Ddos ve Dos Nedir, Farkları Nedir?
Bir hizmet reddi (DoS) saldırısı, bir sunucuyu trafikle doldurarak internet sayfasını yada deposu kullanılamaz hale getirir. Dağıtılmış hizmet reddi (DDoS) saldırısı, hedeflenen kaynağa sızmak için birden oldukça bilgisayar yada makine kullanan bir DoS saldırısıdır. Her iki hücum türü de hizmetleri kesintiye uğratmak amacıyla bir sunucuyu yada web uygulamasını aşırı yükler.
Sunucu; işleyebileceğinden daha çok İletim Denetim Protokolü/Kullanıcı Datagram Protokolü (TCP/UDP) paketiyle dolup taşabilir, çökebilir, veriler bozulabilir ve kaynaklar yanlış yönlendirilebilir. Hatta sistemi nüzul edecek kadar tüketebilir.
DoS ve DDoS Saldırıları Arasındaki Fark Nedir?
DoS ve DDoS arasındaki temel fark; birincisinin sistem üstünde sistem saldırısı olması, ikincisi ise tek bir sisteme hücum eden birkaç sistemi içermesidir. Bununla beraber; bunların doğasını yada tespit edilmesini içeren, aşağıdakiler de dahil olmak suretiyle başka farklılıklar da vardır:
- Idrak etme/azaltma kolaylığı: DoS tek bir yerden geldiğinden, kaynağını saptamak ve bağlantıyı kesmek daha kolaydır. Aslına bakarsak, yetkin bir güvenlik duvarı bunu yapabilir. Öte taraftan; bir DDoS saldırısı, kökenini gizleyerek birden fazla uzak konumdan gelir.
- Hücum hızı: DDoS saldırısı birden fazla konumdan geldiğinden, tek bir konumdan meydana gelen DoS saldırısından oldukça daha süratli konuçlandırılabilir. Artan hücum hızı, onu tespit etmeyi daha da zorlaştırır. Bu da artan hasar yada hatta yıkım bir netice anlamına gelir.
- Trafik hacmi: Bir DDoS saldırısı, birden fazla uzak makine (zombiler yada botlar) kullanır; bu, aynı anda çeşitli konumlardan oldukça daha büyük oranda trafik gönderebileceği ve bir sunucuyu algılamadan kaçınacak şekilde hızla aşırı yükleyebileceği anlamına gelir.
- Yürütme şekli: DDoS saldırısı, fena amaçlı yazılım (botlar) bulaşmış birden oldukça ana bilgisayarı koordine ederek bir komut ve denetim (C&C) sunucusu tarafınca yönetilen bir botnet oluşturur. Buna karşılık bir DoS saldırısı, saldırıyı tek bir makineden gerçekleştirmek için tipik olarak bir komut dosyası yada bir vasıta kullanır.
- Kaynakların izlenmesi: Bir DDoS saldırısında botnet kullanılması, gerçek kaynağın izlenmesinin bir DoS saldırısının kökeninin izlenmesinden oldukça daha karmaşık olduğu anlamına gelir.
DoS ve DDoS Saldırılarının Türleri
DoS ve DDoS saldırıları birçok şekilde olabilir ve çeşitli şekillerde kullanılabilir. Bir firmanın işini kaybetmesine niçin olmak, bir rakibi sakatlamak, öteki saldırılar için dikkati dağıtmak yada bir tek mesele çıkarmak amacıyla yapılır. Aşağıdakiler, bu tür saldırılar tarafınca uygulanan bazı yaygın biçimlerdir.
Teardrop Saldırısı
Gözyaşı saldırısı, ağa sayısız İnternet Protokolü (IP) veri parçası gönderen bir DoS saldırısıdır. Ağ; parçaları orijinal paketlerine tekrardan derlemeye çalıştığında, yapması imkansız. Mesela, saldırgan oldukça büyük veri paketlerini alabilir ve hedeflenen sistemin tekrardan birleştirilmesi için bu tarz şeyleri birden oldukça bölüme bölebilir. Sadece saldırgan, hedeflenen sistemi şaşırtmak için paketin demonte edilme şeklini değiştirir. Bu da ondan sonra parçaları orijinal paketlerde tekrardan birleştirilmesini önler.
