Siber suçlar, fidye yazılım saldırıları (WannaCry, NotPetya), hack veritabanları (Equifax, Sony, Yahoo) ve arkadan yazılım (Floxif / CCleaner, ShadowPad / NetSarang) ile sık sık başlıklar çizerek geç saatlerde artmaktadır. Bu saldırıların ölçeği ve ulaşması şaşırtıcı olsa da, gerçek şu ki, siber suçlular sadece verilerinizi, kimliğinizi veya paranızı çalmakla sınırlı değil. Sanal dünyadaki suçların kapsamı, eğer değilse, gerçek dünyadaki kadar büyük. Geç saatlere odaklanan bir siber saldırı türü, beyaz şapka korsanları topluluğunu yıllar boyunca sıklıkla bölen DDoS veya dağıtılmış hizmet reddidir. Önde gelen CDN servis sağlayıcısı Cloudflare, şimdi tüm müşterileri için ücretsiz DDoS koruması olduğunu duyururken, 'etik' DDoS'a karşı kötü niyetli DDoS tartışmaları, her iki taraf da kendi iddialarını tam olarak destekleyerek bir kez daha başladı. DDoS saldırıları hakkında tüm internet üzerinden yapılan tartışmalarla, bugün yalnızca olay hakkında daha fazla bilgi edinmek için değil, aynı zamanda bilgisayar korsanlarının ve serbest konuşma savunuculuğu gruplarının neden başarısız olduğunu sürdürmeye çalıştığını da anlamaya çalışalım. Bu konuda ilk olarak bir fikir birliğine varma çabaları:
DDoS Nedir ve Nasıl Çalışır?
En basit ifadeyle, dağıtılmış bir hizmet reddi (DDoS) saldırısı, bir sitenin veya ağın normal çalışmasını, hedef sunucuyu ağı tamamen yavaşlatan ya da çökerten çok büyük miktarda trafikle tıka basa boğarak yapay olarak bozma girişimidir. . Bu, bilgisayarlar, akıllı telefonlar ve IoT cihazları dahil ancak bunlarla sınırlı olmamak üzere, ağa bağlı herhangi bir cihazı içerebilecek bir 'botnet' olarak bilinen şeyin bir parçası olarak birden fazla tehlike altındaki sistemin kullanılmasıyla sağlanır. Bilgisayar korsanlarının yanı sıra bilgisayar korsanları, bu saldırıları hedef kitlelere yalnızca fazla miktarda trafik sıkıntısı çekerek değil, aynı zamanda kritik ağ güvenliğini hedefleyen daha ince ve algılanması zor infiltrasyon tekniklerini kullanarak basmak için çeşitli karmaşık araçlar kullanıyor. güvenlik duvarları ve IDS / IPS (İzinsiz Giriş Tespiti / Önleme Sistemi) gibi altyapı.
DoS Nedir ve DDoS'tan Ne Kadar Farklıdır?
Hizmet reddi (DoS) saldırıları, meşru kullanıcıların hedeflenen sunuculara, sistemlere veya diğer ağ kaynaklarına erişmesini engellediği sürece tam olarak göründüğü gibi olur . DDoS saldırılarında olduğu gibi, böyle bir saldırı gerçekleştiren bir kişi veya kişiler, kaynaklarının ezilmesi için genellikle hedeflenen altyapıyı aşırı miktarda gereksiz taleplerle doldurur, böylece etkilenen ağ için zor veya hatta imkansız hale gelir. Orijinal servis taleplerine cevap vermek için sistemi kullanın. Bir son kullanıcı için, DoS’in etkileri DDoS’nin etkilerinden tamamen farklı değildir, ancak saldırıyı gerçekleştirmek için tipik olarak tek bir makine ve tekil bir internet bağlantısı kullanan eskiden farklı olarak , ikincisi amaçlanan hedefe ulaşmak için birden fazla tehlike altında olan cihazlar kullanır algılamasını ve önlenmesini inanılmaz derecede zorlaştırıyor.
Farklı DDoS Saldırıları türleri nelerdir?
