DDOS Saldırıları ve DDOS Testinin Amacı

Distributed Denial of Service (DDoS) (Dağıtık Hizmet Aksatma Saldırısı)

DDOS /DOS saldırıları internetin hayatımıza girdiği dönemden beri önemi hiç eksilmeyen bir siber tehdit olarak bilinmektedir. Sistemler üzerinde yer alan güvenlik açıkları kapatılsa dahi TCP/IP protokolü yapısı gereği bu saldırılara kesin bir çözüm sunmak ne yazık ki mümkün olamamaktadır.

Dağıtılmış hizmet reddi (DDoS) saldırıları, hizmet reddi (DoS) saldırılarının bir alt sınıfıdır ve dağıtık sistemler üzerinden atak yapılması planlanan adres hedef alınarak yapılır. Bir DDoS saldırısı, hedef web sitesini sahte trafikle boğmak için kullanılan birden çok birbirine senkronize çevrimiçi cihazı içerir ve saldırıya uğrayan web kaynağına birden çok istek göndererek web sitesinin çok sayıda isteği işleme kapasitesini aşmayı ve hizmet vermesini engellemeyi amaçlar. Diğer siber saldırı atak tiplerinin aksine, DDoS saldırıları güvenlik çevrenizi ihlal etmeye çalışmaz. Bunun yerine, bir DDoS saldırısı, web sitenizi ve sunucularınızı meşru kullanıcılar tarafından kullanılamaz hale getirmeyi amaçlar.

DDoS saldırıları kısa aralıklarla devam edebilir veya saldırılar tekrarlanabilir, ancak her iki durumda da bir web sitesi veya işletme üzerindeki etkisi, kuruluş toparlanmaya çalışırken günler, haftalar ve hatta aylarca sürebilir. Bu, DDoS' u herhangi bir çevrimiçi kuruluş için son derece yıkıcı hale getirebilir. Ayrıca, DDoS saldırıları gelir kaybına yol açabilir, tüketici güvenini zedeleyebilir, işletmeleri servetlerini tazminat olarak harcamaya zorlayabilir ve uzun vadeli itibar hasarına neden olabilir.

Web sunucularının eş zamanlı olarak hizmet verebileceği isteklerin sayısı sınırlıdır ve bu sınır aşıldığında web sunucusu normal işlevini kaybederek hizmet veremez hale gelir. Web sunucusunun karşılayabileceği kapasite sınırına ek olarak sunucuyu internete bağlayan kanal da sınırlı bir bant genişliğine ve kapasiteye sahiptir. Günümüzde saldırganların DDOS yaparken asıl amacı web sunucusunun normal olarak çalışmasını engellemek, yani tam "hizmet reddi" sağlamaktır ve bu motivasyon ile birlikte birçok metod kullanabilirler. Saldırgan, saldırıyı durdurması karşılığında para da isteyebilir. Bazı senaryolarda DDoS saldırıları rakip bir firmanın itibarını zedeleme ya da işine zarar verme girişimi niteliğinde olabilirken, bazı durumlarda hedeflenen kuruma yapılacak saldırıların kurum log kaynakları üzerinde gizli kalmasını sağlamak amaçlı yapılabilir.

DDOS Testi ve Amacı

DDoS testi, herhangi bir saldırı gerçekleşmeden önce kurumların saldırıya karşı direnç seviyelerinin belirlenip, raporlanması ve çözümünü amaçlar. DDoS testleri hem testi yapan güvenlik ekipleri hem de IT ekiplerinin beraber çalışmasıyla gerçekleşmektedir. Bu süreç biraz zaman alır ve zahmetlidir. Yapılan testler neticesinde sistemin durumu hakkında rapor hazırlanır ve testin yapıldığı şirkete çözüm için neler yapılması gerektiği hakkında bilgi verilir. 

DDoS Çeşitlerinden Bazıları 

Smurf

• ICMP paketlerindeki kaynak adresi değiştirir.
• ICMP paketlerini zombilere gönderir.
• Zombiler paketleri hedefe yollar.
• Hedef kendisinin göndermediği isteklere karşı dönen birçok cevap mesajı alarak şişer.

Fraggle

• Smurf atak tipi ile aynı mantıkta çalışır fakat ICMP paketleri yerine UDP paketlerini 7 ve 19 numaralı portlara göndererek atak yapılır.

Ping Flood

• Direk hedefe yöneltilen sonsuz sayıdaki ICMP paketleridir. 

Ping-of-Death

• Çok büyük boyuttaki paketleri direk olarak hedefe gönderilir.
• Paketlerin büyüklüğüne göre sistemin donmasına, cevap veremez hale gelmesine ya da kendini yeniden başlatmasına sebep olabilir.

SYN Flood

• TCP'nin 3 yollu handshake açığını kullanır.
• Kaynak (Saldıran) SYN paketlerini hedefe gönderir. (1. el sıkışma)
• Hedef SYN paketine SYN-ACK olarak cevap verir. (2. el sıkışma)
• Kaynak, gelen pakete cevap veremeden hedef adrese yeni bir SYN paketi yollandığı için hedef TCP/IP yapısı gereği sürekli cevap bekler konumda kalır.

Land Attack

• Kaynak ve Hedef adresi değiştirilmiş paketlerdir.
• Paket içerisinde yer alan kaynak ve hedef atağın yapıldığı sunucunun adresidir. 
• Paket hedefe ulaştığında hedef kendi paketini sürekli cevaplamaya çalışacağından dolayı cevap veremez hale gelir.

TearDrop

• Parçalanmış TCP paketleri üzerinde yer alan “window size” değeri değiştirilerek hedefe gönderilir.
• Hedef paketleri tekrar birleştirmeye çalıştığında paket içerisinde yer alan “windows size” değeri bozuk veya hatalı olduğundan sistem cevap veremez hale gelir.

Dns Poisoning

• Yanlış DNS bilgileri Birincil DNS sunucuya tanıtılır.
• Tüm istekler değiştirilmiş DNS sunucusuna yönlendirilir.

YAZAR: İBRAHİM BATUHAN VURAL / SIZMA TESTİ UZMAN YARDIMCISI