Alan adı sistemi (DNS), küresel internet altyapısının en kritik bileşenlerinden biridir. DNS’nin bir kısmı tehlikeye girdiğinde veya kullanılamadığında, kullanıcılar internetteki ilgili kaynaklara ulaşamazlar. Bunun nedeni, DNS’nin internet için adres defteri olarak çalışması ve 162.219.54.2 veya 2001:500:80:2::12 gibi İnternet Protokolü (IP) adreslerini insan dostu alan adlarına çevirmekten sorumlu olmasıdır.
DNS öğelerinin kaldırılması, internetin tüm alanlarının erişilemez hale gelmesi anlamına gelir.
Üst düzey alan (TLD) kayıt operatörleri, DNS’nin ve dolayısıyla internetin günlük olarak işlev görmesini sağlamada önemli bir rol oynarlar. TLD, .ca, .com veya .org gibi bir web adresinde noktanın sağındaki karakter dizisidir. TLD kayıt operatörleri, TLD’leri için tüm alan adlarının bir veri tabanını tutmaktan sorumludur. Kayıt operatörleri, bir alan adını kaydeden her bir kişi veya şirket hakkındaki bilgilerin yanı sıra, alan adlarını internette erişilebilir kılan idari ve teknik bilgileri de saklarlar. Bu, yönetim altındaki her bir alan adıyla ilişkili ad sunucularının IP adreslerini içerir.
Dağıtılmış bir hizmet reddi (DDoS) saldırısı, hedeflenen bir sunucunun, hizmetin veya ağın normal trafiğini, hedefi veya çevresindeki altyapıyı bir İnternet trafiği akışıyla ezerek bozmaya yönelik kötü niyetli bir girişimdir.
DDoS saldırıları, saldırı trafiği kaynakları olarak güvenliği ihlal edilmiş birden çok bilgisayar sistemini kullanarak etkinlik sağlar. İstismar edilen makineler, bilgisayarları ve IoT cihazları gibi diğer ağ bağlantılı kaynakları içerebilir.
Yüksek bir seviyeden, bir DDoS saldırısı, otoyolu tıkayan ve düzenli trafiğin hedefine ulaşmasını engelleyen beklenmedik bir trafik sıkışıklığı gibidir.
Denial of Service (DoS saldırısı), internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak aksatarak, bir makinenin veya ağ kaynaklarının asıl kullanıcılar tarafından ulaşılamamasını hedefleyen bir siber saldırıdır. DoS genellikle hedef makine veya kaynağın, gereksiz talepler ile aşırı yüklenmesi ve bazı ya da bütün meşru taleplere doluluktan kaynaklı engel olunması şeklinde gerçekleştirilir.
Bu saldırı, hedef makineyi o kadar çok dış iletişim isteklerine maruz bırakır ki, artık makine normal oranda istek trafiğine cevap veremeyecek konuma düşer, gittikçe yavaşlar ve artık çevrimdışı olur. DoS saldırılarının iki genel formu vardır; servisin çökmesine sebep olanlar ve servisin aşırı yavaşlamasına sebep olanlar. En önemlileri ise dağıtık şekilde yapılan saldırılardır.
Dağıtık DoS saldırısı ilk olarak, dünyaca ünlü hacker Khan C. Smith tarafından 1998 yılında gerçekleştirildi. Bu saldırı ile dünya ekonomisine milyarlarca dolarlık zarar verdiği bilinmektedir.
DDOS SALDIRISI NASIL ÇALIŞIR?
DDoS saldırıları, internete bağlı makinelerin ağları ile gerçekleştirilir.
Bu ağlar, kötü amaçlı yazılım bulaşmış bilgisayarlardan ve diğer cihazlardan (IoT cihazları gibi) oluşur ve bir saldırgan tarafından uzaktan kontrol edilmelerine olanak tanır. Bu bireysel cihazlara botlar (veya zombiler) denir ve bir grup bota botnet denir.
Bir botnet kurulduktan sonra, saldırgan her bir bota uzaktan talimat göndererek bir saldırı yönlendirebilir.
