En Son DDoS Saldırılarını ve Etkilerini Keşfedin
Dağıtılmış hizmet reddi (DDoS) saldırı, hacmi, boyutu ve karmaşıklığı hızla artıyor, bu da bu tehditlere karşı korumayı tüm kuruluşlar için daha da büyük bir öncelik haline getiriyor. DDoS’a daha iyi hazırlanmak için saldırıların nasıl çalıştığını anlamak ve en yaygın kullanılan taktiklerden bazılarını incelemek önemlidir.
DDoS Saldırı Nedir ve Örnekleri Nelerdir?
Bir DDoS saldırısı karmaşık gelebilir, ancak aslında anlaşılması oldukça kolaydır. Yaygın bir yaklaşım, birden çok makineden kaynaklanan binlerce iletişim isteğiyle bir hedef sunucuyu “sürüklemektir”. Bu şekilde sunucu tamamen bunalmış olur ve artık meşru kullanıcı isteklerine yanıt veremez. Başka bir yaklaşım, kullanıcılar ve hedef sunucu arasındaki ağ bağlantılarını engellemek, böylece ikisi arasındaki tüm iletişimi engellemektir – tıpkı bir borunun tıkanması ve böylece suyun akmaması gibi.
Saldıran makineler genellikle coğrafi olarak dağıtılır ve birçok farklı internet bağlantısı kullanır, bu nedenle saldırıları kontrol etmeyi çok zorlaştırır. Bu, özellikle web sitesine büyük ölçüde güvenen işletmeler için son derece olumsuz sonuçlar doğurabilir; özellikle E-ticaret işletmeleri akla geliyor.
Açık Sistemler Bağlantısı (OSI) modeli, bir iletişim ağında yedi kavramsal katman tanımlar. DDoS saldırıları esas olarak bu katmanlardan üçünü kullanır: ağ (katman 3), aktarım (katman 4) ve uygulama (katman 7).
Ağ (Katman 3/4) DDoS Saldırı: DDoS saldırılarının çoğu ağ ve taşıma katmanlarını hedefler. Bu tür saldırılar, veri paketlerinin ve diğer trafiğin miktarı bir ağı veya sunucuyu aşırı yüklediğinde ve mevcut tüm kaynaklarını tükettiğinde meydana gelir.
Uygulama (Katman 7) DDoS Saldırı: Bir web uygulamasındaki ihlal veya güvenlik açığı. Suçlular, onu istismar ederek, bir web uygulamasını çalıştıran sunucuyu veya veritabanını bunaltarak dizlerinin üstüne çökerler. Bu tür saldırılar, meşru kullanıcı trafiğini taklit ederek tespit edilmelerini zorlaştırır.
Neden Bu Yazıyı Okumanız Gerekiyor?
Bu teknik inceleme, gerçek dünyadaki gözlem ve verilere dayalı olarak DDoS saldırılarındaki en güncel on yöntemi ve eğilimi sunar. Aşağıda bu yöntemleri göreceğiz:
▪ Hacimsel saldırılar
▪ SYN flood saldırıları
▪ NTP amplifikasyon saldırıları
▪ ‘Vur ve Kaç’ saldırıları
▪ Tarayıcı tabanlı bot saldırıları
▪ Çok hedefli DDoS botnet’leri
▪ Sahte kullanıcı aracıları
▪ Çoklu vektör saldırıları
▪ Mobil cihazlardan gelen saldırılar
▪ Saldırının başlatılacağı coğrafi konumlar
Büyük Ölçekli, Hacimsel Saldırılar Büyüyor
Hacimsel Saldırılar Nelerdir?
Hacimsel saldırılar, hedef ağı, mevcut ağ bant genişliğini tamamen doyuran veri paketleri ile doldurur. Bu saldırılar, hedeflenen ağ veya sunucunun aşırı yüklenmesine ve erişim elde etmeye çalışan meşru kullanıcılar için kapsamlı hizmet kesintisine neden olarak çok yüksek hacimlerde trafik sıkışıklığına neden olur.
Hacimsel saldırılar büyüyor, daha karmaşık hale geliyor ve daha uzun sürüyor. Herhangi bir iş sunucusunu birkaç dakika içinde çökertebilirler. Bu ağ düzeyindeki (katman 3 ve 4) saldırılar, bir sunucunun internet bağlantısını, ağ kaynaklarını ve artan hacimleri absorbe edemeyen cihazları bunaltmak için tasarlanmıştır.
