Günümüzde, internet erişimi neredeyse küresel bir fenomen haline gelmiştir. Evde, okulda, işyerinde ve hayatımızın birçok alanında, bu evrensel ağın sunduğu avantajlardan faydalanmaktayız.
İnternetin bu kadar yaygın olduğu dünyada internette dolaşırken girdiğimiz sitelere, tıkladığımız linklere vs. dikkat etmeliyiz. Günümüzdeki birçok gelişmiş teknolojinin getirdiği avantajlarla birlikte, internetin de tehlikeli yönleri mevcuttur. İnternetin bu tehlikelerinden biri, hizmet kesintilerine neden olan siber saldırı türleri arasında yer alan DoS ve DDoS saldırılarıdır.
DoS Nedir?
Denial of Service (DoS), siber güvenlik alanında karşılaşılan ciddi tehditlerden biridir. Bu tür saldırılar, bilgisayar sistemlerine veya ağlara bilinçli olarak yoğun talep gönderilerek, hizmetlere erişimin engellenmesini veya zorlaştırılmasını amaçlar.
DoS Saldırısının Temel Özellikleri
Günümüzde internet, yaşamımızın birçok alanını kapsayan hayati bir araç haline gelmiştir. Evde, okulda, işte ve daha birçok yerde interneti kullanarak bilgiye ulaşmak, iletişim kurmak ve çeşitli hizmetleri kullanmak mümkündür. Ancak, internetin yaygın kullanımıyla birlikte, bu alanlarda ortaya çıkan potansiyel tehlikeler de göz ardı edilmemelidir.
DoS ve DDoS Farkı Nedir?
DoS ve DDoS saldırıları, birkaç açıdan farklılık gösterir. Aşağıda bu farklılıklardan bahsedilmektedir.
DoS Saldırıları
DoS saldırıları, genellikle tek bir kaynaktan gerçekleştirilir. Bu saldırılarda, saldırgan, hedef sistem veya ağa tek bir noktadan yoğun talepler göndererek kaynakları tüketir ve hizmete erişimi engeller. Bu saldırılar genellikle küçük çaplıdır ve saldırganın sınırlı kaynaklarıyla gerçekleştirilir.
DDoS Saldırıları
DDoS saldırıları ise çok daha karmaşık bir yapıya sahiptir. Birden çok kaynaktan, genellikle bot ağları veya zombi bilgisayarlar aracılığıyla koordineli bir şekilde gerçekleştirilirler. Saldırganlar, coğrafi olarak farklı konumlardan büyük bir sayıda sistem üzerinden hedefe saldırı düzenler. Bu tür saldırılar genellikle daha geniş çapta ve güçlüdür.
Saldırı Tiplerinin Koordinasyonu
DoS saldırıları genellikle tek bir saldırgan veya kaynaktan yönetilirken, DDoS saldırıları çoklu kaynakların koordineli bir şekilde birleştirilmesiyle gerçekleştirilir. Bu durum, DDoS saldırılarının genellikle daha etkili ve daha zor engellenebilir olmalarına yol açar.
DDoS Nedir?
DDoS yani “Distributed Denial of Service”, bilgisayar sistemlerini veya ağları hedef alan bir siber saldırı türüdür. Saldırganlar, genellikle bot ağları veya zombi bilgisayarları kullanarak, hedef sistem veya ağı yoğun bir şekilde bombardımana tutarlar. Bu, hedefin kaynaklarını tüketir veya ağ performansını ciddi şekilde etkiler, böylece normal kullanıcıların hizmetlere erişmelerini engeller.
Yukarıda bahsetmiş olduğumuz zombi bilgisayarlar veya bot ağları; kötü amaçlı yazılım veya virüslerle enfekte edilmiş birçok bilgisayarın, saldırganın kontrolünde bir ağ oluşturmasıdır. Bu bilgisayarlar, sahiplerinin haberi olmadan saldırganın emirlerini yerine getirir. Zombi bilgisayarları ise genellikle kötü amaçlı yazılımlar aracılığıyla ele geçirilen ve saldırganın kontrolü altına alınan bireysel bilgisayarlardır.
Saldırılar Nasıl Gerçekleşir?
Saldırganlar, genellikle botnet olarak adlandırılan, kontrol altındaki zombi bilgisayar ağlarını kullanır. Bu bilgisayarlar, hedefe yönelik yoğun sahte trafik gönderir, bu da hedefin kaynaklarını (işlemci gücü, bellek, bant genişliği) aşırı yük altına alır. Sonuç olarak, hizmet yavaşlar veya tamamen çöker, kullanıcıların hizmete erişimi kesilir veya ciddi şekilde kısıtlanır. Bu saldırılar, geniş çapta gerçekleştirilir ve genellikle anonimlik sağlayarak tespit edilmelerini zorlaştırır.
Farklı Saldırı Çeşitleri
DDoS saldırıları için kullanılabilecek birçok farklı teknik vardır. Her teknik farklı bir metot kullanır ve hedef sistemde farklı bir bileşene etki etmeyi amaçlar. Bu teknikler saldırının oluşturacağı etkiyi belirler. Bazı teknikler hedefe daha büyük zararlar verme potansiyeline sahip olmakla birlikte, güvenlik ürünleri tarafından tespit edilme ve engellenme ihtimalleri daha yüksektir.
