MENÜ

blog

MAYIS 14 2018

DDoS Nedir ? DDos Saldırısı Nasıl Yapılır ?

Ali AÇIKYOL

DDoS Saldırısı Nedir?

Dağıtılmış hizmet reddi (DDoS) saldırısı, hedeflenen bir sunucunun, hizmetin veya ağın normal trafiğini, Internet trafiğinin seliyle hedefe ya da etrafındaki altyapısına aşırı yüklenerek bozmaya yönelik kötü niyetli bir girişimdir. DDoS saldırıları, saldırı trafiği kaynakları olarak birden fazla risk altındaki bilgisayar sistemini kullanarak etkinliğe ulaşır. İstenilen makineler bilgisayarları ve IoT cihazları gibi diğer ağ kaynaklarını içerebilir. Yüksek seviyeli bir DDoS saldırısı, karayolu ile tıkanıklık yapan bir trafik sıkışıklığı gibidir ve düzenli trafiğin istenen varış yerine ulaşmasını engeller.

 

ddos saldırısı

 

 

 

DDoS saldırısı nasıl çalışır?

Bir DDoS saldırısı, saldırganın saldırı yapmak için çevrimiçi makineler ağının kontrolünü ele geçirmesini gerektirir. Bilgisayarlar ve diğer makineler (IoT cihazları gibi) kötü amaçlı yazılımlara bulaşır ve her birini bir bot (veya zombi) haline getirir. Saldırganın botnet denilen botlar grubu üzerinde uzaktan kontrolü vardır .

Bir botnet kurulduktan sonra, saldırgan bir uzaktan kumanda yöntemiyle her bot için güncellenmiş talimatları göndererek makineleri yönlendirebilir. Bir kurbanın IP adresi , botnet tarafından hedeflendiğinde, her bir bot hedefe istek göndererek, potansiyel olarak hedeflenen sunucuya veya ağın taşma kapasitesine yol açarak, normal trafiğe hizmet reddine neden olacak şekilde yanıt verecektir . Her bot meşru bir İnternet cihazı olduğundan, saldırı trafiğini normal trafikten ayırmak zor olabilir.

DDoS saldırılarının yaygın türleri nelerdir?

Farklı DDoS saldırı vektörleri, bir ağ bağlantısının değişen bileşenlerini hedefler. Farklı DDoS saldırılarının nasıl çalıştığını anlamak için ağ bağlantısının nasıl yapıldığını bilmek gerekir. İnternetteki bir ağ bağlantısı, birçok farklı bileşen veya “katman” dan oluşur. Zeminden bir ev inşa etmek gibi, modeldeki her adımın farklı bir amacı vardır. OSI modeli aşağıda gösterildiği gibi, 7 farklı katmanlarda ağ bağlantısını açıklamak için kullanılan kavramsal bir çerçevedir.


Hemen hemen tüm DDoS saldırıları, bir hedef cihazı veya ağı trafiğe boğmakla birlikte, saldırılar üç kategoriye ayrılabilir. Bir saldırgan, bir veya daha fazla farklı saldırı vektörü kullanabilir veya hedefe yönelik karşı önlemlere dayanarak potansiyel olarak saldırı vektörlerini kullanabilir.

Uygulama Katmanı Saldırıları

Saldırının Hedefi:

Bazen bir katman 7 DDoS saldırısı olarak adlandırılır (OSI modelinin 7. katmanına referans olarak), bu saldırıların hedefi hedefin kaynaklarını tüketmektir. Saldırılar, web sayfalarının sunucuda oluşturulduğu katmanı hedefler ve HTTP isteklerine yanıt olarak teslim edilir . Tek bir HTTP isteği, istemci tarafında yürütmek için ucuzdur ve sunucu, genellikle bir web sayfası oluşturmak için birden çok dosya yüklemek ve veritabanı sorguları çalıştırması gerektiğinden yanıt vermesi için hedef sunucu için pahalı olabilir. Katman 7 saldırılarının, trafiğin kötü amaçlı olarak işaretlenmesi zor olabileceğinden savunulması zordur.

Uygulama Katmanı Saldırısı Örneği:


HTTP Flood

Bu saldırı, bir web tarayıcısında bir kerede birçok farklı bilgisayar üzerinde yenilemenin basılmasıyla aynıdır - çok sayıda HTTP isteği sunucuya taşınır ve hizmet reddine neden olur.

Bu saldırı türü basitten karmaşıklığa kadar değişir. Daha basit uygulamalar, aynı IP adresi, yönlendiren ve kullanıcı aracıları ile aynı URL'ye sahip bir URL'ye erişebilir. Karmaşık sürümler çok sayıda saldırgan IP adresi kullanabilir ve rasgele yönlendiricileri ve kullanıcı aracılarını kullanarak rastgele URL'leri hedefleyebilir.

Protokol Saldırıları

Saldırının Hedefi:

Durum tükenme saldırıları olarak da bilinen protokol saldırıları, web uygulama sunucularının mevcut durum tablosu kapasitesini veya güvenlik duvarı ve yük dengeleyicileri gibi ara kaynakları tüketerek hizmet kesintisine neden olur. Protokol saldırıları, hedefe erişilemez hale getirmek için 3. katmandaki ve protokol yığınının 4. katındaki zayıflıkları kullanır.

Protokol Saldırısı Örneği:


SYN Taşkın

Bir SYN Flood , bir mağaza odasındaki istekleri alan bir tedarik odasındaki çalışanla benzer. İşçi bir talep alır, gider ve paketi alır ve paketi öne çıkarmadan önce teyit için bekler. Daha sonra işçi, daha fazla paket taşıyamayacak, bunalmış hale gelinceye ve istekleri cevapsız kalmaya başlayana kadar pek çok paket talebini daha fazla alır.

Bu saldırı sömüren TCP bağlantısını ile bir hedef TCP “İlk Bağlantı İsteği” SYN paketlerinin çok sayıda göndererek sahte kaynak IP adresleri. Hedef makine her bir bağlantı talebine cevap verir ve daha sonra hiç bir zaman gerçekleşmeyen el sıkışmadaki son adımı bekler ve hedefin kaynaklarını bu süreçte tüketir.

Volumetrik Saldırılar

Saldırının Hedefi:

Bu saldırı kategorisi, hedef ile daha büyük İnternet arasındaki tüm mevcut bant genişliğini tüketerek tıkanıklık yaratmaya çalışır. Bir hedefe, bir büyütme biçimi veya bir botnet'ten gelen istekler gibi büyük trafik oluşturmanın başka bir yolu kullanılarak büyük miktarda veri gönderilir.

Amplifikasyon Örneği:


DNS Yükseltme

Birisi bir restoran aramak ve “her şeyden bir tane alacağım, lütfen beni arayın ve tüm siparişimi söyle” diyen bir DNS Amplifikasyonu gibidir, çünkü geri verdikleri telefon numarası, hedefin numarasıdır. Çok az çaba ile uzun bir cevap üretilir.

Açık bir DNS sunucusuna sahte bir IP adresi (hedefin gerçek IP adresi) ile bir istekte bulunarak , hedef IP adresi sunucudan bir yanıt alır. Saldırgan, isteği DNS sunucusunun büyük miktarda veriyle hedefe yanıt verecek şekilde yapılandırır. Sonuç olarak, hedef saldırganın başlangıç ​​sorgusunun bir amplifikasyonu alır.

Kaynak:cloudflare