DoS / DDoS Saldırısı Nedir? Korunma Yöntemleri Nelerdir?

Bir alt tür olarak DDoS saldırı yöntemini de açıklamakta fayda var. DDoS (Distrubuted Denial of Service Attack), yani Dağıtık Hizmet Engelleme şeklinde Türkçeye çevrilen bu saldırı tipinde, sunuculara yönelik anlık ve çok ciddi derecede bir yoğunluk oluşturularak kaynak tüketiminin doruk noktalara çıkarılması hedeflenir. Saldırganın birden fazla ve hatta binlerce benzersiz IP adresi kullanarak saniyede terabit boyutlarında veriyi göndermesine imkân veren bir siber saldırı türüdür. Genel itibarıyla ele geçirilmiş olan milyonlarca IP adresi, bu yapay trafikleri oluşturmak için çok daha yaygın olarak kullanılır. Siber saldırı modeli olarak dikkat çeken DDoS, hacker’lar tarafından oluşturulan botnet ağları yardımı ile yapılır. Sunucularda da ciddi açıklar verilmesini sağlayan saldırı tiplerinden biridir.

Neredeyse internet dünyasının en eskiye dayanan ve en etkili saldırı türüdür. DDoS saldırılarına karşı kesin bir çözüm üretilemediği için, çözümün henüz bu tip bir saldırıyla karşı karşıya kalmadan alınması çok önemlidir.

DoS ve DDoS saldırıları, internet tarihinin en eski ve günümüzde dahi en sık karşılaşılan saldırı türlerindedir. Bu saldırı tipinde ağ protokollerinin, uygulamaların veya bilgisayar kaynaklarının zafiyetleri kullanıldığı için büyük oranda saldırganlar lehine başarılı sonuçlar elde edilir

Genel olarak bu saldırı tipi internette bulunan Hosting adını verdiğimiz sunuculara yapılmakta ve günümüz internet dünyasında ciddi şekilde maddi kayıplara neden olmaktadır. Bu saldırı başladığında ve yeterli düzeye ulaştığında Hosting adı verilen sunucu tarafında hizmet kesintisi yaşanır ve kullanıcılar bu sunuculara bağlantı yapamazlar. Sonuç olarak bir e-ticaret sitesinin işlevinin durdurulması ya da bir bankanın hizmet verememesi gibi riskli durumlarla karşılaşılabilir.

Bu saldırı türünde Spoof adı verilen yöntemler kullanıldığı takdirde maalesef failler bulunamaz veya analiz sırasında çok uzun bir süre geçeceği için faillerin yakalanması imkansız hale gelebilir.

Siber Saldırganların Motivasyonları

DDoS saldırı sebeplerine bakıldığı zaman genel olarak politik, dini veya Hacktivizm gibi amaçlar üzerine birleşen gruplar tarafından yapıldıklarını görmekteyiz. Siber saldırganlar bu ve benzeri protesto amaçları güdebildikleri gibi son yıllarda şantaj ve para kazanma amaçlı DDoS saldırıları da yapmaktadırlar. Özellikle büyük kurumlar hedeflenerek aralıksız yapılan DDoS saldırılarının durdurulması karşılığında para talep edip sadece bu iş özelinde uzmanlaşmış siber çetelerin de bulunduğunu unutmamalıyız.

DoS Saldırı Türleri Nelerdir?

DoS ve DDoS saldırılarının birçok türü bulunmaktadır ve genel olarak sistemlerin, uygulamaların veya protokollerin zafiyetleri kullanılarak yapılmaktadır.

Hacim Odaklı DDoS Saldırıları: Volume Based DoS olarak adlandırılan bu saldırı türünde sunucularda kullanılan bant genişlikleri hedef alınmaktadır. Her sunucunun bir bant genişliği olduğu bilinir ve kapasitesi test edilebilir. Kapasitesinin üzerinde yoğun bir sorgu / veri paketi gönderildiği zaman bu bant genişliği doldurularak sunucunun cevap vermesi önlenir.

