18 Nisan 2024
En güncel:
Bilişim ProfesyonelleriMakaleManşet YanıSiber Güvenlik

DDOS Saldırısı Nedir?

Osman Selçok

DDOS: DAĞITILAN HİZMET REDDİ SALDIRILARI NASIL GELİŞİYOR..

Dağıtılmış hizmet reddi (DDoS-Distributed Denial of Service) saldırısı, bir saldırganın veya saldırganların bir hizmetin teslim edilmesini imkansız hale getirmeye çalışmasıdır. Bu, sanal olarak her şeye erişimi engelleyerek başarılabilir: sunucular, cihazlar, hizmetler, ağlar, uygulamalar ve hatta uygulamalar içindeki belirli işlemler. DoS saldırısında, kötü amaçlı verileri veya istekleri gönderen bir sistemdir; DDoS saldırısı birden çok sistemden gelir.

Genel olarak, bu saldırılar bir sistemi veri talepleriyle boğarak çalışır. Bu, bir web sunucusuna talep üzerine çökecek kadar çok istek gönderiyor olabilir veya yüksek hacimli sorgularla vurulan bir veritabanı olabilir. Sonuç, kullanılabilir internet bant genişliği, CPU ve RAM kapasitesi aşırı derecede boğulur.

Etki, kesintiye uğramış hizmetlerden tüm web sitelerini, uygulamaları ve hatta tüm işi çevrimdışı duruma getirmeye kadar küçük bir rahatsızlık olabilir.

3 TÜR DDOS SALDIRISI
DDoS saldırılarının üç ana sınıfı vardır:

Hacim tabanlı saldırılar, bir web sitesi veya sunucu gibi bir kaynağı bastırmak için büyük miktarda sahte trafik kullanır. ICMP, UDP ve sahte paket sel saldırılarını içerir. Hacim tabanlı saldırının boyutu, saniye başına bit (bps) olarak ölçülür.
Protokol veya ağ katmanı DDoS saldırıları, hedeflenen ağ altyapılarına ve altyapı yönetim araçlarına çok sayıda paket gönderir. Bu protokol saldırıları arasında SYN floods ve Smurf DDoS bulunur ve boyutları saniye başına paket (PPS) olarak ölçülür.
Uygulama katmanı saldırıları, kötü amaçlarla oluşturulmuş isteklere sahip uygulamalara su baskını yapılarak gerçekleştirilir. Uygulama katmanı saldırılarının boyutu, saniye başına istek (RPS) olarak ölçülür.
Her saldırı türü için amaç her zaman aynıdır: Çevrimiçi kaynakları yavaş veya tamamen tepkisiz hale getirin.

DDOS SALDIRI SEMPTOMLARI
DDoS saldırıları, kullanılabilirlik sorunlarına neden olabilecek kötü niyetli olmayan şeylerin çoğuna benzeyebilir – örneğin çökmüş bir sunucu veya sistem, yasal kullanıcılardan gelen çok fazla meşru istek ve hatta bir kablo kesik. Neyin tam olarak gerçekleştiğini belirlemek için genellikle trafik analizi gerektirir.

DDOS SALDIRISI ZAMAN ÇİZELGESİ
Hizmet reddi saldırılarının nasıl görüleceğini sonsuza dek değiştirecek bir saldırı oldu. 2000 yılının başlarında, Kanadalı lise öğrencisi Michael Calce, diğer adıyla MafiaBoy, Yahoo! zamanın önde gelen web güç merkezlerinden birini kapatmayı başaran dağıtılmış hizmet reddi (DDoS) saldırısı ile. Sonraki hafta boyunca Calce, Amazon, CNN ve eBay gibi diğer siteleri hedef aldı ve başarılı bir şekilde bozdu.

Kesinlikle ilk DDoS saldırısı değil, ancak kamuya açık ve başarılı bu saldırılar serisi, hizmet reddi saldırılarını yenilik ve küçük rahatsızlıklardan sonsuza kadar CISO’ların ve CIO’ların kafasında güçlü iş bozucularına dönüştürdü.

O zamandan beri, DDoS saldırıları, genellikle intikam almak, gasp yapmak, çevrimiçi aktivizm aracı olarak ve hatta siber savaş başlatmak için kullanıldığı için çok sık görülen bir tehdit haline geldi.

Ayrıca yıllar içinde büyüdüler. 1990’ların ortalarında bir saldırı saniyede 150 istekten oluşmuş olabilir ve bu birçok sistemi çökertmek için yeterli olabilirdi. Bugün 1.000 Gbps’yi aşabilirler. Bu, büyük ölçüde modern botnetlerin büyüklüğünden kaynaklanıyor.

