DDoS, İngilizce’de “Distributed Denial of Service” ifadesinin kısaltması olarak kullanılmakta olup tam Türkçe karşılığı “Dağıtık Hizmet Reddi“dir. DDoS en temel haliyle bir siber saldırı biçimidir ve DoS (Denial of Service – Hizmet Reddi) saldırıları altında yer alan bir alt kategoriyi oluşturur. Bu tür saldırılar yoluyla bir internet sitesine farklı çevrimiçi cihazlardan bağlanılarak sahte trafik yaratılır ve sitenin, kapasitesini aşacak sayıda talebe yanıt veremeyerek işlevsiz hale gelmesi sağlanır. Dolayısıyla hedef alınan web sitesinin olağan kullanıcı kapasitesi aşılmış olacağından gerçek kullanıcıların taleplerinin karşılanmasına veya siteye erişmelerine engel olunur.
Başta DDoS saldırıları yalnızca tek bir kaynaktan çıkarak hedef sitedeki bir yazılım zayıflığına veya sahte trafik seli yaratmaya yönelmekte iken bugün DDoS yoluyla farklı kaynaklar kullanılarak website kapasitesinin aşılması oldukça kolay hale gelmiştir.
Burada kapasite ile neyi kastettiğimiz sektöre yabancı olan okuyucularımız tarafından anlaşılmamış olabilir. Teknik anlamda, internet sunucusu gibi ağ kaynaklarının aynı anda karşılayabileceği taleplerin belirli bir limiti mevcuttur. Ayrıca, her sunucuyu internete bağlayan kanalların da belirli bant genişliği yani kapasiteleri bulunmaktadır. Dolayısıyla talep sayısının bu internet altyapısı elemanlarından herhangi birini aşması halinde ya oluşacak yavaşlık nedeniyle talebin karşılanma süresi oldukça artar ya da bazı kullanıcıların (duruma göre tümünün) talepleri doğrudan reddedilir.
DDoS saldırıları genellikle internet alışveriş siteleri, online kumar ve bahis siteleri gibi çevrimiçi hizmet sunan işletmeleri hedef alır. Zira bu gibi sitelerin yavaşlaması veya tamamen işlevsiz hale gelmesi ile kullanıcı ve şirket bilgilerine erişilmesi, kimlik hırsızlığı, dolandırıcılık ve benzeri pek çok siber suçun önü açılmış olur. İnternet siteleri bu tarz bir siber saldırıya uğrayan organizasyonlar için, başta gelir kaybı, kullanıcı güveninin zedelenmesi, ilave güvenlik masrafları, tazminat ödemeleri ve uzun vadede itibarın zedelenmesi gibi sonuçlar doğabilir.
Daha önce vurguladığımız üzere DDoS saldırıları çevrimiçi pek çok cihazın dağınık şekilde internete bağlanması yoluyla gerçekleştirilir. Saldırılar tek bir kişi tarafından gerçekleştirilebileceği gibi birden fazla kişi tarafından da gerçekleştirilebilir. Kullanıcıların/cihazların çokluğu nedeniyle sahte trafik oluşturan cihazların tespit edilmesi genelde oldukça zordur. Zira DoS saldırılarının aksine tek bir internet bağlantısı kullanmayan bu tarz saldırılar bütün ağ altyapısını hedef alacak ölçekte ve yoğunluktadır.
DDoS saldırılarının çekirdeğinde DDoS botnetleri yer alır. Botnet, robot ve network sözcüklerinin birleştirilmesiyle oluşmuş olup bilgisayar dilinde saldırganın, zombi veya bot denilen yüzlerce makine üzerindeki kontrolünü ifade eder. Saldırganlar zayıflık tespit ettikleri bu sistemlere, e-dolandırıcılık saldırısı, zararlı reklam, oltalama veya diğer kitlesel tekniklerle kötü amaçlı yazılım gönderirler. Bu şekilde enjekte edilen cihazlar günlük kullanımını aynen devam ettirdiği için çoğu zaman siber saldırı gerçekleştiği kolaylıkla ortaya çıkarılamaz. Bu aşamadan sonra artık kötü amaçlı yazılım enjekte edilerek ele geçirilen cihazların kullanıcısı tarafından çevrimiçi hale getirilen her bir kaynak veya hizmet botlar tarafından – ve dolayısıyla saldırgan tarafından – ulaşılabilir hale gelir.
Dos ve DDoS saldırıları kabaca üç ana kategori altında toplanabilir:
Hacim Bazlı Saldırılar: Hacim bazlı saldırılar içerisinde UDP seli, ICMP seli ve diğer yanıltıcı paket selleri dahildir bu gibi saldırıların amacı, hedef alınan sitenin bant genişliğini satüre etmek, diğer bir deyişle doyurmaktır.
Protokol Saldırıları: SYN seli, parçalı paket saldırıları, Cüce DDoS ve benzeri saldırıları içeren bu tarz saldırıları gerçek sunucu veya aracı iletişim ekipmanları (ağ güvenlik duvarı (firewalls), yük dengeleyici (load balancers) vb.) kaynaklarını tüketmeyi hedefler.
