Distributed Denial of Service veya Dağıtılmış Hizmet Reddi (DDoS), truva atı bulaşmış birden çok sistemin belirli bir sistemi hedefleyerek DoS saldırısına neden olduğu bir DOS saldırısı türüdür.

Bir DDoS saldırısı, hedeflenen kaynağı doldurmak için birden fazla sunucu ve İnternet bağlantısı kullanır. DDoS saldırısı, siber platformdaki en güçlü silahlardan biridir. Bir web sitesinin kapatıldığını öğrendiğinizde, bu genellikle o sitenin bir DDoS saldırısının kurbanı olduğu anlamına gelir. Bu, bilgisayar korsanlarının yoğun trafik uygulayarak web sitenize veya PC’nize saldırdığı anlamına gelir. Böylece aşırı yüklenme nedeniyle web sitesi veya bilgisayar çöküyor.

Örnek: 2000 yılında, online “Mafiaboy” adını kullanan 15 yaşındaki Michael Calce, ilk DDoS saldırılarından birinin arkasındaydı. Çeşitli üniversitelerin bilgisayar ağlarını hackledi. Sunucularını, eBay ve Yahoo gibi birkaç web sitesini çökerten bir DDoS saldırısı gerçekleştirmek için kullandı. 2016’da Dyn, Netflix, PayPal, Amazon ve GitHub gibi büyük web sitelerini ve hizmetleri çökerten büyük bir DDoS saldırısına maruz kaldı.

DDoS saldırıları, güvenliği ihlal edilmiş birden çok bilgisayar sistemini saldırı trafiği kaynağı olarak kullanarak etkililik kazanır. İstismar edilen makineler, bilgisayarları ve IoT cihazları gibi diğer ağa bağlı kaynakları içerebilir.

Yüksek düzeyde, bir DDoS saldırısı, otoyolu tıkayan ve normal trafiğin hedefine ulaşmasını engelleyen beklenmedik bir trafik sıkışıklığı gibidir.

 

DDoS Saldırısı Nasıl Çalışır?

DDoS saldırıları, internete bağlı makine ağları ile gerçekleştirilir.

Bu ağlar, bir saldırgan tarafından uzaktan kontrol edilmelerine izin veren kötü amaçlı yazılım bulaşmış bilgisayarlardan ve diğer cihazlardan (IoT cihazları gibi) oluşur. Bu bireysel cihazlara botlar (veya zombiler) denir ve bir grup bota botnet denir.

Bir botnet kurulduktan sonra, saldırgan her bir bota uzaktan talimatlar göndererek bir saldırıyı yönetebilir.

Bir kurbanın sunucusu veya ağı botnet tarafından hedeflendiğinde, her bot hedefin IP adresine istekler göndererek potansiyel olarak sunucunun veya ağın aşırı yüklenmesine neden olarak normal trafiğe hizmet reddine neden olur. Her bot meşru bir İnternet cihazı olduğundan, saldırı trafiğini normal trafikten ayırmak zor olabilir.

IP adresinin ne olduğunu öğrenmek istiyorsanız, IP adresi nedir makalesini okuyun.

Bir DDoS Saldırısı Nasıl Belirlenir?

Bir DDoS saldırısının en belirgin belirtisi, bir sitenin veya hizmetin aniden yavaşlaması veya kullanılamaz hale gelmesidir. Ancak, trafikte böylesine meşru bir artış gibi çeşitli nedenler benzer performans sorunları yaratabileceğinden, genellikle daha fazla araştırma gerekir. Trafik analizi araçları, bir DDoS saldırısının bu belirgin işaretlerinden bazılarını tespit etmenize yardımcı olabilir:

• Tek bir IP adresinden veya IP aralığından kaynaklanan şüpheli miktarda trafik
• Cihaz türü, coğrafi konum veya web tarayıcı sürümü gibi tek bir davranışsal profili paylaşan kullanıcılardan gelen bir trafik akışı
• Tek bir sayfaya veya uç noktaya yapılan isteklerde açıklanamayan bir artış
• Günün tuhaf saatlerindeki ani artışlar veya doğal olmayan görünen kalıplar (ör. her 10 dakikada bir ani artış) gibi tuhaf trafik kalıpları

DDoS saldırısının, saldırı türüne bağlı olarak değişebilen daha spesifik başka belirtileri de vardır.

Bazı Yaygın DDoS Saldırı Türleri Nelerdir?

Farklı türde DDoS saldırıları, bir ağ bağlantısının değişen bileşenlerini hedefler. Farklı DDoS saldırılarının nasıl çalıştığını anlamak için ağ bağlantısının nasıl yapıldığını bilmek gerekir.

