DDoS Saldırısı Nasıl Durdurulur
Yayınlanan: 2023-03-24Çalışma süresi, hem ön hem de arka uç geliştiriciler için birincil endişe kaynağıdır, ancak her tür sunucu tarafı yöneticisi için de çok önemlidir. Ne yazık ki, kötü aktörlerin sitenizi mahvetmesinin en etkili yollarından biri, bir Dağıtılmış Hizmet Reddi (DDoS) saldırısı kullanarak sitenizi çökertmek ve çalışma süresini azaltmaktır. Bu nedenle, web siteleriyle çalışan çoğunuz bir DDoS saldırısını nasıl durduracağınızı veya en azından hafifleteceğinizi bilmek isteyeceksiniz.
Bu gönderi, bir DDoS saldırısının nasıl durdurulacağına bakacaktır. Ancak kesin adımlara geçmeden önce sahneyi hazırlayalım. Bunu yapmak için önce DDoS saldırısının ne olduğuna bakacağız ve nasıl tanımlayacağımızı öğreneceğiz.
DDoS saldırısı nedir
Genel anlamda, düzenli (dağıtılmamış) bir Hizmet Reddi (DoS) saldırısı, bir siteyi çevrimdışı duruma getirmek için sunucu kaynaklarını aşırı yüklemeye çalışır. Kötü bir oyuncu, bir ağdaki bir ana bilgisayarın hizmetlerini kesintiye uğratmak için gereksiz istekler kullanır ve sonuç olarak meşru istekler siteye ulaşamaz.
Bunu bir mağazanın önündeki protesto gibi düşünebilirsiniz. İnsanlar binanın girişini kapatırsa, müşteriler içeri giremez ve aslında mağaza en uygun şekilde (hatta hiç) ticaret yapamaz.
Bir DDoS (Dağıtılmış Hizmet Reddi) saldırısı, bu amaca ulaşmak için bir ağdaki birçok uzak bilgisayarı kullanır. Aslında, yasal, benzeri görülmemiş trafiğin (genellikle yüksek trafikli bir web sitesinden gelen bir bağlantı nedeniyle) sitenin yavaşlamasına veya çökmesine neden olabileceği "Slashdot etkisine" benzer. Ancak bunun meşru bir nedeni olsa da, bir DDoS saldırısı her zaman planlı ve kötü niyetlidir.
Örneğin, bir DDoS saldırısının kullanacağı makinelerin çoğu, bir açıktan yararlanma veya kötü amaçlı yazılım enjeksiyonuna maruz kalmıştır. Saldırgan, belirli bir IP adresini hedeflemek için uzaktan yönergeler kullanarak bu "botları" kontrol eder ve her biri meşru görünebilir.
Başarılı bir DoS saldırısındaki en önemli faktörlerden biri, hedefin saldırgandan daha yavaş internet hızlarına sahip olmasıdır. Modern bilgi işlem teknolojisi bunu zorlaştırıyor, bu nedenle DDoS saldırıları kötü niyetli kişiler için çok daha iyi performans gösteriyor.
Genel olarak, bir DDoS saldırısının dağıtılmış yapısı, tipik koşullar altında bir saldırının tespit edilmesini zorlaştırır.
Bir DDoS saldırısı nasıl belirlenir
Bir DDoS saldırısını nasıl durduracağınızı öğrenmek istiyorsanız, önce nasıl göründüğünü anlamanız gerekir. Yüksek trafik numaralarınızın meşru bir nedeni olabileceğinden bu zor olabilir.
Yüksek düzeyde, bir site yavaşlarsa veya çökerse, bu, felaket planınızı uygulamak için bir işarettir (buna daha sonra devam edeceğiz). Buradan, bir dizi işarete bakmak isteyeceksiniz:
- Hepsi ortak imzalar sunan çok sayıda trafik. Bu, trafiğin aynı IP adresinden veya adres aralığından kaynaklandığı anlamına gelebilir. Diğer durumlarda, benzer bir konumdan, yönlendiren web sitesinden veya cihaz türünden gelen trafiği tespit edebilirsiniz.