Protokol Bazlı DDoS Saldırıları: Bu saldırı türü Open Systems Inter Connection olarak adlandırılır ve OSI bünyesindeki katmanlar hedef alınarak yapılır. Bu model içerisinde yer alan 3. ve 4. katmanlardaki protokollerin bünyesinde bulunan zafiyetler kullanılır. Tehlikeli ve bir o kadar da etkili bir saldırı türüdür. Protokollerin uzun yıllardır kullanılması ve güncellenmemiş olması da bu saldırı türünü popüler yapmaktadır.

Uygulama Katmanlı DDoS Saldırıları: Application Layer DDoS olarak adlandırılan bu saldırı türünde veri paketlerindeki GET ve POST özellikleri kullanılır. Hedef sisteme aşırı yüklenen GET ve POST istekleri ile sistem kaynaklarını tüketerek sunucunun cevap vermesi engellenir.

SYN Flood DDoS Saldırıları: Bu saldırı türü sunucu odaklıdır ve TCP paketleri kullanılarak yapılır. Ciddi sonuçlara sebep olan bu saldırı türünde kaynaklar tamamen tüketilerek sunucunun kilitlenmesi sağlanır.

UDP Flood DDoS Saldırıları: UDP protokolü hedef alınarak yapılan bir DDOS türüdür. Sunucuya aşırı şekilde UDP paketleri gönderilerek UDP Port’larının kullanılamaz hale getirilmesi sonucunda sunucunun cevap verememesi sağlanır.

PING Flood DDoS Saldırıları: Bu saldırı türünde PING paketleri kullanılır ve aşırı şekilde tekrarlanarak sunucunun kaynak tüketimi hedef alınır. Yoğun bir şekilde gelen PING paketlerine sunucu cevap vermekle uğraşırken CPU ve RAM kullanımı bitirilerek kilitlenmesi ve cevap verememesi sağlanır.

DoS ve DDoS Saldırılarından Korunma Yöntemleri Nelerdir?

Günümüz internet dünyasında DDoS saldırıları hedef odaklı ve gerekli kaynak sağlandığı takdirde kesin ve kalıcı bir savunma yöntemi bulunmamaktadır.

Genel olarak protokol zafiyetleri kullanılan DDoS saldırıları başarıya ulaşmaktadır. Özellikle de hedef odaklı yapılan DDoS saldırılarında ciddi derecede maddi kayıplar yaşandığını görmekteyiz. Uzun süreli yapılan DDoS saldırılarında ise şirketlerin büyük maddi zararlara uğradığı artık sıkça rastlanılan bir durum haline gelmiştir.

Kullanılan yöntem ne olursa olsun kurumların DDoS saldırılarına karşı farklı tiplerde test hizmeti almaları ve bilgi güvenliği firmalarına bu yük testlerini yaptırmaları tavsiye edilir. Gelebilecek saldırılar, simüle (taklit etme yöntemi) edilerek henüz gerçek bir saldırı gelmeden saldırı gelmiş gibi davranarak olası bir saldırıda yaşanabilecek zararlar en aza indirilebilir. Kısacası erken önlem almak hayati bir konudur.

İşletmeler açısından ağ altyapılarındaki konfigürasyon hataları, bant genişlikleri ve kullanılan uygulamalara kadar birçok noktada DDoS zafiyeti bulunmaktadır. Bu testleri yapacak olan kişilerin ve kurumunuzu korumakla yükümlü olan kişilerin de teknik olarak TCP/IP gibi protokollerde uzmanlaşmış olması gerekmektedir.

Ağ Düzeyinde Korunma Yöntemleri

Kurum ağınızın içerisinde bulunan Router gibi yönlendirici cihazların doğru konfigüre edilmesi en önemli korunma yöntemidir. Doğru konfigüre edilmeyen ağ cihazları sebebi ile DDoS saldırılarının başarısı artmaktadır. Router gibi ağ cihazları üzerinden geçen paketlerin izlenmesi ve özel veri paketi ayarları ile desteklenmesi sayesinde ağ düzeyinde koruma sağlanabilir, DDoS saldırılarının etkileri azaltılabilir.