İnternetteki bir ağ bağlantısı, birçok farklı bileşenden veya “katmandan” oluşur. Sıfırdan bir ev inşa etmek gibi, modeldeki her katmanın farklı bir amacı vardır.

Aşağıda gösterilen OSI modeli, ağ bağlantısını 7 farklı katmanda tanımlamak için kullanılan kavramsal bir çerçevedir.

İnternetteki Bir Ağ Bağlantısı Kaç Katmandan Oluşur?

Neredeyse tüm DDoS saldırıları, bir hedef cihazı veya ağı trafikle ezmeyi içerirken, saldırılar üç kategoriye ayrılabilir. Bir saldırgan, hedef tarafından alınan karşı önlemlere yanıt olarak bir veya daha fazla farklı saldırı vektörü veya döngü saldırı vektörü kullanabilir.

Uygulama Katmanı Saldırıları (Application Layer Attacks)

Bazen katman 7 DDoS saldırısı olarak anılır (OSI modelinin 7. katmanına atıfta bulunularak), bu saldırıların amacı, bir hizmet reddi oluşturmak için hedefin kaynaklarını tüketmektir.

Saldırılar, web sayfalarının sunucuda oluşturulduğu ve HTTP isteklerine yanıt olarak teslim edildiği katmanı hedefler. Tek bir HTTP isteğinin istemci tarafında yürütülmesi hesaplama açısından ucuzdur, ancak sunucu genellikle birden çok dosya yüklediğinden ve bir web sayfası oluşturmak için veritabanı sorguları çalıştırdığından, hedef sunucunun yanıt vermesi pahalı olabilir.

Kötü amaçlı trafiği meşru trafikten ayırt etmek zor olabileceğinden, Katman 7 saldırılarına karşı savunma yapmak zordur.

Uygulama katmanı saldırı örneği: HTTP seli

Bu saldırı, birçok farklı bilgisayarda aynı anda bir web tarayıcısında yenileme düğmesine tekrar tekrar basmaya benzer; çok sayıda HTTP isteği sunucuya akarak hizmet reddine neden olur.

Bu saldırı türü basitten karmaşığa kadar değişir.

Daha basit uygulamalar, aynı saldırı IP adresleri, yönlendiriciler ve kullanıcı aracıları aralığına sahip bir URL’ye erişebilir. Karmaşık sürümler, çok sayıda saldıran IP adresi kullanabilir ve rastgele yönlendirenler ve kullanıcı aracıları kullanarak rastgele url’leri hedefleyebilir.

Protokol Saldırıları

Durum tüketme saldırıları olarak da bilinen protokol saldırıları, sunucu kaynaklarının ve/veya güvenlik duvarları ve yük dengeleyiciler gibi ağ ekipmanlarının kaynaklarının aşırı tüketilmesiyle hizmet kesintisine neden olur.

Protokol saldırıları, hedefi erişilemez kılmak için protokol yığınının 3. ve 4. katmanındaki zayıflıkları kullanır.

Protokol saldırısı örneği: SYN flood

SYN Flood, malzeme odasındaki bir işçinin mağazanın önünden talep almasına benzer.

Çalışan bir talep alır, gidip paketi alır ve paketi öne çıkarmadan önce onay bekler. Çalışan daha sonra, daha fazla paket taşıyamayana, bunalana ve istekler yanıtsız kalmaya başlayana kadar onaylanmadan çok daha fazla paket isteği alır.

Bu saldırı, bir hedefe sahte kaynak IP adresleriyle çok sayıda TCP “İlk Bağlantı İsteği” SYN paketi göndererek, iki bilgisayarın bir ağ bağlantısını başlattığı iletişim dizisi olan TCP el sıkışmasından yararlanır.

Hedef makine her bağlantı isteğine yanıt verir ve ardından el sıkışmanın asla gerçekleşmeyen son adımını bekleyerek hedefin süreçteki kaynaklarını tüketir.

Volumetrik Saldırılar

Bu saldırı kategorisi, hedef ile daha büyük İnternet arasındaki tüm mevcut bant genişliğini tüketerek tıkanıklık yaratmaya çalışır. Büyük miktarda veri, bir amplifikasyon biçimi veya bir botnet’ten gelen istekler gibi büyük trafik oluşturmanın başka bir yolu kullanılarak bir hedefe gönderilir.

