Kategoriler
CloudFlare

DDoS saldırısı nedir?

Dağıtılmış hizmet reddi (DDoS) saldırısı, hedefi veya çevresindeki altyapıyı bir İnternet trafiği seliyle bastırarak hedeflenen bir sunucunun, hizmetin veya ağın normal trafiğini bozmaya yönelik kötü niyetli bir girişimdir.

DDoS saldırıları, saldırı trafiği kaynağı olarak birden fazla ele geçirilmiş bilgisayar sistemini kullanarak etkinlik sağlar. Kötüye kullanılan makineler, bilgisayarları ve IoT cihazları gibi diğer ağa bağlı kaynakları içerebilir .

Yüksek seviyeden bakıldığında, bir DDoS saldırısı, otobanı tıkayan beklenmedik bir trafik sıkışıklığı gibidir ve normal trafiğin hedefine ulaşmasını engeller.

DDoS saldırısı nasıl çalışır?

DDoS saldırıları, internete bağlı makinelerin ağları ile gerçekleştirilir.

Bu ağlar, kötü amaçlı yazılım bulaşmış bilgisayarlardan ve diğer cihazlardan (örneğin, IoT cihazları) oluşur ve bir saldırgan tarafından uzaktan kontrol edilmelerine olanak tanır. Bu ayrı cihazlara botlar (veya zombiler) denir ve bir grup bota botnet adı verilir .

Bir botnet kurulduktan sonra, saldırgan her bota uzaktan talimatlar göndererek bir saldırıyı yönetebilir.

Bir kurbanın sunucusu veya ağı botnet tarafından hedeflendiğinde, her bot, hedefin IP adresine istek göndererek , potansiyel olarak sunucunun veya ağın aşırı yüklenmesine neden olarak normal trafiğe hizmet reddi ile sonuçlanır .

Her bot yasal bir İnternet cihazı olduğundan, saldırı trafiğini normal trafikten ayırmak zor olabilir.

DDoS saldırısı nasıl belirlenir

Bir DDoS saldırısının en belirgin belirtisi, bir sitenin veya hizmetin aniden yavaşlaması veya kullanılamaz hale gelmesidir. Ancak bir dizi neden – trafikte böylesine meşru bir artış – benzer performans sorunları yaratabileceğinden, genellikle daha fazla araştırma yapılması gerekir. Trafik analizi araçları, bir DDoS saldırısının bu açıklayıcı işaretlerinden bazılarını tespit etmenize yardımcı olabilir:

  • Tek bir IP adresinden veya IP aralığından kaynaklanan şüpheli miktarlarda trafik
  • Cihaz türü, coğrafi konum veya web tarayıcısı sürümü gibi tek bir davranış profilini paylaşan kullanıcılardan gelen trafik akışı
  • Tek bir sayfaya veya uç noktaya yapılan isteklerde açıklanamayan bir artış
  • Günün tek saatlerinde ani artışlar gibi garip trafik modelleri veya doğal olmayan modeller (ör. Her 10 dakikada bir artış)

Saldırının türüne bağlı olarak değişebilen daha spesifik DDoS saldırısı belirtileri vardır.

Bazı yaygın DDoS saldırı türleri nelerdir?

Farklı DDoS saldırıları, bir ağ bağlantısının çeşitli bileşenlerini hedef alır. Farklı DDoS saldırılarının nasıl çalıştığını anlamak için ağ bağlantısının nasıl yapıldığını bilmek gerekir.

İnternet üzerindeki bir ağ bağlantısı, birçok farklı bileşenden veya “katmandan” oluşur. Sıfırdan bir ev inşa etmek gibi, modeldeki her katmanın farklı bir amacı vardır.

OSI modeli aşağıda gösterildiği gibi, 7 farklı katmanlarda ağ bağlantısını açıklamak için kullanılan kavramsal bir çerçevedir.

OSI Modeli

Neredeyse tüm DDoS saldırıları, trafiği olan bir hedef cihaz veya ağın ezilmesini içerirken, saldırılar üç kategoriye ayrılabilir. Bir saldırgan, hedef tarafından alınan önlemlere yanıt olarak bir veya daha fazla farklı saldırı vektörü kullanabilir veya saldırı vektörlerini döngüye alabilir.

Uygulama katmanı saldırıları

Saldırının amacı:

Bazen katman 7 DDoS saldırısı olarak da anılır (OSI modelinin 7. katmanına atıfta bulunarak), bu saldırıların amacı hizmet reddi oluşturmak için hedefin kaynaklarını tüketmektir.

Saldırılar, web sayfalarının sunucuda oluşturulduğu ve HTTP isteklerine yanıt olarak teslim edildiği katmanı hedefler . Tek bir HTTP isteğinin istemci tarafında yürütülmesi hesaplama açısından ucuzdur, ancak sunucu genellikle bir web sayfası oluşturmak için birden çok dosya yüklediği ve veritabanı sorgularını çalıştırdığı için hedef sunucunun yanıt vermesi pahalı olabilir.

