DDoS Nedir ve Kendinizi Nasıl Korursunuz?

DDoS, denial-of-service sözcüklerinin kısaltılmış halidir. Hedef alınan sunucu, servis veya ağa erişimi keser ve hiç kimsenin bu hizmetlerden yararlanamamasına neden olur. DDoS saldırısını sıkışık bir trafiğe benzetmek mümkündür: Yol üzerinde o kadar çok “sahte” araç vardır ki, gerçek araçlar onu kullanamaz hale gelir.

DDoS saldırısı için birden çok bilgisayar ve/veya internet bağlantısı olan diğer cihazlar kullanılır. Bu da onları oldukça ciddi bir siber güvenlik tehdidi haline getirir. Siber bir saldırgan, çok sayıda cihazı enfekte eder, kontrollerini ele geçirir ve bu cihazları bot’lara dönüştürür. Tüm bu cihazları belirli bir IP adresine uzaktan yönlendirir ve bu da ilgili adresteki hizmetin çökmesine neden olur.

DDoS saldırıları 24 saatten uzun sürebilir ve takip edilmeleri oldukça zordur. Şu anda kullandığınız bilgisayar dahi, haberiniz olmadan bir botnet ordusuna katılmış ve belirli bir adrese zararlı komutlar gönderiyor olabilir. Performans kaybı ve/veya bilgisayarınızın aşırı ısınması dışında bir belirti olmayacağından, bunu fark etmek oldukça zordur. DDoS saldırısı için hedef olarak seçilen adres, enfekte olmasına rağmen temiz gibi görünen cihazlardan gönderilen talepleri karşılayamaz hale gelir. Enfekte olmuş cihaz ve bilgisayarları tespit etmek oldukça zor olduğundan, gönderilen taleplerin gerçek veya sahte olduğunu tespit etmek kolay bir iş değildir.

DDoS saldırıları, ağın belirli bir kısmını hedefleyebilir veya birden çok kısmını hedefleyerek “karma” bir saldırıya dönüşebilir. İnternet üzerindeki tüm bağlantılar, OSI model katmanlarından geçerek iletilir. DDoS saldırılarının büyük bir kısmı, aşağıda listelenen üç katmanda gerçekleşir:

• Ağ katmanı (3. katman). Bu katmanda Smurf, ICMP Flood ve IP/ICMP Fragmantasyonu saldırıları gerçekleşir.
• Transfer katmanı (4. Katman). Bu katmanda SYN Flood, UDP Flood ve TCP Bağlantı Tükenmesi saldırıları mevcuttur.
• Uygulama katmanı (7. Katman). Temel olarak şifrelenmiş HTTP saldırılarının yer aldığı katmandır.

SYN flood olarak da bilinen TCP bağlantısı saldırında, host ve sunucu arasındaki üç yönlü TCP el sıkışma (handshake) işlemi hiçbir zaman tamamlanamaz. Bu saldırı türünde el sıkışma işlemi başlar ancak siber saldırgan sunucuyu bekler halde bırakıp port’ları açık tutar. Yani sunucu diğer talepleri kabul edemez halde gelir. Siber saldırgan el sıkışma talepleri göndermeye devam ederek sunucuyu eninde sonunda çökertir.

Volümetrik saldırılar, en yaygın DDoS saldırısı türüdür. Basitçe izah etmek gerekirse, hedef adres ve internet arasındaki tüm bant genişliğini kullanır. Bu işlem, çoğunlukla botnet ordularını belirli bir adrese yönlendirerek gerçekleştirilir.

İnternet üzerindeki trafik, veri paketlerine bölünmüştür. TCP veya UDP protokolü kullanımına göre, farklı şekilde seyahat eder ve birleştirilirler. Bir fragmantasyon saldırısı, sahte veri paketleri göndererek veri akışını bozar ve sunucuyu tüm bu talepler ile baş edemez hale getirir.

Uygulama katmanı saldırıları, isminden de anlaşılabileceği gibi uygulamaları hedefler. Bu katmanda sunucu web sayfalarını yaratır ve HTTP taleplerini cevaplar. Böyle bir saldırı, sunucunun “yenile” düğmesine art arda basan bir ziyaretçi geldiğini düşünmesine neden olur. Sunucu talepler ile baş edemez hale gelene kadar bunun sahte bir komut olduğunu anlayamaz, anladığında ise çok geç olur. Uygulama katmanı saldırıları, diğerlerine kıyasla daha ucuzdur ve tespit edilmeleri de (ağ katmanı saldırılarına göre) daha zordur.

DDoS amplifikasyon saldırıları, siber suçluların özel olarak Domain Name System (DNS) sunucularındaki açıkları hedeflediği saldırılardır. Küçük hacimli talepleri büyük hacimli taleplere dönüştürürler, isimleri de buradan kaynaklanır. Sonuçta hedef adresin bant genişliğini tamamen sömürür ve sunucunun normal şekilde çalışmasını engellerler. Amplifikasyon saldırıları temel olarak ikiye ayrılır: DNS yansıtma ve CharGEN yansıtma.

