26 Ekim 2019 hafta sonu ülkemiz ciddi bir DDoS saldırısı ile karşı karşıya kaldı. Bu saldırıda Garanti BBVA ve Türk Telekom çok ciddi etkilendiler. Bu olaylardan hareketle DDoS Saldırılarıyla ilgili soruları cevaplayan bir yazı derledim. Bu yazıda DDoS’un anlamı, nasıl yapıldığı, neden yapıldığı, nasıl korunmak gerektiği gibi merak edilen soruların cevaplarını bulabilirsiniz.
DDoS Saldırısı Nedir?
DDoS ingilizce “distributed denial-of-service” kelimelerinin kısaltılmasıdır. DDoS, sunucuların gerçek görevlerini yerine getirmelerini geçici veya kalıcı olarak aksatmak maksadıyla yapılan bir saldırı türüdür.
DDoS Saldırısı Nasıl Yapılır?
Bu saldırı tek bir merkezden değil dağıtık kaynaklardan aynı anda harekete geçilerek yapılır. Bu sebeple saldırıdan önce fayda sağlanacak olan bilgisayarlara kötü niyetli yazılımlar sayesinde ajanlar yerleştirilir (malware). Bu ajanlar emir almak için hazırda beklerler. Saldırı sahibi saldırmak istediği hedefin IP numarasını ve saldırı zamanını kısa söre önce bildirir. Zaman gelince bir çok kaynaktan hedefe doğru kapasitesini aşacak şekilde istek yapılır.
Kaç Tür DDoS Saldırısı Vardır?
- Application Layer Attacks: Bu saldırıda bir hedef web sayfası belirlenip onu çok hızlı ve paralel şekilde çağırarak sunucuyu cevap vermez hale getirerek yapılır. Bu saldırıda her çağrı farklı bir yerden geliyor gibi gösterip algılanması oldukça zor olabilir.,
- Protocol Attacks: Bu saldırı ağdaki zayıflıklardan faydalanarak sunucu kaynaklarının tüketilmesini sağlar. Buna örnek “SYN Flood” saldırısında; çok hızlı bir şekilde ağ bağlantı açma isteği gönderilip cevabı beklenmeden aynı talep tekrar tekrar gönderilince sunucu kaynakları tükenmeye doğru gider.
- Volumetric Attacks: Bu saldırı türünde de sunucuya boyut olarak çok büyük veri paketleri gönderilir. Sunucu bunları alıp bir cevap dönmek üzere programlandığından; bu isteklerden binlercesini aynı anda göndererek sunucunun kaldırabileceği bant genişliği daraltılıp tıkanır. Böylece sunucu yine cevap vereme hale gelir.
DDoS Saldırısı Altında Olduğumuzu Nasıl Anlarız?
DDoS saldırısı altındaysanız aldığınız veya verdiğiniz hizmetlerde kesintiler yaşanır. Web erişimleri dengesiz olarak devam eder. Eğer saldırı hafif boyutta ise bunu geçici bir sıkıntı var diyerek görmezden gelir ve 1-2 dakika içinde normale dönebilirsiniz. Fakat ciddi bir saldırı varsa ve bir korumanız yoksa yüksek ihtimal tüm hizmetin kesilmesiyle sonlanabilir.
DDoS Algılama Metodları
DDoS saldırısından korunabilmek için saldırı altında olduğumuzu algılamak çok önemli. Başlıca metotlar şunlar:
- Flow Sampling: Router cihazlarında gelen paketlerden örneklemeler alınıp paketlerin içeriği hakkında bilgiler toplanır.
- Package Analysis: DDoS azaltma donanımları gelen ve giden tüm paketleri algılayarak trafiğin saldırı olup olmadığını denetler. Bu işi simetrik ve asimetrik olarak yapabilir.
- Mirrored Data Packets: Bu yöntemle paketler aynalanır ve derinlemesine analiz edilir. Böylece saldırı olup olmadığına bakılır. Bu yöntem de etkilidir fakat trafik hızının artışına göre ölçeklemek konusunda güçlü değildir.
DDoS Saldırısından Nasıl Korunuruz?
