DDoS saldırısı nedir?

Günümüzde internete yönelik en güçlü saldırılardan biri de Dağıtılmış Hizmet Engelleme (DDoS) saldırısıdır. Bu saldırıyı bu kadar güçlü kılan şey, çok yönlülüğüdür; çünkü Bilgi Güvenliği uzmanları her şeyi gördüklerini düşündüklerinde, saldırının yeni bir versiyonu ortaya çıkar. Bu durum, bu saldırıların 21. yüzyılın başlarında ilk ortaya çıkışından beri böyle devam etmektedir.

Siber güvenlik alanında efsanevi bir öncü olan Eugene Kaspersky, bu konuyu blogunda ele alırken en güzel şekilde ifade etti :

“DDoS saldırıları çok hızlı bir şekilde gelişti… Çok daha tehlikeli hale geldiler ve teknik olarak çok daha gelişmiş oldular; zaman zaman tamamen alışılmadık saldırı yöntemleri benimsiyorlar; yepyeni hedeflere yöneliyorlar ve şimdiye kadarki en büyük ve en kötü DDoS saldırıları olarak yeni dünya rekorları kırıyorlar. Ancak, DDoS saldırılarının gerçekleştiği dünya da çok hızlı bir şekilde gelişti. Her şey ve daha fazlası çevrimiçi: İnternete bağlı çeşitli ‘akıllı’ cihazların sayısı, eski tip masaüstü ve dizüstü bilgisayarların sayısını çok geride bırakıyor.”

DDoS saldırısının temel fikri, hedefi artık amaçlandığı gibi çalışamaz hale gelene kadar aşırı yüklemektir. Kökeni Hizmet Reddi (DoS) saldırısına dayanır, ancak iki saldırıyı birbirinden ayıran şey, involved olan makine sayısıdır. Bir DoS saldırısında, tek bir makine hedefe saldırır. Ancak bir DDoS saldırısında, saldıran makineye çok sayıda başka makine yardımcı olur.

Bu makinelere “robot” ve “ağ” kelimelerinin birleşiminden oluşan botnet denir . Botnet, saldırgan tarafından kontrol edilen yüzlerce, binlerce hatta milyonlarca cihazdan oluşur. Botnet’i oluşturan makinelere zombi denir. Zombi terimi, bir bilgisayarın bir enfeksiyon tarafından kontrol edildiğini (tıpkı kurgusal canavarlar gibi) ima eder. Zombiler ya kötü amaçlı yazılımlarla enfekte edilir ya da yazılımlarındaki bir güvenlik açığı yoluyla istismar edilir. Bu zombilerin kontrol edilme şekli Komuta ve Kontrol (C2) sunucusu aracılığıyladır. Saldırganın makinelere gönderdiği tüm komutlar C2 sunucusu üzerinden iletilir.

Eskiden botnet’leri kontrol etmek için özel bilgiye sahip birine ihtiyaç duyulurdu. Ancak günümüzde Bitcoin gibi kripto paralara erişimi olan herkes bir botnet kiralayabiliyor. DDoS-as-a-Service (Hizmet Olarak DDoS) inanılmaz bir tehdit haline geldi çünkü acemi bilgisayar korsanlarının bir süreliğine kötü adam rolünü oynamasına olanak tanıyor. Bir DDoS-as-a-Service kullanıldığında, istemciye kullanımı kolay bir ön uç web sayfası verilir. Bu web sayfası, grafiksel kullanıcı arayüzü (GUI) şeklinde bir Komuta ve Kontrol sunucusu olarak işlev görür. Çalıştırmak için fazla teknik bilgi gerektirmez, bu da onu daha da tehlikeli hale getirir.

Modern siber güvenlik stratejileri, DDoS saldırılarında kullanılan botnet’ler gibi potansiyel tehditleri anlamanın yanı sıra, saldırganlar tarafından istismar edilmeden önce güvenlik açıklarını keşfetmek ve gidermek için gelişmiş AMS araçlarını kullanarak etkili bir yönetim gerektirir.

Birçok yıkıcı botnet, şifrelenmiş bir ödeme kadar uzakta ve kaydedilen DDoS saldırılarının büyük bir kısmı da bundan kaynaklanıyor. En ünlü örnek, Lizard Squad’ın kiraladıkları botnet’i kullanarak Xbox Live , Playstation Network ve hatta Kuzey Kore hükümetine ait web sitelerini çökertmesiydi . Bu trol ve script kiddie grubu, uzun yıllardır görülmemiş bir öfkeyle, belki de Anonymous hacktivizm olaylarından beri görülmemiş bir şekilde, yüksek öncelikli hedeflere saldırdı. Önemli ölçüde medya ilgisi gördüler ve kibirleri sonunda yetkililerin onları bulmasına yol açsa da, arkalarında bir kaos izi bıraktılar.

