Bilgisayar korsanları; sistemlere sızmak, veri çalmak, internete bağlı cihazlar ve ağlarda genel hasar yaratmak için birçok yöntem kullanır. DDoS saldırısı, siber saldırganların cephaneliğindeki en yaygın yıkıcı silahlardan biridir. DDoS, dağıtılmış hizmet reddi anlamına gelir.
Saldırganlar bir DDoS saldırısı başlattıklarında hizmetleri kesintiye uğratmak veya her şeyi çökertmek için bir sisteme erişmeleri bile gerekmez. Peki DDoS saldırısı nedir ve nasıl çalışır?
Bu Yazıda Neler Var?
DDoS Saldırısı Nasıl Çalışır?
DDoS saldırısı, DoS (Hizmet Reddi) saldırısının büyük kardeşidir. Standart bir DoS saldırısında, saldırgan internete bağlı hizmetleri kesintiye uğratarak bir makineyi veya ağı normal kullanıcıları için kullanılamaz hale getirmeye çalışır. Bu, bu hizmetleri sahte paketlere, bağlantı isteklerine ve mesajlara boğarak yapılır.
Bu, sadece bir makineden yapılır. Bulut hizmetlerinin yükteki değişiklikleri yönetmek için dinamik olarak ölçeklenebildiği günümüzün dijital ortamında, standart DoS saldırıları eskisi kadar etkili değildir. Ayrıca tek bir IP adresinden gelen bir siber saldırı kolayca engellenebilir.
Bu nedenle, bilgisayar korsanları kendilerini geliştirip botnet kullanmaya başladılar. Bu, kullanıcıların bilgisayarlarına kötü amaçlı yazılım indirmelerini ve yüklemelerini sağlamak için kimlik avı şemaları gibi taktikleri kullanarak uzak bilgisayarların kontrolünü ele geçirmeyi içerir.
Bu bilgisayarlar daha sonra bilgisayar korsanlarının dünyanın her yerinden kontrol edebileceği “zombi bilgisayarlar” haline gelir. Bazen kimlik avı kullanmak zorunda bile kalmazlar; erişim elde etmek için bir sistemdeki bilinen güvenlik açıklarından yararlanabilirler.
Bu da bizi DDoS saldırılarına getiriyor. DDoS saldırılarında, bilgisayar korsanları aynı türden saldırıları başlatmak için dünyanın dört bir yanındaki makine ağlarını kullanır. Aynı anda aynı DoS saldırısını yapan yüzlerce (hatta binlerce) makine olduğu için ortaya çıkan kesinti daha da kötüdür.
Sonunda, hizmetler kesintiye uğrayacak, sistemler aşırı yüklenecek ve hizmetin standart kullanıcılarının bunlara erişmesini imkânsız hale getirecektir. Saldırı birden fazla makineden geldiğinden, sistem aşırı yüklenmesi hızlı bir şekilde gerçekleşebilir ve saldırıyı durdurmak, yalnızca bir IP adresini engellemek kadar basit değildir.
Yaygın DDoS Saldırı Türleri
Ağdaki hangi bileşenlerin hedeflendiği ve saldırganın hangi taktikleri kullandığı ile tanımlanan farklı DDoS saldırısı türleri vardır. Bir saldırgan aynı anda birden fazla DDoS saldırısı da kullanabilir.
Uygulama Katmanı Saldırıları
Bu tür DDoS saldırılarında bilgisayar korsanı, sunucu üzerinde web sayfalarını oluşturan uygulamanın katmanını hedefler.
Bir istemci, çok fazla kaynak kullanmadan bir web sayfası için istek gönderebilir. Ancak sunucu tarafında, bir istek birden çok dosyanın yüklenmesini, sunucu tarafı kodunun çalıştırılmasını ve bir veya daha fazla veri tabanına bağlanmayı gerektirebilir.
Bazen Katman 7 saldırısı olarak da adlandırılan bir uygulama katmanı saldırısında saldırgan, botların her birinden aynı anda belirli bir web uygulamasına trafik göndermek için bir botnet kullanır. Ayrıca izlerini gizlemek ve engellenmemek için; rastgele IP adresleri, sahte yönlendirici verileri ve rastgele URLler kullanacaklardır.
Protokol Saldırıları
Protokol saldırıları, web uygulamalarının ağ ve taşıma katmanını hedefler. Aynı zamanda durum tükenme saldırıları olarak da bilinirler. Bu saldırılar, yük dengeleyiciler ve güvenlik duvarları gibi ağ kaynaklarını kullanarak hizmeti kesintiye uğratmaya çalışır.
Syn seli, bu tür saldırılara bir örnektir. Saldırgan bir syn seli kullanarak, sahte IP adresleriyle hedeflenen sisteme büyük miktarda TCP ilk bağlantı isteği gönderir. Hedeflenen sistem daha sonra tüm bu istekler için TCP anlaşmasının son adımını bekleyecek, ancak bu adım asla gerçekleşmeyecek ve sonunda tüm kaynaklar bağlantı beklerken tükenecektir.
Hacimsel Saldırılar
Bu DDoS saldırısı, bir sistem veya ağın mevcut tüm bant genişliğini kullanmaya çalışır. Ancak hedef sistemdeki kaynakları almak veya kullanmak yerine, bu tür saldırılar herhangi bir meşru trafiğin geçmesini engeller.
Bu tür bir saldırıya örnek olarak DNS yansıması verilebilir. DNS yansıtma saldırısında saldırgan, hedeflenen bilgisayar gibi görünüp onun IP adresini kullanarak bir DNS sunucusuna küçük istekler gönderir. Bu küçük isteklerin gönderilmesi hızlı ve kolaydır. Ancak daha sonra hedeflenen bilgisayara gönderilen ve sonunda onu boğan çok büyük yanıtlarla sonuçlanır.
DDoS Savunma Stratejisi Nasıl Olmalı?
Bir ağı veya sistemi bir DDoS saldırısından korumak, antivirüs yazılımıyla engellenebilecek bir şey olmadığı için biraz zaman alabilir. Saldırı dışarıdan geliyor, bu yüzden farklı önlemler almalısınız.
Ağları ve sistemleri DDoS saldırılarından korumak için alınması gereken bazı siber güvenlik önlemleri şunlardır:
- Hız sınırlaması: Belirli bir istemcinin bir sisteme erişme hızını sınırlamak bazı DDoS saldırılarını önleyebilir. Ancak bu tek başına büyük veya karmaşık bir saldırı için yeterli olmayabilir.
- Kara delik yönlendirme: Kara delik yolu, hiçbir yere gitmeyen bir yoldur. DDoS saldırısı yaşıyorlarsa, ağ yöneticileri trafiği zarar veremeyeceği bir kara delik yoluna yönlendirebilir. Bu yöntem, bir sisteme zarar gelmesini önleyecektir. Ancak aynı zamanda ağın erişilemez hale getirilmesiyle sonuçlanabilir.
- Web uygulaması güvenlik duvarları: Bir web uygulaması güvenlik duvarı, DDoS saldırılarını tanımlama ve engelleme kurallarıyla uygulama katmanı saldırılarını önleyebilir.
- Anycast ağ difüzyonu: Bu yaklaşım, saldırıdan gelen trafiği büyük bir sunucu ağı boyunca dağıtır, böylece emilir.
Ayrıca siber güvenlik uygulamalarının kötü amaçlı yazılımdan koruma ve virüsten koruma yazılımı içerdiğini unutmayın. Bir ağı DDoS saldırısından korumayacak olsalar da cihazları botnette bot olmaktan koruyacaklar.
