- 1 May 2020
- 46
- 10
DDoS Nedir?
DDoS (Distrubuted Denial of Service Attack) en yalın tanımıyla, web siteleri, e-posta sistemleri, online ödeme sistemleri gibi sistemlerin karşılayabileceğinin çok üzerinde sahte bir yoğunluk yaratılması ya da hedef sistemin kaynaklarının yüksek oranlarda tüketilmesi ile sitelerin yayınını engellemek ve işlevsiz kılmak için gerçekleştirilen siber saldırılardır. DDoS saldırılarında temel amaç bilgi sızdırmak ya da kar sağlamak değil, saldırı geçekleştirilen hedef sistemin çalışamaz hale gelmesine neden olmaktır.
DDoS saldırıları genel çerçevede “zombi” makineler kullanılarak oluşturulan “botnetler” ile gerçekleştiriliyor.
Zombi; sahibinin haberi olmadan, virüs ya da trojen ile ele geçirilmiş ve çeşitli amaçlar için kullanılan bilgisayar sistemleridir. Zombi bilgisayarların oluşturulmasının temel nedenleri; saldırganların gizlenerek, kendilerini tehlikeye atmadan işlem gerçekleştirmek ve saldırı ağlarını güçlendirmek istemeleridir. Bu sebepler ile zombiler, DDoS saldırıları için önemli bir kaynak oluşturmaktadır.
Botnet ise zombiler kullanılarak oluşturulan sanal bilgisayar orduları olarak tanımlanabilir. Botnet’ler istenmeyen e-posta gönderimi, virüs ve zararlı yazılım yaymak, siber saldırılarda kullanılmak gibi amaçlar için oluşturulmakta ve DDoS saldırılarında ara eleman olarak kullanılmaktadırlar.
Bunların yanı sıra yine aşırı UDP, SYN ve GET/POST Request’ler de genellikle DDoS saldırılarının belirtileri arasında gösterilebilir.
SYN flood saldırısı alıp almadığınızı anlamak için Linux ve Windows işletim sistemlerinde “Netstat –an –p tcp” komutunu kullanabilirsiniz. Bu komutu çalıştırdığınız zaman çok sayıda “SYN_RECEIVED” satırı olduğunu görüyorsanız yüksek ihtimalle bir SYN flood saldırısına uğruyorsunuzdur.
UDP flood saldırılarının işleyişi temelde hedef sistemin rastgele portlarına çok sayıda UDP paketi gönderilmesi prensibine dayanır. Çok sayıda UDP paketine maruz kalan hedef sistem öncelikle portu dinleyen bir uygulamanın olup olmadığını kontrol eder. Her bir kontrol sonrasında portu dinleyen hiçbir uygulama olmadığını gören sistem buna karşılık ICMP (Internet Control Message Protocol) “hedef erişilemez” paketi ile cevap verir. Bu döngü sonunda çok sayıda UDP paketine, çok sayıda ICMP paketi ile karşılık vermek zorunda kalan hedef sistem erişilemez duruma gelir.
DDoS (Distrubuted Denial of Service Attack) en yalın tanımıyla, web siteleri, e-posta sistemleri, online ödeme sistemleri gibi sistemlerin karşılayabileceğinin çok üzerinde sahte bir yoğunluk yaratılması ya da hedef sistemin kaynaklarının yüksek oranlarda tüketilmesi ile sitelerin yayınını engellemek ve işlevsiz kılmak için gerçekleştirilen siber saldırılardır. DDoS saldırılarında temel amaç bilgi sızdırmak ya da kar sağlamak değil, saldırı geçekleştirilen hedef sistemin çalışamaz hale gelmesine neden olmaktır.
DDoS saldırıları genel çerçevede “zombi” makineler kullanılarak oluşturulan “botnetler” ile gerçekleştiriliyor.
Zombi; sahibinin haberi olmadan, virüs ya da trojen ile ele geçirilmiş ve çeşitli amaçlar için kullanılan bilgisayar sistemleridir. Zombi bilgisayarların oluşturulmasının temel nedenleri; saldırganların gizlenerek, kendilerini tehlikeye atmadan işlem gerçekleştirmek ve saldırı ağlarını güçlendirmek istemeleridir. Bu sebepler ile zombiler, DDoS saldırıları için önemli bir kaynak oluşturmaktadır.