- Tek bir site uç noktasına, genellikle belirli bir sayfaya trafik artışı da olabilir. Çok sayıda 404 hatası da açık bir işaret olabilir.
- Sitenizin almasını beklediğinizle uyumlu olmayan trafik kalıpları. Örneğin, bu, normal zaman aralığınızın dışında bir zirve veya aktivitede saatlik artışlar gibi doğal olmayan bir olay olabilir.
- Bunların herhangi biri ve tümü kötü niyetli olmaktan çok meşru olabilir. Bu nedenle, neyin alakalı ve alakalı olduğunu anlamak için analitik yazılımınıza güvenmek isteyeceksiniz.
Tüm DDoS saldırılarının aynı olmadığını ve farklı türlerinin bu sorunu çok daha karmaşık hale getirebileceğini de unutmamalısınız. Bu nedenle, bir DDoS saldırısını nasıl durduracağınızı öğrenmek istiyorsanız, bu türler hakkında bilgi sahibi olmanız önemlidir.
Karşılaşacağınız farklı DDoS saldırı türleri
"Ağ bağlantısı", bilgisayarların web'de bağlantı kurma şeklini açıklamak için basit bir ifade gibi görünebilir, ancak bu bir yanılgıdır. Açık Sistemler Ara Bağlantısı (OSI) modeli, ağ bağlantılarının ve iletişim sistemlerinin gerçek katmanlı inceliklerini gösterir:
DDoS saldırıları, hedefledikleri katmana göre farklı kategorilere ayrılır. Buna rağmen, onları farklı gruplara ayırabilirsiniz. Bunu katman bazında yapabilseniz de, bunları DDoS saldırısının hedeflediği şeye göre sınıflandırmak da kabul edilebilir.
Örneğin, hacimsel saldırılar, ağ ve taşıma katmanlarını (üç ve dört) alt etmeye çalışır. Buradaki saldırılar, verilerin web üzerinde nasıl hareket ettiğini ve iletim protokollerinin etkinliğini değiştirebilir.
Bir tür - Etki Alanı Adı Sistemi (DNS) yükseltme saldırısı - hedef IP adresini yanıltmak ve açık bir DNS sunucusuna istekte bulunmak için "bot ağları" kullanır. Bu, sunucunun hedef IP'ye yanıt vermesine ve kaynakları aşmasına neden olur.
Protokol katmanı saldırıları
Protokol veya altyapı katmanı saldırıları da üçüncü ve dördüncü katmanları hedefler ve bir DDoS saldırısı gerçekleştirmenin tipik bir yolunu temsil eder. Bu, sunucunun kaynaklarının ve ağ ekipmanının gelen verileri işleyemediği yerdir.
Buradaki bir örnek, bir Kullanıcı Datagram Protokolü (UDP) yansıma saldırısıdır. Bu, UDP'nin durum bilgisi olmayan doğasından yararlanır. Neredeyse tüm programlama dillerini kullanarak geçerli bir UDP istek paketi oluşturabilirsiniz. Başarılı bir saldırı gerçekleştirmek için hedefin IP adresini UDP kaynak adresi olarak listelemeniz yeterlidir.
Bu verilerin yöneldiği sunucu, daha büyük bir yanıt paketi oluşturmak için verileri yükseltecek ve ardından bunu hedef IP adresine geri yansıtacaktır. Hal böyle olunca kötü bir oyuncunun herhangi bir noktada sunucu bağlantısı yapmasına gerek kalmıyor ki bu da yapımı ucuz.
Bir web sunucusuna bağlandığınızda, istemci ve sunucu arasında hem senkronizasyon ( SYN ) hem de alındı ( ACK ) paketlerini içeren “üç yönlü bir el sıkışma” gerçekleştirirsiniz. Sunucu birleşik bir SYN-ACK paketi gönderirken, istemci tekil SYN ve ACK paketleri gönderir.
Bir SYN saldırısında, istemci - bu durumda kötü niyetli kullanıcı - birden çok SYN paketi gönderir, ancak son ACK paketini göndermez. Bu, çok sayıda yarı açık İletim Kontrol Protokolü (TCP) bağlantısı bırakır, bu da sunucunun yenilerini kabul etme kapasitesinin tükendiği anlamına gelir. Mevcut bağlantıları meşru kullanıcılardan uzak tutmanın başka bir yolu.