Amplifikasyon örneği: DNS Amplifikasyonu

DNS amplifikasyonu, birisinin bir restoranı arayıp “Her şeyden bir tane alacağım, lütfen beni geri arayın ve tüm siparişimi tekrar edin” demesine benzer, burada geri arama numarası aslında kurbana aittir. Çok az çabayla uzun bir yanıt oluşturulur ve kurbana gönderilir.

Sahte bir IP adresine (kurbanın IP adresi) sahip açık bir DNS sunucusuna istekte bulunarak, hedef IP adresi daha sonra sunucudan bir yanıt alır.

Bir DDoS Saldırısını Hafifletme Süreci Nedir?

Bir DDoS saldırısını hafifletmedeki temel endişe, saldırı trafiği ile normal trafik arasında ayrım yapmaktır.

Örneğin, bir ürünün piyasaya sürülmesiyle bir şirketin web sitesi hevesli müşterilerle dolup taşıyorsa, tüm trafiği kesmek bir hatadır. Bu şirket, bilinen saldırganlardan gelen trafikte aniden bir artış yaşarsa, muhtemelen bir saldırıyı hafifletmek için çaba gösterilmesi gerekir.

Buradaki zorluk, gerçek müşterileri saldırı trafiğinden ayırmaktır.

Modern internette, DDoS trafiği birçok biçimde gelir. Trafik, tasarım olarak sahte olmayan tek kaynaklı saldırılardan karmaşık ve uyarlanabilir çoklu vektör saldırılarına kadar değişebilir.

Çok vektörlü bir DDoS saldırısı, bir hedefi farklı şekillerde alt etmek için birden çok saldırı yolu kullanır ve potansiyel olarak herhangi bir yörüngedeki hafifletme çabalarını dağıtır.

Bir HTTP flood (hedefleme katmanı 7) ile birleştirilmiş bir DNS amplifikasyonu (hedefleme katmanları 3/4) gibi protokol yığınının birden çok katmanını aynı anda hedefleyen bir saldırı, çok vektörlü DDoS örneğidir.

Çok vektörlü bir DDoS saldırısını hafifletmek, farklı yörüngelere karşı koymak için çeşitli stratejiler gerektirir.

Genel olarak konuşursak, saldırı ne kadar karmaşıksa, saldırı trafiğinin normal trafikten ayrılması o kadar zor olacaktır – saldırganın amacı mümkün olduğu kadar fazla karışarak hafifletme çabalarını olabildiğince verimsiz hale getirmektir.

Trafiği ayrım gözetmeksizin düşürmeyi veya sınırlamayı içeren hafifletme girişimleri, iyi trafiği kötülerle birlikte dışarı atabilir ve saldırı, karşı önlemleri atlatmak için de değişebilir ve uyarlanabilir. Karmaşık bir kesinti girişiminin üstesinden gelmek için, katmanlı bir çözüm büyük fayda sağlayacaktır.

Kara Delik Yönlendirme (Blackhole Routing)

Neredeyse tüm ağ yöneticilerinin kullanabileceği bir çözüm, bir kara delik rotası oluşturmak ve trafiği bu rotaya yönlendirmektir. En basit haliyle, kara delik filtreleme, belirli kısıtlama kriterleri olmaksızın uygulandığında, hem meşru hem de kötü amaçlı ağ trafiği, boş bir yola veya kara deliğe yönlendirilir ve ağdan düşürülür.

Bir İnternet mülkü bir DDoS saldırısı yaşıyorsa, mülkün İnternet servis sağlayıcısı (ISP) savunma olarak sitenin tüm trafiğini bir kara deliğe gönderebilir. Ağı erişilemez hale getirip saldırgana istediği hedefi etkili bir şekilde verdiği için bu ideal bir çözüm değildir.

Oran Sınırlaması (Rate Limiting)

Bir sunucunun belirli bir zaman aralığında kabul edeceği istek sayısını sınırlamak da hizmet reddi saldırılarını azaltmanın bir yoludur.

Hız sınırlama, web kazıyıcıların içerik çalmasını yavaşlatmada ve kaba kuvvet oturum açma girişimlerini azaltmada yararlı olsa da, tek başına karmaşık bir DDoS saldırısını etkili bir şekilde ele almak için muhtemelen yetersiz olacaktır.

Web Uygulaması Güvenlik Duvarı (Web Application Firewall)

Bir Web Uygulaması Güvenlik Duvarı (WAF), bir katman 7 DDoS saldırısını hafifletmeye yardımcı olabilecek bir araçtır. İnternet ile kaynak sunucu arasına bir WAF koyarak, WAF, hedeflenen sunucuyu belirli kötü niyetli trafik türlerinden koruyan bir ters proxy görevi görebilir.