Firewall Düzeyinde Korunma Yöntemleri

Güvenlik duvarları, kurumların olmazsa olmaz siber güvenlik önlemleri arasındadır. Firewall adını verdiğimiz bu güvenlik cihazlarının veri paketleri için Rate Limiting adını verdiğimiz paket limitleme özellikleri bulunmaktadır. Bir IP adresinden gelebilecek veri paketi sınırlandırması ve kullanılmayan servislerin dışarıya kapatılması gibi ayarlamaların yapılması ile Firewall düzeyinde koruma sağlanabilir. Bu da firmalara oldukça önemli ve değerli bir önlem sunar.

Bireysel Düzeyde Korunma Yöntemleri

Bireysel kullanıcılar olarak da DDoS saldırılarına karşı bilinçli olmak durumundayız. Siber saldırganlar DDoS saldırılarını genelde BOTNET ağları üzerinden gerçekleştirmektedir. Bu BOTNET ağları da zararlı yazılımlar ve benzeri içerikleri bünyesinde barındıran illegal dünyadan dağıtılmaktadır. Lisanssız veya illegal yazılımların kullanımını önlemek, virüslere karşı bir antivirüs kullanmak, işletim sistemlerini sürekli güncellemek ve güncel tutmak bilgisayarınızın bir BOTNET ağına çevrilmesini her zaman engelleyecektir. Aksi takdirde biz bireysel kullanıcıların milyonlarcasına zararlı kodlar bulaştırılabilir ve herhangi bir firmaya; zombi haline getirilmiş olan bilgisayarlarımız ve yüzbinlerce diğer BOTNET ağına üye bilgisayar tarafından habersiz olarak saldırı yapılabilir. Bu saldırıyı yapanlar arasında farkında olmadan biz de olabiliriz.

DDoS Ürünleri ve Servisleri

İnternet dünyası geliştikçe ve DDoS saldırıları artıkça DDoS saldırılarına karşı maliyeti yüksek olsa da birçok servis veya ISP tarafında DDoS koruma cihazı hizmeti sunulmaktadır. Büyük kurumlar gelebilecek DDoS saldırılarına karşı DDoS koruma ürünü temin edebilir veya ISP tarafında DDoS servis hizmeti ile korunma sağlayabilirler. Her ne kadar büyük kurumlar için belirli çapta DDoS koruma ürünleri bulunsa da küçük ve orta ölçekli firmalar yani KOBİ’ler için bu ürünler oldukça maliyetlidir.

DDoS Saldırı Tipleri

DDoS Saldırı yöntemlerine baktığımızda çok farklı türlerle karşılaşabildiğimiz gibi birçok saldırı tipi ile de savunmanız servis dışı bırakılabilir.

Araç Kullanılarak Yapılan Saldırılar

Bir siber saldırgan DDoS saldırısı yapmak için internette hazır servisler kullanabileceği gibi hazır araçlar da kullanabilir. Bu araçlara genel olarak DDoS Saldırı Aracı adı verilir. Siber saldırganlar bu saldırı türünü otomatize ederek uygulama geliştirmekte ve internette kullanıma açık olarak sunabilmektedirler. Bu saldırı araçları genel olarak virüs, Malware ya da Trojan adını verdiğimiz zararlı kodlardır.

Uygulama Seviyesi Saldırılar

Günümüz internet dünyasında birçok uygulamanın zafiyeti tespit edilmektedir. Güncellenmeyen bu uygulamaların maalesef çeşitli türlerdeki DDoS saldırılarına aracılık ettiğine şahit olabiliyoruz. Genel olarak bu zafiyetlerle birlikte bellek taşması, sunucu tarafında çalışan yazılımların zafiyetleri ve disk alanı doldurmak gibi birçok sebeple hizmet reddine neden olabilen uygulama seviyesi saldırılar görmekteyiz.

Diğer bir yandan kurban bilgisayarlara veya sunucu sistemlere kapasitelerinden fazla veri paketi gönderilerek sistem kaynaklarının tüketilmesi sağlanabilmekte ve erişim kesintilerine neden olabilmektedir. Benzeri bir durum da Bandwidth tüketerek yaşanabilir. Sunucu kaynakları tükenmese de limitli olan internet bağlantı limitlerinin aşırı gönderilen paketler sebebi ile tüketilmesine de oldukça sık rastlanmaktadır. Doğal olarak bu teknikler yine aynı sonuca yani hizmet kesintilerinin yaşanmasına sebep olmaktadır.

