DDoS Saldırı Türleri Ve Koruma Önlemleri !

 

DDoS Saldırısı Nedir?

Dağıtılmış Hizmet Reddi saldırıları, bir siber hizmeti çeşitli kaynaklardan gelen trafikle tıkayarak erişilemez hale getirmek için donatılmış saldırılardır. Buradaki amaç, normal olarak, söz konusu bilgisayar(lar)ın, yoğun saatlerde tıkanıklık akışında bir rahatsızlığa neden olmak için çeşitli ana bilgisayarların kaynaklarını kullanarak yönetimi durdurmasını sağlamaktır. DDoS fikrini tam olarak anlamak için, araçların ne zaman hareketli bir parkurdan genel olarak boş bir sokağa yönlendirildiğini düşünün. İlk başta belirli sayıda araç için tasarlanan parkur, yeteneğinden daha fazlasını zorunlu kılıyor. Bunun neden olduğu şey, araçların ilerlemesinde ve insan hareketinde bir gecikme veya etkilenen rotadaki hareketin tamamen sona ermesidir. Yukarıdakiler, bir DDoS saldırısında tam olarak meydana gelen şeydir. Bir çerçeve aynı anda farklı kaynaklardan gelen trafikle tıkandığında, 

Dağıtılmış hizmet reddi saldırıları çeşitli türlerdedir.

Bu türler aşağıda açıklanmıştır: 

1. ‍ Uygulama Katmanı Saldırıları 

Bu tür DDoS saldırıları çok normaldir, aslında en çok bilinen DDoS saldırılarıdır. Belirli uygulamalara, özellikle web uygulamalarına saldırmaya yöneliktirler. Saldırganların bu ortamda yaptığı şey, bu uygulamaların nerede güçsüz olduğunu keşfetmektir. Bu koşulları bulduktan sonra, bu uygulamaların amaçlanan yönetimleri gerçekleştirmesini engelleyen saldırılar başlatırlar. Zaman ilerledikçe, PC'yi uygulama katmanı saldırılarına karşı korumanın çeşitli yöntemleri oluşturuldu. Bununla birlikte, eski stratejiler ne kadar gizli tutulursa, saldırganlar o kadar akıllı hale geldi. Çeşitli kullanım katmanı saldırıları vardır.

‍ Sınır ağ geçidi protokolü ele geçirme – Bu tür DDoS saldırıları, trafiği bir hedef web uygulamasından saldırganınkine yönlendirmek için donatılmıştır. Bu tür bir saldırıda saldırgan, hedef örgütün önekini kendi örgütü gibi kullanarak başka bir örgüt gibi davranır. Böylece örgüte doğru akması amaçlanan trafik, saldırganın ihtiyaç duyduğu yere yönlendirilir. 

‍ Jumbo Yük saldırıları– Bu tür bir uygulama katmanı saldırısı, aşırı derecede büyük içerikler göndererek uygulamaları işe yaramaz hale getirmek için tasarlanmıştır. Bu saldırıda, hedef web uygulamasının sunucusuna XML ile kodlanmış bir veri yapısı gönderilir. Bu uygulama verilerin kodunu çözmeye çalıştığında, çok fazla bellek kullanır ve onu tüketmekten çöker. Kullanıcı Datagram protokol saldırısı – Bu saldırılar genellikle rastgeledir. Saldırganlar, hedeflenen ana bilgisayarda rastgele bağlantı noktalarına taşmak için kullanıcı datagram protokollerini kullanır. Ağ ana bilgisayarları UDPS ile dolup taştığında, normal kullanıcılara yanıt veremez hale gelirler. Esasen ağ, datagramdan gelen istekleri işlemek için mevcut kaynakları kullanır. Dolaylı olarak, normal kullanıcı bu bağlantı noktalarına erişmeyi amaçladığında, kullanıcıya ulaşılamayacağına dair bir mesaj alır.