Daha önce de belirtildiği gibi, hem siber suçlular hem de bilgisayar korsanları, DDoS saldırılarını gerçekleştirmek için sayısız saldırı vektörünü kullanmaktadır, ancak bu saldırıların büyük çoğunluğu, çoğunlukla, üç geniş kategoriye girecektir: Hacimsel veya Bant Genişliği Saldırıları, Protokol Saldırıları veya Devlet Tükenme Saldırıları ve Uygulama Katmanı Saldırıları veya Katman 7 Saldırıları. Bu saldırıların tümü, aşağıdaki resimde görüldüğü gibi, 7 farklı katmandan oluşan bir ağ bağlantısının çeşitli bileşenlerini hedeflemektedir:
1. Volumetrik Saldırılar veya Bant Genişliği Saldırıları
Bu tür saldırıların, her yıl dünyada yapılan tüm DDoS saldırılarının yarısından fazlasını oluşturduğuna inanılıyor. En yaygın Kullanıcı Veri Birimi Protokolü (UDP) taşması olan ve farklı bir volümetrik saldırı türü vardır, böylece saldırgan uzak bir ana bilgisayardaki rasgele bağlantı noktalarına çok sayıda UDP paketi gönderir, bu da sunucunun sürekli olarak denetlemesini ve yanıt vermemesini sağlar. var olan uygulamalar, bu nedenle meşru trafiğe yanıt vermiyor. Kurban bir sunucuyu ICMP (Internet Kontrol Mesajı Protokolü) ile sık sık kandıran birden fazla IP adresinden gelen yankı istekleriyle su bastırarak da benzer sonuçlar elde edilebilir. Hedef sunucu, bu sahte isteklerin her birine, iyi niyetle yanıt vermeye çalışır, sonunda aşırı yüklenir ve orijinal ICMP yankı isteklerine cevap veremez hale gelir. Hacimsel saldırılar, saniye başına bit (Bps) cinsinden ölçülür.
2. Protokol Saldırıları veya Devlet Tükenme Saldırıları
Devlet Tükenmesi saldırıları olarak da bilinen Protokol saldırıları, yalnızca web uygulama sunucularının bağlantı durumu tablosu kapasitesini değil, yük dengeleyici ve güvenlik duvarları gibi ara kaynaklar dahil olmak üzere diğer altyapı bileşenlerini de kullanır. Bu saldırı türlerine 'protokol saldırıları' denir, çünkü hedeflerine ulaşmak için protokol yığınının 3. ve 4. katlarındaki zayıflıkları hedefler. Milyonlarca bağlantıda durumu korumak için özel olarak tasarlanan en gelişmiş ticari cihazlar bile protokol saldırılarından kötü etkilenebilir. En iyi bilinen protokol saldırılarından biri, TCP'de 'üç yönlü el sıkışma mekanizmasını' kullanan 'SYN sel'. Çalışma şekli, ana bilgisayar, meşru isteklerin gerçekleştirilmesini neredeyse imkansız kılacak yeterli sunucu kaynaklarını tüketmek için genellikle sahte bir gönderici adresi olan bir TCP / SYN paketi seli gönderir. Diğer Protokol saldırıları türleri arasında Ping Ping, Smurf DDoS ve parçalanmış paket saldırıları bulunmaktadır. Bu tür saldırılar, saniye başına paketlerle (Pps) ölçülür.
3. Uygulama katmanı Saldırıları veya Katman 7 Saldırıları
Genellikle OSI modunun 7. katmanına atıfta bulunulan katman 7 saldırıları olarak adlandırılan uygulama katmanı saldırıları, web sayfalarının HTTP isteklerini gönderen kullanıcılara ulaştırılmak üzere oluşturulduğu katmanı hedefler . Farklı katman-7 saldırıları türleri, kötü niyetli ' Slowloris ' saldırısını içerir; saldırgan, hedef sunucuya çok yavaş bir miktarda HTTP isteğini "yavaşça" gönderir, ancak istekleri hiçbir zaman tamamlamaz. Saldırgan, küçük aralıklarla ek başlıklar göndermeye devam edecek ve böylece sunucuyu, hiç bitmeyen bu HTTP istekleri için açık bir bağlantı kurmaya zorlayacak ve sonunda sistemi geçerli isteklere yanıt vermemesi için yeterli kaynakları kullanmaya zorlayacaktır. Bir başka popüler katman 7 saldırısı, HTTP Flood saldırısıdır, bu nedenle çok sayıda sahte HTTP, GET veya POST talebi, hedeflenen sunucuyu kısa bir süre içinde siler ve bu sayede yasal olmayan kullanıcılar için hizmet reddine neden olur. Uygulama katmanı saldırıları tipik olarak bir hedef sunucuya doğal olmayan miktarda istek göndermeyi içerdiğinden, saniye başına istekler olarak ölçülür (Rps).