Uygulama (Katman 7) DDoS Saldırı Üzerine Genel Bakış
Etkiler
Hacimsel DDoS saldırıları gelişmeye devam ettikçe, kuruluşların bunlarla savaşmak için daha fazla ağ kaynağına ihtiyacı olacak. Önemli miktarda internet bağlantısı ve bant genişliğine sahip şirketler bile bu saldırılar nedeniyle kapasitelerinin tükendiğini görebilir ve önemli miktarda ek bant genişliği satın almak çok pahalı olabilir.
Combo SYN Flood Saldırıları En Yaygındır
Combo SYN Flood Saldırıları Nelerdir?
TCP bağlantı sekansında (“üç yönlü bağlantı”), istekte bulunan kişi, bir ana bilgisayarla TCP bağlantısı başlatmak için önce bir SYN mesajı gönderir. Sunucu bir SYN-ACK mesajı ile yanıt verir, ardından istekte bulunan tarafından ACK mesajının alındı onayı gelir. Bu, ağ bağlantısını açar.
Bir SYN flood saldırısında, istek sahibi hedeflenen sunucuya birden fazla SYN mesajı gönderir, ancak herhangi bir onay ACK mesajı iletmez. İstek sahibi, sahte SYN mesajları da göndererek sunucunun sahte bir IP adresine SYN-ACK yanıtları göndermesine neden olabilir. Tabii ki, asla yanıt vermiyor çünkü SYN mesajlarını asla oluşturmadı.
SYN taşması, sunucu kaynaklarını yeni bağlantı kurulamayana kadar bağlar ve sonuçta hizmet reddine neden olur.
Birleşik SYN taşması iki tür SYN saldırısı içerir – biri normal SYN paketleri kullanır, diğeri 250 baytın üzerindeki büyük SYN paketleri. Her iki saldırı da aynı anda yürütülür; normal SYN paketleri sunucu kaynaklarını (örneğin CPU) tüketirken, daha büyük paketler ağ doygunluğuna neden olur.
Çoklu Vektör Saldırıları Hiper Büyümeyi Kolaylaştırıyor
Etkiler
Bir birleşik SYN flood saldırısı, failler için “tercih edilen silah” olmaya devam ediyor. Bu saldırılar, bir hedef sunucunun veya ara iletişim ekipmanının (ör: güvenlik duvarları ve load balancerlar) kaynaklarını hızla tüketerek, geleneksel DDoS azaltma stratejileri kullanılarak mücadele edilmesini zorlaştırır.
NTP Amplifikasyon Saldırıları Önemli Ölçüde Artıyor
NTP Amplifikasyon Saldırıları Nelerdir?
Bilgisayarlar, saatlerini internet üzerinden senkronize etmek için Ağ Zaman Protokolü’nü (NTP) kullanır. NTP yükseltme saldırıları, NTP sunucularındaki bir özellikten yararlanır; MONLIST olarak adlandırılan, sunucuyla iletişim kuran son 600 IP adresinin bir listesini döndürür. Saldırganlar, hedef sunucunun sahte IP adresini kullanarak NTP sunucularına MONLIST istekleri gönderir.
Bu nedenle, NTP sunucusu yanıtı, orijinal istekten çok daha büyüktür. Saldırganlar, çok sayıda savunmasız NTP sunucusu kullanarak, birden çok veri paketiyle boğulmuş olan hedef sunucuyu hızla tehlikeye atabilir.
Kısmen, NTP amplifikasyon saldırıları çok büyük olabilir, çünkü temeldeki UDP protokolü herhangi bir el sıkışma gerektirmez.
NTP Amplifikasyon Saldırıları
Etkiler
Dünya çapında potansiyel olarak bir NTP amplifikasyon saldırısında kullanılabilecek 400.000’den fazla NTP sunucusu var. Bazıları, 700 kata kadar çarpanları yükseltme yeteneğine sahiptir ve bu da internet trafiğinde büyük bir darbeye neden olabilir.
“Vur ve Kaç” Saldırıları Her Zaman Kalıcıdır
“Vur ve Kaç” Saldırıları Nelerdir?