‍ Taklit edilen kullanıcı saldırısı – Bu saldırı türü, adından da anlaşılacağı gibi basittir. Saldırgan, belirtilen uygulamalara erişmek için normal kullanıcılar gibi oluşturulan botnet'leri kullanır. Saldırgan bu botnetlerin çoğunu kullanır ve sonuç olarak hedefteki web sitesini aşan yüksek hacimli trafik oluşturur. Oluşturulan yüksek trafik hacmi, uygulamanın orijinal kullanıcılara hizmet vermeyi durdurmasına neden olur.

2. Hacimsel saldırılar

‍ Bu saldırılar, adından da anlaşılacağı kadar açıktır; bir sunucuya, bir uygulamaya veya hacimli bir ağa saldırmayı içerir. Temel olarak, saldırganlar, çalışmasını engellemek için hedefe muazzam miktarda bilgi gönderir. Saldırganların çoğu, hacimsel saldırıları en az zor DDoS saldırıları türü olarak görür. Bazı sınırlı durumlarda, bu tür saldırılar, DDoS saldırılarını kontrol etmek için oluşturulan çerçeveleri bile devre dışı bırakır. Esasen hacimsel saldırganlar, bir web uygulaması, sunucu ve ağ (veya genel olarak web) arasındaki aktarım kapasitesini silip süpürmek için çok fazla bilgi kullanır. Hacimsel DDoS saldırılarının çeşitli örnekleri vardır. 

İnternet Protokolü güvenlik saldırıları – Bu tür saldırılar, açıkça hedef ağın web protokolü güvenliğine odaklanır. Temel tükenme hedefiyle ağın kaynaklarına yönlendirilirler. 

İnternet protokolü parçalanma saldırıları – Bu tür bir saldırıda, büyük bilgi paketleri (internet protokolleri) dakika birimlerine bölünür ve odak ağı üzerinden gönderilir. Bu küçük birimler ağa etkin bir şekilde girdiklerinde, bütün bir datagram olmak üzere yeniden bir araya gelirler. Bağlamdaki datagramlar genellikle ağın limitinden daha yüksektir. Saldırının kesin bir noktası, hedef ağın erişilebilir tüm hafızasını almaktır. 

3. Yansıma atakları

Bu tür bir saldırıda, saldırganın hedef IP'yi taklit etmesi (olduğunu iddia etmesi) gerekir, bu, bu IP adresini taklit ederek ve ayrıca hedef ağın özelliklerini abartarak yapılır - buna teknik olarak sızdırma denir. Saldırgan bunu başarılı bir şekilde yaptığında, protokolleri kullanarak bilgi istemek için sunucuya mesajlar gönderilir. Çoğu durumda saldırılar, kullanıcı datagram protokolleri (UDP) veya transfer kontrol protokolleri (TCP) kullanılarak gerçekleştirilir. Dolaylı olarak, sunucu, hedef adresten gelen çok sayıda isteğe yanıt vermeye çalışır. Daha basit bir ifadeyle, saldırganın hedefi taklit etmesi nedeniyle yanıtların aşırı yüklenmesi, saldırganın adresinden hedef adrese doğru yansıtılır. Çoğu durumda, yansıma saldırılarını kolayca tespit edebilirsiniz. genellikle ağ yöneticisinin ilgisini çekecek kadar büyüktürler. Bunun nedeni yalnızca ağdaki tek bir bağlantı noktasına yönlendirilen isteklerin boyutudur. Yansıma DDoS saldırılarının başlatılması için özel bir çaba gerekmez ve çok aşırı durumlarda önlenmesi zor olabilir. 