Yukarıda açıklanan tek vektörlü saldırılara ek olarak, sistemleri ve ağları bir kerede farklı yönlerden hedefleyen çok vektörlü saldırılar vardır, bu nedenle ağ mühendislerinin DDoS saldırılarına karşı kapsamlı stratejileri tebeşirle yazmasını zorlaştırır. Çok vektörlü bir saldırıya böyle bir örnek, bir saldırganın 3. ve 4. katmanları hedef alan DNS Yükseltmesini, 7. kat'ı hedefleyen HTTP Seli ile birleştirmesidir.
DDoS Saldırısına Karşı Ağınızı Nasıl Korursunuz?
Çoğu DDoS saldırısı, bir hedef sunucuya veya ağa trafik sıkıntısı çekerek çalıştığından, DDoS saldırılarını azaltmak için yapılması gereken ilk şey, gerçek trafik ile kötü amaçlı trafik arasında ayrım yapmaktır . Ancak, beklediğiniz gibi, bu saldırıların çeşitliliği, karmaşıklığı ve karmaşıklığı dikkate alındığında, işler o kadar kolay değildir. Bu durumda, ağınızı en yeni ve en gelişmiş DDoS saldırılarına karşı korumak, ağ mühendislerinin bebeği banyo suyuyla atmayacak şekilde dikkatlice tasarlanmış stratejiler gerektiriyor. Saldırganlar, kötü niyetli trafiklerini normal yapmak için ellerinden gelenin en iyisini yapmaya çalışacaklarından, tüm trafiği sınırlamayı içeren azaltma girişimleri dürüst trafiği kısıtlar, daha izin veren bir tasarım korsanların karşı önlemleri daha kolay aşmasını sağlar. Durum böyle olunca, en etkili çözümü elde etmek için katmanlı bir çözüm benimsemek gerekecektir.
Bununla birlikte, tekniklere ulaşmadan önce, bugünlerde çoğu DDoS saldırısının, iletişim şeritlerini bir şekilde veya başka bir yoldan kesmeyi içerdiğinden, yapılması gereken en belirgin şeylerden birinin kendinizi korumak ve ağınızın daha fazla yedek olduğunu anlamak zorundayız : devamı bant genişliği ve daha fazla sunucu, farklı coğrafi konumlarda birden fazla veri merkezine yayıldı ve bu da doğal afetlerden vb.
Yapılacak diğer önemli şey, DNS sunucuları söz konusu olduğunda, endüstrinin en iyi uygulamalarından bazılarını izlemektir. Açık çözücülerden kurtulmak, DDoS'a karşı savunmanızdaki ilk önemli adımlardan biridir, çünkü eğer bir başkası etki alanı adınızı çözemezse bir web sitesi ne işe yarar? Bu durumda, çoğu etki alanı adı kayıt şirketinin varsayılan olarak sağladığı geleneksel çift DNS sunucusu kurulumunun ötesine bakmanız gerekir. Çoğu CDN servis sağlayıcısı da dahil olmak üzere birçok şirket, web ve diğer kaynaklarınızla aynı yük dengelemesinin arkasında korunan yedekli DNS sunucuları sayesinde gelişmiş DNS koruması da sunar.