Bu tür saldırıları algılamak için bir çok dijital hizmet olmakla birlikte burada insan faktörü de çok önemlidir. Ağları görsel olarak izlemek için paneller yaparak gözle de gözlemlemek gerekir. Burada bir yatırım yapmak gerekiyor. Bu yatırıma potansiyel kaybın boyutuna göre karar vermelisiniz. DDoS saldırılarına karşı bazı önerileri paylaşıyorum:
- Bant genişliği çok önemli. Trafik %30 artınca sınıra geliyorsanız saldırı önleme çözümleri dahi size yardımcı olmayabilir.
- Ağınızı görsel olarak takip edebileceğiniz yazılım ve donanımlar edinebilirsiniz.
- Firewall ve ağların güvenlik yamalarını mutlaka güncel tutun. Saldırıların bir kısmı güncellenmemiş donanımlarda oluşan açıklar sayesinde yapılıyor.
- Bu konuda profesyonel destek almaktan çekinmeyin. Ağ güvenliğinde uzman firmalarla görüşüp bir çözüm önerisi isteyebilirsiniz. Unutmayın bu iş uzmanlık gerektirir.
Saldırı Altında Ne Yapmak Gerekir?
Eğer saldırıya uğruyorsanız hızlıca almanız gereken bazı önlemler var. Kısaca değinmek gerekirse:
- “DDoS mitigation systems” denen DDoS saldırılarını azaltılcı faydası olan yazılımlardan edinip kullanmaya başlamanız gerekiyor.
- IP adres değişikliği önemli.
- DNS kayıtlarının maksimum güvenlik için ayarlanmış olduğun emin olun.
- Özellikle bir yerden saldırı alıyorsanız o kaynağı doğrudan bloklayabilirsiniz
- E-posta iletişimi ve buna benzer hassas servisleri ağınızdan ayrı bir yerde barındırıp saldırı anında iletişimin etkilenmesini de engelleyebilirsiniz.
Tarihteki En Önemli 5 DDoS Saldırısı
- Github: 1.35 Tbps, 2018
- Occupy Central, Hong Kong: 500 Gbps, 2014
- CloudFlare: 400 Gbps, 2014
- Spamhaus: 300 Gbps, 2013
- Amerikan Bankaları: 60 Gbps, 2012
DDoS Saldırılarını Nasıl Takip Ederiz?
Siber atakları takip etmek için bu konuda hizmet veren web siteleri mevcut. Bu haritalar bilgileri güvenlik şirketlerinin dünyadan elde ettikleri verilerden alırlar. Bunlar genellikte kaynak-hedef mantığına dayanarak harita üzerinde yapılan saldırıları görsel olarak sunmaktadırlar. Bu haritalar canlı gibi görünse de bir çoğu gecikmelidir.
En Çok Bilinen Canlı Siber Saldırı Haritaları
Siber saldırı haritaları anlık olarak nereden nereye bir saldırı olduğunu bize görsel olarak sunan canlı haritalardır. Çok bilinen bazı siber saldırı haritaları aşağıdaki gibidir:
- https://cybermap.kaspersky.com/
- https://www.deteque.com/live-threat-map/
- https://threatmap.fortiguard.com/
- https://www.fireeye.com/cyber-map/threat-map.html
- https://threatmap.bitdefender.com/
- https://comparite.ch/ransomwaremap
Siber Saldırı Haritaları Nasıl Çalışır?
Yukarıda örneğini verdiğimiz haritaların nasıl çalıştığını merak ettiniz mi? Dünya çapında organize olmuş büyük güvenlik şirketlerinin çeşitli ağlara yayılmış ve “honeypot” adı verilen sensörleri mevcuttur. Bunlar yazılım veya donanım olabilirler. Bu sensörlerden elde edilen bilgileri biz haritalar üzerinde görüyoruz.
Honeypot Nedir?
Honeypot, gerçek bir yazılım veya donanım gibi görünen yapıların adıdır. Bilerek üzerinde açıklar bırakılıp saldırı için çekici hale getirilmişlerdir. Bu tür noktalara yapılan saldırıların sonuçları merkezde toplanıp özel ağlarda değiş tokuş edildiği gibi açık veri olarak da yayınlanmaktadır. Dünya çapındaki binlerce honeypot sayesinde nerelere saldırı yapıldığına dair verileri elde edebiliyoruz.
Son Söz
Bu yazımda DDoS saldırısıyla ilgili kavramları ve sıkça sorulan sorulara değinmeye çalıştım. Eğer yazımı beğendiyseniz sosyal ortamlarda paylaşmanızı rica ederim.