2Sep
DoS( Hizmet Reddini) ve DDoS( Dağıtılmış Hizmet Reddini) saldırıları giderek daha yaygın ve güçlü hale geliyor. Hizmet Reddi saldırıları pek çok biçimde gelir, ancak ortak bir amacı paylaşır: kullanıcıların bir web sayfasına, e-postaya, telefon şebekesine veya tamamen başka bir kaynağa erişmesini engelleme. Web hedeflerine karşı en yaygın saldırı türlerine ve DoS'un DDoS olabilmesine nasıl baktığımıza göz atalım.
Hizmet Reddi( DoS) Saldırılarının En Yaygın Türleri
Özünde, bir hizmet reddi saldırısı genellikle bir sunucuyu, örneğin bir web sitesinin sunucusunu taşırarak hizmetlerini veremeyecek kadar çok miktarda gerçekleştirirmeşru kullanıcılar. Bunun yapılmasının birkaç yolu vardır, en yaygın olanı TCP sel saldırıları ve DNS yükseltme saldırılarıdır.
TCP Saldırıları Saldırıları
Neredeyse tüm web( HTTP / HTTPS) trafiği İletim Kontrol Protokolü'nü( TCP) kullanarak gerçekleştirilir. TCP alternatif, Kullanıcı Datagram Protokolü( UDP) daha fazla yükü var, ancak güvenilir olması için tasarlanmıştır. TCP ile birbirine bağlı iki bilgisayar, her bir paketin alındığını onaylar. Onay verilmediğinde paket tekrar gönderilmelidir.
Bir bilgisayar bağlantısı kesilirse ne olur? Belki bir kullanıcı güç kaybeder, ISS'nin bir arızası var ya da kullandıkları her bilgisayarı diğer bilgisayara bildirmeden çıkıyor. Diğer müşterinin aynı paketi tekrar göndermeyi durdurması gerekiyor, yoksa kaynakları boşa harcıyor. Bitmeyen iletimi önlemek için, bir zaman aşımı süresi belirtilir ve / veya bağlantıyı tamamen bırakmadan önce bir paketin kaç kez gönderilebileceği üzerine bir sınır koyulur.
TCP, bir felaket durumunda askeri üsler arasındaki güvenilir iletişimi kolaylaştırmak üzere tasarlandı, ancak bu tasarım, hizmet reddi saldırılarına karşı savunmasız bırakıyor. TCP oluşturulduğunda kimse, bir milyardan fazla istemci cihazı tarafından kullanılacağını asla kimsenin görüntülemedi. Modern hizmet reddi saldırılarına karşı koruma, sadece tasarım sürecinin bir parçası değildir.
Web sunucularına yönelik en yaygın hizmet reddi saldırısı, SYN( senkronize) paketleri spam göndererek gerçekleştirilir. Bir TCP bağlantısı başlatmanın ilk adımı SYN paketini göndermektir. SYN paketini aldıktan sonra, sunucu bir SYN-ACK paketi ile yanıt verir( onaylamayı senkronize eder).Son olarak, istemci bağlantıyı tamamlayan bir ACK( onaylama) paketi gönderir.
Ancak, istemci belirli bir süre içinde SYN-ACK paketine yanıt vermezse, sunucu paketi tekrar gönderir ve bir yanıt bekler. Bu işlemi tekrar tekrar yaparak sunucudaki bellek ve işlemci süresini bozar. Aslında, eğer yeterince yapılırsa, meşru kullanıcılar oturumlarını kısaltır hale getirmek için çok fazla bellek ve işlemci zamanını harcayabilir veya yeni oturumlar başlatılamaz. Buna ek olarak, tüm paketlerden artan bant genişliği kullanımı, ağları doyurabilir, böylece gerçekte istedikleri trafiği taşıyamazlar.
DNS Yükseltme Saldırıları
Hizmet reddi saldırıları DNS sunucularında da hedef olabilir: alan adlarını( howtogeek.com gibi) bilgisayarların iletişim kurmak için kullandığı IP adreslerine( 12.345.678.900) çeviren sunucular. HowTogeek.com'u tarayıcınıza yazdığınızda, bir DNS sunucusuna gönderilir. DNS sunucusu sizi gerçek web sitesine yönlendirecektir. Hız ve düşük gecikme DNS için büyük endişelerdir, bu nedenle protokol TCP yerine UDP üzerinden çalışır. DNS internet altyapısının kritik bir parçasıdır ve DNS istekleri tarafından tüketilen bant genişliği genellikle azdır.
Bununla birlikte, DNS yavaş yavaş büyüdü; zamanla yavaş yavaş yeni özellikler eklendi. Bu bir sorun getirdi: DNS 512 baytlık bir paket boyutu sınırına sahipti, bu da tüm bu yeni özellikler için yeterli değildi.1999'da IEEE, DNS( EDNS) uzantısı mekanizmasının spesifikasyonunu yayınladı ve 4096 bayt'a yükseldi ve her isteğe daha fazla bilgi girdi.