Alan Adı Sistemi (DNS) DDoS Saldırıları

Bir Etki Alanı adı çerçevesini bir tür web hedefleri telefon rehberi olarak düşünün. Web hedeflerini IP adresleriyle adlandırma ve tanıma düzenlemesidir. Ya da diğer taraftan, daha kolay bir ifadeyle, açık numaralara sahip web sitelerinin adlarıyla koordineli bir kayıt defterine biraz benzer. Bu isim kataloğu, gezegenin her yerindeki DNS sunucularına tahsis edildi ve saklandı. Kimlik ve açıklığın yanı sıra, alan adı çerçeveleri de web hedef güvenliği için benzer yöntemlerdir. Alan adı çerçevelerinin önemi, onları DDoS saldırılarının tutarlı hedefleri haline getirir. Alan adı sistemine yönelik saldırıların etkin bir şekilde gerçekleştirildiği noktada, söz konusu kuruluşun hem kimliği hem de güvenliği sarsılmaktadır. Alan adı çerçevelerinde koordine edilen çeşitli saldırı örnekleri vardır.

TCP syn Saldırısı – Bu tür bir DDoS saldırısı, "üç yönlü el sıkışma" adı verilen bir kullanıcı-sunucu ilişkilendirme stratejisinden yararlanır. Saldırganın yaptığı, bu stratejiyi kötüye kullanmak ve bu süreçte ağı işlevsiz kılmak için çok sayıda kaynağı tüketmektir. Tipik olarak, bir kullanıcı ve bir sunucu arasında yapılacak bir ilişki için bu üç döngü gereklidir:

• Kullanıcı bilgisayarı, çalışanla bağlantı talep etmek için paketler gönderir – bu istek SYN kullanılarak yapılır 
• Sunucu, kullanıcı bilgisayarına onay mesajları gönderir (SYN-ACK) 
• Müşteriler sunucuya başka bir mesaj gönderir; ancak, bu sefer bir onay mesajıdır (ACK).

Yukarıdaki dernek kurma yöntemi, "üçlü el sıkışma" olarak bilinir. Bir TCP SYN saldırısında, saldırganlar hedef sunucuya birden fazla talep mesajı gönderir. Çoğu durumda, saldırganlar bunu çeşitli sahte IP adresleri kullanarak yapar. Sunucu, orijinal gibi görünen ve ardından kaynaklarını tüketen çeşitli mesajlara tepki vermeye çalışır. Bunun sonucu, sunucunun normal kullanıcılara "kayıp bağlantı mesajları" göndermesidir. 

DNS yükseltme saldırıları– Bu tür bir saldırı aslında adından da anlaşılacağı gibi. Saldırganlar, bir ağı işlevsiz kılmak için çok sayıda DNS arama talebi (güçlendirme) yapar. Amplifikasyon, organizasyonun veri aktarım kapasitesinin tükenmesine neden olur. Sonuç olarak, saldırganlar isteklerini normal bir DNS talebinin boyutundan genellikle daha büyük olacak şekilde yapılandırırlar. Bu nedenle sunucu, normalde yapacağından daha büyük yanıtlar gönderecek şekilde yapılmıştır. Bu tür bir saldırının temel kuralı, tepkilerin büyüklüğünden yararlanmaktır. Tipik olarak, DNS talepleri, isteklerin boyutundan biraz daha büyük yanıtlar alır. Dolaylı olarak, çok büyük arama istekleri göndermek, sunucunun buna uygun olarak büyük bir yanıt üretmesini (gerektirir) yapar. Burada bitmiyor; saldırganlar bunu bir yansıma DDoS saldırısıyla birleştirir. Saldırganlar, hedef IP adreslerini taklit eder ve onlara yönelik tehlikeli büyük tepkileri yansıtır. Bunu, küçük bir ışık huzmesini kağıt parçalarına doğru büyütmek ve yansıtmak için içbükey bir ayna kullanmak gibi düşünün. Sadece DNS yükseltme saldırılarında hem ağ aktarım kapasitesi hem de hedef IP etkilenebilir.