Volume Based DDoS (Hacim Odaklı Saldırılar): Bu saldırılar, hedef sistem veya ağa büyük miktarda trafik göndererek bant genişliğini aşırı yüklemeyi amaçlar. Dünya üzerinde en yaygın olarak kullanılan DDoS saldırı çeşididir.
Application Layer DDoS (Uygulama Katmanlı Saldırılar) Uygulama katmanı saldırıları, genellikle web sunucuları, DNS sunucuları veya e-posta sunucuları gibi hedefin sunucularında faaliyet gösteren belirli uygulama veya hizmetlere yönelik olarak gerçekleştirilir. Bu tür saldırılar genellikle özel olarak tasarlanmış istek veya komutlar göndermeyi içerir ve uygulamanın çökmesine veya yanıt vermemesine neden olabilir. [1]
Saldırıların Temel Hedefleri ve Motivasyonları Nelerdir?
DDoS saldırılarının temel hedefleri ve motivasyonları geniş bir yelpazede değişkenlik gösterir. Bu saldırılar, bir ağın kaynaklarını aşırı yük altına alarak veya sistem altyapısını bozarak hedeflenen hizmetlerin kullanımını engeller veya ciddi şekilde kısıtlar.
Aşağıda saldırıların temel hedeflerinden ve motivasyonlarından birkaçına yer verilmiştir:
Hizmet Kesintisi
Siber saldırıların birçoğu, hizmet kesintisi yaratma amacıyla yapılır. Bu tür saldırılar, genelde kendini kanıtlama veya bir güç gösterisi yapma amacı güden saldırganlar tarafından gerçekleştirilir.
Şantaj
Saldırıların bir diğer motivasyonu şantaj olabilir. Saldırganlar, belirli bir fidye karşılığında hedef sistemdeki hizmetleri tekrar çalıştırmayı teklif edebilirler. Bu durum, maddi kazanç sağlama amacını içerir.
Kişisel Nedenler
Saldırganlar arasında kişisel nedenlerle saldırı gerçekleştirenler de bulunmaktadır. Keyif almak, intikam duygusu veya sadece saldırı yapmanın getirdiği bir hazzı tatmak gibi sebeplerle saldırı düzenleyen saldırganlar mevcuttur.
Kaos Oluşturma
Saldırıların arkasında kaos yaratma amacı da bulunabilir. Hizmet kesintisi sonrasında hedef sistemde çalışanlarda oluşan stres ve belirsizlik, saldırganın amaçlarına hizmet edebilir.
Propaganda ve Sembolik Araçlar
Saldırılar, sadece bir mesaj iletme veya dikkat çekme amacını taşıyabilir. Saldırganlar, bu yöntemi kullanarak bir topluluğa mesaj vermek veya belirli bir konuda farkındalık yaratmak isteyebilirler.
DDoS Saldırılarında Kullanılan Araç ve Yazılımların Rolü
Bu tehlikeli siber saldırıları gerçekleştirenler, genellikle bilgisayar korsanları veya siber suç örgütleri tarafından desteklenir. Bu saldırganlar, DDoS saldırılarını başlatmak için çeşitli araç ve yazılımları kullanırlar. Kullanılan bu yazılımlar ve araçlar DDoS saldırını çok daha kolaylaştırır ve otomatize bir hale getirebilir.
Güncel olarak kullanılan araçların birkaçı ve açıklamaları aşağıda verilmiştir.
Low Orbit Ion Cannon (LOIC) ve High Orbit Ion Cannon (HOIC)
LOIC ve HOIC, DDoS saldırıları için popüler açık kaynaklı araçlardır. Bu araçlar, saldırıları koordine etmek ve hedefe yoğun miktarda trafik göndermek amacıyla kullanılır. LOIC, genellikle tek bir saldırgan tarafından kullanılırken, HOIC, daha karmaşık ve güçlü saldırılarda çoklu saldırganlar arasında koordinasyonu sağlamak için kullanılır.
Low Orbit Ion Cannon (LOIC)
LOIC, genellikle tek bir bilgisayardan hedefe TCP, UDP veya HTTP istekleri göndermek için kullanılır. Kullanıcı tarafından belirlenen hedefe yönelik bu istekler, hedefin kaynaklarını tüketerek hizmet dışı bırakılmasına yol açabilir. LOIC, kullanım kolaylığı nedeniyle popülerdir, ancak kullanıcıların IP adreslerini gizlemediği için saldırganların tespit edilme riski yüksektir.
Anonymous hacker grubu, geçmişte bu aracı çeşitli hedeflere karşı koordineli saldırılar düzenlemek için kullanmıştır.