Botnet’ler hakkında daha fazla bilgi: Ünlü örnekler

Botnet’ler yıllar içinde evrim geçirdi ve kullanımları her zaman DDoS saldırıları için olmadı. İşte en önemli örneklerden bazıları:

Earthlink Spam Göndericisi:

Khan K. Smith tarafından 2000 yılında oluşturulan bu botnet, muhtemelen ilk dikkat çekici botnet’ti. Amacı DDoS saldırıları değil, yüksek oranda kimlik avı e-postaları göndermekti. İster kasıtlı olsun ister olmasın, DDoS saldırısı burada doğdu çünkü onu oluşturma mekanizması burada ortaya çıkmıştı. 2007’deki Cutwail gibi diğer botnet’ler de bu kimlik avı saldırısı tarzını izledi.

Grum:

Bu botnet, 2010 yılında dünya genelindeki spam e-posta trafiğinin büyük bir bölümünü oluşturdu. İlk olarak 2008’de ortaya çıkan ve 2012’de kapatılmadan önce, küresel spam’in yaklaşık %18’i Grum’dan geliyordu. Spam e-postalar genellikle ilaç şirketlerini hedef alıyordu. Bu spam e-postalar, elbette, kullanıcıları enfekte etmeye yönelik kötü niyetli girişimlerdi. Günümüzde bile çok sayıda kötü amaçlı yazılım bulaşmasının nedeni bu tür spam’lerdir.

Conficker:

Conficker kötü amaçlı yazılımının oluşturduğu botnetler efsaneviydi. Savunmaları kolayca aşan ve 2000’li yılların ilk on yılında görülen en büyük botnetlerden birini oluşturan bir solucan virüsüydü. Toplam 4 milyon makine zombileştirildi ve botneti oluşturdu. 2009’da zirveye ulaştı ve dünya çapında yaklaşık 15 milyon makineyi enfekte ettiği tahmin ediliyor. Veriler gösteriyor ki, enfekte olan tüm makineler botnete katılmadı.

Mariposa:

İspanyolca’da “kelebek” anlamına gelen bu botnet, zarif bir yaratık değildi. Aksine, 2009 yılında görülen en acımasız ve güçlü botnetlerden biriydi. Mariposa, Eşler Arası (P2P) ağları, kötü amaçlı internet bağlantıları ve kötü amaçlı yazılım yüklü USB sürücüleri (yaygın bir sosyal mühendislik taktiği) kombinasyonunu kullandı. Sonunda FBI devreye girdi ve Mariposa’nın C2 sunucusunu tespit edip kapatmayı başardı. Ancak bundan önce Mariposa, Fortune 500 şirketlerinin büyük bir bölümünü enfekte etmişti. Ayrıca tarihteki ilk DDoS-as-a-Service botnetlerinden biriydi.

Mirai:

IoT cihazlarını kullanan ilk botnet olan Mirai, tehdit ortamını sonsuza dek değiştirdi. Artık sadece bilgisayarlar botnet üyesi olmakla kalmıyor, istismar edilebilecek her türlü akıllı cihaz (buzdolapları, televizyonlar ve daha fazlası) da botnet’in bir parçası haline geliyordu. Mirai, Minecraft sunucularından yararlanmak için oluşturulmuş bir kötü amaçlı yazılımdı, ancak oyun dünyasının çok ötesinde bir etki yarattı. Mirai’nin yayılmasının en büyük nedeni, yetersiz IoT güvenlik uygulamalarıydı.

Botnet çok yönlü, kolayca erişilebilir ve güçlüdür. DDoS saldırılarının bu botnetler aracılığıyla bu kadar kolay gerçekleştirilmesine şaşmamalı.

Ünlü DDoS Saldırıları

Dağıtılmış Hizmet Engelleme (DDoS) saldırılarının gücünü gerçekten anlamak için, tıpkı botnet’lerde yaptığımız gibi, bilinen olayları incelemek hayati önem taşır. Aşağıda yer alanlar kapsamlı bir liste ve analiz olmaktan uzaktır, ancak DDoS saldırısının ne kadar tehlikeli olduğunu ortaya koymalıdır.