Uygulama katmanı saldırıları
DDoS saldırılarını yalnızca üçüncü ve dördüncü katmanlarda görmezsiniz. Yedi numaralı uygulama katmanı en üst seviyededir. Bu, insan-bilgisayar etkileşimlerini yönettiği ve uygulamaların ağ hizmetlerine erişmesine izin verdiği anlamına gelir.
Bu nedenle, genellikle HTTP isteklerini kullanarak bu katmanı manipüle eden çok sayıda DDoS saldırısı vardır. İstemci için bir HTTP isteği ucuzdur, ancak sunucu için teknik açıdan yanıt vermek pahalıdır. Saldırılar, bir siteye erişmek için aynı yöntemleri kullandıkları için yasal trafik gibi görünebilir.
Örneğin, bir HTTP seli, sürekli bir döngüde tarayıcınızdaki yenile düğmesine basmaya çok benzer. Bu tür bir DoS etkileşimi bir kez DDoS haline geldiğinde, daha karmaşık hale gelir.
Saldırının kapsamını genişletmek için çok çeşitli web URL'lerini hedeflemek için birçok farklı IP adresi ve rastgele imza kullanacak olan HTTP selinin stili de karmaşık olabilir. Tek bir URL'yi hedefleyen basit bir uygulama bile çok fazla hasara neden olur.
Bir bilgisayar korsanı için Slowloris saldırısı daha az bant genişliği kullanır ancak daha fazla kaosa neden olabilir. Burada, her isteğin sunucu için işlenmesi sonsuz bir süre alır ve mevcut tüm bağlantıları tekelleştirir. Bu saldırı nispeten az sayıda eşzamanlı bağlantıya sahip sunuculara karşı etkili olduğundan, bunun genellikle daha küçük web sitelerini etkilediğini göreceksiniz.
DDoS saldırısına nasıl hazırlanılır?
Hazırlık, bir DDoS saldırısını nasıl durduracağınızdır, çünkü normale ne kadar hızlı dönerseniz o kadar iyidir. Aslında, tehdidi tamamen ortadan kaldıramazsınız, ancak olası sorunları en aza indirebilirsiniz.
Nakit akışı bir DDoS saldırısını nasıl durduracağınıza dair planınızı belirleyebileceğinden, bundan önce ne kadar harcamak istediğinizi "hesaplamak" isteyeceksiniz. Bir saldırının işinize ne kadara mal olacağından başlamalı, ardından kullanabileceğiniz bütçeyi belirlemek için geri dönmelisiniz. Saldırının ortasında yapmak isteyeceğiniz bir hesaplama değil.
Oradan, hazırlığınıza odaklanmanız gereken üç temel alanı not etmek isteyeceksiniz.
- Bir felaket ve kurtarma planı oluşturun, çünkü bu, ekibinizdeki herkese ne yapması gerektiğini açık ayrıntılarla anlatacaktır.
- Oradan, tahsis ettiğiniz bütçenin bir kısmını özel bir DDoS koruma hizmetine harcayabilirsiniz. Bu, uzmanları siteleri izlemek, aldığınız kötü amaçlı trafiğin bir kısmını "uzaklaştırmak" ve daha fazlası için devreye sokacaktır.
- Bir DDoS saldırısının ne zaman başlayacağını tespit etmeyi öğrenin. Bir DDoS saldırısının belirgin işaretlerini izleyebileceğiniz ve feci bir şey olmadan önce tepki verebileceğiniz için site analitiğiniz burada çok önemli olacaktır.
Teknik düzeyde, bir DDoS saldırısını başlamadan önce durdurmak için yapabileceğiniz daha çok şey var. Bunu daha sonra ele alacağız.
Bir DDoS saldırısı nasıl hafifletilir?
Bir DDoS saldırısının nasıl durdurulacağına ilişkin en büyük sorunlardan biri, iyi trafiği kötüden ayırma mücadelesi olduğundan, bunu hafifletmek için tek bir çözüme güvenemezsiniz. Bu, özellikle "çok vektörlü" DDoS saldırısına, yani birden çok OSI katmanına saldıranlara bakarsanız doğrudur.