Kötü amaçlı trafiği yasal trafikten ayırmak zor olabileceğinden, Katman 7 saldırılarına karşı savunmak zordur.

Uygulama katmanı saldırı örneği:

HTTP Flood DDoS Saldırısı

HTTP flood

Bu saldırı, bir web tarayıcısında birçok farklı bilgisayarda aynı anda tekrar tekrar yenilemeye basmaya benzer – çok sayıda HTTP isteği sunucuyu doldurur ve bu da hizmet reddine neden olur.

Bu tür saldırı, basitten karmaşığa değişir.

Daha basit uygulamalar, aynı saldırı IP adresleri, yönlendirenler ve kullanıcı aracıları aralığına sahip bir URL’ye erişebilir. Karmaşık sürümler çok sayıda saldıran IP adresi kullanabilir ve rastgele yönlendiriciler ve kullanıcı aracıları kullanarak rastgele URL’leri hedefleyebilir.

Protokol saldırıları

Saldırının amacı:

Durum tükenme saldırıları olarak da bilinen protokol saldırıları, sunucu kaynaklarını ve / veya güvenlik duvarları ve yük dengeleyiciler gibi ağ ekipmanlarının kaynaklarını aşırı tüketerek hizmet kesintisine neden olur .

Protokol saldırıları, hedefi erişilemez kılmak için protokol yığınının 3. katmanı ve 4. katmanındaki zayıflıkları kullanır.

Protokol saldırısı örneği:

Syn Flood DDoS Saldırısı

SYN sel

Bir SYN Baskını , bir tedarik odasındaki bir çalışanın mağazanın önünden talepler almasına benzer.

İşçi bir talep alır, paketi alır ve paketi önüne getirmeden önce onay için bekler. Çalışan, daha fazla paket taşıyamayana, bunalıncaya ve talepler cevapsız kalmaya başlayana kadar onay almadan çok daha fazla paket talebi alır.

Bu saldırı , sahte kaynak IP adreslerine sahip çok sayıda TCP “İlk Bağlantı İsteği” SYN paketi göndererek, iki bilgisayarın bir ağ bağlantısını başlattığı iletişim dizisi olan TCP el sıkışmasını kötüye kullanır .

Hedef makine, her bağlantı talebine yanıt verir ve ardından el sıkışmanın hiçbir zaman gerçekleşmeyen son adımı için bekler ve hedefin kaynaklarını işlem sırasında tüketir.

Hacimsel saldırılar

Saldırının amacı:

Bu saldırı kategorisi, hedef ile daha büyük İnternet arasındaki mevcut tüm bant genişliğini tüketerek tıkanıklık yaratmaya çalışır. Bir hedefe büyük miktarda veri, bir büyütme biçimi veya bir botnet’ten gelen istekler gibi büyük trafik oluşturmanın başka bir yolu kullanılarak gönderilir.

Amplifikasyon örneği:

NTP Amplifikasyon DDoS Saldırısı

DNS Yükseltme

Bir DNS amplifikasyon birisi bir restoran arayıp deseydim geri arama numarası aslında kurbana ait olduğu yere “Ben her şeyden bir tane olacak, benim bütün düzen beni geri arayıp tekrar edin” gibidir. Çok az çabayla uzun bir yanıt oluşturulur ve kurbana gönderilir.

Sahte bir IP adresi (kurbanın IP adresi) ile açık bir DNS sunucusuna talepte bulunarak , hedef IP adresi sunucudan bir yanıt alır.

Bir DDoS saldırısını hafifletme süreci nedir?

Bir DDoS saldırısını hafifletmedeki temel endişe, saldırı trafiği ile normal trafiği birbirinden ayırmaktır.

Örneğin, bir ürün sürümü bir şirketin web sitesi istekli müşterilerle doluysa, tüm trafiği kesmek bir hatadır. Bu şirket, bilinen saldırganların trafiğinde aniden bir artış yaşarsa, bir saldırıyı hafifletme çabaları muhtemelen gereklidir.

Zorluk, gerçek müşterilere saldırı trafiğinin dışında söylemekte yatmaktadır.

Modern İnternette, DDoS trafiği birçok biçimde gelir. Trafik, tasarım açısından sahte olmayan tek kaynaklı saldırılardan karmaşık ve uyarlanabilir çok vektörlü saldırılara kadar değişebilir.

Çok vektörlü bir DDoS saldırısı, bir hedefi farklı şekillerde ezmek için birden fazla saldırı yolu kullanır ve bu da potansiyel olarak herhangi bir yörüngede hafifletme çabalarının dikkatini dağıtır.

Bir HTTP flood (hedef katmanı 7) ile birleştirilmiş bir DNS amplifikasyonu (hedef katmanlar 3/4) gibi protokol yığınının birden çok katmanını aynı anda hedefleyen bir saldırı , çok vektörlü DDoS örneğidir.