Adından da anlaşılacağı gibi, vur ve kaç saldırıları, uzun bir süre boyunca rastgele aralıklarla kısa paket patlamalarından oluşur. Bu tehditleri diğer DDoS saldırılarından farklı kılan, günler hatta haftalarca sürebilmesidir. Ayrıca, diğer saldırıların aksine, sürekli değildirler ve özellikle yavaş tepki veren DDoS karşıtı çözümlerden yararlanmak üzere tasarlanmıştır.
Diğer DDoS saldırı tehditlerinin karmaşıklığına rağmen, vur ve kaç saldırıları düşük maliyet ve dağıtım kolaylığı nedeniyle popüler olmaya devam ediyor.
Vur ve Kaç Saldırıları
Etkiler
Vur ve kaç saldırıları, her patlamada manuel olarak devreye alınması/devre dışı bırakılması gereken “isteğe bağlı” DdoS azaltma çözümleriyle ortalığı kasıp kavurur. Bu tür saldırılar, DdoS karşıtı endüstrinin çehresini değiştiriyor ve onu “her zaman açık” entegre çözümlere doğru itiyor. Birkaç saniyeden uzun süren herhangi bir azaltma kesinlikle kabul edilemez.
Tarayıcı Tabanlı Botların Gelişmişliği
Tarayıcı Tabanlı Botlar Nelerdir?
Tarayıcı tabanlı botlar, bir web tarayıcısı içinde çalışan kötü amaçlı yazılım kod bölümlerinden oluşur. Botlar, meşru bir web tarama oturumu sırasında çalışır; tarayıcı kapatıldığında, bot oturumu otomatik olarak sona erer. Tarayıcı tabanlı botlar, kötü niyetli bir web sitesini ziyaret ettiklerinde şüphelenmeyen kullanıcıların bilgisayarlarına gizlice yüklenir. Daha sonra birden fazla bot, güvenliği ihlal edilmiş makinelerden hedeflenen bir sunucuya aynı anda bir saldırı başlatabilir.
Bazı DDoS bot türleri, DDoS karşıtı savunmalardan kaçınmak için çerez desteği gibi tarayıcı davranışını taklit eder. DDoS bot saldırıları, uygulama katmanını hedefler ve başarılı olmak için yüksek hacimler gerektirmediğinden son derece tehlikelidir. Orta büyüklükteki bir sunucuyu çökertmek için saniyede yalnızca 50 – 100 hedefli istek gerekir. Bot saldırılarını tespit etmek zordur ve genellikle yalnızca hasar verildikten sonra ortaya çıkar.
Botlar Gelişiyor –
Çerez ve JavaScript Zorluklarına Karşı Bağışıklık Geliştirme
Etkiler
Katman 7 saldırılarını belirlemek, temeldeki uygulamanın anlaşılmasını gerektirir. Ayrıca kötü niyetli bot trafiği, normal bot trafiği (arama motoru botları gibi) ve insan trafiği arasında uygun bir ayrım gerektirir. Gelen trafiği analiz etme ve ziyaretçinin kimliğine, davranışına ve itibarına dayalı olarak bağlamsal bir risk puanı atama yeteneği ek bir faktördür.
Çoğu Bot Oturumunda Kullanılan Sahte Kullanıcı Aracıları
Sahte Kullanıcı Aracıları Nelerdir?
“Googlebot’lar” gibi iyi botlar, web sitelerinin arama motorları tarafından doğru şekilde dizine eklenmesini sağlamak için kritik öneme sahiptir. Bu nedenle, yanlışlıkla engellememek önemlidir.
Kullanıcı aracılarını yanıltmak, sık kullanılan bir saldırı tekniğidir. Burada DDoS botları, tespit edilmekten kaçınmak için Google veya Yahoo gibi saygın kaynaklardan gelen “iyi” botlar gibi görünüyor. Bu yöntemi kullanarak, botlar düşük seviyeli filtrelerden geçebilir ve hedef sunucularda hasara yol açmaya devam edebilir.
