Distributed Denial of Service (Dağıtık Hizmet Engelleme) kısaca DDoS, bir sistemi belirli kapasite sınırlarının üstünde veriye maruz tutma yoluyla düzenlenen saldırılar sonucu kullanıcıların sisteme veya siteye girişinin engellenmesidir. Başlangıçta DoS yani yalnızca tek bir kaynaktan hedefe saldırı yapılmasıyla ortaya çıkan saldırı türü, zamanla çok sayıda kaynaktan tek hedefe doğru yapılarak şiddeti artmıştır.
Her sistem kurulurken kullanıcı sayıları, hat kapasitesi, anlık istek sayısı gibi unsurlar için belli değerler öngörülür ve bu değerlerin biraz üstündeki bir yükü kaldırabilecek şekilde tasarım yapılır. DDoS ise sistemin kaldırabileceği yükün çok üzerinde anlık kullanıcı sayısı, anlık istek ile sistemi yorup cevap veremez hale getirerek veya hattı doldurarak sistemin erişilebilirliğini engellemeye yönelik bir saldırı türüdür.
DDoS saldırıları genellikle kolay bir şekilde yapılabilen saldırılardır fakat kullanılma amacına ve stratejisine göre daha karmaşık düzeyde de kurgulanabilir. En basit saldırıdan karmaşığa doğru birkaç DDoS sadırısını sıralayalım;
- Ağ Düzeyi Saldırıları (Network Level): En basit olanlar – TCP, UDP, ICMP, Floods
- Yansıtıcı / Yükseltilmiş (Reflective/Amplified) Saldırılar: Servis odaklı olanlar – DNS, NTP, SNMP, SSDP, Özel seller
- Parçalanma (Fragmentation): Oturuma özgü olanlar – örtüşen, eksik, çok fazla
- Uygulamaya Özel (Application Specific): Tekrarlanan GET, yavaş READ veya döngü çağrıları
- Hazırlanmış (Crafted): Yığın ve protokol seviyesi, arabellek kaynakları
Bir sistemde veya hatta gigabitlerce trafik oluşturmak istediğinizde, bunu tek bir makineyle yapmak mümkün değildir. Saldırganların bu sebeple başvurdukları yollardan birisi, binlerce hatta on binlerce bilgisayara virüs yayıp bu bilgisayarların kontrolünü ele geçirerek siber saldırılar düzenleme kapasitesine sahip geniş bir bot ağının sahibi olmaktır.
En etkili DDoS ataklar, mobil telefon, bilgisayar veya Nesnelerin İnterneti cihazların kontrolünü, onlara yerleştirdikleri Malware’lar ile sağlayan Botnetler tarafından yapılmaktadır. Saldırganlar Botnetleri istedikleri zaman uzaktan kontrol ederek DDoS saldırısı yapabilirler.
DDoS Saldırıları Nasıl Engellenir?
DDoS saldırıları günümüzde çok kolay bir şekilde yapılabilir hale gelmiştir. İnternetten indirilebilecek basit programlar üzerinden sadece bir IP adresi veya alan adı girilerek bir sistem hedef alınabilir ve erişilemez hale getirilebilir. Bu nedenle DDoS saldırıları kurumlar için önemli bir tehdit unsuru haline gelmiştir. Uluslararası siber savaşlarda da etkin olarak kullanılan bu saldırılara maruz kalan kurumlar, ciddi anlamda maddi zarara ve itibar kaybına uğrayabilirler.
Ne yazık ki DDoS saldırılarından korunmanın çok kolay ve kalıcı bir çözüm yolu yoktur. Ancak hedef olma ihtimalini veya olası bir saldırının etkilerini azaltabilecek bazı yöntemler bulunmaktadır.
En önde gelen koruma önlemlerinden biri, işletmeler açısından öncelikle çalışılan network altyapısının iyi tasarlanmış olmasıdır. Bunun haricinde gerçekleştirilecek bazı uygulamalar ile DDoS saldırılarından korunmak ya da saldırı etkisini azaltmak mümkündür.
DoS saldırıları, her zaman kapasite üstü istekle gerçekleştirilmeyebilir. Hedef sistemlerde bulunan zafiyetler de sistemin erişilebilirliği açısından risk oluşturabilmektedir. Bu zafiyetlere karşı, güvenlik duvarı düzeyinde alınabilecek önlemler de vardır. Bu önlemlerin başında, belirli bir IP adresinden gelecek olan maksimum paket sayısı belirlenerek maksimum değeri aşan IP’lerin engellenmesini sağlayan “rare limiting” özelliği kullanılır.
