Bu yazıda, web uygulamalarına yönelik DDoS (Distributed Denial of Service) saldırılarını ve bu tür saldırıların nasıl yapıldığını inceleyeceğiz.
Bir önceki Firewall yazımızda, ağlarımızı istenmeyen trafiklere karşı koruyabildiğimizi açıklamıştık. Ancak, izin verdiğimiz meşru trafik türleri, kötü niyetli kişiler tarafından suistimal edilerek sunucularımıza zarar verebilir. Örneğin, 443 numaralı HTTPS portu üzerinden gelen aşırı trafik, hizmetin aksamasına yol açabilir.
DDoS saldırıları, bir web uygulamasının hizmet vermesini engellemek için büyük hacimli trafik oluşturarak yapılan saldırılardır. Bu trafik, genellikle birden fazla kaynaktan gelir ve sunucuların bu yükü karşılamasını zorlaştırır. Örneğin, 500 Mbps hızında bir internet bağlantısına sahip bir veri merkezi, kötü niyetli botların oluşturduğu yoğun trafikle baş edemez hale gelebilir. Bu tip saldırılar basitçe DoS (Denial of Service) olarak adlandırılırken, bu saldırılar birden çok kaynaktan yapılırsa DDoS (Dağıtılmış Hizmet Aksatma) olarak bilinir.
En yaygın DDoS saldırıları, kontrolü kötü niyetli kişiler tarafından ele geçirilmiş bilgisayarlar, mobil cihazlar ve IoT cihazları üzerinden gerçekleştirilir. Bu cihazlara, saldırı esnasında kullanılan zararlı yazılımlar yüklenmiştir ve bu cihazlar, bir “zombi ağı” oluşturur. Zombileştirilen cihazlardan oluşan botnet, uzaktan kontrol edilerek DDoS saldırıları gerçekleştirilir. Hatta bu hizmet, kötü niyetli kişiler tarafından ücret karşılığı başkalarına sunulabilir.
2015 yılında, GitHub’a yapılan ve beş gün süren saldırıda, bir ülke kendi web sayfalarına gelen ziyaretçilere fark ettirmeden JavaScript kodu enjekte ederek, GitHub’a toplu istekler gönderilmesini sağladı. Bu saldırı, normal trafiği ayırt etmenin zor olduğu bir DDoS saldırısına dönüştü.
Daha karmaşık bir örnek ise 2016’da gerçekleşti. Dyn DNS sağlayıcısına yapılan bir DDoS saldırısı, milyonlarca IoT cihazı kullanarak DNS sunucularını saatlerce devre dışı bıraktı. Bu saldırı sonucunda, Twitter, Spotify ve Reddit gibi büyük platformlar da etkilendi.
Başarılı DDoS saldırılarının ortak noktası, saldırının büyük bir kısmının masum kullanıcılar tarafından farkında olmadan gerçekleştirilmesidir. Bu tür saldırılar, saldırı hedeflerinin hizmetlerini uzun süre devre dışı bırakabilir ve büyük finansal kayıplara yol açabilir.
DDoS saldırılarını hafifletmek ve botnet’lerle mücadele etmek için çeşitli yöntemler mevcuttur. Bu yöntemlere ve botnet saldırılarına karşı alınabilecek önlemlere ilerleyen yazılarda değineceğiz.
Dünya üzerindeki anlık DDoS saldırılarını izlemek için NorseCorp haritasına göz atabilirsiniz: http://map.norsecorp.com.