Bir kurbanın sunucusu veya ağı botnet tarafından hedeflendiğinde, her bot hedefin IP adresine istekler gönderir, bu da potansiyel olarak sunucunun veya ağın aşırı yüklenmesine neden olarak normal trafiğe hizmet reddine neden olur.
Her bot meşru bir İnternet cihazı olduğundan, saldırı trafiğini normal trafikten ayırmak zor olabilir.
DDOS SALDIRISI NASIL BELİRLENİR
Bir DDoS saldırısının en belirgin belirtisi, bir sitenin veya hizmetin aniden yavaşlaması veya kullanılamaz hale gelmesidir. Ancak trafikte böylesine meşru bir artış gibi birçok neden benzer performans sorunlarına yol açabileceğinden, genellikle daha fazla araştırma yapılması gerekir. Trafik analizi araçları, bir DDoS saldırısının bu açıklayıcı işaretlerinden bazılarını tespit etmenize yardımcı olabilir:
- Tek bir IP adresinden veya IP aralığından kaynaklanan şüpheli trafik miktarları
- Cihaz türü, coğrafi konum veya web tarayıcısı sürümü gibi tek bir davranış profilini paylaşan kullanıcılardan gelen trafik akışı
- Tek bir sayfaya veya uç noktaya yapılan isteklerde açıklanamayan artış
- Günün garip saatlerinde ani artışlar veya doğal olmayan gibi görünen modeller (örneğin her 10 dakikada bir ani artış) gibi garip trafik kalıpları
DDoS saldırısının, saldırının türüne göre değişebilen daha belirgin başka işaretleri de vardır.
BAZI YAYGIN DDOS SALDIRILARI TÜRLERİ NELERDİR?
Farklı DDoS saldırıları türleri, bir ağ bağlantısının değişen bileşenlerini hedefler. Farklı DDoS saldırılarının nasıl çalıştığını anlamak için bir ağ bağlantısının nasıl yapıldığını bilmek gerekir.
İnternetteki bir ağ bağlantısı, birçok farklı bileşenden veya “katmandan” oluşur. Sıfırdan bir ev inşa etmek gibi, modeldeki her katmanın farklı bir amacı var.
OSI modeli aşağıda açıklandığı gibi, 7 farklı katmanlarda ağ bağlantısını açıklamak için kullanılan kavramsal bir çerçevedir.
OSI MODELİ
Neredeyse tüm DDoS saldırıları, bir hedef cihazı veya ağı trafiğe boğmayı içerirken, saldırılar üç kategoriye ayrılabilir. Bir saldırgan, hedef tarafından alınan karşı önlemlere yanıt olarak bir veya daha fazla farklı saldırı vektörü veya döngüsel saldırı vektörü kullanabilir.
UYGULAMA KATMANI SALDIRILARI
Saldırının amacı:
7 katmana DDoS (OSI modelinin 7 katmanının referans) saldırmak, bu saldırıların amacı bir reddi-of-service oluşturmak için hedefin kaynaklarını dışarı atmaktır.
Saldırılar, web sayfalarının sunucuda oluşturulduğu ve HTTP isteklerine yanıt olarak teslim edildiği katmanı hedefler. Tek bir HTTP isteğinin istemci tarafında yürütülmesi hesaplama açısından ucuzdur, ancak sunucu genellikle birden fazla dosya yüklediğinden ve bir web sayfası oluşturmak için veri tabanı sorguları çalıştırdığından, hedef sunucunun yanıt vermesi pahalı olabilir.
Kötü niyetli trafiği yasal trafikten ayırt etmek zor olabileceğinden, Katman 7 saldırılarına karşı savunmak zordur.
Uygulama katmanı saldırı örneği:
HTTP Flood DDoS Saldırısı
HTTP seli
Bu saldırı, aynı anda birçok farklı bilgisayarda bir web tarayıcısında yenilemeye tekrar tekrar basmaya benzer çok sayıda HTTP isteği sunucuyu doldurarak hizmet reddine neden olur.
Bu saldırı türü basitten karmaşığa doğru değişir.