Yavaş hızlı DDoS – Bu tür saldırılar, hipermetin aktarım protokolüne odaklanan yavaş saldırılardır. Harici paketlerin yavaş ve tutarlı bir hızda yavaş yavaş tanıtıldığı bir yöntemdir. Düşük hızı nedeniyle çoğu zaman normal trafikten ayırt edilemez. Bu tür saldırılar çok ayrıntılı veya geniş kapsamlı kaynaklara ihtiyaç duymaz; başka bir deyişle, tek bir bilgisayardan başlatılabilirler. Saldırganlar tarafından kullanılan bazı araçlar RUDY ve çorap stresini içerir

HTTP sel saldırıları – Yavaş hız saldırıları gibi, bu saldırıları normal trafikten neredeyse ayırt edemezsiniz. Aslında, çoğu zaman, HTTPS taşkınlarını tespit etmek, düşük hızlı DDoS'tan daha zordur. Saldırganların bu bağlamda yaptığı şey, kötü amaçlı yazılımlarla birbirine bağlı bir grup bilgisayardan meşru isteklerde bulunmaktır . Bu yöntemin amacı, uygulamanın aynı anda birçok yoğun sürece katılmasını sağlamaktır. Yüzeyde meşru göründükleri için tespit edilmeleri ve bunlara karşı korunmaları çok zordur.

Ping sel saldırısı – Normalde, internet kontrol mesajı protokolleri (ping olarak da bilinir) tanılama protokolleridir. Belirli cihazların sağlığı ve kullanıcılarla ne kadar iyi bağlantı kurabilecekleri konusunda analitik çalıştırmak için kullanılırlar. Ping'lerle sel ağları üzerinden DDoS saldırganları. Sonuç olarak, ağlar, ping isteklerinin sayısıyla eşleşmek için yanıtlar gönderir. Diğer tüm hacimsel saldırılar gibi, ping akışı trafiği diğer normal kullanıcılar için erişilemez hale getirir.

DDOS SALDIRISININ BOYUTU 

DDoS saldırılarının farklı boyutları vardır. Genel olarak, web üzerindeki DDoS saldırılarının büyük bir kısmı orta derecede küçük boyuttadır. Bu, bir saldırının boyutu ne kadar küçük olursa olsun, bugün herhangi bir ağdaki trafiğin ilerlemesini bozmak için yeterli olduğu anlamına gelir. Bu saldırıların uygulanabilirliği, bu ağların, sunucuların veya uygulamaların savunma yapıları ile değişir. Web, son derece büyük bazı DDoS saldırıları gördü, bunların en büyüğü saniyede 2,5 terabayt ile saniyede 500 terabayt arasında gerçekleşti. Her halükarda, DDoS saldırılarının ne kadar büyük olabileceği konusunda gerçekten sabit bir rakam yoktur.

‍

DDoS Saldırısını Önleme ve Tepki Verme

Yol ve trafik benzetmesine bağlı kalalım mı? Aşırı kalabalık bir rotayı başarılı bir şekilde kontrol etmek istiyorsanız, gerçek yasal kullanıcıları diğer rotalardan gelenlerden ayırt edebilmelisiniz. DDoS saldırılarını önleme ve bunlara tepki verme, çok daha karmaşık olsalar da aynı şekilde çalışır. İlk ve en zor engel, hangi trafiğin gayri meşru olduğunu ve hangisinin gerçek kullanıcı olduğunu belirleyebilmektir. Bu, özellikle sızdırma saldırılarında zor olabilir. Bu saldırılarda saldırganlar mümkün olduğunca kalabalığa karışır, doğal trafiğin alabileceği kadar doğal görünürler. Bu nedenle, şüpheli saldırganlarla birlikte normal kullanıcılardan kurtulmamaya dikkat etmek önemlidir.

Bu saldırıların nasıl önleneceğine, bu saldırıların sonuç etkisinin nasıl sınırlandırılacağına ve sürekli işlevsellik için tam zamanında nasıl geri dönüleceğine dair bir yolculuğa çıkalım.