DNS yansıtma

Bir DNS sunucusunun işi, adres çubuğunuza yazdığınız alan adının IP adresini bulmaktır. Bu bağlamda, internetin telefon rehberi olduklarını söylemek mümkündür. DNS yansıtma saldırılarında, siber saldırgan kurbanın IP adresini kopyalar ve DNS sunucusuna göndererek büyük hacimli cevaplar talep eder. Bu cevaplar, normal boyutlarının 70 katına kadar büyüyebilir. Bu da sunucunun neredeyse anında çökmesine neden olur.

CharGEN yansıtma

CharGEN, internet standartlarına göre bile çok eski bir protokoldür. 1983 yılında test amaçlı kullanılmak üzere geliştirilmiştir. Ne yazık ki, internete bağlanabilen pek çok yazıcı ve fotokopi makinesi halen bu protokolü kullanmaktadır. Bu da siber saldırganların CharGEN protokolündeki pek çok açığı kötüye kullanabilmelerine neden olur. Siber saldırgan, CharGEN üzerinde çalışan cihazlara kurbanın IP adresini kullanarak pek çok küçük hacimli talep gönderir. Bu cihazlar, kurbanın IP adresine UDP (User Datagram Protocol) cevapları göndermeye başlar, bu da hedef adresin çökmesine ve/veya yeniden başlamasına neden olur.

90’lı yıllarda, DDoS saldırılarında saniyede ortalama 150 talep gönderilirdi. 2018 GitHub DDoS saldırısında ise hedef sunucuya saniyede 1.35 terabit trafik yönlendirilmiştir. Diğer bir deyişle, DDoS saldırları giderek daha sofistike bir hal almakta ve ucuzlamaktadır; 3 saatlik bir DDoS saldırısı yapmak için ayda 60 Euro ödeyerek bu “hizmeti” kiralamak mümkündür. Dolayısıyla, artık sadece büyük kurumlar değil, küçük işletmeler ve hatta gerçek kişiler dahi kendilerini DDoS saldırısı engelleme için gerekli önlemleri almalıdır.

Bu bağlamda, alabileceğiniz ilk önlem bir VPN hizmetinden yararlanmaktır. Yukarıda hedef alınan adres için “belirli” tabirini birden çok kez kullandığımıza dikkat etmiş olmalısınız. Bunun nedeni, DDoS saldırılarının büyük bir kısmının işe yaraması için, kurbanın IP adresinin biliniyor olması gerektiğidir. Diğer bir deyişle, siber saldırgan, tam olarak hangi adrese saldıracağını biliyor olmalıdır. Bilindiği üzere, VPN kullanmak internet trafiğiniz için güvenli bir tünel oluşturur ve gerçek IP adresinizi gizler. (Daha fazla bilgi için VPN Nedir başlıklı makalemize göz atabilirsiniz.) Dolayısıyla, siber saldırgan sizin değil, VPN sunucusunun IP adresini görebilecektir. Sadece bu önlem dahi, VPN saldırılarının büyük bir kısmından korunmanızı sağlayacaktır.

Büyük kurumlar ve web sitesi yöneticilerinin ise elbette ek önlemler alması da gereklidir. Bu bağlamda:

• DDoS saldırılarına karşı bir eylem planı hazırlamanız gerekir. Saldırı gerçekleştiğinde herkes ne yapması gerektiğini biliyor olmalıdır. Hatta tek işi böyle bir saldırıya yanıt vermek olan bir ekip oluşturmak dahi gerekebilir.
• Ağ altyapısının güvenli hale getirilmesi gerekir. Sızma engelleme ve tehdit yönetme sistemleri kullanılmalı ve bunlar daima güncel tutulmalıdır. İçerik filtreleme ve yük dengeleme gibi özelliklerin muhakkak kullanılması şarttır. Çoğu ağ ekipmanı zaten DDoS saldırılarına karşı temel düzeyde korunabilecek şekilde üretilir. Ağ yöneticisi, ek uygulamalar ve ekipmanlar ile her şeyden önce sorumlu olduğu ağın güvenliğini üst düzeye çıkarmalıdır.
• Buluta geçiş yapmayı düşünebilirsiniz. Bulut tabanlı hizmetlerden yararlanmak, DDoS saldırılarından korunmanın etkili bir yoludur. Saldırı sonucu bir sunucu çevrimdışı kalsa dahi, bir başkası hemen onun yerini alacak ve hizmetin kesintiye uğramamasını sağlayacaktır. Ayrıca bu hizmeti sunan tedarikçiler, DDoS saldırılarına karşı zaten hazırlıklıdır ve her saldırıya cevap verebilecek yetenektedir.

Bireysel kullanıcılar DDoS saldırısı engelleme için VPN kullanmalı, kurumsal kullanıcılar ise VPN hizmetlerini yukarıda listelenen tedbirler ile birleştirmelidir. DDoS saldırılarından %100 korunmak mümkün değilse de bu saldırıların hizmeti tamamen sonlandırmasının önüne geçmek mümkündür. Günümüzde, DDoS saldırılarından korunmak hem bireysel hem de kurumsal kullanıcıları ilgilendiren bir sorundur.