Daha basit uygulamalar, aynı aralıkta saldıran IP adresleri, yönlendiriciler ve kullanıcı aracıları ile tek bir URL’ye erişebilir. Karmaşık sürümler, çok sayıda saldıran IP adresi kullanabilir ve rastgele yönlendiriciler ve kullanıcı aracıları kullanarak rastgele URL’leri hedefleyebilir.
PROTOKOL SALDIRILARI
Saldırının amacı:
Durum tüketme saldırıları olarak da bilinen protokol saldırıları, sunucu kaynaklarını ve/veya güvenlik duvarları ve yük dengeleyiciler gibi ağ ekipmanı kaynaklarını aşırı tüketerek hizmet kesintisine neden olurlar.
Protokol saldırıları, hedefi erişilemez kılmak için protokol yığınının 3. ve 4. katmanındaki zayıflıkları kullanır.
Protokol saldırısı örneği:
Syn Flood DDoS Saldırısı
SYN seli
SYN Flood, tedarik odasındaki bir işçinin mağazanın önünden talep almasına benzer.
İşçi bir istek alır, gidip paketi alır ve paketi öne çıkarmadan önce onay için bekler. Çalışan daha sonra daha fazla paket taşıyamayacak hale gelene, bunalmış hale gelene ve talepler yanıtsız kalmaya başlayana kadar onay almadan çok daha fazla paket isteği alır.
Bu saldırı, bir hedefe sahte kaynak IP adresleriyle çok sayıda TCP “İlk Bağlantı İsteği” SYN paketi göndererek, iki bilgisayarın bir ağ bağlantısını başlattığı iletişim dizisi olan TCP el sıkışmasından yararlanır.
Hedef makine, her bağlantı isteğine yanıt verir ve daha sonra, işlemdeki hedefin kaynaklarını tüketerek, hiçbir zaman gerçekleşmeyen el sıkışmanın son adımını bekler.
HACİMSEL SALDIRILAR
Saldırının amacı:
Bu saldırı kategorisi, hedef ve daha büyük İnternet arasındaki mevcut tüm bant genişliğini tüketerek tıkanıklık yaratmaya çalışır. Büyük miktarda veri, bir yükseltme biçimi veya bir botnet’ten gelen istekler gibi büyük trafik oluşturmanın başka bir yolu kullanılarak bir hedefe gönderilir.
Amplifikasyon örneği:
NTP Amplifikasyon DDoS Saldırısı
DNS Amplifikasyonu
Bir DNS amplifikasyon çok az bir çabayla uzun bir yanıt üretilir ve kurbana gönderilir.
Sahte IP adresiyle (kurbanın IP adresi) açık bir DNS sunucusuna istekte bulunarak, hedef IP adresi sunucudan bir yanıt alır.
BİR DDOS SALDIRISINI HAFİFLETME SÜRECİ NEDİR?
Bir DDoS saldırısını azaltmanın temel kaygısı, saldırı trafiği ile normal trafik arasında ayrım yapmaktır.
Örneğin, bir ürünün piyasaya sürülmesinde bir şirketin web sitesi hevesli müşterilerle doluysa, tüm trafiği kesmek bir hatadır. Bu şirketin bilinen saldırganlardan gelen trafiği aniden artarsa, muhtemelen bir saldırıyı hafifletmek için çaba gösterilmesi gerekir.
Zorluk, gerçek müşterilere saldırı trafiğini anlatmakta yatar.
Modern İnternet’te DDoS trafiği birçok biçimde gelir. Trafiğin tasarımı, sahte olmayan tek kaynaklı saldırılardan karmaşık ve uyarlanabilir çok vektörlü saldırılara kadar değişebilir.
Çok vektörlü bir DDoS saldırısı, bir hedefi farklı şekillerde boğmak için birden fazla saldırı yolu kullanır ve herhangi bir yörüngede potansiyel olarak dikkati dağıtan azaltma çabalarına yol açar.
Bir HTTP taşması (hedefleme katmanı 7) ile birleştirilmiş bir DNS yükseltmesi (hedefleme katmanları 3/4) gibi aynı anda protokol yığınının birden çok katmanını hedefleyen bir saldırı, çok vektörlü DDoS’a bir örnektir.