1. Asla hazırlıksız yakalanmayın - Her saldırıda olduğu gibi DDoS'u önceden tahmin etmek ve bir savunma planı oluşturmak çok önemlidir. Artık çeşitli DDoS saldırı biçimlerini tanımlayabildiğinize göre, ağınızla, hizmetinizle veya uygulamanızla en alakalı bu türlerin her birine anında yanıt planları hazırlamanız gerekir. Örneğin, yararlanabileceğiniz çeşitli ağ savunma sistemleri mevcuttur. 
2. DDoS araçlarını kullanarak savunma mekanizmanızı sürekli olarak test edin – DDoS saldırganları için savaşa hazır olmanın bir başka yöntemi de ağınızı sürekli olarak demo DDoS saldırılarına maruz bırakmaktır. Bu demo saldırılar, güvenlik sisteminizin verimliliğini ölçmeye yardımcı olur. Ayrıca, güvenlik ekibinizi bu tür acil durumlara hazırlamak için bir demo yanıtı uyarır. Bu demo testlerini gerçekleştirmek için oldukça fazla sayıda DDoS aracı mevcuttur. Bu araçların her biri farklı işlev görür ve her biri kullanıcılara farklı bir test arayüzü sunar. İşte bugün mevcut olan 10 ücretsiz DDoS saldırı aracı örneği:

• pilori
• DDOSIM – DDO simülatörü
• düşük yörüne iyon canon LOIC
• yüksek yörünge iyon Kanonu (HOIC)
• HTTP dayanılmaz Yük Kralı (HULK)
• Açık web uygulaması güvenlik projesi (OWASP) HTTP gönderisi
• Thor'un Çekici
• altın Göz
• RUDY (RU-Ölü_Henüz)
• DAVOSET

3. Web uygulaması güvenlik duvarı kullanma – Web uygulamanızın saldırı altında olduğu durumda , tehlikeli trafiğin etkilerini en aza indirmek için bir web uygulaması güvenlik duvarı Waf kullanabilirsiniz Bu durumda güvenlik duvarının yaptığı şey, uygulamanız ile saldırganlardan gelen diğer şüpheli trafik akışı arasına bir bariyer yerleştirmektir. Bir web uygulaması güvenlik duvarı, önceden belirlenmiş bir talimat grubunu kullanarak trafik arasında seçim yapar. Hangi trafik setinin potansiyel bir tehlike olduğunu belirledikten sonra onları engeller. Bu yöntem özellikle katman 7 ddos  saldırısına karşı etkilidir .
4. Kara delik rotalarını kullanma – Bir rotada çok fazla araba olduğunda, bazılarını boş bir rotaya da yönlendirebilirsiniz. Bazı durumlarda, ilk rotadaki trafik akışını azaltmak için bir acil durum (doğaçlama rotalar) kullanabilirsiniz. Bu, kara delik yönlendirmesinin altında yatan ilkedir. Bu kara delikler, bir sunucu, ağ veya uygulama üzerindeki aşırı trafik akışından uzaklaşmak için bir tür huni olarak kullanılır. Bunları yaparken en iyi uygulama, kara deliğinizi meşru trafiği korumak için belirli kriterleri belirleyecek şekilde tasarlamaktır. Aksi takdirde hem iyi akış hem de kötü akış huninin içine çekilir. 
5. Sunucunuzdaki istek oranını sınırlama – Bu yöntem, ddos saldırılarını hem azaltabilir hem de önleyebilir . Bir ağ güvenlik protokolü olarak etkinleştirilirse, sunucunuzun alabileceği istek sayısını sınırlar (normal bir kullanıcıdan mı yoksa bir saldırgandan mı olduğuna bakılmaksızın). Bu yöntem, sunucunuza da bir saldırı olduğunu fark ettiğinizde acil bir durumda etkinleştirilebilir. Filtresi olmamasına rağmen saldırıları önlemenin ve azaltmanın en etkili yoludur. 
6. Ağ Difüzyonu - Difüzyon - bir bilim kavramı olarak - maddelerin yüksek konsantrasyonlu bir bölgeden daha düşük konsantrasyonlu bir bölgeye eşit olarak dağılıncaya kadar rastgele hareketidir. DDoS saldırıları durumunda, aşırı yüksek trafik akışları, tıkanıklığı gidermek amacıyla çeşitli küçük kanallara yönlendirilir.