Çok vektörlü bir DDoS saldırısını azaltmak, farklı yörüngelere karşı koymak için çeşitli stratejiler gerektirir.

Genel olarak konuşursak, saldırı ne kadar karmaşıksa, saldırı trafiğinin normal trafikten ayrılması da o kadar zor olacaktır – saldırganın amacı, mümkün olduğunca karışarak azaltma çabalarını mümkün olduğunca verimsiz hale getirmektir.

Trafiği ayrım gözetmeksizin düşürmeyi veya sınırlandırmayı içeren azaltma girişimleri, kötü trafikle birlikte iyi trafiği atabilir ve saldırı, karşı önlemleri değiştirebilir ve bunlara uyum sağlayabilir. Karmaşık bir kesinti girişiminin üstesinden gelmek için, katmanlı bir çözüm en büyük faydayı sağlayacaktır.

Kara delik yönlendirme

Neredeyse tüm ağ yöneticilerinin kullanabileceği bir çözüm, bir kara delik rotası oluşturmak ve trafiği bu rotaya yönlendirmektir. En basit şekliyle, kara delik filtreleme belirli kısıtlama kriterleri olmadan uygulandığında, hem yasal hem de kötü amaçlı ağ trafiği boş bir yola veya kara deliğe yönlendirilir ve ağdan çıkarılır.

Bir İnternet mülkü bir DDoS saldırısı yaşıyorsa, mülkün İnternet servis sağlayıcısı (ISP), sitenin tüm trafiğini savunma amacıyla bir kara deliğe gönderebilir. Bu, saldırgana etkin bir şekilde istenen hedefi verdiğinden ideal bir çözüm değildir: ağı erişilemez kılar.

Hız sınırlayıcı

Bir sunucunun belirli bir zaman aralığında kabul edeceği isteklerin sayısını sınırlamak da hizmet reddi saldırılarını azaltmanın bir yoludur.

Hız sınırlama, web sıyırıcılarının içeriği çalmasını yavaşlatmak ve kaba kuvvetle oturum açma girişimlerini azaltmak için yararlı olsa da , karmaşık bir DDoS saldırısını etkili bir şekilde ele almak için tek başına yeterli olmayacaktır.

Bununla birlikte, hız sınırlaması, etkili bir DDoS azaltma stratejisinde yararlı bir bileşendir. Cloudflare’nin hız sınırlaması hakkında bilgi edinin

Web uygulaması güvenlik duvarı

Bir Web Uygulaması duvarı (WAF) 7 DDOS saldırı bir tabaka hafifletme yardımcı olan bir araçtır. İnternet ile kaynak sunucu arasına bir WAF koyarak, WAF , hedeflenen sunucuyu belirli türdeki kötü niyetli trafikten koruyan bir ters proxy olarak hareket edebilir .

DDoS araçlarını tanımlamak için kullanılan bir dizi kurala dayalı olarak istekleri filtreleyerek, katman 7 saldırıları engellenebilir. Etkili bir WAF’ın temel değerlerinden biri, bir saldırıya yanıt olarak özel kuralları hızlı bir şekilde uygulama becerisidir. Cloudflare’nın WAF’ı hakkında bilgi edinin .

Anycast ağ difüzyonu

Bu azaltma yaklaşımı, saldırı trafiğini dağıtılmış sunuculardan oluşan bir ağ üzerinden trafiğin ağ tarafından absorbe edildiği noktaya dağıtmak için bir Anycast ağı kullanır.

Acele eden bir nehri ayrı küçük kanallardan aşağı kanalize etmek gibi, bu yaklaşım dağıtılmış saldırı trafiğinin etkisini yönetilebilir hale geldiği noktaya yayar ve herhangi bir yıkıcı yeteneği yayar.

Bir Anycast ağının bir DDoS saldırısını hafifletme güvenilirliği , saldırının boyutuna ve ağın boyutuna ve verimliliğine bağlıdır. Cloudflare tarafından uygulanan DDoS azaltmanın önemli bir parçası, Anycast dağıtılmış bir ağın kullanılmasıdır.

Cloudflare, kaydedilen en büyük DDoS saldırısından daha büyük bir büyüklük sırası olan 59 Tbps ağına sahiptir.

Şu anda saldırı altındaysanız, baskı altından çıkmak için atabileceğiniz adımlar vardır. Zaten Cloudflare üzerindeyseniz , saldırınızı azaltmak için bu adımları takip edebilirsiniz .

Cloudflare’da uyguladığımız DDoS koruması, birçok olası saldırı vektörünü azaltmak için çok yönlüdür. Cloudflare’nin DDoS koruması ve nasıl çalıştığı hakkında daha fazla bilgi edinin .

Kaynak:https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

Hayat Paylaşınca Güzel: