanmak gerekir. Gerekli olan, sanal veya fiziksel cihazların trafikte görünürlüğünü kullanarak kullanılan belirli saldırı vektörünü tespit etmek için IDMS’lerin kullanılmasıdır. 

Uygulama Katmanı Saldırıları Neden Tehlikelidir? 

Siber suçlular, araç setlerini sürekli olarak geliştirmekte ve yeni uygulama katmanı saldırı teknikleri aramaktadır. Ve artık milyonlarca savunmasız IoT cihazına erişimleri olduğundan, daha önce hiç görülmemiş ölçeklerde karmaşık DDoS saldırıları başlatabilirler. 

Uygulama katmanı DDoS saldırılarını en tehlikeli yapan şey, çok vektörlü saldırılar tanımlanabilir kalıplar içerse bile, kararlı bir saldırganın saldırısının sonuçlarını izlemesi ve yetenekli ve kararlı bir savunucuyu engellemek için değiştirmesidir. Etkin saldırganların basit DDoS azaltmasını önlemek için yük modellerini sürekli olarak değiştirdiği bilindiğinden, bilinen saldırı kalıplarının devam eden bir listesinin tutulması, ölçek sorunları ve bu listenin güncellenmesi gereken hız nedeniyle hızla pratik hale gelir. Ayrıca, faydalı yük kalıpları, ikincil hasara neden olma riskini artırdığından, uzun ömürlü bir faydalı yük kalıpları kümesini sürdürmek akıllıca olmayabilir. 

 

DDoS Önleme Yöntemleri 

Bir DDoS azaltma çözümü seçmenin bu ilk adımı, riskinizi değerlendirmektir. Önemli temel sorular şunları içerir: 

  • Hangi altyapı varlıklarının korunması gerekiyor?  
  • Hassas noktalar nelerdir?  
  • Hedeflendiğinizi nasıl ve ne zaman anlayacaksınız?  
  • Çok geç olacak mı?  
  • Uzatılmış bir kesintinin etkileri (finansal ve başka türlü) nelerdir? 

Bu bilgilerle donanmış olarak, güvenlik bütçeniz çerçevesinde çeşitli DDoS azaltma seçeneklerini inceleyerek endişelerinize öncelik vermenin zamanı geldi. 

Ticari bir web sitesi veya çevrimiçi uygulamalar (ör. SaaS uygulamaları, çevrimiçi bankacılık, e-ticaret) çalıştırıyorsanız, muhtemelen 7 gün 24 saat her zaman açık koruma isteyeceksiniz. Öte yandan, büyük bir hukuk firması, web sitesinden ziyade e-posta sunucuları, FTP sunucuları ve arka ofis platformları dâhil olmak üzere altyapısını korumakla daha fazla ilgilenebilir. Bu tür bir işletme, “talep üzerine” bir çözümü tercih edebilir.  

İkinci adım, dağıtım yöntemini seçmektir. Tüm bir alt ağda temel altyapı hizmetleriniz için isteğe bağlı DDoS korumasını dağıtmanın en yaygın ve etkili yolu, sınır ağ geçidi protokolü ( BGP ) yönlendirmesidir. Ancak bu, yalnızca isteğe bağlı olarak çalışır ve bir saldırı durumunda güvenlik çözümünü manuel olarak etkinleştirmenizi gerektirir.  

Sonuç olarak, web uygulamanız için her zaman açık DDoS korumasına ihtiyacınız varsa, tüm web sitesi trafiğini (HTTP/HTTPS) DDoS koruma sağlayıcınızın ağı (genellikle bir içerik dağıtım ağıyla entegredir) üzerinden yeniden yönlendirmek için DNS yeniden yönlendirmesini kullanmalısınız. . Bu çözümün avantajı, çoğu CDN’nin hacimsel saldırıları absorbe etmek için çağrı üzerine ölçeklenebilirlik sunması ve aynı zamanda gecikmeyi en aza indirmesi ve içerik dağıtımını hızlandırmasıdır.