Ortak Sahte Kullanıcı Aracıları
Etkiler
Listeye, arama motoru botları gibi görünen kötü niyetli botlar hakimdir. Azaltma açısından bakıldığında, meşru arama motoru botlarının yüksek düzeyde tahmin edilebilir davranış kalıplarının yanı sıra önceden belirlenmiş başlangıç noktaları nedeniyle, tüm uygulama katmanı zorluklarının en kolayını temsil ederler.
DDoS Botnetlerinin %30’u Ayda 50’den Fazla Hedefe Saldırır
Paylaşılan Botnetler Nedir?
Botnet, kötü amaçlı yazılımlar tarafından ele geçirilen, internette güvenliği ihlal edilmiş bir bilgisayar grubudur. Makine sahipleri genellikle kötü amaçlı yazılım sızmasından habersizdir, bu nedenle saldırganların “zombi” makinelerini uzaktan kontrol etmelerine ve DDoS saldırı başlatmalarına olanak tanır. Botnetler, kişisel bilgisayarlara ek olarak, ele geçirilen barındırma ortamlarını ve çeşitli internet bağlantılı cihazları (örneğin, genellikle tahmin edilmesi kolay varsayılan parolalara sahip CCTV kameraları) içerebilir.
Botnet’ler sıklıkla bilgisayar korsanları arasında paylaşılır veya bir saldırgan tarafından diğerinden kiralanır. Birden fazla sahibi olabilir ve güvenliği ihlal edilmiş aynı makineleri farklı hedeflere yönelik saldırılar başlatmak için kullanabilirler.
Botnet’lerin %30’u Ayda 50’den Fazla Hedefe Saldırıyor
Etkiler
Paylaşılan botnet saldırıları, herhangi bir teknik bilgi gerektirmeden ucuza erişilebildiği ve kolaylıkla kullanılabildiği için önemli ölçüde artmaya devam ediyor. DDoS azaltma sistemleri proaktif olmalı ve kullanıcı niyetlerini tahmin etmek için itibara dayalı güvenlik yöntemleri kullanmalıdır (ve gerektiğinde bunları kara listeye alabilmelidir).
Saldırıların %80’inden Fazlası Çoklu Vektör Yaklaşımını Kullanıyor
Çoklu Vektör Saldırıları Nelerdir?
Geleneksel olarak, DDoS saldırı kampanyaları tek bir saldırı türü veya vektörü kullanırdı. Ancak, bir ağı veya sunucuları devre dışı bırakmak için birden çok vektör kullanan DDoS saldırılarında bir artış var. Çok vektörlü saldırılar olarak adlandırılan bu saldırılar aşağıdakilerin bazı kombinasyonlarından oluşur: (1) Hacimsel saldırılar; (2) Devlet tüketme saldırıları ve (3) Uygulama katmanı saldırıları.
Çok vektörlü yaklaşım, bir saldırgan için çok çekicidir, çünkü taktik bir işletmeye veya kuruluşa en fazla ikincil zararı verebilir. Bu saldırılar, birkaç farklı ağ kaynağını hedef alarak veya bir saldırı vektörünü tuzak olarak kullanırken, daha güçlü bir vektörü ana silah olarak kullanarak başarı şansını artırır.
Saldırıların %81’inden Fazlası Çok Vektörlü Tehditlerdir
Etkiler
Çok vektörlü saldırıların artık bu kadar yaygın olması, saldırganların web sitesi güvenliği ve DDoS koruma ürünlerine ne kadar aşina olduğunu gösteriyor. Bu saldırıların hafifletilmesi son derece zor olabilir, çünkü tüm veri merkezi/kuruluş genelinde çok katmanlı bir yaklaşım ve bunlarla mücadele etmek için yüksek vasıflı bir BT ekibi gerektirir.
Mobil Cihazlardan Gelen Saldırılar Artıyor
Mobil Cihaz Saldırıları Nelerdir?
Pazarlar mobil cihazlara doygun hale geldikçe, saldırıların sayısı önemli ölçüde arttı. Daha fazla internet bant genişliği ve daha hızlı bağlantı sağlayan hücresel ağlar sayesinde, mobil cihazların ele geçirilmesi ve farkında olmadan DDoS saldırıları başlatmak için kullanılması daha kolay hale geldi. Cep telefonları ve tabletler kötü amaçlı yazılımlara karşı dayanıklı değildir ve sahiplerinin bilgisi olmadan kolayca bulaşabilir. Daha sonra, hepsi saldırgan tarafından gizlice kontrol edilen, benzer şekilde ele geçirilmiş diğer mobil cihazlarla birlikte kötü amaçlı yazılım indirmek ve DDoS saldırıları başlatmak için kullanılabilirler.