Flood Saldırıları

Zombi adını verdiğimiz ve ele geçirilmiş olan sayısız bilgisayarın yetkisiz bir şekilde kullanılarak karşı sistemlere DDoS saldırısı için kullanıldığı saldırı türüdür. Bu saldırı türünde kısa süreli Flood saldırıları veya yavaşlatma amacı ile yönlendirilmiş saldırılar sıklıkla karşımıza çıkmaktadır. Halk dilinde zombi istilası veya BOTNET ağı saldırısı olarak da bilinirler. Amaç sunucunun meşgul edilerek cevap vermesi engellenir veya olduğundan çok daha yavaş bir şekilde çalışması amaçlanır.  

HTTP POST Saldırıları

Hyper Text Transfer Protokolü üzerinden GET veya POST şeklinde çeşitlendirilerek kullanılan saldırı tipidir. Web sayfalarına Captcha (güvenlik doğrulaması) koruması yoksa sınırsız sayıda istek göndererek sitenin yoğun şekilde POST isteği almasına neden olarak sistemin cevap verememesine neden olmaktır. Önlem olarak Captcha kullanımı tavsiye edilir.

ICMP Saldırıları

Bu saldırı tipindeyse, paketlerin belirli bir ağdaki tüm ana makinelere belirli bir makineden gönderilmesi yerine ağın yayın adresi üzerinden gönderilmesini sağlayan hatalı yapılandırılmış aygıt zafiyetleri kullanılır. Hatalı yapılandırmaların genelinde, bu tip hizmet reddi saldırılarını görmekteyiz. Saldırgan, hedefin adresi gibi görünmesi için kaynak adrese çok sayıda IP paketi gönderir. Böylece ağın bant genişliği hızlıca tükenir ve ağın kullanımı engellenir.

NUKE Saldırıları

Geçersiz ICMP paketlerini hedefe gönderilerek yapılan bir saldırı tipidir. Bu saldırıyı sonuca ulaştırabilmek için değiştirilmiş Ping kullanarak bozulmuş veri tekrar tekrar yollanır ve karşı bilgisayar yavaşlatılarak hizmet reddi sağlanır.

P2P Saldırıları

Saldırganlar P2P sunucuları arasında kullanılan iletişim metotlarındaki zafiyetlerden yararlanmaktadır. En agresif P2P sunucuları arası DDoS atağı DC++ olarak bilinir. Büyük eşler arası dosya paylaşımı yaparak onların eşler arası ağ bağlantısının kopmasına neden olabilir.

Kalıcı Hizmet Reddi Saldırıları

Kalıcı hizmet reddi (PDoS), sisteme ciddi hasar veren ve sistemin tekrar yüklenmesini gerektiren sonuçlar doğurmaktadır. Kalıcı hizmet reddi saldırılarında, 30 güne varan süreklilik arz ettiği de görülmüştür.

Yansıtılma DDoS saldırıları, ICMP yankı saldırıları, genişletilmiş DDoS saldırıları, DNS kullanılarak yapılan saldırılar, NTP yöntemleri ile güçlendirilmiş DDoS saldırıları gibi birçok farklı şekilde bu saldırı tipleri karşımıza çıkabilir.

DDoS Saldırılarına Karşı Korunma Yaklaşımları

DDoS saldırılarına karşı teknik bakış açısı ile korunma yöntemleri olduğu gibi bakış açınızı değiştirerek çeşitli tür ve nitelikte gelebilecek bu saldırılara karşı korunma yöntemleri edinilmelidir. Tüm DDoS saldırılarına karşı korunabilmenin teknik bir yöntemi maalesef bulunmamaktadır. Saldırganlar için güçlü bir saldırı türüdür ve karşı koyulması imkânsız hale gelebilir.

DDoS saldırılarına karşı korunabilmenin en önemli yolu, diğer güvenlik çalışmalarında da olduğu gibi katmanlı bir savunma mekanizması oluşturmaktır. Bu savunma mekanizmasının nasıl olması gerektiği konusunda Gartner’ın “DDoS: A Comparison of Defense Approaches” başlıklı raporunu okuyabilirsiniz.