Github:

2018 yılında, yazılım depoları için popüler bir web sitesi olan GitHub, devasa bir DDoS saldırısına maruz kaldı. Saniyede 1,35 Tbit/s hızındaki saldırı, GitHub sunucularını aşırı yükledi. Şirketin DDoS koruma önlemleri vardı, ancak bu rekor kıran saldırıya dayanamadı. GitHub’a göre, binlerce bağımsız makine on binlerce farklı uç noktaya saldırdı.

Cloudflare:

Cloudflare adı DDoS korumasıyla eş anlamlıdır, bu nedenle her türden bilgisayar korsanının savunmalarını test etmek istemesi şaşırtıcı olmamalıdır. 2014 yılında Cloudflare, bir NTP yansıtma DDoS saldırısına maruz kaldı. Bunun sonucunda sunucuları saniyede 400 Gbit/s’lik bir yük altında kaldı.

Rio Olimpiyatları:

2015 yılında, Brezilya’nın Rio de Janeiro şehrinde Yaz Olimpiyatları tüm hızıyla devam etmeye hazırlanıyordu. Aynı zamanda, DDoS-as-a-Service (DDoS hizmeti olarak) botnet’i tarafından yönetilen devasa bir DDoS saldırısı da tüm hızıyla devam ediyordu. LizardStresser adı verilen bu botnet, diğer botnet’lerle birlikte çalışarak resmi Olimpiyat komitesi web sitelerini hedef aldı. Saldırılar aylarca sürdü ve alan adlarının işleyişini aksattı. Saldırıların zirve noktasında, inanılmaz bir şekilde 540 Gbit/s hızına ulaşıldı.

Imperva:

Cloudflare DDoS saldırısına benzer şekilde, Imperva da DDoS saldırılarını önleme hizmetleri nedeniyle siber suçluların ana hedefi konumunda. 2019’da Imperva, saniyede yaklaşık 580 milyon pakete ulaşan bir SYN DDoS saldırısına maruz kaldı. Bu, en azından PPS (paket başına paket) açısından Cloudflare saldırısını önemli ölçüde aştı, çünkü Cloudflare DDoS saldırısı saniyede yaklaşık 130 pakete ulaşmıştı.

Dinamik:

Daha önce bahsettiğimiz Mirai botnet’ini hatırlıyor musunuz? Birçok önemli DDoS saldırısında kullanıldı ve bu da en büyüklerinden biri. DNS sağlayıcısı Dyn, 2016 yılında bu botnet’in saldırısına uğradı. Netflix, Paypal ve Reddit dahil olmak üzere Dyn’in hizmetlerini kullanan birçok önemli şirket bu saldırıdan etkilendi.

Krebs’in Güvenlik Üzerine Görüşleri:

Brian Krebs, “Krebs on Security” adlı blogu yöneten saygın bir siber güvenlik araştırmacısıdır. Bu blog da Mirai botnet’inin hedefi haline geldi ve Krebs’e göre bu, şimdiye kadar gördüğü en büyük DDoS saldırısıydı. Siber güvenlik gazetecisi olarak DDoS saldırılarına yabancı olmayan Krebs, bu tür durumlarla sık sık karşılaşsa da, Mirai saldırısıyla sitesi bu saldırıya dayanamadı. Saldırı yaklaşık 623 Gbit/s’ye ulaştı ve web sitesini bir süreliğine tamamen devre dışı bıraktı.

DDoS Saldırı Türleri

Bu liste kapsamlı olmasa da, buradaki amaç DDoS saldırılarının çok yönlülüğünü göstermektir. En popüler DDoS saldırı türlerinden bazıları şunlardır:

Yansıma saldırısı:

Saldırgan, sunucunun belirli bir şekilde yanıt vermesi için internet paketlerini taklit eder. Amaç, sunucuyu paketlerin kendi kontrol ettiği alan adından gönderildiğini düşünmeye kandırmaktır. Bu nedenle buna yansıma (reflection) denir, çünkü Hizmet Reddi (Denial-of-Service) saldırısı, sunucuyu iletişimi “yansıtmaya” kandırarak gerçekleştirilir. Veriler hızlı ve etkili bir şekilde yayılır ve alarm vermeden hedefi çökertir.

ICMP saldırısı:

Saldırgan, hedef sunucuyu kötü amaçlı İnternet Kontrol Mesajlaşma Protokolü (ICMP) paketleriyle bombardımana tutar. Bu saldırının birçok türü vardır ve popüler bir örnek ping saldırısıdır. Ping saldırısı sırasında , hedef sunucuya aşırı miktarda ping isteği gönderilir. Ping meşru bir istek olduğundan, hedef sunucu her bir ICMP yankı isteğine yanıt verir. Sonunda, botnet’ten gelen sel çok fazla olur ve sunucu artık iletişim kuramaz veya yeni istekler alamaz hale gelir.