Çok vektörlü bir DDoS saldırısını azaltmak, farklı yörüngelere karşı koymak için çeşitli stratejiler gerektirir.
Genel olarak, saldırı ne kadar karmaşık olursa, saldırı trafiğinin normal trafikten ayrılması o kadar zor olur. Saldırganın amacı, azaltma çabalarını mümkün olduğunca verimsiz kılmaktır.
Trafiği ayrım gözetmeksizin düşürmeyi veya sınırlamayı içeren azaltma girişimleri, iyi trafiği kötüyle birlikte dışarı atabilir ve saldırı ayrıca karşı önlemleri değiştirmek ve atlatmak için uyarlanabilir. Karmaşık bir bozulma girişiminin üstesinden gelmek için, katmanlı bir çözüm en büyük faydayı sağlayacaktır.
KARA DELİK YÖNLENDİRME
Neredeyse tüm ağ yöneticilerinin kullanabileceği bir çözümdür. Bir kara delik rotası oluşturmak ve trafiği bu rotaya yönlendirmek yararlı bir hamledir. En basit haliyle, karadelik filtreleme belirli kısıtlama kriterleri olmadan uygulandığında, hem meşru hem de kötü niyetli ağ trafiği boş bir rotaya veya karadeliğe yönlendirilir ve ağdan çıkarılır.
Bir İnternet mülkü bir DDoS saldırısı yaşıyorsa, mülkün İnternet servis sağlayıcısı (ISS), sitenin tüm trafiğini savunma olarak bir kara deliğe gönderebilir. Saldırganın istediği hedefi etkili bir şekilde sağladığı için bu ideal bir çözüm değildir çünkü ağa erişilemez hale getirir.
HIZ SINIRLAMASI
Bir sunucunun belirli bir zaman aralığında kabul edeceği istek sayısını sınırlamak, hizmet reddi saldırılarını azaltmanın bir yoludur.
Hız sınırlaması, web kazıyıcıların içerik çalmasını yavaşlatmada ve kaba kuvvetle oturum açma girişimlerini azaltmada yararlı olsa da, karmaşık bir DDoS saldırısını etkili bir şekilde ele almak için muhtemelen tek başına yetersiz olacaktır.
Bununla birlikte, hız sınırlaması, etkili bir DDoS azaltma stratejisinde yararlı bir bileşendir.
WEB UYGULAMASI GÜVENLİK DUVARI
Bir Web Uygulaması duvarı (WAF) 7 DDOS saldırı bir tabaka hafifletme yardımcı olan bir araçtır. WAF, İnternet ve bir kaynak sunucu arasına bir WAF koyarak, hedeflenen sunucuyu belirli türdeki kötü niyetli trafikten koruyan bir ters proxy görevi görebilir.
DDoS araçlarını tanımlamak için kullanılan bir dizi kurala dayalı olarak istekleri filtreleyerek, 7. katman saldırıları engellenebilir. Etkili bir WAF’nin anahtar değerlerinden biri, bir saldırıya yanıt olarak özel kuralları hızla uygulama yeteneğidir.
YANSITILMA SALDIRILARI
Bir DDoS saldırısı, taleplere cevap verecek çok sayıda bilgisayara sahte bir istek gönderilmesini gerektirebilir. IP spoofing özelliğini kullanarak, kaynak adres hedeflenen kurbanın adresine ayarlanır. Bu da tüm yanıtların hedefe gideceği (ve taşıracağı) anlamına gelir.(Bu yansıtılma saldırı formu “DRDOS” olarak da bilinir.
ICMP Yankı Talebi saldırısı (Smurf attack), Y saldırısının bir biçimi olarak düşünülebilir çünkü taşan host veya hostlar, yanlış yapılandırılmış ağların yayın adreslerine yankı talebi gönderir ve bu şekilde hostları, mağdura yankı yanıtı paketleri göndermeye ikna eder. Bazı eski DDoS programları bu saldırının dağıtılmış halini uygulamıştır.