Dış Katman Yaklaşımı: Yüksek boyutlardaki volümlü ataklar kurum ağına ulaştığı takdirde sistemleriniz çok fazla ayakta kalamayacaktır. Bu ataklar kurum ağına ulaşmadan, engellemeye veya etkilerini azaltmaya yönelik çalışmalar yapılmalıdır. Bu noktada internet servis sağlayıcıları ve bu servis sağlayıcıların sağladığı DDoS Koruma Hizmetleri tercih edilebilir. Bu tarzdaki korunma yöntemlerine Dış Katman (External) korunma yaklaşımı denilmektedir.

İç Katman Yaklaşımı: Ağ, protokol ve uygulama tipindeki DDoS saldırılarına karşı en önemli korunma yöntemidir. Genellikle doğrudan kullanıcıya hizmet veren Web, e-posta, DNS gibi uygulamalara yönelik gerçekleştirilen DDoS saldırıları almış olduğunuz bu hizmetlerin işlevsiz kalmasını sağlar. İnternete açık uygulamaların korunmasına yönelik olarak IPS, WAF ve yeni nesil Firewall cihazları gibi önlemler alınabilir. Bu korunma yöntemine İç Katman (Internal) korunma yaklaşımı denilmektedir.

İnsan ve Süreç Yaklaşımı: Dünyanın en iyi DDoS koruma cihazını veya hizmetini de almış olsanız yine de tam anlamı ile korunabileceğiniz söylenemez. Bu noktada iyi bir siber savunma için insan, süreç ve teknoloji unsurlarını bir arada ve etkili bir biçimde kullanarak savunma yapabilirsiniz. Bu yöntem sayesinde bir DDoS saldırısı gerçekleşmesi durumunda, müdahalenin doğru ve etkin bir şekilde yapılabilmesi sağlanır ve süreç yönetimi sayesinde yaşanan olaylar minimum zararlarla atlatılabilir.

DDoS Saldırılarına Karşı Hizmet Sağlayıcı Servisler

Yukarıda da belirttiğimiz gibi DDoS saldırılarına karşı ISP düzeyinde koruma hizmeti sunan hizmet sağlayıcıları bulunmaktadır. Bu hizmet sağlayıcıları birden fazla ISP ile çalışarak yükü dağıtarak  kurumunuza gelebilecek saldırılara karşı size temiz bir ağ trafiği sunabilirler. Dünya genelinde bu hizmeti sunan firmalar Akamai Technologies, CloudFlare, Level 3 Communications, Radware, Arbor Networks, AT&T, Incapsula, Neustar Inc, Tata Communications, Verisign, Verizon Communications gibi sıralanmaktadır.

Bir DDoS saldırısına maruz kaldığınız zaman hat limitleriniz ve sunucu kapasitelerinize aşırı yüklenme olacağından dolayı sisteminiz devre dışı kalacaktır. Bu da iş sürekliliğinizi etkilediği gibi beraberinde maddi ve manevi kayıplar yaşamanıza, hatta markanızın itibarının zedelenmesine kadar birçok noktada sıkıntılı süreçler yaşamanıza sebep olabilir.

Şirketlere yapılan DDoS saldırılarında bu tarz risklerle karşılaşıldığı gibi, devletlere yapılan DDoS saldırılarında ise ülkelerin iletişim ağlarının devre dışı kalması, bankacılık ve diğer finans kurumlarının çalışamaz / işlevsiz hale gelmesine neden olabilmektedir. Geçmişte yaşanan DDoS saldırılarını incelediğimizde büyük boyuttaki DDoS saldırılarının devletlere yapıldığında dış dünya ile olan tüm iletişimin kesildiği gibi enerji, telekomünikasyon ve sağlık gibi birçok hizmette de aksamalar yaşanmasına sebep olduğu bilinmektedir. Bu saldırıların süreleri uzaması ise POS cihazlarının çalışmaması ve finans kurumlarının işlememesi sebebi ile halkın isyana sürüklenmesi, enerjisiz kalan sağlık ve benzeri hizmetlerin aksayarak ölümlere dahi yol açılabilmesi gibi riskleri önümüze getirmektedir.

10 Ocak 2021