SYN sel baskını:

TCP/IP protokolü, bir cihazla bağlantıyı tamamlamak için üç aşamalı bir el sıkışma gerektirir. Syn-Syn/Ack-Ack bağlantısı, örneğin el sıkışma gerektirmeyen UDP protokolüne kıyasla daha az DDoS fırsatı sunar. Ancak bu, istismardan muaf olduğu anlamına gelmez. Bir SYN flood DDoS saldırısında, botnet ilk SYN mesajını tekrar tekrar göndererek sunucuyu el sıkışmayı yeniden başlatmaya zorlar ve sunucu artık bunu kaldıramaz hale gelir. Saldırı, tüm açık portları hedef alır.

Yavaşloris:

Sevimli Asya primatı Slowloris’in adını taşıyan bu saldırı, “yavaş ve istikrarlı olan yarışı kazanır” atasözünü kullanır. Hedefi kısa sürede olabildiğince fazla trafikle aşırı yüklemek yerine, Slowloris saldırısı botnet’i ustaca bir şekilde kullanır. Tüm makinelerin kısmi HTTP istekleri göndermesini sağlar ve bu da zamanla hedef sunucunun bağlantı havuzunu doldurmasına neden olur. Bu, meşru kullanıcıların bağlanmasını engeller. Slowloris Saldırısı hakkında daha fazla bilgi edinin.

DDoS Saldırısı Süreci

Tüm DDoS saldırıları genel olarak aynı süreci izler. Saldırganın zihniyetini daha iyi anlamak için bu süreci listelemek faydalı olacaktır.

  • Saldırgan, DDoS saldırısı yapmak istediği hedefin alan adını veya IP adresini bulur.
  • Saldırganlar, virüs bulaştırma, güvenlik açıklarından yararlanma veya karanlık web üzerinden kiralama yoluyla güçlü bir botnet’in kontrolünü ele geçirirler.
  • Saldırgan, seçeneklerini ve saldırı planını değerlendirdikten sonra, C2 sunucusu aracılığıyla DDoS saldırısını gerçekleştirmek üzere botnet’e komut vermeye başlar.
  • Saldırıya uğrayan hedefte DDoS saldırılarına karşı herhangi bir önlem stratejisi yoksa veya varsa da etkisiz kalıyorsa, hedefte aksaklıklar yaşanmaya başlar.
  • Sonuç olarak, hedef sistem yoğun trafik akışını kaldıramaz ve aşırı yüklenir.
  • DDoS saldırısı, saldırgan istediği sürece devam eder veya alternatif olarak, DDoS koruma mekanizmaları devreye girerek saldırı noktalarını engeller.
  • DDoS saldırısı daha sonra ilgili yetkililere bildirilir ve yetkililer saldırganın yerini ve kimliğini tespit etmeye çalışır. Bazen yakalanırlar, bazen de dijital iz bırakmayı başarabilirlerse cezasız kalırlar.
DDoS Saldırısı Süreci

DDoS Saldırılarını Azaltma Stratejileri

Kendinize yönelik saldırıları önlemek çok yönlü bir iştir. Kullanmanız gereken ilk savunma hattı güçlü bir güvenlik duvarıdır. Bazı DDoS saldırıları, güvenlik duvarı doğru şekilde yapılandırılmışsa, saldırı sırasında gönderilen paketlerin yönlendiricinize ulaşmayacağı belirli portları hedef alır. Güvenlik duvarları iyi bir başlangıç olsa da, birçok DDoS saldırısı Saldırı Tespit Sistemlerini (IDS) atlattığı için hikayenin sonu değildir. Size saldıran kişi, acemi bir bilgisayar korsanı veya gerçek teknik bilgiye sahip biri olabilir. İlkini varsaymayın.

NTP yükseltme gibi bazı özel DDoS saldırıları , uygun bir savunma oluşturmak için belirli yapılandırmalar gerektirir. “monlist” komutu, bir NTP sunucusunu istismar etmenin anahtarıdır . Kullanılan sunucuya bağlı olarak, “monlist” komutunu devre dışı bırakan bir yama yüklemek mümkündür. Buradaki zorluk, yamanın 4.2.7 veya üzeri bir sürümde olması gerektiğidir. Birçok eski NTP sunucusu bu yamayı destekleyemez. Bu nedenle, önlem almak için uygulanması gereken başka bir çözüm yolu vardır. Genel kullanıma açık bir NTP sunucusunda, US-CERT, eski sistemlerin “noquery” komutunu “restrict default” sistem yapılandırmasına eklemesini önerir. Doğru şekilde yürütülürse, “monlist” komutunu devre dışı bırakacaktır.