Çoğu site ve blog, üçüncü taraflara ev sahipliği yapmalarını sağlarken, bazıları kendi verilerine hizmet etmeyi ve kendi ağlarını yönetmeyi seçer. Bu gruba aitseniz, izlemeniz gereken temel ancak kritik endüstri uygulamalarından bazıları, etkili bir güvenlik duvarı kurmak ve ihtiyaç duymuyorsanız ICMP'yi engellemektir . Ayrıca tüm yönlendiricilerinizin önemsiz paketleri bıraktığından emin olun. Ayrıca, sizin için istenen trafiğin engellenmesine yardımcı olup olmadıklarını kontrol etmek için ISS'nizle bağlantı kurmalısınız. Şartlar ve koşullar bir ISS'den diğerine değişecektir, bu nedenle işletmeler için bu tür bir hizmet sunup sunmadıklarını görmek için ağ işletim merkezlerini kontrol etmeniz gerekir. Genel olarak, aşağıdakiler, CDN sağlayıcılarının, ISS'lerin ve ağ yöneticilerinin DDoS saldırılarını hafifletmek için sıklıkla kullandığı adımlardan bazılarıdır:
Kara Delik Yönlendirme
Kara Delik Yönlendirme veya Blackholing, bir DDoS saldırısını azaltmanın en etkili yollarından biridir, ancak yalnızca ağ trafiğinin uygun bir şekilde analiz edilmesinden ve aksi takdirde 'karadelik' olacağından veya yol alacağından katı kısıtlama kriteri oluşturduktan sonra uygulanması gerekir. orijinal veya kötü niyetli olup olmadığına bakılmaksızın, boş bir rotaya (kara delik) gelen trafik . Teknik olarak bir DDoS’yu atlatacak, ancak saldırgan her durumda ağ trafiğini engelleme hedefine ulaşmış olacak.
Oran Sınırlaması
DDoS saldırılarını hafifletmek için sıklıkla kullanılan bir diğer yöntem 'Rate Limiting'. Adından da anlaşılacağı gibi, bir sunucunun belirli bir zaman diliminde kabul edeceği istek sayısını sınırlamayı içerir. Web kazıyıcılarının içerik çalmalarını engellemek ve kaba kuvvet giriş oturum açma girişimlerini azaltmak için kullanışlıdır, ancak DDoS saldırılarını etkin bir şekilde ele alabilmek için diğer stratejilerle birlikte kullanılması gerekir.
Web Uygulaması Güvenlik Duvarı (WAF)
Neredeyse kendi başına yeterli olmamakla birlikte, ters proxy'ler ve WAF'ler, yalnızca DDoS'yi değil, çeşitli tehditleri azaltmak için atılması gereken ilk adımlardan bazılarıdır. WAF'ler, DDoS araçlarını tanımlamak için kullanılan bir dizi kurala dayanarak istekleri filtreleyerek hedef ağın katman 7 saldırılarına karşı korunmasına yardımcı olur, ancak aynı zamanda sunucuları SQL enjeksiyon, siteler arası komut dosyası oluşturma ve siteler arası sahtecilik isteklerinden korumakta da oldukça etkilidir.
Anycast Ağ Yayınımı
İçerik Dağıtım Ağları (CDN'ler) genellikle DDoS saldırılarını azaltmanın etkili bir yolu olarak Anycast ağlarını kullanır. Sistem, saldırı altında bir ağ için hedeflenen tüm trafiği farklı konumlardaki bir dizi dağıtılmış sunucuya yeniden yönlendirerek çalışır, böylece bir DDoS saldırısının yıkıcı etkisini dağıtır .
Cloudflare, DDoS Saldırılarını Ücretsiz DDoS Korumasıyla Nasıl İyileştirmeyi Önerir?
Dünyanın önde gelen içerik dağıtım ağlarından biri olan Cloudflare, geçtiğimiz günlerde DDoS saldırılarından yalnızca ücretli müşterilerine değil, aynı zamanda saldırının boyutuna ve boyutuna bakılmaksızın ücretsiz müşterilerine de koruma sağlayacağını açıkladı. Beklendiği gibi, bu haftanın başlarında yapılan duyuruda, genellikle Cloudflare dahil olmak üzere CDN'lere saldırı altında olan müşterilerini kovarak ya da daha fazla para talep eden küresel teknoloji medyasının yanı sıra sektörde de büyük bir vızıltı meydana geldi. sürekli koruma için onları. Şu ana kadar mağdurlar saldırı altındayken kendileri için mücadele etmek zorunda kalırken, ücretsiz, ölçülmemiş DDoS koruması vaadi, web siteleri ve ağları tartışmalı içerik yayınlama konusunda sürekli tehdit altında bulunan bloglar ve işletmeler tarafından sıcak bir şekilde karşılandı.