Bireysel kullanıcılar açısından baktığımızda ise,
- Anti virüs programlarının ve güvenlik duvarının aktif biçimde kullanılması,
- Sistem güncellemelerinin zamanında ve eksiksiz yapılması,
- Güvenli e-posta içeriği için gereken filtrelerin kullanılması ve spam trafiğinin engellenmesi gibi basit önlemlerin alınmasında fayda vardır.
Botnetlerin başarılı olması için de sofistike olmaları gerekmez. Sadece doğru zamanlarda basit talimatları uygulamaları yeterlidir. Geçtiğimiz senelerde ABD’de aralarında Yahoo ve Amazon’un da bulunduğu büyük şirketleri etkileyen, dinamik DNS hizmetlerine yönelik yapılmış Yansıtıcı / Yükseltilmiş türdeki DDoS saldırısını ele alalım. Evlerdeki güvenlik sistemleri üzerinden yapılan bu saldırı doğrudan bu firmalara yapılmamış olmasına rağmen büyük ölçüde etkilemişti.
Bu olaydan iki etkili ders çıkarabiliriz:
- Nesnelerin İnterneti ürünlerinin güvenlikleri, tasarım aşamasından itibaren daha ciddiye alınmalıdır. Hatta konut güvenlik sistemlerinin genel kavramı ve çalışmaları yeniden değerlendirilmelidir.
- Dış kaynak kullanımına ve bulut hizmetlerine gelecek olursak, hizmet sağlayıcılarının ve ortaklarının uçtan uca güvenlik konusundaki rollerini yerine getirdiklerini garanti etmelerini gerekir.
Fakat daha önceden de belirttiğimiz gibi dikkatlice organize edilmiş bu saldırı, kaynağını konut ağından almaktaydı. Bu da, IoT tüketicileri yönünden baktığımızda karşımıza yeni nesil bir zorluk derecesi getiriyor.
IoT cihazlarının güvenliği nasıl sağlanabilir?
Konutlardaki cihazların siber güvenliğinin sağlanması için konutun, en iyi uygulamaları iyi korunmuş ve izlenen bir ağ geçidi ile desteklemesi gerekir. Ama kabul etmek gerekirse, bunun çoğunlukla mümkün olamayacağından, sağlayıcı arayüz seviyesindeki davranışların ve anormalliklerin görüntülenmesi, güvenliği sağlamanın bir diğer en iyi yollarından biridir. Ve birçok hizmet sağlayıcı bu hedefe ulaşmak için hareket etmelidir.
Bu tehditleri göz önünde bulundurmak için bir diğer kilit nokta, komuta edilmeden devamlı kontrol sağlayan bir sistem sağlamaktır. Bu birçok yolla mümkün olabilir. Örneğin, kötü amaçlı yazılımlardan korunmak için sistem ağ geçidine uygulanabilecek iki türlü çözüm yolu vardır. Bunlardan biri fiziksel bir cihaz eklemek, bir diğeri ise mevcut donanıma güvenlik yazılımı entegre etmektir.
Ağ geçidine fiziksel bir cihaz eklemek etkili bir yöntemdir. Daha fazla CPU ve hafızaya sahip bir cihaz kullanmak demek daha fazla güç harcamak anlamına gelir. Fakat eklenecek bu cihazla birlikte kullanıcılar telefonlarına indirecekleri basit bir uygulama üzerinden tüm uyarıları yönetebilir ve güvenlik seçeneklerini düzenleyebilirler. Fakat günümüzde kullanıcıların tercihleri evlerindeki fiziksel cihaz ve kabloları azaltma yönünde olduğu için bu durum bizi ikinci çözüm yoluna götürüyor.
Güvenlik yazılımları ağ geçidi cihazı içerisinde halihazırda bulunuyor olabilir veya sonradan da eklenebilir. Kullanıcılar hiçbir cihaz veya kablolama olmadan, cep telefonlarından tüm uyarıları yönetebilir ve güvenlik seçeneklerini düzenleyebilir. Fakat mevcut donanım cihazlarının çoğu gerekli CPU ve hafıza kapasitesi özelliklerine sahip olmayabilir.
Sonuç olarak, bu iki çözüm yolu da yeterince etkilidir. İkinci çözüm yolunu uygulamak son kullanıcı için daha basit olabilir ama tüm ağ geçidi cihazları yeterli güç ve kapasitede olana kadar bunu uygulamak mümkün olmayabilir.
Kaynak : https://www.karel.com.tr/blog/ddos-nedir-ddos-saldirisi-nasil-yapilir