Mobil cihazlar, PC’lere kıyasla daha zayıf güvenlik korumasına sahiptir. Çoğu kullanıcı, üzerlerine herhangi bir virüsten koruma uygulaması yüklemez. Sahipler ayrıca güvenlik konusunda fazla düşünmeden mobil cihazlarda uygulamaları daha özgürce indirir. Bu, kötü amaçlı uygulamaların bu cihazları tehlikeye atmasını kolaylaştırır.
Etkiler
Mobil cihazların daha yaygın ve güçlü hale gelmesiyle, mobil cihazlardan gelen saldırıların sayısı büyük olasılıkla keskin bir şekilde artacaktır. Mobil cihazlardan gelen saldırıları azaltmada ek bir karmaşıklık katmanı vardır; hücresel ağlar, meşru trafiği de etkileyeceğinden kaynak IP adreslerini engellemek için geleneksel güvenlik duvarlarını kullanamaz.
Saldırıların %52’si Sadece On Ülkeden Kaynaklanıyor
DDoS Saldırıları Hangi Coğrafi Konumlardan Kaynaklanıyor?
DDoS saldırıları, genellikle güvenli olmayan bir altyapıya sahip bölgelerde ele geçirilen barındırma ortamları veya internete bağlı cihazlar aracılığıyla yönlendirilir. Saldırılar başka bir ülkeden kaynaklanabilir, ancak daha sonra diğer ortamlarda güçlendirilir. Bu ülkelerdeki BT altyapıları daha zayıf güvenlik önlemlerine sahip olma eğilimindedir, bu nedenle orada bulunan bilgi işlem kaynakları saldırı gerçekleştirmek için daha sık kullanılır.
En Çok DDoS Saldırı Kaynaklı Ülkeler
Etkiler
BT altyapıları ve buralardaki internete bağlı cihazların sayısı diğer yerel ayarlardan çok daha büyük bir oranda arttığından, bu bölgelerden saldırılar artmaya devam edecek. Bu bölgelerde daha güçlü düzenleme ve güvenlik kontrollerinin uygulanması, bu bölgelerden kaynaklanan saldırıların sayısını önemli ölçüde azaltabilir.
Sonuç
DDoS saldırıları, teknolojileri, gelişmişlik düzeyleri ve taktikleri açısından sürekli olarak gelişmektedir. Yeni saldırı araçları düzenli olarak yayınlanıyor ve – özellikle endişe verici olan – bazıları o kadar kullanıcı dostu ki, saldırıları başlatmak için çok az veya hiç teknik bilgi gerektirmiyor. Binlerce sunucu tarafından desteklenen son derece yıkıcı botnet’ler de artık kiralanabilir ve çok düşük fiyatlarla. Sonuç olarak, DDoS saldırı sayısı, büyüklüğü ve bozulma düzeyinin yeni seviyelere ölçeklenmesi bekleniyor.
Geleneksel anti-DDoS ürünleri artık bu zorlukların üstesinden gelmek için yeterli değil. Bunlar, bant genişliği sınırlamalarına sahip cihaz tabanlı çözümlerden oluşur; manuel aktivasyon gerektiren “talep üzerine” azaltma; IP sahtekarlığına karşı etkisiz olan hız sınırlayıcı çözümler; ve kullanıcı deneyimini bozan gecikme/açılış ekranları.
Etkili DDoS Azaltma Çözümü Gereksinimleri
Mevcut ve gelecekteki tüm DDoS saldırı ihtimaline karşı koruma sağlamak için her şeyi kapsayan bir azaltma çözümü aşağıdakileri gerektirir:
▪ Bulut tabanlı DDoS azaltma
▪ Yüksek kapasiteli bir ağ
▪ Otomatik/anlık algılama ve azaltma
▪ Ziyaretçi tanımlama, risk analizi ve aşamalı zorluklar
▪ Web sitesi kullanıcı deneyiminde minimum kesinti
▪ Her zaman açık DDoS koruması