Bununla birlikte, bu değişiklik DNS'yi "güçlendirme saldırıları" na karşı savunmasız yaptı.Bir saldırgan, özel hazırlanmış istekleri DNS sunucularına gönderebilir, büyük miktarda bilgi isteyebilir ve hedeflerinin IP adresine gönderilmesini isteyebilir. Sunucu yanıtı, onu oluşturan istekten çok daha büyük olduğu için bir "güçlendirme" oluşturulur ve DNS sunucusu, sahte IP'ye yanıt gönderir.
Birçok DNS sunucusu kötü istekleri algılamak veya silmek için yapılandırılmadığından, saldırganlar defalarca sahte istek gönderirken kurban büyük EDNS paketleri ile sızar, böylece ağ sıkışık olur. Bu kadar çok veri işlenemiyor, meşru trafiği kaybolacak.
Peki Dağıtılmış Hizmet Reddini( DDoS) Saldırı Nedir?
Dağıtılmış bir hizmet reddi saldırısı, birden çok( bazen farkında olmadan) saldırgan olan saldırıdır. Web siteleri ve uygulamaları, birçok eşzamanlı bağlantıyı ele alacak şekilde tasarlanmıştır - sonuçta, tek seferde yalnızca bir kişi ziyaret edebiliyor olsaydı, web siteleri çok yararlı olmazdı.Google, Facebook veya Amazon gibi dev hizmetlerin milyonlarca veya on milyonlarca eşzamanlı kullanıcıyı işlemek üzere tasarlandı.Bu nedenle, tek bir saldırganın hizmet reddi saldırısı ile onları aşağı çekmesi mümkün değildir. Fakat birçok saldırganına yapabilirdi.
Saldırganların en yaygın şekilde alınması için bir yöntem botnet'tir. Botnet'te bilgisayar korsanları, internetteki her türlü cihazı malware ile bulaştırır. Bu cihazlar evinizde bilgisayarlar, telefonlar veya DVR'ler ve güvenlik kameraları gibi başka cihazlar olabilir. Enfekte olduktan sonra, talimatları istemek için periyodik olarak bir komuta ve kontrol sunucusuna başvurmak için bu cihazları( zombi denir) kullanabilirler. Bu komutlar, madencilik kriptolarından, evet DDoS saldırılarına kadar değişebilir. Bu şekilde, bir araya gelerek bir sürü korsana ihtiyaç duymazlar-evdeki normal kullanıcıların güvensiz cihazlarını kirli işlerini yapmak için kullanabilirler.
Diğer DDoS saldırıları, genellikle siyasi nedenlerden dolayı gönüllü olarak yapılabilir. Düşük Yörünge İyon Topçusu gibi müşteriler DoS saldırılarını basitleştirir ve dağıtmak kolaydır. Birçok ülkede( kasıtlı olarak) bir DDoS saldırısına katılmanın yasadışı olduğunu unutmayın.
Sonunda, bazı DDoS saldırıları kasıtsız olabilir. Başlangıçta Slashdot etkisi olarak adlandırılan ve "ölümün sarılması" olarak yaygınlaştırılan meşru trafik hacmi bir web sitesini sakatlayabilir. Muhtemelen bunun daha önce olduğunu gördünüz, popüler bir site küçük bir bloga bağlanır ve büyük bir kullanıcı akını yanlışlıkla siteyi geri getirir. Teknik olarak, hala kasıtlı veya kötü niyetli olmasa da DDoS olarak sınıflandırılır.
Hizmet Reddi Saldırılarına Karşı Kendimi Nasıl Koruyabilirim?
Tipik kullanıcıların hizmet Reddi saldırılarının hedefi olmasından endişelenmeleri gerekmez. Flamalar ve profesyonel oyuncular hariç olmak üzere bir DoS'un bir şahsa gösterilmesi çok nadirdir. Bununla birlikte, tüm cihazlarınızı kötü niyetli yazılımlardan koruyarak sizi bir botnet'in parçası haline getirebilmeniz için elinden gelen en iyi şeyi yapmalısınız dedi.
Ancak, bir web sunucusunun yöneticisiyseniz, hizmetlerinizi DoS saldırılarına karşı nasıl güvenli hale getireceğiniz konusunda zengin bilgi var. Sunucu yapılandırması ve cihazları bazı saldırıları hafifletebilir. Kimileri, kimliği doğrulanmamış kullanıcıların önemli sunucu kaynaklarına ihtiyaç duyan işlemleri gerçekleştirememelerini sağlayarak engellenebilir. Ne yazık ki, bir DoS saldırısının başarısı çoğunlukla daha büyük boruya sahip olan tarafından belirlenir. Cloudflare ve Incapsula gibi hizmetler, web sitelerinin önünde durarak koruma sağlar ancak pahalı olabilir.