GENİŞLETME SALDIRILARI
Genişletme saldırıları, bir mağdura gönderilen bant genişliğini büyütmek için kullanılır. Bu genellikle, DNS yanıt trafiğini kullanarak hedef sistemde tıkanıklığa neden olmak için kullanılan, herkese açık erişilebilir DNS sunucuları aracılığıyla yapılır. Pek çok servis, reflektörler gibi davranmak için kullanılabilir. Bazıları diğerlerine oranla daha zorlayıcı olabilir. US-CERT farklı hizmetlerin farklı genişletme faktörlerine işaret ettiğini gözlemlemiştir.
DNS genişletme saldırıları, daha önce göründüğünden daha büyük bir DNS sunucusu listesini kullanarak, genişletme etkisini artıran yeni bir mekanizma içerir. İşlem genellikle, bir saldırganın hedeflenen mağdurun kaynak IP adresini sahte IP adresi olarak kullanıp, genel DNS sunucusuna bir DNS adı arama isteği göndermesini gerektirir. Saldırgan, mümkün olduğunca çok alan bilgisi istemeyi dener ve böylece hedeflenen mağdura gönderilen DNS kayıt yanıtını genişletmeye çalışır. İstek boyutunun yanıttan önemli ölçüde küçük olması nedeniyle saldırgan, hedefe yönlendirilen trafik miktarını kolayca artırabilir. SNMP ve NTP, bir yükseltme saldırısında reflektör olarak da kullanılabilir.
NTP yoluyla güçlendirilmiş bir DDoS saldırısına bir örnek monlist olarak adlandırılan bir komuttur. Bu komut, o bilgisayardan istemciye zaman ayırmasını isteyen son 600 kişinin bilgilerini gönderir. Bu saat sunucusuna yönelik küçük bir istek, herhangi bir kurbanın sahte kaynak IP adresini kullanarak gönderilebilir. Bu da mağdura geri istenen veri miktarının 556.9 katıdır. Bu şekilde, hepsinin aynı sahte IP kaynağına istek yolladığı botnet’ler kullanıldığında, güçlendirilmiş olur ve bu da kurbana büyük miktarda veri gönderilmesini sağlar.
Bu tür saldırılara karşı savunma yapmak çok zordur çünkü yanıt verileri meşru sunuculardan gelmektedir. Bu saldırı talepleri ayrıca, sunucuya bağlantı gerektirmeyen UDP aracılığıyla gönderilir. Yani, sunucu tarafından bir istek alındığında kaynak IP’nin doğrulanmadığı anlamına gelir. Bu güvenlik açıkları hakkında bilinç kazandırmak amacıyla, kullanıcıların çözümleyicilerini düzeltmelerine veya çözümleyicilerini tamamen kapatmalarına neden olan genişletme vektörlerini bulmaya adanmış kampanyalar başlatıldı.
RUDY
RUDY saldırısı, web sunucusunda mevcut oturumların starvasyonu(Bir algoritmada sıra bekleyen işlere bir türlü sıra gelmemesi durumu.) ile web uygulamalarını hedefler. Slowloris’e çok benzer şekilde, RUDY, bitmeyen POST iletimleri kullanarak ve rastgele olarak büyük bir içerik uzunluğu header değeri göndererek oturumları durdurur.
SHREW SALDIRISI
Shrew Saldırısı TCP üzerinden yapılan bir hizmet reddi saldırısıdır. TCP’nin yeniden iletim mekanizmasındaki bir zayıflıktan yararlanarak bir açık oluşturur (man-in-the-middle saldırısı). Aynı bağlantıdaki TCP bağlantılarını kesmek için senkronize edilmiş trafik patlamalarını kullanır.
YAVAŞ OKUMA SALDIRISI
Yavaş Okuma saldırısı, yasal uygulama katmanı istekleri gönderir fakat yanıtları çok yavaş okuyarak sunucunun bağlantı havuzunu tüketmeye çalışır. Yavaş okuma TCP Alım Penceresi boyutu için çok az miktarda reklam vererek ve müşterilerin TCP alma yedek zaman aralığını yavaş yavaş boşaltarak elde edilir. Bu da çok düşük bir veri akış hızı sağlar.
