DDoS Çalışma mekanizması
Tüm web sunucularının, eşzamanlı olarak işleyebilecekleri istek sayısı konusunda kendi sınırları vardır. Ağı ve sunucuyu bağlayan kanalın bant genişliği için de bir sınırı vardır. Saldırganlar, bu kısıtlamaları aşmak için, botnet veya “zombi ağı” adı verilen kötü amaçlı yazılım içeren bir bilgisayar ağı oluşturur.
Bir botnet oluşturmak için siber suçlular Truva atını e-posta, sosyal ağlar veya web siteleri aracılığıyla yayarlar. Botnet’te bulunan bilgisayarların birbirleriyle fiziksel bir bağlantısı yoktur. Yalnızca sistemi kullanan hacker’ın amaçlarına hizmet etmek için birleşirler.
Bir DDoS saldırısı sırasında, bilgisayar korsanı sisteme dahil olmuş zombi bilgisayarlara komutlar gönderir ve saldırıyı başlatır. Bot ağları, herhangi bir sistemi aşırı yükleyebilecek büyük miktarda trafik üretir. DDoS için ana nesneler genellikle sunucu bant genişliği, DNS sunucusu ve İnternet bağlantısının kendisidir.
DDoS Saldırı İşaretleri
Saldırganların eylemleri amacına ulaştığında, sunucunun veya orada bulunan kaynak çöktüğünde bu anında belirlenebilir. Ancak, bu işin başlangıcında bir DDoS saldırısı hakkında bilgi edinebileceğiniz bir dizi dolaylı işarette vardır:
• Sunucu yazılımı ve işletim sistemi sık sık ve net bir şekilde çökmeye başlar – donma , yanlış kapanma olursa,
• Sunucu donanım kapasitesinde ortalama günlük oranlarından önemli ölçüde farklı bir artış oluyorsa,
• Bir veya birkaç bağlantı noktasında gelen trafikte hızlı artış var ise,
• Tek bir kaynakta aynı türden istemcilerin tekrar tekrar yinelenen eylemleri ( web sitesine gitmek, bir dosya yüklemek gibi) oluyorsa,
• Sunucunun, güvenlik duvarının veya ağ cihazlarının günlükleri (kullanıcı eylemlerinin günlükleri) analiz edilirken, farklı kaynaklardan aynı bağlantı noktasına veya hizmete aynı türde birçok istek belirlenmişse.
DDoS saldırı türlerinin sınıflandırılması
Protokol saldırganı (taşıma katmanı)
DDoS saldırısı, bir sunucunun veya web kaynağının ağ katmanına yönlendirilir, bu nedenle genellikle ağ katmanı veya taşıma katmanı saldırısı olarak adlandırılır. Amacı, bir güvenlik duvarına sahip bulunan merkezi bir ağdaki veya bir yük dengeleme sistemindeki tablo alanını aşırı yüklemektir.
Taşıma katmanındaki en yaygın DDoS yöntemi , alıcı düğümün fiziksel olarak başa çıkamayacağı farklı düzeylerde büyük bir kukla istek akışı oluşturan ağ taşmasıdır .
Genel olarak, ağ hizmeti, bilgisayarın ilk isteği işleyene kadar ikinci isteğe hizmet vermeyeceği FIFO (ilk giren ilk çıkar) kuralını uygular. Ancak bir saldırı sırasında istek sayısı o kadar artar ki, cihaz işi ilk istekle tamamlamak için yeterli kaynağa sahip değildir. Sonuç olarak, akış, bant genişliğini mümkün olduğunca doyurur ve tüm iletişim kanallarını tamamen tıkar.
Yaygın DDoS trafik türleri
• HTTP flood – saldırıya uğrayan sunucuya düz veya şifrelenmiş HTTP mesajları gönderilerek iletişim düğümlerini tıkar.
• ICMP flood – saldırganın botnet’i kurbanın ana makinesinin kaynaklarını tüketme zorunda olduğu hizmet talepleriyle aşırı yükler. Böyle saldırılarda iletişim kanalları ping istekleri ile doldurulur. Smurf saldırı ağ devresinin durumunu kontrol etmek için kullanılır. Sistem yöneticilerinin genellikle bir güvenlik duvarı kullanarak ICMP talepleri yapma yeteneğini tamamen engellemesinin nedeni, ICMP güvenlik açığı tehdididir. Smurf DDoS saldırısı başarılı bir şekilde tatbik edilirse hedef sunucular saatler hatta günlerce felce uğratılır.
• SYN taşması – saldırı, “üçlü el sıkışma” ilkesi olarak bilinen TCP protokolünün temel mekanizmalarından birini etkiler (istek-yanıt algoritması: SYN paketi – SYN-ACK paketi – ACK paketi). Kurban, cevap verilmeden sahte SYN talepleriyle bombardımana tutulur.
• UDP taşması – kurbanın ana bilgisayarının rastgele bağlantı noktaları, ağ kaynaklarının aşırı yüklenmesine neden olan yanıtlar olan UDP paketleriyle doludur. Bir DNS sunucusuna yönlendirilen bir tür UDP taşması, DNS flood olarak adlandırılır . Böylece ağ kaynağı veya makinedeki trafiğin bir süre durdurulması hedeflenir.
• MAC flood– saldırgan farklı MAC adreslerinden Ethernet frame’leri gönderir. Bu tür DdoS saldırılarına karşı koruma sağlamak için ağ anahtarları, geçerlilik denetimi ve MAC adresi filtreleme ile yapılandırılır.