High Orbit Ion Cannon (HOIC)
HOIC, LOIC'e göre daha gelişmiş bir DDoS saldırı aracıdır ve aynı anda 256'dan fazla hedefe saldırı yapabilme kapasitesine sahiptir. HOIC, "booster" adı verilen özel yapılandırma dosyaları kullanarak HTTP POST ve GET isteklerini özelleştirebilir. Bu, saldırıların daha zor tespit edilmesini sağlar. Ayrıca, HOIC kullanıcıların IP adreslerini gizleme konusunda LOIC'ye göre biraz daha etkili olabilir, ancak yine de VPN veya proxy gibi ek önlemler alınmadan kullanıcıların tespit edilme riski bulunmaktadır.
Tor's Hammer ve Slowloris
Tor's Hammer ve Slowloris gibi araçlar, hedef sunuculara yönelik düşük kaynak kullanımı ile etkili DDoS saldırıları gerçekleştirmeyi amaçlar. Bu araçlar, hedef sunucunun kaynaklarını sırayla tüketerek, hizmete erişimi engelleyebilirler.
Mirai Botnet ve diğer Bot Ağları
Mirai, DDoS saldırılarında kullanılan ve özellikle nesnelerin interneti (IoT) cihazlarını hedefleyen bir botnet türüdür. Saldırganlar, Mirai ve benzeri bot ağları aracılığıyla büyük sayıda zombi cihazı kontrol ederek geniş çaplı ve güçlü DDoS saldırıları gerçekleştirebilirler. Eğer siz de bir Botnet ağına dahil olmak istemiyorsanız internette dolaşırken dikkatli olmanız gerekiyor.
Kullanılan Yaygın Saldırı Yöntemleri
SYN Flood: SYN Flood saldırısı, saldırganın hedef sistemle üç yönlü bir el sıkışma (handshake) başlatarak, kaynakları tüketmesini içerir. Saldırgan, hedef sistemle başlatılan çok sayıda bağlantı talebi gönderir ve bu bağlantıları tamamlamadan bırakarak, kaynakların tükenmesine neden olur. SYN flood saldırılarının kimlik tespiti, genellikle saldırının doğası ve kullanılan yöntemlere bağlı olarak zordur. Saldırı, sahte veya rastgele üretilmiş IP adresleri kullanılarak gerçekleştirildiğinde, saldırganın gerçek kimliğini ve konumunu belirlemek karmaşık hale gelir. Ancak, ağ trafiğinin analizi ve gelişmiş izleme araçları kullanılarak saldırı izleri tespit edilebilir.
UDP Flood: UDP Flood saldırısı, User Datagram Protocol (UDP) kullanarak hedef sistemlere büyük miktarda talep göndermeyi içerir. Bu saldırı, hedef sistemdeki portları aşırı derecede meşgul eder ve kaynakları tüketir, bu da hizmete erişimi engeller.
HTTP Flood: Bu saldırı türü, HTTP taleplerini kullanarak hedef web sunucularına aşırı miktarda trafik göndermeyi amaçlar. Saldırganlar, normal kullanıcı trafiğini taklit ederek, hedef sunucunun kaynaklarını tüketir ve hizmete erişimi zorlaştırır.
Ping Flood: Ping Flood saldırısı, hedef sistemlere ICMP Echo Request (ping) paketleri göndererek, hedefin ağ kaynaklarını tüketmeyi hedefler. Saldırgan, çok sayıda ping talebi göndererek hedefin ağ performansını düşürür ve hizmete erişimi engeller.
NTP Amplification: NTP amplifikasyon saldırısı, Network Time Protocol (NTP) sunucularını kullanarak büyük miktarda trafik oluşturmayı içerir. Saldırgan, sahte kaynak IP adresleri kullanarak NTP sunucularından gelen büyük yanıt paketlerini hedef sistemlere yansıtarak, kaynakları aşırı derecede tüketir.
DNS Amplification: Bu saldırı türü, Domain Name System (DNS) sunucularını kullanarak yanıltıcı yanıtlar oluşturmayı içerir. Saldırgan, sahte kaynak IP adresleri kullanarak DNS sunucularından gelen büyük yanıtları hedef sistemlere yansıtarak, kaynakları tüketir ve hizmete erişimi engeller.
Slowloris: Slowloris, saldırganın hedef web sunucusu ile çok sayıda yavaş bağlantı kurarak kaynakları tüketmeyi amaçlar. Saldırgan, bağlantıları tamamlamadan bırakarak, hedef sistemdeki kaynakları uzun süre boyunca işgal eder ve hizmete erişimi kısıtlar.
NXDOMAIN Flood, Domain Name System (DNS) sunucularına yönelik bir Dağıtık Hizmet Reddi (DDoS) saldırısıdır. Saldırı, saldırganların hedef DNS sunucularına, var olmayan domain isimleri için yoğun sorgu trafiği göndermesiyle gerçekleştirilir. Bu sorgular, sunucunun NXDOMAIN (Non-Existent Domain) yanıtı vermesini tetikler. Sunucu, her bir var olmayan domain sorgusuna yanıt vermek zorunda kaldıkça, bu durum sunucunun işlem kapasitesini aşırı derecede sarf eder, dolayısıyla meşru kullanıcı sorgularının işlenmesi yavaşlar veya tamamen engellenir. Bu saldırı yöntemi, DNS hizmetlerini etkisiz hale getirerek internet erişimini bozmayı amaçlar.
KAYNAKÇA