DDoS Nedir?

Disturbed Denial of Service (Dağıtılmış Hizmet Reddi), sistemi olabildiğince fazla trafikle meşgul edip yavaşlatma veya kaldırabileceğinden çok istek atarak hizmeti tamamen sekteye uğratmayı amaçlayan DoS (Denial of Service - Hizmet Reddi) saldırılarıdır. Saldırıların amacı hizmeti tamamen engellemek veya yavaşlatmak olduğundan etkisi birkaç dakika sürebileceği gibi saatler hatta günler sürebilir. Saldırılar; web sitelerini, sunucuları, firewall veya load balancerı kısacası tüm ağı ve barındırdığı cihazları hedef alabilir.

DDoS saldırısının hedeflerinin bant genişliği ve aynı anda kaldırabileceği istek sayısı sınırlıdır. Bu sınırlar aşıldığında servis yavaşlaması, serviste aksaklıklar gibi çeşitli problemler yaşamaya başlar, sonucunda ise kullanıcılardan gelen isteklere cevap veremeyerek tamamen servis dışı kalabilir. Saldırı, bir veya birden fazla saldırgan tarafından, birbirine bağlı dağıtılmış olarak bulunan remote sunucu veya cihazlar aracılığı ile aynı anda hedefe saldırı yaparak gerçekleştirilir. Saldırganlar tarafından zombi network olarak da bilinen botnet'ler (Bkz. Botnet) sıklıkla kullanılır. Botnet'ler saldırganlar tarafından birçok kullanıcının kişisel cihazlarına bulaştırılır ve DDoS sırasında bu cihazlar da hedefe uzaktan saldırı gerçekleştirir.

DDoS Saldırı Türleri

Hacim Bazlı Saldırılar (Volume Based Attacks)

Hedef siteye yüksek hacimli trafik yollayarak bant genişliğini aşmayı ve siteyi hizmet dışı bırakmayı amaçlar. ICMP flood, UDP flood metodları hacim bazlı saldırılara örnektir. Bits per second (bps - saniye başına bit) ile ölçülür.

Protokol Saldırıları (Protocol Attacks)

3 ve 4. katmanlara yapılan bu saldırıda network cihazlarına ve sunucular gibi kritik sistemlerin kaynaklarını tüketerek sistemleri hizmet dışı bırakmayı amaçlar. SYN flood (SYN saldırısı), DNS amplification (DNS büyütme/güçlendirme) ve NTP amplification (yollanan paketleri güçlendirme) gibi saldırı vektörleri vardır. Packet per second (pps - saniye başına paket) ile ölçülür.

Uygulama Katmanı Saldırıları (Application Layer Attacks)

Uygulama katmanına yapılan DDoS saldırısında hedef, bir Apache sunucusu veya bulut tabanlı uygulama gibi servislerdir. GET/POST isteklerini flood halinde kullanarak yüksek sayıda istek atıp sunucu veya uygulamayı hizmet dışı bırakmak amaçlanır. HTTP flood, gibi saldırı vektörleri vardır. Request per second (rps - saniye başına istek) ile ölçülür.

Ping (ICMP) Flood

Bir cihazdan diğerine "ICMP Echo Request" yollandığında, cevap olarak karşı taraftan "ICMP Echo Reply" mesajı döner. Saldırgan, bunu kullanarak hedef ağa çok sayıda botnet ve cihazdan ICMP isteği yollar. Her gelen echo isteğine bir cevap dönüleceğinden, büyük bir trafik oluşur. Sonucunda sistem yavaşlar veya erişilemez hale gelir.