GELİŞMİŞ DÜŞÜK BANT GENİŞLİĞİ DDOS
Gelişmiş Düşük Bant Genişliği DDoS saldırısı, DoS’un daha az trafik kullanan ve mağdurun sistem tasarımında zayıf bir noktayı hedefleyerek etkinliğini arttıran bir formudur. Yani saldırgan, karmaşık isteklerden oluşan trafiği sisteme gönderir. Aslında, gelişmiş DDoS saldırısı, daha az trafik kullanması nedeni ile daha düşük maliyetlidir, daha küçük boyutlu olması tanımlanmasını zorlaştırır ve flow control mekanizmaları tarafından korunan sistemlere zarar verebilme kabiliyetine sahiptir.
SYN Flood
Host, genellikle sahte bir gönderen adresi olan aşırı miktarda TCP / SYN paketleri gönderdiğinde bir SYN flood oluşur.
Bu paketlerin her biri, TCP / SYN-ACK paketini geri göndererek ve gönderen adresinden gelen bir paketi bekleyerek sunucunun yarı açık bir bağlantı oluşturmasına neden olan bir bağlantı isteği gibi ele alınır. Ancak, gönderen adresi sahte olduğu için yanıt gelmez. Bu yarı açık bağlantılar da sunucunun yapabileceği mevcut bağlantı sayısını iyice doldurur. Böylece saldırı sona erinceye kadar meşru isteklere yanıt veremez.
GÖZYAŞI SALDIRISI
Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır. Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır. Bu ofset bilgilerinin çakışmaması gerekmektedir. Gözyaşı saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler. Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse, sistem çöker.
TELEFON HİZMET REDDİ SALDIRISI(TDOS)
IP üzerinden ses protokolü; arayan kişilerin kimlik bilgilerini sızdırma gibi yanlışlıklara izin verirken, çok sayıda sesli aramanın ucuz, kolay ve otomatik olarak yapılmasına neden olmuştur.
Telefon hizmet reddi (TDoS) çeşitli dolandırıcılık şemalarının bir parçası olarak ortaya çıkmıştır;
Bir dolandırıcı, mağdurun bankasına veya broker’ına başvurur. Para transferi talebinde bulunmak için mağdurun kimliğine bürünür. Bankacı, işlemi doğrulamak için mağdura ulaşmaya çalışır. Mağdurun telefon hatlarında binlerce sahte arama olduğu için mağdur ulaşılamaz hale gelir.
Bir dolandırıcı, binlerce dolarlık olağanüstü bir maaş kredisi toplamak için sahte bir iddiayla tüketiciyle görüşür. Tüketici itiraz ettiğinde dolandırıcı mağdurun işverenine binlerce çağrı göndererek karşılık verir. Bazı durumlarda, görünen arayan kimliği polise veya kolluk kuvvetlerine benzemesi için taklit edilir.
Bir dolandırıcı, sahte bir borç toplama talebi ile tüketiciyle görüşür ve polis göndermekle tehdit eder. Hedef anlaşmaya yönelmezse dolandırıcı polis numaralarını floodlayarak, mağdurun isminin görünmesini sağlar. Polis yakın sürede mağdurun evine gelerek aramaların orijinalini bulmaya çalışır.
Telefon hizmet reddi, İnternet telefonu olmasa bile var olabilir. 2002 New Hampshire Senato Seçimlerinde, tele marketçiler sahte çağrılarla politik muhalifleri engellemeye çalışmıştır.
Telefon Hizmet reddi, diğer telefon tacizlerinden kaynaklanan çağrı sayısından farklıdır. (muziplik çağrıları, müstehcen telefon görüşmeleri gibi). Sürekli tekrarlanan otomatik çağrılarla hatları işgal ederek mağdurun rutin ve acil telefon görüşmeleri yapmasını ya da almasını engeller.
DoS saldırısı yapmak çoğu ülkede ciddi bir bilişim suçudur ve cezası vardır fakat saldırının doğal yapısı gereği saldırıyı yöneten kişileri tespit etmek diğer saldırı yöntemleriyle kıyaslandığında çok daha zordur.