Hizmet Reddi (DoS) saldırısı, web sitesi veya uygulama gibi hedeflenen bir sistemin meşru son kullanıcılar tarafından kullanılabilirliğini etkilemeye yönelik kötü niyetli bir girişimdir. Tipik olarak, saldırganlar büyük hacimli paketler veya istekler üretirler ve sonuçta hedef sisteme zorluk yaratırlar. Dağıtılmış Hizmet Reddi (DDoS) saldırısı durumunda, saldırgan, saldırıyı oluşturmak için birden çok güvenliği ihlal edilmiş veya kontrollü kaynak kullanır.
Genel olarak, DDoS saldırıları, saldırdıkları Açık Sistem Bağlantısı (OSI) modelinin katmanına göre ayrılabilir. Bunlar en yaygın olarak; Ağ (katman 3), Taşıma (Katman 4), Sunum (Katman 6) ve Uygulama (Katman 7) katmanlarında bulunur.
DDOS Saldırı Sınıflandırması
Bu saldırılara karşı hafifletme teknikleri düşünülürken, bunları Altyapı Katmanı (Katman 3 ve 4) ve Uygulama Katmanı (Katman 6 ve 7) olarak gruplandırmakta fayda var.
1- Altyapı Katmanı Saldırıları
Katman 3 ve 4’teki saldırılar, tipik olarak Altyapı katmanı saldırıları olarak sınıflandırılır. Bunlar aynı zamanda en yaygın DDoS saldırısı türüdür ve senkronize (SYN) taşmaları gibi vektörleri ve Kullanıcı Veri Birimi Paketi (UDP) taşmaları gibi diğer yansıma saldırılarını içerir. Bu saldırılar genellikle hacim olarak büyüktür ve ağın veya uygulama sunucularının kapasitesini aşırı yüklemeyi amaçlar. Ama neyse ki bunlar aynı zamanda net imzaları olan ve tespit edilmesi daha kolay olan saldırı türleridir.
2- Uygulama Katmanı Saldırıları
Katman 6 ve 7’deki saldırılar, genellikle Uygulama katmanı saldırıları olarak sınıflandırılır. Bu saldırılar daha az yaygın olsa da, daha karmaşık olma eğilimindedirler. Bu saldırılar, Altyapı Katmanı saldırılarına kıyasla genellikle küçüktür; ancak uygulamanın belirli pahalı kısımlarına odaklanma eğilimi gösterir ve bu nedenle gerçek kullanıcılar için kullanılamaz hale gelir. Örnek olarak; bir oturum açma sayfasına gelen HTTP istekleri akışı veya pahalı bir arama API’si ve hatta WordPress XML-RPC taşmaları (WordPress pingback saldırıları olarak da bilinir).
DdoS Saldırısından Korunma Teknikleri
1- Saldırı Yüzey Alanını Azaltın
DDoS saldırılarını azaltmanın ilk tekniklerinden biri, saldırıya uğrayabilecek yüzey alanını en aza indirerek saldırganların seçeneklerini sınırlandırmak ve tek bir yerde koruma oluşturmanıza olanak tanımaktır. Uygulamamızı veya kaynaklarımızı herhangi bir iletişim beklemedikleri bağlantı noktalarına, protokollere veya uygulamalara maruz bırakmadığımızdan emin olmak isteriz. Böylece olası saldırı noktalarını en aza indirger ve hafifletme çabalarımızı yoğunlaştırmamıza olan sağlarız. Bazı durumlarda, hesaplama kaynaklarınızı İçerik Dağıtım Ağlarının (CDN’ler) veya Yük Dengeleyicilerin arkasına yerleştirerek ve doğrudan İnternet trafiğini veritabanı sunucularınız gibi altyapınızın belirli bölümleriyle kısıtlayarak yapabilirsiniz. Diğer durumlarda, uygulamalarınıza hangi trafiğin ulaştığını kontrol etmek için güvenlik duvarlarını veya Erişim Kontrol Listelerini (ACL’ler) kullanabilirsiniz.