UDP Flood Saldırısı

UDP protokolü, üç yollu el sıkışma gerektirmez ve oturuma ihtiyaç duymaz, bu yüzden daha hızlı bir şekilde DDoS saldırılarında kullanılabilir. Sunucu bir UDP paketi aldığında, öncelikle gitmek istediği porta bakar ve orayı dinleyen bir uygulamanın olup olmadığını kontrol eder. Eğer herhangi bir sonuca ulaşamazsa, varış noktasına erişilemediğini belirtmek için kaynağa ICMP “Destination Unreachable (Ulaşılamaz Hedef)” mesajını yollar. UDP saldırısı bunu kullanılarak çok sayıda UDP paketinin hedefe yollayıp cihazın işlem hızını düşürmeyi amaçlar. Aynı anda gelen UDP paketlerinin varış noktalarını kontrol edip, ICMP mesajı dönmeye çalışan sunucu bir süre sonra hizmet dışı kalacaktır. Genelde saldırganlar hem gizlenmek için hem de sunucudan dönecek ICMP mesajlarının ulaşmaması için IP adreslerini sahte adreslerle değiştirir.

SYN Flood Saldırısı

TCP üç yollu el sıkışmasından yararlanılarak ortaya çıkar. Basitçe, istemci iletişimi başlatmak için bir SYN paketi yollar, sunucu ise SYN/ACK adındaki paketle cevap döner, son olarak istemci ACK mesajı ile cevap verir ve veri alıp, yollanması için bağlantı kurulmuş olur. Saldırganlar, genellikle sahte IP adreslerine sahip çok sayıda botnet üzerinden SYN paketlerini hedefe yollar. Ardından sunucu SYN/ACK ile cevap verir ve karşıdan gelecek cevap için bir portu açık bırakır. Ancak saldırganlar üç yollu el sıkışmayı tamamlamaz ve SYN paketi yollamaya devam eder. Cevap bekleyen portlar bir süre açık kalacağından diğer isteklere yanıt dönemez. Sonucunda, sunucu kısa sürede hizmet veremez hale gelir.

HTTP Flood Saldırısı

Bu saldırıda HTTP istekleri kullanılarak hedef sunucuya birçok cihazdan istek gönderilir. Sunucu kaldırabileceğin fazla trafik ile karşılaşınca hizmet dışı kalır. Genellikle GET veya POST metodu kullanılarak yapılır.

DNS Flood Saldırısı

Bir veya birden fazla DNS sunucusunu hedef alan bu saldırıda, DNS çözümlemelerini engellemek amaçlanır. Genellikle yüksek bant genişliğine sahip cihazlar kullanılır. Bu cihazlardan gelen istekler, DNS sunucusunu hizmet dışı bırakır ve kullanıcıların sunuculara ulaşamamasına sebep olur.

DNS Amplification Saldırısı

DNS çözümleyicileri (DNS Resolver) üzerinden yapılan bu saldırıda, saldırganlar IP adreslerini, DNS çözümleyicisini yanıltmak için hedefin IP adresi ile değiştirirler. Saldırganlar DNS sunucusuna birçok UDP paketi yollar. Amplification ise, yollanan paketlerin boyutunu büyütmek için kullanılan bir yöntemdir. Hedefe dönecek cevabın daha büyük olması için DNS ANY sorgusu kullanılır. ANY sorgusu ile büyük bir DNS kaydı için istek atılarak, sunucuda bulunan tüm DNS kayıtları çıkartılır. Bu şekilde çok sayıda sorgunun hedefe yollanmasından dolayı, hedef cihaz trafik ile dolacak ve hizmet dışı kalacaktır.

NTP Amplification Saldırısı

Ağ Zaman Protokolü (NTP - Network Time Protocol) ağdaki tüm cihazların saatlerini senkronize etmek için kullanılır. Eski sürümlerde varsayılan olarak açık olan monlist komutu, NTP sunucusuna gelen son 600 IP adresi cevap olarak döner. Burada hedefe dönecek cevabı büyütmek (amplification) için bu komuttan yararlanılır. Saldırganlar, NTP sunucusuna, hedefin IP adresi ile UDP paketi yollar. Ardından NTP sunucusu, bunun cevabını hedefe gönderir. Burada birden fazla NTP sunucusuna, birçok botnet tarafından, hedefin IP adresi ile paket yollandığından, hedef ağ trafiği kaldıramayacak ve hizmet veremez hale gelecektir.