DDoS araçlarını tanımlamak için kullanılan bir dizi kurala dayalı olarak istekleri filtreleyerek, katman 7 saldırıları engellenebilir. Etkili bir WAF’ın anahtar değerlerinden biri, bir saldırıya yanıt olarak özel kuralları hızlı bir şekilde uygulama yeteneğidir.

Her Noktaya Yayın Ağ Yayılımı (Anycast Network Diffusion)

Bu hafifletme yaklaşımı, saldırı trafiğini dağıtılmış sunuculardan oluşan bir ağ boyunca trafiğin ağ tarafından emildiği noktaya dağıtmak için bir Anycast ağı kullanır.

Akıp giden bir nehri ayrı küçük kanallardan aşağı kanalize etmek gibi, bu yaklaşım dağıtılmış saldırı trafiğinin etkisini yönetilebilir hale geldiği noktaya yayar ve herhangi bir kesinti kabiliyetini yayar.

Bir Anycast ağının bir DDoS saldırısını hafifletme güvenilirliği, saldırının boyutuna ve ağın boyutuna ve verimliliğine bağlıdır. Cloudflare tarafından uygulanan DDoS azaltmanın önemli bir parçası, bir Anycast dağıtılmış ağının kullanılmasıdır.

Cloudflare, kaydedilen en büyük DDoS saldırısından kat kat daha büyük olan 192 Tb/sn’lik bir ağa sahiptir.

Son Söz

DDoS saldırıları(Distributed denial of service) , Dağıtılmış Hizmet Reddi anlamına gelir ve siber suçlular tarafından bir ağı büyük miktarda kötü amaçlı trafikle doldurmak için kullanılan bir yöntemdir. Bir DDOS saldırısı sonucunda ağ artık normal şekilde çalışamaz ve iletişim kuramaz ve sonunda sitenin normal trafiği de duracaktır.

Bir DDoS saldırısı, otoyolu tıkayan ve insanların hedeflerine ulaşmasını engelleyen beklenmedik bir trafik sıkışıklığı gibidir. DDoS saldırıları, yalnızca sunucular veya cihazlar güvenli değilse ve kolayca tehlikeye girerse başarılı olur. Elbette bu güvenliği oluşturabileceğimiz, güvenli donanım ve yazılım kullanmak, trafiği, bant genişliğini vb. izlemek gibi yollar var.

Son olarak, DDoS saldırılarının önlenmesi herhangi bir web sitesi için çok önemlidir, bu nedenle bir barındırma hizmeti satın alırken bu güvenlik öğesini dikkate aldığınızdan emin olun, çünkü yalnızca bazı şirketler bu tür güvenlik hizmetleri sunar.Mavihost, bahsedilen güvenlik özelliğine sahip en iyi barındırma hizmeti sağlayıcılarından biridir; Hosting almayı veya hosting sağlayıcınızı değiştirmeyi planlıyorsanız, Linux web hosting planlarını kontrol edin.

Artık DDoS saldırısının ne olduğunu ve bununla nasıl başa çıkabileceğinizi bildiğinize göre sunucunuzu ve cihazınızı bu tür saldırılara karşı bir an önce emniyete alın.

Sıkça Sorulan Sorular

En sık sorulan sorulardan bazılarının yanıtları:

DDoS Saldırıları Nelerdir?

Dağıtılmış hizmet reddi (DDoS) saldırısı, trafiğini aşırı yükleyerek bir çevrimiçi hizmeti kullanılamaz hale getirme girişimidir.

DDoS Saldırılarının Türleri Nelerdir?

Saldırı türleri 3 gruba ayrılabilir:

• Uygulama katmanı saldırıları (Application layer attacks)
• Protokol saldırıları
• Volumetrik saldırılar

DDoS Saldırıları Aldığınızda Ne Olur?

DDoS saldırısı, çevrimiçi bir kaynağa aşırı istek gönderilerek sitenin veya kaynağın çevrimdışı olmasına neden olan bir siber tehdit türüdür. DDoS saldırısından etkilenen bir web sunucusu yavaşlar veya kullanıcılar tarafından tamamen kullanılamaz hale gelir.

 DDoS Saldırıları Nasıl Durdurulur?

• Web sunucusunu boşa harcamamak için yönlendiricinizin hızını sınırlayın.
• Yönlendiricinize bariz saldırı kaynaklarını engellemesini söylemek için filtreler ekleyin.
• Yarı açık bağlantıları ortadan kaldırın. Sahte veya hatalı biçimlendirilmiş paketleri kullanmayın.