Botnet ise zombiler kullanılarak oluşturulan sanal bilgisayar orduları olarak tanımlanabilir. Botnet’ler istenmeyen e-posta gönderimi, virüs ve zararlı yazılım yaymak, siber saldırılarda kullanılmak gibi amaçlar için oluşturulmakta ve DDoS saldırılarında ara eleman olarak kullanılmaktadırlar.
DDoS Belirtileri Nelerdir?:
Artık günümüzde normalin dışında gerçekleşen her türlü data trafiğini DDoS olarak adlandırabiliriz. Ağır çalışan ya da hiç çalışmayan web siteleri DDoS saldırısının nedeni olabilir. Aşırı network kullanımı ise DDoS saldırılarının en büyük belirtisidir.Bunların yanı sıra yine aşırı UDP, SYN ve GET/POST Request’ler de genellikle DDoS saldırılarının belirtileri arasında gösterilebilir.
DDoS Türleri Nelerdir?:
DDoS saldırılarını genel olarak 3 ana gruba ayırabiliriz. Bunlar;Volume Based DDoS (Hacim Odaklı Saldırılar)
Volume based DDoS %65’lik bir oran ile DDoS saldırıları içerisinde en çok gerçekleştirilen ve en basit şekilde uygulanabilen saldırı türüdür. Volume based DDoS, UDP, ICMP ve diğer sahte paket (spoofed-packet) floodları ile gerçekleştirilmektedir ve amaç, saldırıya hedef olan sistemin bant genişliğini doyurmaktır.Protocol Based DDoS (Protokol Odaklı Saldırılar)
Protokol tabanlı DDoS saldırıları, OSI (Open Systems Interconnection) katmanınında bulunan “katman 3” veya “katman 4’teki” bir zayıflığın kullanılması ile gerçekleştirilmektedir. Syn flood, ping of death, smurf DDoS ve daha fazla çeşit saldırıyı içeren protokol tabanlı DDoS saldırılarının en yaygın örneği TCP Syn flood’dur.Application Layer DDoS (Uygulama Katmanlı Saldırılar)
Düşük ve yavaş saldırılar, GET / POST flood’ları, Apache, Windows veya OpenBSD güvenlik açıklarını ve daha fazlasını hedefleyen saldırıları içeren diğer DDoS türlerine oranla daha sofistike, tespit edilmesi ve hafifletilmesi zor olan DDoS türüdür.SYN Flood DDoS
SYN flood saldırılar, spesifik olarak baktığımızda günümüzde en sık karşılaşılan DDoS saldırı türü olarak karşımıza çıkmaktadır. SYN flood saldırılarında amaç, hedef alınan sisteme kapasitesinin üzerinde SYN bayraklı TCP paket göndererek sistemin kaynaklarının çalışamaz hale gelmesine neden olmaktır. Bu özelliğiyle de genellikle web sunuculara yönelik gerçekleştirilmekte ve web sayfalarının hizmet vermesi engellenmektedir.SYN flood saldırısı alıp almadığınızı anlamak için Linux ve Windows işletim sistemlerinde “Netstat –an –p tcp” komutunu kullanabilirsiniz. Bu komutu çalıştırdığınız zaman çok sayıda “SYN_RECEIVED” satırı olduğunu görüyorsanız yüksek ihtimalle bir SYN flood saldırısına uğruyorsunuzdur.
UDP Flood DDoS
UDP flood saldırılar, bağlantısız ve oturumsuz bir ağ protokolü olan UDP’yi etkileyen ve temel amacı UDP servisini koruyan güvenlik duvarının oturum tablosunun doldurularak erişilemez hale getirilmesi olan DDoS türüdür.UDP flood saldırılarının işleyişi temelde hedef sistemin rastgele portlarına çok sayıda UDP paketi gönderilmesi prensibine dayanır. Çok sayıda UDP paketine maruz kalan hedef sistem öncelikle portu dinleyen bir uygulamanın olup olmadığını kontrol eder. Her bir kontrol sonrasında portu dinleyen hiçbir uygulama olmadığını gören sistem buna karşılık ICMP (Internet Control Message Protocol) “hedef erişilemez” paketi ile cevap verir. Bu döngü sonunda çok sayıda UDP paketine, çok sayıda ICMP paketi ile karşılık vermek zorunda kalan hedef sistem erişilemez duruma gelir.