Bu nedenle, savunmanıza yardımcı olmak için tedarikinizi katmanlara ayırmak isteyeceksiniz. Bunu yapmanın bazı basit yolları vardır:
- Kara delik yönlendirme Bu, boş bir rotaya giden trafiği filtrelediğiniz ve onu ağdan bıraktığınız yerdir. Spesifik filtreleme olmadan, ideal olmayacak şekilde tüm trafiği atarsınız.
- Oran sınırlaması . Bu, bir DDoS saldırısını durdurmak için tek başına yeterli olmasa da, her kullanıcı tarafından tamamlanan eylem sayısını sınırlayabilirsiniz.
- Ağ difüzyonu . Sitenize çarpan trafiği alıp dağıtılmış bir ağa dağıtırsanız, teoride bir DDoS saldırısının etkisini yayarsınız.
Bu nedenle, bant genişliğinizi, ağ bağlantılarınızı ve diğer kaynakları ölçeklendirmek, bir DDoS saldırısıyla mücadele etmenin en iyi yollarından bazılarıdır. Daha sonra bahsedeceğimiz çözümlerden bazıları, trafiği bir savunma olarak dağıtan bir bulut hizmeti olarak geliyor.
Sitenizdeki önemli uç noktaları korumak için CAPTCHA'lar gibi yerinde çözümleri de kullanabilirsiniz. Giriş sayfalarınızın yüksek düzeyde güvenlik gerektirdiği yer burasıdır, çünkü sitenizin yoğun kaynak kullanan öğelerini giriş ekranlarının veya diğer koruyucu unsurların arkasına yerleştirebilirsiniz.
Dahası, bazı manuel teknik hususları uygulayabilirsiniz. Örneğin, daha düşük SYN veya UDP eşikleri ayarlayabilir ve sunucudaki yarı açık bağlantılarda zaman aşımı yapabilirsiniz.
Bir DDoS saldırısının nasıl durdurulacağına dair dört adımlı bir strateji
Bu makalenin geri kalanında, size bir DDoS saldırısını dört adımda nasıl durduracağınızı göstereceğiz. İyi haber şu ki, vereceğimiz tavsiye kuralcı ve katı değil. Bu nedenle, fikirleri kendi ihtiyaçlarınıza göre uyarlayabilirsiniz.
İşte şunları ele alacağız:
- Bir müdahale planı ve kriz stratejisi, hayatınızı nasıl kurtarabilir?
- Bir web sunucusunu savunmak için hangi yaklaşımı kullanmalısınız?
- Şirket içi DDoS korumasının avantajları ve dezavantajları.
- Bulut tabanlı DDoS azaltmanın sizin için yapabilecekleri.
Daha önce bahsettiğimiz bir konuyla başlayalım – strateji oluşturma.
1. Bir strateji ve yanıt planı oluşturun
Yapacağınız her şeyi resmi bir afet ve müdahale planında sağlamlaştırmak harika bir fikir. Bu, işletmenizde sahip olduğunuz en ayrıntılı belgelerden biri olmalı ve saldırıyı durdurmak ve kaynaklarınızı kurtarmak için atacağınız tüm adımları içermelidir.
İşte dahil edilecek birkaç not:
- Bir DDoS saldırısına yanıt verdiğinizde her ekip üyesinin sırasıyla izlemesi gereken adımlar.
- Sorunları müşterilere, alıcılara, tedarikçilere, satıcılara ve diğer ilgili taraflara iletmek zorunda olan ekip dışındaki kişiler için talimatlar olmalıdır.
- İnternet Servis Sağlayıcınız (ISP), DDoS koruma hizmetiniz ve ön saftaki diğer kişiler için önemli iletişim bilgilerini eklemek isteyeceksiniz.
Bu bir kez yerine oturduğunda, tüm şirket sitenizin sunucusunu korumak için ne yapılması gerektiğini anlayacaktır.
