- 10 Tem 2021
- 1,064
- 649
- 42
HTTP sel saldırısı, hedeflenen bir sunucuyu HTTP istekleriyle bunaltmak için tasarlanmış bir tür hacimsel dağıtılmış hizmet reddi (DDoS) saldırısıdır. Hedef isteklerle doyurulduğunda ve normal trafiğe yanıt veremediğinde, gerçek kullanıcılardan gelen ek istekler için hizmet reddi gerçekleşir.
HTTP sel saldırıları, bir tür "katman 7" DDoS saldırısıdır. Katman 7, OSI modelinin uygulama katmanıdır ve HTTP gibi internet protokollerini ifade eder. HTTP, tarayıcı tabanlı internet isteklerinin temelidir ve genellikle web sayfalarını yüklemek veya form içeriğini İnternet üzerinden göndermek için kullanılır. Kötü amaçlı trafiğin normal trafikten ayırt edilmesi zor olduğundan, uygulama katmanı saldırılarını azaltmak özellikle karmaşıktır.
Maksimum verimliliği elde etmek için kötü niyetli aktörler, saldırılarının etkisini en üst düzeye çıkarmak için yaygın olarak botnet kullanır veya oluşturur. Saldırgan, kötü amaçlı yazılım bulaşmış birçok cihazı kullanarak, daha büyük hacimli saldırı trafiği başlatarak çabalarından yararlanabilir.
HTTP GET saldırısı
Bu saldırı biçiminde, birden fazla bilgisayar veya başka cihaz, hedeflenen bir sunucudan görüntü, dosya veya başka bir varlık için birden fazla istek göndermek üzere koordine edilir. Hedef, gelen istekler ve yanıtlarla dolup taştığında, meşru trafik kaynaklarından gelen ek isteklerde hizmet reddi meydana gelir.
HTTP POST saldırısı
Tipik olarak bir web sitesinde bir form gönderildiğinde, sunucunun gelen isteği işlemesi ve verileri bir kalıcılık katmanına, çoğunlukla bir
veritabanına göndermesi gerekir. Form verilerini işleme ve gerekli veritabanı komutlarını çalıştırma süreci, POST isteğini göndermek için gereken işlem gücü ve bant genişliği miktarına kıyasla nispeten yoğundur. Bu saldırı, kapasitesi dolana ve hizmet reddi gerçekleşene kadar doğrudan hedeflenen bir sunucuya birçok gönderi isteği göndererek, göreceli kaynak tüketimindeki eşitsizliği kullanır.
Daha önce belirtildiği gibi, 7. katman saldırılarını azaltmak karmaşıktır ve genellikle çok yönlüdür. Bir yöntem, çevrimiçi bir hesap oluştururken yaygın olarak bulunan bir captcha testi gibi, bir bot olup olmadığını test etmek için istekte bulunan makineye bir meydan okuma uygulamaktır. JavaScript hesaplama sorgulaması gibi bir gereksinim vererek, birçok saldırı azaltılabilir.
HTTP taşkınlarını durdurmanın diğer yolları arasında bir web uygulaması güvenlik duvarının (WAF) kullanılması, kötü niyetli trafiği izlemek ve seçici olarak engellemek için bir IP itibarı veritabanının yönetilmesi ve mühendisler tarafından anında analiz yapılması yer alır. 20 milyondan fazla İnternet özelliğiyle ölçek avantajına sahip olmak, Cloudflare'ın çeşitli kaynaklardan gelen trafiği analiz etmesine ve uygulama katmanı DDoS trafiğini ortadan kaldırmak için hızla güncellenen WAF kuralları ve diğer azaltma stratejileriyle olası saldırıları azaltmasına olanak tanır.
Bir UDP seli, çok sayıda Kullanıcı Datagram Protokolü (UDP) paketinin hedeflenen bir sunucuya gönderildiği ve bu cihazın işleme ve yanıt verme yeteneğini ezmek amacıyla bir tür hizmet reddi saldırısıdır. Hedeflenen sunucuyu koruyan güvenlik duvarı, UDP taşması sonucunda da tükenebilir ve bu da meşru trafiğe hizmet reddine neden olabilir.
Bir UDP taşması, öncelikle bir sunucunun bağlantı noktalarından birine gönderilen bir UDP paketine yanıt verdiğinde attığı adımlardan yararlanarak çalışır. Normal koşullar altında, bir sunucu belirli bir bağlantı noktasında bir UDP paketi aldığında, yanıt olarak iki adımdan geçer:
Sunucu önce, belirtilen bağlantı noktasında istekleri dinleyen herhangi bir programın çalışıp çalışmadığını kontrol eder.
Bu bağlantı noktasında hiçbir program paket almıyorsa, sunucu, göndericiye hedefe ulaşılamadığını bildirmek için bir ICMP (ping) paketi ile yanıt verir.
Bir UDP seli, bir otel resepsiyonistinin aramaları yönlendirmesi bağlamında düşünülebilir. İlk olarak, resepsiyonist, arayanın belirli bir odaya bağlanmak istediği bir telefon alır. Daha sonra resepsiyon görevlisi, konuğun odada müsait olduğundan ve aramayı yanıtlamaya istekli olduğundan emin olmak için tüm odaların listesine bakmalıdır. Resepsiyonist, konuğun herhangi bir arama yapmadığını fark ettiğinde, telefonu tekrar açmalı ve arayan kişiye, konuğun aramaya cevap vermeyeceğini söylemelidir. Birdenbire tüm telefon hatları benzer isteklerle aynı anda aydınlanırsa, hızla boğulurlar.
Her yeni UDP paketi sunucu tarafından alındığında, süreçteki sunucu kaynaklarını kullanarak isteği işlemek için adımlardan geçer. UDP paketleri iletildiğinde, her paket kaynak cihazın IP adresini içerecektir. Bu tür DDoS saldırısı sırasında, bir saldırgan genellikle kendi gerçek IP adresini kullanmaz, bunun yerine UDP paketlerinin kaynak IP adresini taklit ederek saldırganın gerçek konumunun açığa çıkmasını ve hedeflenenden gelen yanıt paketleriyle potansiyel olarak doymasını engeller. sunucu.
Hedeflenen sunucunun alınan her bir UDP paketini kontrol etmek ve ardından yanıtlamak için kaynakları kullanmasının bir sonucu olarak, büyük miktarda UDP paketi alındığında hedefin kaynakları hızla tükenebilir ve bu da normal trafiğe hizmet reddine neden olabilir.
Çoğu işletim sistemi, kısmen ICMP yanıtı gerektiren DDoS saldırılarını engellemek için ICMP paketlerinin yanıt hızını sınırlar. Bu tür azaltmanın bir dezavantajı, bir saldırı sırasında meşru paketlerin de işlem sırasında filtrelenebilmesidir. UDP seli, hedeflenen sunucunun güvenlik duvarının durum tablosunu doyuracak kadar yüksek bir hacme sahipse, darboğaz hedeflenen cihazdan yukarı akışta meydana geleceğinden, sunucu düzeyinde meydana gelen herhangi bir azaltma yetersiz olacaktır.
UDP saldırı trafiğini hedefine ulaşmadan azaltmak için Cloudflare, DNS ile ilgili olmayan tüm UDP trafiğini ağ ucunda bırakır. Cloudflare'ın Anycast ağı, web trafiğini birçok Veri Merkezine dağıttığından, her boyuttaki UDP sel saldırılarını işlemek için yeterli kapasiteye sahibiz.