Cloudflare'nın teklifi gerçekten devrimci olsa da, belirtilmesi gereken tek şey, ücretsiz, ölçülmemiş koruma teklifinin yalnızca katman 3 ve 4 saldırıları için geçerli olduğu halde, katman 7 saldırıları hala yalnızca 20 ABD Doları'ndan başlayan ücretli planlar için geçerlidir. her ay.
Başarılı olursa, Cloudflare'nın Teklifi “Hacktivism” İçin Ne İfade Ediyor?
Beklenildiği gibi, Cloudflare'nın duyurusu, bilgisayar korsanları ve internet güvenliği uzmanları arasındaki etik saldırı ve konuşma özgürlüğü konusundaki tartışmayı yeniden gündeme getirdi. Chaos Computer Club (CCC) ve Anonymous gibi birçok hacktivist grup, uzun süredir nefret dolu propaganda ve sık sık - genellikle şiddet içeren - ideolojileri yayan web sitelerine ve bloglara karşı 'dijital protestolar' düzenlemenin gerekli olduğunu savundu. Durum böyle olunca, bu eylemci hacker ya da bilgisayar korsanları grupları, terörist web sitelerini, neo-nazi bloglarını ve DDoS saldırıları olan çocuk pornosu satıcılarını sık sık hedef alırken, en son kayıp, en son hakaret edilen en son 'Daily Stormer' blogu oldu. Virginia'nın Charlottesville kentinde bir sağcı aşırılık yanlısı insan hakları eylemcisinin öldürülmesi.
Cloudflare CEO'su Mattew Prince ve EFF gibi bazı kişiler (EFF (Electronic Frontier Foundation), DDoS saldırılarıyla serbest konuşmayı susturmaya çalıştıkları için hacktivistleri eleştirirken, hacktivism destekçileri, abominable ideolojilere karşı dijital protestolarının bir şehir meydanını doldurmaktan farklı olmadığını iddia ediyorlar. ünlü Occupy Wall Street protestosuyla başlayan ve 17, 2011 Eylül'ündeki protesto ile başlayan 'Occupy' hareketi boyunca bir araya gelerek dünya çapında artan sosyoekonomik eşitsizliğe küresel bir dikkat çekti.
Bazıları DDoS'un gerçek bir protesto aracı olduğunu iddia etse de, etik hackerların teröristlere, bigotlara ve sübyancılara karşı ahlaksız (ve genellikle yasa dışı) içeriğini iyice çevrimdışı kılmak için hızlı bir şekilde hareket etmelerine izin veriyor. Araştırmacı gazeteciler ve ıslık üfleyiciler, geçmişte sık sık bu tür saldırıların hedefi olmuştur ve siber güvenlik gazetecisi Brian Krebs web sitesinin zirvesinde 665 Gbps'yi ölçen devasa bir DDoS saldırısı ile ele geçirilmesi sadece geçen yıldı. . Krebs daha önce vDOS adlı bir İsrailli DDoS işe alınma hizmeti hakkında iki İsrail uyruklu tutuklanmasına neden olduğunu ve saldırının intikam aldığına inanıldığını bildirdi.
DDoS Saldırıları ve Cloudflare'nın Geçmişi Bir Şey Yapma Planı
Cloudflare'nin cesurca DDoS saldırıları yapma iddiasına rağmen, geçmişte bir çok uzman DDoS saldırılarını bu aşamada tamamen kullanılmaz hale getirmenin teknolojik olarak mümkün olmadığını savunuyor. Facebook veya Google gibi devasa şirketler bu tür saldırılara maruz kalmadıklarından emin olmak için gerekli altyapı fazlalıklarına sahip olsalar da, böyle bir korumayı güneş altındaki her bir siteye yaymak, en büyük CDN'ler için bile zor olabilir. Bununla birlikte, Prince, Cloudflare’nın “internetin bize atacağı herhangi bir şeyi” absorbe edebileceğini iddia etti, bu nedenle DDoS saldırılarının geçmişin yıllarına iyi niyetle gönderilip getirilmeyeceğini veya hacktivistler gruplarının bazılarını aşabileceklerini ancak zaman söyleyeceğini iddia etti. şiddete, nefrete ve adaletsizliğe karşı ahlaki haçlılıklarına devam etmek için karşı önlemlerin alınması.