DDoS Saldırıları Neden Zararlı?

Günümüzde kurumlar web servislerle, uygulamalarla ve internetle iç içe girmiş yapıdadır. Bu yapıların tümünün her an erişilebilir olması kurumlar için çok önemlidir. DDoS saldırıları eğer saldırganlar amacına ulaşırsa servislerde downtime’a sebep olacağından dolayı, bu süreçte etkilenen sistemler hizmet veremeyecek, kurumun günlük iş akışını aksatacak sonucunda ise finansal problem doğuracaktır. Kullanıcılar websitesine ulaşamayınca marka değerinde ve kullanıcı güveninde düşüş, kârın azalması gibi sonuçlar ortaya çıkartabileceği gibi aynı zamanda müşteri kaybına da yol açabilir.

DDoS Saldırıları nasıl önlenir?

DDoS saldırıları için birçok önlem alınabilir. Öncelikle sistemi DDoS için test ederek başlamak, alınması gereken önlemlerin daha da ayrıntılı görülmesini sağlayacaktır. (DDoS Testi hizmetimiz için bkz. "DDoS Testi Hizmeti")

Testler, tüm yapının saldırılara karşı nasıl ve ne ölçüde korunduğunu ortaya koyar. DDoS testinde, gerçek trafiği simüle ederek kontrollü bir şekilde test yapılır. Sistemin sınırlarını aktif bir şekilde tespit eder. Tüm DDoS türleri için farklı şekilde özelleştirilen testler aynı zamanda kontrol edilebildiğinden güvenli şekilde yapılır. Testin sonunda ise yapıdaki zayıf noktalar, sistemin limitleri gibi parametreler daha net olduğundan alınacak önlemler test sonuçlarına göre düzenlenip, yapının daha güvenli hale gelmesi için verimli bir şekilde çalışılabilir.

DDoS saldırılarına karşı eylem planı hazırlanması, herhangi bir saldırı anında hızlı bir şekilde karşılık verilmesini sağlayacağı gibi oluşabilecek hasarı en aza indirir. Diğer yandan DDoS saldırılarının tanınması, saldırı sırasında yaşanacak durumların önceden bilinmesi saldırıları daha hızlı bir şekilde tespit edilmesini de sağlayacaktır.
Network’deki, olağandışı trafik göstergelerinin anlaşılabilmesi önemlidir.
Bir web sitesini belli bir süre için önbelleğe alıp, içeriğin daha hızlı sunulmasını sağlayan Content Delivery Network (CDN), DDoS saldırılarının etkisini azaltmak için kullanılabilir. CDN sunucuları dünyanın çeşitli bölgelerinde bulunabildiğinden kullanıcılara daha yakın sunuculardan içerik sunabilir. Bir DDoS saldırısı sırasında, yüksek trafik oluştuğunda, CDN trafiği diğer sunuculara aktararak yoğunluğu engelleyecektir. Sonucunda, erişilebilirlik düşmeyecek ve DDoS saldırısının etkisi azalacaktır.
Network Redundancy (Ağ Yedekleme) kullanılarak, aynı anda farklı yerlerde birçok sunucu açılarak DDoS saldırılarının etkileri azaltılabilir.
Birden fazla ISP’den hizmet almak, DDoS saldırısı sırasında hizmeti yavaşlayan, erişilebilirliği düşüren veya hizmet veremeyen ISP yerine diğer ISP’ye geçilmesini ve saldırının etkilerinin azaltılmasına olanak sağlar.
Yüksek bant genişliğine sahip olmak, sistemin kaldırabileceği trafik hacmini de arttıracağından hacim bazlı saldırıların tehlikesini azaltacaktır.
Bulut servisleri, on-prem servislerinin bazı sınırlamalarına sahip olmadığından, örneğin bulut servisleri daha yüksek bant genişliğine sahiptir ve bu yüzden hacim bazlı saldırıları daha rahat kaldırırlar. Aynı zamanda bulut servisler Network Redundancy (Ağ Yedekleme) bakımından daha iyi hizmet sunar.