2- Ölçek Planı
Büyük ölçekli hacimsel DDoS saldırılarını azaltmak için iki önemli husus, bant genişliği (veya aktarım) kapasitesi ve saldırıları absorbe etmek ve hafifletmek için sunucu kapasitesidir.
3- Taşıma kapasitesi
Uygulamalarınızın mimarisini oluştururken, barındırma sağlayıcınızın büyük hacimli trafiği yönetmenize olanak tanıyan bol miktarda yedekli İnternet bağlantısı sağladığından emin olun. DDoS saldırılarının en temel amacı kaynaklarınızın ve uygulamalarınızın kullanılabilirliğini etkilemek olduğundan, onları yalnızca son kullanıcılarınıza değil, aynı zamanda kullanıcılarınıza yüksek hacimli trafiklerde bile uygulamanıza kolay erişim sağlayacak büyük İnternet alışverişlerine yakın bir yerde konumlandırmalısınız. Ek olarak, web uygulamaları, genellikle son kullanıcılarınıza daha yakın konumlardan içerik sunmak ve DNS sorgularını çözmek için ek bir ağ altyapısı katmanı sağlayan İçerik Dağıtım Ağlarını (CDN’ler) ve akıllı DNS çözümleme hizmetlerini kullanarak bir adım daha ileri gidebilir.
4- Sunucu kapasitesi
Çoğu DDoS saldırısı, çok fazla kaynak tüketen hacimsel saldırılardır. Bu nedenle, hesaplama kaynaklarınızı hızla büyütüp küçültebilmeniz önemlidir. Bunu daha büyük hesaplama kaynakları üzerinde veya daha kapsamlı ağ arabirimleri veya daha büyük hacimleri destekleyen gelişmiş ağ oluşturma gibi özelliklere sahip olanlar üzerinde çalıştırarak yapabilirsiniz. Ek olarak, herhangi bir kaynağın aşırı yüklenmesini önlemek için yükleri sürekli olarak izlemek ve kaynaklar arasında kaydırmak için yük dengeleyicileri kullanmak da yaygın bir metottur.
5- Normal ve anormal trafiğin ne olduğunu bilin
Bir ana bilgisayara yüksek düzeyde trafik aktığını tespit ettiğimizde, en temel nokta, kullanılabilirliği etkilemeden yalnızca ana bilgisayarımızın kaldırabileceği kadar trafiği kabul edebilmektir. Bu kavram ‘hız sınırlaması’ olarak adlandırılır. Daha gelişmiş koruma teknikleri bir adım daha ileri gidebilir ve akıllı bir şekilde yalnızca tek tek paketleri analiz ederek güvenilir olan trafiği kabul edebilir. Bunu yapmak için, hedefin genellikle aldığı ‘iyi trafiğin’ özelliklerini anlamanız ve her paketi bu taban çizgisiyle karşılaştırabilmeniz gerekir.
6- Gelişmiş Uygulama saldırıları için Güvenlik Duvarları yerleştirin
SQL enjeksiyonu veya siteler arası istek sahteciliği gibi uygulamanızın kendisindeki bir güvenlik açığından yararlanmaya çalışan saldırılara karşı bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmak iyi bir uygulamadır. Ek olarak, bu saldırıların benzersiz doğası nedeniyle, iyi trafik kılığına girme veya kötü IP’lerden, beklenmeyen coğrafyalardan vb. gelme gibi özelliklere sahip olabilecek yasal olmayan isteklere karşı kolayca özelleştirilmiş hafifletmeler oluşturabilmeniz gerekir. Zaman zaman, trafik kalıplarını incelemek ve özelleştirilmiş korumalar oluşturmak için deneyimli destek aldıkları için saldırıların hafifletilmesinde de yardımcı olabilir.