Hangi DDoS saldırısıyla karşı karşıya kalınırsa kalınsın, büyük kuruluşlar üçüncü taraf DDoS azaltma hizmetlerini kullanmayı düşünmelidir . İster bir ulus devleti, ister çok uluslu bir şirket veya başka bir büyük kuruluş olun, bu bütüncül bir savunmanın hayati bir parçasıdır. Bu hizmetler, paketlerin hedeflenen hedefe ulaşmadan önce kontrol altına alınması ve parçalanması için yeterli sunucu alanına sahip oldukları için büyük saldırıları yönetebilirler. Ancak bu “sürekli açık” koruma hizmetleri ucuz değildir, bu nedenle yalnızca en büyük şirketler için (veya harcayacak paranız varsa) kullanılması önerilir.

Yerel Alan Ağına (LAN) ait yönlendiriciler için, DDoS saldırılarına maruz kalmanızın en olası nedeni statik IP adresiniz olacaktır. Gerçek IP adresinizin size karşı kullanılmasını önlemek için Sanal Özel Ağ (VPN) en iyi çözümünüzdür. İyi bir VPN, bağlantınızı şifreler ve IP adresinizi sunucunun IP adresinin arkasına gizler. Sonuç olarak, bir saldırganın size saldırmak için bir yol bulması imkansız hale gelir.

PureVPN ile DDoS saldırılarına karşı uygun maliyetli bir çözüm elde edersiniz. 78’den fazla ülkede 6500’den fazla küresel sunucu ağı, AES 256-bit şifreleme , tüm protokollerin desteklenmesi ve daha fazlasıyla PureVPN, siber suçlulara karşı sizi korur. PureVPN, WebRTC sızıntılarını , DNS sızıntılarını ve IPv6 sızıntılarını önler, böylece hiçbir saldırganın saldırı için gerekli verilere ulaşamayacağından emin olabilirsiniz.

PureVPN edinin 31 Günlük Para İade Garantisi

Sonuç olarak

Son olarak, Profesörler Qijun Giu ve Peng Liu’nun DoS ve DDoS saldırılarına karşı koruma konusunda yazdıkları kapsamlı araştırma makalesindeki şu sözlerini dikkate alın :

“DoS saldırganları, hedef hizmetlere erişimi engellemek için protokol ve sistemlerdeki kusurlardan yararlanır. Saldırganlar ayrıca DDoS saldırıları başlatmak için çok sayıda ele geçirilmiş sunucuyu kontrol eder. Sunucuları güvence altına almak, artık saldırı altında hizmetin kullanılabilirliğini sağlamak için yeterli değildir, çünkü DoS saldırı teknikleri daha karmaşıktır ve birçok habersiz sunucu DoS saldırılarına dahil olur… Savunmacılar için, bir paketin sahte olup olmadığına karar vermek, bir sunucunun ele geçirilmesini ve kontrol edilmesini önlemek, yukarı akış yönlendiricilerinden istenmeyen trafiği filtrelemelerini istemek ve kendilerini DoS saldırılarından korumak zordur… Kablosuz ağlardaki DoS saldırıları, İnternet’te mümkün olmayan bir kapsama alanına kadar uzanır. Mevcut savunma yaklaşımları, güvenlik önlemlerinin daha alt katmanlardaki kablosuz protokollere dahil edilmesi ve mobil sunucuların kablosuz ağlarını korumada aktif ve işbirliği içinde yer alması gerektiğini göstermektedir.”

Hizmet Reddi (DDoS) ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları gelişmeye devam edecek. Bunu durdurmanın bir yolu yok. Teknoloji kaçınılmaz olarak ilerledikçe, güvenlik çözümleri de bu ilerlemeye ayak uydurmak zorunda. Bu, yalnızca bilgi güvenliği uzmanlarının değil, sıradan vatandaşların da eylemlerini gerektirecek bir şey. Hepimiz bu tür saldırıları önlemekten sorumlu olmalıyız. Botnet’lere neden olabilecek enfeksiyonlarla mücadele etmek , sunucu korumalarını artırmak, sosyal mühendislik tuzaklarından kaçınmak ve DDoS saldırılarının gelişmesine neden olabilecek her şeyle mücadele etmek gerekiyor.

Hepimize ihtiyaç var. Birlikte. Şuna inanın, PureVPN olarak biz size yardım etmek için buradayız.