Ekim 2016’da, internet altyapı hizmetleri sağlayıcısı Dyn DNS (Şimdi Oracle DYN), on milyonlarca IP adresinden gelen bir DNS sorgusu dalgasına takılıp kaldı. Mirai botnet aracılığıyla gerçekleştirilen bu saldırı, bildirildiğine göre IP kameralar ve yazıcılar da dahil olmak üzere 100.000’den fazla IoT cihazına bulaştı. Mirai zirvede 400.000 bota ulaştı. Amazon, Netflix, Reddit, Spotify, Tumblr ve Twitter gibi hizmetler kesintiye uğradı.

2018’in başlarında yeni bir DDoS tekniği ortaya çıkmaya başladı. 28 Şubat’ta, sürüm kontrolü barındırma hizmeti GitHub, popüler siteyi vuran saniyede 1,35 TB trafiğe sahip büyük bir hizmet reddi saldırısıyla vuruldu . GitHub yalnızca aralıklı olarak çevrimdışı duruma düşürülmüş ve 20 dakikadan kısa bir süre sonra saldırıyı tamamen geri almayı başarmış olsa da, saldırının büyüklüğü endişe vericiydi, çünkü saniyede 1,2 TB’a ulaşan Dyn saldırısını geride bıraktı.

Saldırıyı başlatan teknolojinin analizi, bazı yönlerden diğer saldırılardan daha basit olduğunu ortaya çıkardı. Dyn saldırısı, kötü amaçlı yazılımların binlerce IoT cihazını istila etmesini gerektiren Mirai botnet’in ürünü olsa da , GitHub saldırısı, Memcached bellek önbelleğe alma sistemini çalıştıran ve basit isteklere yanıt olarak çok büyük veri yığınları döndürebilen sunuculardan yararlandı.

Memcached, yalnızca dahili ağlarda çalışan korumalı sunucularda kullanılmak üzere tasarlanmıştır ve kötü niyetli saldırganların IP adreslerini aldatmasını ve şüpheli olmayan kurbanlara büyük miktarda veri göndermesini önlemek için genellikle çok az güvenlik sağlar. Ne yazık ki, binlerce Memcached sunucusu açık internette oturuyor ve DDoS saldırılarında kullanımlarında büyük bir artış oldu. Sunucuların “ele geçirildiğini” söylemek pek de adil değil, çünkü onlara söylenen her yere soru sormadan neşeyle paket gönderecekler.

GitHub saldırısından sadece günler sonra, Memecached tabanlı başka bir DDoS saldırısı, saniyede 1,7 TB veri ile ABD servis sağlayıcısına çarptı.

Mirai botnet, çoğu DDoS saldırısından farklı olarak, PC’ler ve sunucular yerine savunmasız IoT cihazlarından yararlanması açısından önemliydi, BI Intelligence’a göre 2020’ye kadar internete bağlı 34 milyar cihaz olacağı düşünüldüğünde özellikle korkutucu. (24 milyar) IoT cihazları olacak.

Maalesef Mirai, IoT destekli son botnet olmayacak. Akamai, Cloudflare, Flashpoint, Google, RiskIQ ve Team Cymru dahilindeki güvenlik ekipleri arasında yapılan bir araştırma, 100 ülkede güvenliği ihlal edilmiş 100.000 Android cihazdan oluşan WireX adlı benzer boyutlu bir botnet ortaya çıkardı . İçerik sağlayıcıları ve içerik dağıtım ağlarını hedef alan bir dizi büyük DDoS saldırısı soruşturmayı başlattı.

21 Haziran 2020’de Akamai , bugüne kadarki en büyük paket hacmi olan saniyede 809 milyon paket (Mpps) ile zirveye ulaşan büyük bir Avrupa bankasına DDoS saldırısını hafiflettiğini bildirdi . Bu saldırı, milyarlarca küçük (IPv4 başlığı dahil 29 bayt) paket göndererek hedefin veri merkezindeki ağ donanımını ve uygulamalarını alt etmek için tasarlandı.

Akamai araştırmacıları, kullanılan çok sayıda kaynak IP adresi nedeniyle bu saldırının benzersiz olduğunu söyledi. “Müşteri hedefine trafik kaydeden kaynak IP’lerin sayısı saldırı sırasında önemli ölçüde arttı ve bu da doğası gereği yüksek oranda dağıldığını gösteriyor. Araştırmacılar, bu müşteri hedefi için normalde gözlemlediklerimize kıyasla dakika başına kaynak IP sayısının 600 kat arttığını gördük ”dedi.

DDOS SALDIRILARI BUGÜN
DDoS saldırılarının hacmi zaman içinde dalgalansa da, yine de önemli bir tehdittir. Kaspersky Labs , 2019’un 2. çeyreğine yönelik DDoS saldırılarının sayısının, özellikle Eylül ayında saldırılarda görülen artış nedeniyle, 2018’in 3. çeyreğine göre% 32 arttığını bildirdi .

Kaspersky’ye göre, Torii ve DemonBot gibi son zamanlarda keşfedilen ve DDoS saldırıları başlatabilen botnet’ler endişe verici. Torii, bir dizi IoT cihazını devralabilir ve Mirai’den daha kalıcı ve tehlikeli olarak kabul edilir. DemonBot, Hadoop kümelerini ele geçirerek daha fazla bilgi işlem gücüne erişmesini sağlar.

