“Distributed Denial of Service” (DDoS), internet üzerindeki sunucuları, servisleri ve çevrimiçi hizmet vermeye çalışan birçok bilgisayarın yapıyor olduğu işlemleri yavaşlatmak, hatta sistemlerin çalışmasını durdurmak için kişi ve kurumlara maddi zarar vermeye odaklı bir siber saldırı yöntemidir.
Büyük çaplı saldırılarda siber suçlular yaptıkları eylemleri durdurmak için kişi ve kurumlardan kripto para istemeleri muhtemeldir. 2015 ve 2016 yıllarında “Armada Collective” adındaki bir hacker grubu tekrarlı bir şekilde bankalardan, web sunucu sağlayıcılarından ve bunlar gibi birçok kurum ve kuruluştan kripto para ödemek koşuluyla saldırılarına son vereceklerini bildirmişlerdir.
İnternet üzerinde bir zararlı yazılımın yayılmasını sağlamak amacıyla internete bağlı her türlü cihazın “zombi”leştirilme yöntemi ile bir siber silaha dönüştürülmesi sağlanır. İşte bir cihaz zombiye dönüştürüldüğünde artık “bot” olarak adlandırılır. Botlar sayesinde zararlı yazılımlar cihazdan cihaza atlayarak bir ordu oluşturur. Bu orduya ise “botnet” adı verilir. Botnetler özellikle DDoS saldırılarında etkinin ve zararın daha fazla olabilmesi için saldırganlar tarafından tercih edilir.
“Dyn” adını verdikleri bir yazılım sayesinde IoT (Internet of Things) cihazları yani internete bağlı her türlü cihaz, özellikle Wi-Fi bağlantılı kameralar bota çevrilmiş ve “Mirai Botnet” ismiyle anılacak bir siber ordu kurulmuştur. Mirai, telnet portlarını ve önceden tanımlı parolaları kullanarak Wi-Fi bağlantılı kameraları ele geçirmiş ve böylelikle bu cihazlar sayesinde DDoS saldırıları yapılmıştır.
Tarihler 2000 yılını gösterdiğinde 15 yaşındaki Michael Calce, internet üzerinde kullandığı adıyla “Mafiaboy”, ilk kayıt altına alınan DDoS saldırısını gerçekleştirmiştir.
Calc bu saldırıyı yapabilmek için birçok üniversitenin ağını hacklemiş ve girdiği ağlardaki sunucuları kullanarak adlarını çokça duyduğumuz CNN, E-Trade, eBay ve Yahoo gibi birçok firmaya saldırmıştır.
2016 yılına geldiğimizde DNS (Domain Name Service) sunucuları devasa bir saldırı ile hedef alınmış ve ABD’deki AirBnB, CNN, Netflix, PayPal, Spotify, Visa, Amazon, The New York Times, Reddit ve Github gibi dünyada ün yapmış firmaların hizmet verememesine sebep olmuştur.
Yine hedefin Github olduğu ve açıklanan raporlara göre saniyede 1.35 terabaytlık veri bombardımanı ile saldırı altında kalan Github’a 2018 yılının bir günü yaklaşık 10 dakika ulaşılamamış fakat ilgili firmanın daha önceden aldığı bilinçli tedbirlerden dolayı bu saldırının etkisi kısa sürmüştür.
Ve 2019 yılında saldırganlar Wikipedia ve World of Warcraft oyununu hedef aldılar.
Tarihte geriye gittiğimize bugün olduğu gibi o zamanlarda da DDoS saldırıları baş belası olmuştur. Fakat günün koşulları ve tedbirleri gereği saldırı metodları ve boyutları artmak zorunda kalmıştır. 1990 yılında saniye başına 150 istek bir servisin durmasına sebep olurken şimdilerde Github saldırısından da anlaşılacağı gibi saniyede 1.5 terabaytlık veri gönderim hızının olduğu saldırılara ihtiyaç duyulmuştur.
Normal bir internet kullanıcısının rahatlıkla farkına varabileceği durumlardan tutun da bir profesyonel tarafından incelenmesinin gerektiği durumlara kadar birçok senaryo ile karşı karşıya kalınabilir. Zombi olduğunuzda karşılaşabileceğiniz bazı olaylardan bahsedelim.
Bu tip saldırılar hedef makinelerin bünyesinde bulunan kaynakların tamamının tüketilmesi yoluyla artık o sisteme hizmet verdirmemek üzerine kurulmuştur.