Uygulama Katmanı Saldırıları: Uygulama katmanı saldırıları kapsamında düşük ve yavaş saldırılar, GET/POST selleri, Windows, Apache veya OpenBSD zayıflıklarını hedef alan saldırılar vb. bulunur. Görünüşte yasal ve masum taleplerden oluşan bu atakların amacı web sunucularını çökertmektir. HTTP, SMTP, FTP vb. bu anlamda kullanılan protokollerden bazılarıdır.
Yukarıda adı geçen birkaç DDoS saldırı türlerinden kısaca bahsetmek gerekirse:
UDP Seli, hedefi User Datagram Protocol (UDP), diğer bir deyişle Kullanıcı Veri Paket Protokolü paketleri ile istila etmek anlamına gelir. Saldırının amacı, bir ana bilgisayardaki rastgele bağlantı noktalarını uzaktan doldurmaktır. Ana bilgisayar o bağlantı noktasına ilişkin defalarca kontrol gerçekleştirerek hiçbir uygulamaya ulaşamadığında ICMP (Hedefe Ulaşılamaz) paketiyle yanıt verir. Sonuç olarak ana bilgisayar kaynakları tüketileceği için erişilemezlik sorunu ortaya çıkar.
ICMP Seli, prensip olarak UDP seline benzer şekilde çalışır ve genelde cevap beklemeden olabildiğince hızlı birkaç paket göndererek ICMP Yankı Talebi (ping) paketleriyle hedef kaynağı boğar. Hedef sunucu bu paketlere yanıt vermeye çalışırken bant genişliği tüketilir ve sistem yavaşlamasına neden olunur.
SYN Seli ise TCP bağlantı dizisindeki zayıflıklardan yararlanarak ana bilgisayarla bir TCP bağlantısı başlatmak için talep gönderilmesidir. İstek sahibi birden çok SYN istediği gönderir ancak ya ana bilgisayarın SYN-ACK yanıtına karşılık vermez ya da sahte bir IP adresinden istek iletir. Her iki durumda da ana bilgisayar sistemi isteklerden her biri için onay beklemeye devam eder ve yeni bağlantı yapılamayana kadar kaynaklar bağlanmış olur.
Dolayısıyla, eğer;
DDoS saldırısına uğramış veya uğruyor olabilirsiniz.
Siber saldırılardan korunabilmek için öncelikle saldırı öncesinde alınması gereken birtakım güvenlik önlemlerine özen gösterilmelidir. Eğer çoktan saldırı gerçekleşmiş ise saldırının tespit edilmesi yapmanız gereken ilk şey olmalıdır.
DDoS saldırısının tespitinde sahte trafiği organik kullanıcı trafiğinden ayırt etmek oldukça zordur fakat imkansız olduğu da söylenemez. Yanıltıcı ve dağıtık tekniklere rağmen pek çok DDoS saldırısı sınırlı bir IP adres aralığından veya tek bir ülke/bölgeden, kimi zaman çok fazla trafik görmediğiniz bir bölgeden kaynaklanabilir. Benzer şekilde, tüm trafik gerçek ziyaretçilerden beklenen çeşitliliği göstermeyip aynı işletim sistemi (OS) ve web tarayıcısıyla yalnızca tek bir kullanıcıdan geliyor olabilir. Ya da sitenizdeki trafik düzenli olarak zamanlanmış dalgalar veya örüntüler halinde geliyor olabilir. Özetlemek gerekirse, organik bir trafik akışına benzemeyen bu tarz göstergeler DDoS saldırısına işaret edebilir.
Peki saldırıdan nasıl korunabilirsiniz? Eğer organik olmayan trafik akışını herhangi bir IP adresi ilişkilendirebiliyor iseniz bu IP adresine erişim engeli koymak kolaylıkla alınabilecek bir önlem olabilir. Buna benzer şekilde, güvenlik duvarı seviyesinde alabileceğiniz bir diğer önlem rate limiting ile belli IP adreslerinden gelen maksimum paket sayısına limit koymaktır. Bunun bir adım ötesinde, kullanmadığınız herkese açık hizmetleri tamamen kapatmak bir çözüm olabilir.
Herhangi bir saldırı gerçekleşmeden önce dahi alınabilecek en sağlam koruyucu tedbirlerden birisi gelen trafiği kaldırabilecek bir altyapı kapasitesine sahip olmaktır. Bunun için ağınızı güçlendirmek veya kapsamlı trafiği barındırmaya elverişli bir CDN (content delivery network – içerik iletim ağı) hizmetinden yararlanmak mümkün. Bunun yanı sıra web sunucunuzun banner bilgisini ulaşılmaz kılarak hangi sunucuyu kullandığınızın anlaşılmasını da önleyebilirsiniz. Ayrıca sunucularınızı her zaman komplike ve sağlam güvenlik duvarı (firewall) sistemleri ile güçlendirmek de olası siber saldırıları önlemek adına faydalı olacaktır.
Tüm bunların yanında daima doğru teknolojileri kullanarak iyi tasarlanmış ağ altyapılarından faydalanmak, internet sitenizi ve güvenlik sistemlerinizi düzenli olarak kontrollerden geçirmek ve teknik bilgisi yüksek olan dikkatli IT uzmanları ile çalışmak her zaman ilk adımınız olmalıdır.