Diğer bir endişe verici eğilim, 0x-booter gibi yeni DDoS başlatma platformlarının mevcudiyetidir. Bu hizmet olarak DDo’lar, bir Mirai varyantı olan Bushido kötü amaçlı yazılımıyla enfekte olan yaklaşık 16.000 IoT cihazından yararlanıyor.

Imperva’dan bir DDoS raporu, 2019’daki çoğu DDoS saldırısının nispeten küçük olduğunu buldu. Örneğin, ağ katmanı saldırıları tipik olarak 50 milyon PPS’yi geçmedi. Raporun yazarları bunu, sınırsız ancak küçük saldırılar sunan DDoS kiralama hizmetlerine bağladı. Imperva, 2019’da 580 milyon PPS’ye ulaşan bir ağ katmanı saldırısı ve 292.000 RPS’de zirveye ulaşan ve 13 gün süren bir uygulama katmanı saldırısı dahil olmak üzere çok büyük bazı saldırılar gördü.

DDOS SALDIRI ARAÇLARI
Genellikle, DDoS saldırganları, merkezi olarak kontrol edilen kötü amaçlı yazılım bulaşmış sistemler ağından oluşan botnet’lere güvenir. Bu virüslü uç noktalar genellikle bilgisayarlar ve sunuculardır, ancak giderek artan şekilde IoT ve mobil cihazlardır. Saldırganlar, kimlik avı saldırıları, kötü amaçlı reklam saldırıları ve diğer toplu bulaşma teknikleri yoluyla bulaşabilecekleri savunmasız sistemleri belirleyerek bu sistemleri toplar. Saldırganlar, bu botnet’leri onları inşa edenlerden de kiralayacak.

DDOS SALDIRILARI NASIL GELİŞİR?
Yukarıda kısaca bahsedildiği gibi, bu saldırıların kiralık botnet’ler tarafından yapılması daha yaygın hale geliyor. Bu eğilimin devam etmesini bekleyin.

Başka bir eğilim, bir saldırı içinde birden çok saldırı vektörünün kullanılmasıdır ve Gelişmiş Kalıcı Hizmet Reddi APDoS olarak da bilinir. Örneğin, bir APDoS saldırısı, veritabanlarına ve uygulamalara ve ayrıca doğrudan sunucuya yönelik saldırılar gibi uygulama katmanını içerebilir. Binary Defense ortak başarısının genel müdürü Chuck Mackey, “Bu, basitçe ‘taşkınlığın ötesine geçiyor,” diyor saldırılar.

Ek olarak, Mackey, saldırganların genellikle sadece kurbanlarını değil, aynı zamanda ISP’ler ve bulut sağlayıcıları gibi bağlı oldukları kuruluşları da hedef aldığını açıklıyor. “Bunlar, iyi koordine edilmiş, geniş kapsamlı, yüksek etkili saldırılardır” diyor.

Bu aynı zamanda DDoS saldırılarının kuruluşlar üzerindeki etkisini de değiştiriyor ve risklerini artırıyor. Foley & Lardner LLP’de siber güvenlik avukatı Mike Overly, “İşletmeler artık yalnızca kendilerine yönelik DDoS saldırılarıyla değil, bu işletmelerin güvendiği çok sayıda iş ortağına, satıcıya ve tedarikçiye yönelik saldırılarla ilgileniyor” diyor. “Güvenlikteki en eski atasözlerinden biri, bir işletmenin ancak en zayıf halkası kadar güvenli olduğudur. Günümüz ortamında (son ihlallerin kanıtladığı gibi), en zayıf bağlantı üçüncü şahıslardan biri olabilir ve sıklıkla da öyle ”diyor.

Elbette, suçlular DDoS saldırılarını mükemmelleştirdikçe, teknoloji ve taktikler yerinde olmayacak. JASK’ın güvenlik araştırması direktörü Rod Soto’nun açıkladığı gibi, yeni IoT cihazlarının eklenmesi, makine öğreniminin ve yapay zekanın yükselmesi bu saldırıları değiştirmede rol oynayacak. Saldırganlar sonunda bu teknolojileri saldırılara entegre edecek ve savunucuların, özellikle basit ACL’ler veya imzalarla durdurulamayan DDoS saldırılarına yetişmesini zorlaştıracak. Soto, DDoS savunma teknolojisinin de bu yönde gelişmesi gerekeceğini söylüyor.

Bunları da sevebilirsiniz

CTO iş tanımı: CTO ne yapar?

Osman Selçok

Bilgisayarı Güvenli ve Kolay Bir Şekilde Sıfırlama

Osman Selçok
Yazılımların Korunması

Dünyada Fikri Mülkiyet Bağlamında Yazılımların Korunması

Av. Çağan Yüzgenç

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.