Bu saldırı metodu temelde bir web sayfasına girdiğinizde yenile butonuna durmadan basmaya benzer. Fakat bu saldırıyı gerçekleştirmek için botnete ihtiyaç duyulur. Birçok cihaz saldırgan tarafından aldıkları komutlar ile ilgili web sunucusuna durmaksızın HTTP isteği göndererek sunucunun normal şartlar altında verebileceği hizmetin kapasitesinin doldurulmasıyla artık normal bir internet kullanıcısının o web siteye doluluktan dolayı erişememesini sağlar.
Genelde firewall ve load balancer sistemlerinde portların tamamını aktif bir şekilde kullanım durumunda bırakarak bu servislerin başka bağlantılar yapmasını engeller böylelikle bu sistemlerin arkasında bulunan bir makineye örnek vermek gerekirse bir web sunucuya artık isteklerin ulaşmamasına neden olur ve kullanıcıların web sayfalara girmeleri engellenir.
Bu saldırı metodu TCP/IP bağlantı protokolünü kullanır. Bir TCP bağlantısı gerçekleşirken ilk önce bağlantı yapmak isteyen bilgisayar SYN paketi gönderir, bu karşı bilgisayara “Selam, konuşalım mı?” demeye benzer. Karşı bilgisayar bu paketi alır ve eğer uygunsa “Tabii ki.” demek için ACK paketi gönderir. Ve diğer bilgisayara bu paket gittiğinde SYN/ACK paketi göndermek yoluyla “Hadi başlayalım!” der. Biz bu işleme Three Way Handshake diyoruz. Ve artık bu iki bilgisayar birbiriyle TCP/IP protokolünü kullanarak iletişim kurmaya başlar.
İşte bunu bilen hackerımız o zaman ben SYN paketi göndereyim ama gelen hiçbir pakete cevap vermeyeyim diyerek karşı bilgisayarın cevapları beklemesine ve böylelikle meşgul kalmasına sebep olur. Bununla birlikte daha fazla bağlantı kabul edemeyecek noktaya gelen hedef makinemiz hizmet veremeyeye başlar.
Bir metropolde yaşıyorsanız trafikten bıkmışsınızdır. Tıkanma noktasına gelen trafik sayesinde A noktasında B noktasına gidemez olursunuz. İşte volumetric (hacimsel) saldırılar internet üzerindeki trafiği arttırarak paketlerin istenilen yerlere gönderilmesini engelleme üzerine tasarlanmıştır.
DNS Amplification
DNS sunucularını hedef alarak büyük miktarlardaki verinin sunuculardan almak istenmesi üzerine kurulmuştur. Bu saldırı DNS sunucuların çökmesine sebep olabileceği gibi normal isteklere cevap verememelerine de neden olabilir.
Günümüz internet dünyasında artık çok yönlü saldırılar kullanılır. Birden farklı yöntem aynı anda kullanılarak hem saldırıların engellenmesi zorlaştırılır hem de zararlı isteklerin normal isteklerden ayırt edilmesinin biraz da olsa önüne geçer.
Zararlı internet trafiğinin ISP (Internet Service Provider) yani internet sağlayıcıları tarafından black hole olarak adlandırılan yerlere yönlendirilmesi ile ağdan uzaklaştırılması sağlanmasına denir.
Genel anlamda kullanıcılardan gelen anlık isteklerin sayısını sınırlayarak çeşitli parola kırma yöntemlerinden brute force (kaba kuvvet) saldırısını engeller. Bunun yanında bir noktadan gelen anlık istek sayısı kısıtlandığı için DDoS saldırıların da engellenmesini sağlar.
Firewall, üzerinde tanımlanmış kurallar çerçevesinde dış ve iç ağlar arasındaki iletişimin hangi koşullarda gerçekleşeceğine karar verir. Örnek vermek gerekirse bir iç ağdan dış ağa bağlantı yapılmak istediğinde karar firewalla bırakılır. Bağlantıya ya izin verilir ya da bağlantı engellenir.
Kaspersky’ın 2017’de açıkladığı verilere göre bir DDoS saldırısının 2,5 milyon dolar zarara uğratabileceği görülmüştür. Bu raporda göre küçük çaplı şirketlerin 120 bin dolar ve büyük çaplı şirketlerin ise 2 milyon dolar zarara uğrayabileceği belirtilmiştir..