2. Web sunucunuzu nasıl savunacağınızı öğrenin
DDoS saldırılarıyla ilgili iki temel sorun vardır:
- Bir saldırının ne zaman olduğunu söylemek zor.
- Devam eden bir saldırıya tepki vermeniz gerekiyorsa, artık çok geçtir.
Bu sorunların her ikisini de çözmek için bir DDoS koruma hizmeti kullanmak isteyeceksiniz. Cloudflare en iyilerden biridir ve web trafiğini buna göre durdurmak, yaymak ve filtrelemek için küresel ölçekte özel sunucu mimarisi içerir.
Bunu göz önünde bulundurarak, statik trafik eşikleri uygulamak veya IP engelleme listenizi doldurmak istemeyeceksiniz, çünkü bu yeterli olmayacak ve çoğu zaman reaktif bir önlem olacaktır. Ölçeklenebilirlik, bir DDoS saldırısını durdurmanın en iyi yollarından biri olduğu için, "evde döndürme" yöntemi, özel hizmetlerin daha iyi yaptığı bant genişliği kısıtlamalarına sahiptir.
3. Şirket içi korumayı uygulayın
Şirket içi DDoS koruması, korumalı sunucular için trafiği filtrelemek üzere ağdaki donanım cihazlarını kullanır. Bu, bir DDoS saldırısını hafifletmek ve durdurmak için uygulanabilir ve sofistike bir yol olabilir.
Radware ve F5, donanım DDoS azaltma birimleri üretir ve bazıları ayrıca bir donanım WAF (Web Uygulaması Güvenlik Duvarı) üretir.
Ancak şirket içi koruma ancak bu kadarını yapabilir ve büyük ölçekli bir saldırıyı, özellikle de bir DDoS'u durduramaz. Bu nedenle, bir DDoS saldırısının nasıl durdurulacağı konusunda en iyi yanıt için bulut tabanlı bir DDoS kurulumu ile takviye yapmak isteyeceksiniz.
4. Bulut tabanlı bir DDoS çözümü düşünün
Gerçekte, ölçeklenebilir, her zaman açık ve donanımdan daha ucuz olduğu için daha fazla site bulut korumasına güveniyor. Bakım maliyetleri de düşüktür.
Yalnızca ISP düzeyinde çalışan bazı DDoS hizmetleri bulacaksınız, ancak bulutta çalışanların daha geniş koruma kapsamı vardır. Çoğu zaman, bu hizmetler trafiği dağıtmak için büyük bilgisayar ağlarına sahiptir.
Örneğin, Amazon'un AWS Shield'i, bir DDoS saldırısının otomatik olarak algılanması ve hafifletilmesi için kendi ağından yararlanır. Dahası, aracın birinci taraf WAF ile birlikte sunucunuzu nasıl koruduğunu özelleştirebilirsiniz.
Cloudflare'nin Magic Transit'i, mevcut şirket içi çözümünüze ek olarak iyi performans gösterebilir. Ayrıca, yük dengeleyiciler, gelişmiş paket filtreleme ve daha fazlası gibi bir sanal ağı yönetmenize yardımcı olacak eksiksiz araçlara da sahip olacaksınız.
Sonuç 🔥
Bir DDoS saldırısı, kötü niyetli bir siteyi çökertme girişimi karşısında sitenizin silahsız kaldığını görecektir. Bozguncu gibi görünse de, bırakın DDoS saldırılarını, herhangi bir saldırıyı tamamen durdurmanın gerçek bir yolu yok. Bu nedenle, bir DDoS saldırısının nasıl durdurulacağının cevabı karmaşıktır.
Saldırıyı hafifletmek iyi bir stratejidir ve sunucu düzeyinde yapabileceğiniz pek çok uygulama vardır. Stratejinizin ne olacağını ve web sunucunuzu nasıl savunmak istediğinizi anlamak önemlidir. Şirket içi koruma harika bir fikir ve bir WAF neredeyse gerekli. AWS Shield gibi bulut çözümleri ve CAPTCHA'lar gibi yerinde bulut standartları da çalışır.
Bir DDoS saldırısının nasıl durdurulacağı hakkında sorularınız mı var? Aşağıdaki yorumlar bölümünde sorun!