Flood Saldırısı
Flood saldırısı, bir sunucuya birden oldukça bağlantı isteği gönderen sadece ondan sonra el sıkışmayı tamamlamak için cevap vermeyen bir DoS saldırısıdır.
Mesela, saldırgan istemci olarak bağlanmak için çeşitli istekler gönderir. Sadece sunucu bağlantıyı doğrulamak için tekrardan yazışma kurmaya çalıştığında, saldırgan cevap vermeyi reddeder. İşlemi sayısız kez tekrarladıktan sonrasında; sunucu gerçek istemcilerin bağlanamadığı bekleyen isteklerle dolup taşar ve sunucu “meşgul” olur, hatta çöker.
IP Fragmentation (Parçalama) Saldırısı
IP parçalama saldırısı, alıcı ağın tekrardan birleştiremeyeceği değiştirilmiş ağ paketleri ileten bir tür DoS saldırısıdır. Ağ; tüm kaynaklarını tüketen, birleştirilmemiş hacimli paketlerle çıkmaza girer.
Volumetric (Hacimsel) Hücum
Hacimsel hücum, bant genişliği kaynaklarını hedeflemek için kullanılan bir DDoS saldırısı türüdür. Mesela, saldırgan bir ağa yüksek hacimli talep paketleri göndermek için bir botnet kullanır. Peşinden bant genişliğini İnternet Denetim Mesajı Protokolü (ICMP) yankı istekleriyle doldurur. Bu, hizmetlerin yavaşlamasına ve hatta tamamen durmasına niçin olur.
Protokol Saldırısı
Protokol saldırısı, OSI modelinin 3. ve 4. katmanlarındaki zayıflıklardan yararlanan bir tür DDoS saldırısıdır. Mesela; saldırgan, talep göndererek sadece beklendiği benzer biçimde cevap vermeyerek yada düzmece bir kaynak IP adresi kullanarak başka bir istekle cevap vererek TCP bağlantı dizisinden yararlanır. Yanıtlanmayan istekler, ağın kaynaklarını kullanılamaz hale gelinceye kadar tüketir.
Uygulama Tabanlı Hücum
Uygulama tabanlı hücum, OSI modelinin 7. katmanını hedefleyen bir DDoS saldırısı türüdür. Bir örnek olarak, saldırganın kısmi Köprü Metni Aktarım Protokolü (HTTP) istekleri gönderilmiş olduğu sadece bu tarz şeyleri tamamlamadığı bir Slowloris saldırısı verilebilir. HTTP başlıkları; her talep için periyodik olarak gönderilir ve bu, ağ kaynaklarının bağlanmasına niçin olur.
Saldırgan, sunucu tarafınca yeni bağlantı yapılamayana kadar saldırıya devam eder. Bu tür saldırıların tespit edilmesi oldukça zor olsa gerek. Şu sebeple bozuk paketler göndermek yerine kısmi paketler gönderir. Ek olarak oldukça azca bant genişliği kullanır yada asla kullanmaz.
DoS ve DDoS Hücum Koruması Iyi mi İyileştirilir
Aşağıdakiler, DoS ve DDoS koruması için bazı üst düzey en iyi uygulamalardır:
- Ağınızı devamlı olarak izleyin: Bu, düzgüsel trafik kalıplarını belirlemede faydalıdır. Ek olarak erken tespit ve azaltma için eleştiri öneme haizdir.
- DoS saldırılarını simüle etmek için testler yapın: Bu; riski değerlendirmeye, güvenlik açıklarını açığa çıkarmaya ve çalışanları siber güvenlik mevzusunda eğitmeye destek olacaktır.
- Bir koruma planı oluşturun: Denetim listeleri oluşturun, bir cevap ekibi oluşturun, cevap parametrelerini tanımlayın ve korumayı devreye alın.
- Tehlikeli sonuç sistemleri ve düzgüsel trafik modellerini belirleyin: İlki, korumanın planlanmasına destek sağlar. İkincisi, tehditlerin erken tespit edilmesine destek sağlar.
- Extra bant genişliği sağlayın: Saldırıyı durdurmayabilir sadece ağın trafikteki ani artışlarla başa çıkmasına destek olacak ve herhangi bir saldırının tesirini azaltacaktır.
DDoS saldırıları gelişiyor. Daha karmaşık ve kuvvetli hale geliyor. Bu yüzden kuruluşların sayısız tehdit parametresini aynı anda seyretmek için gelişmiş raporlama araçları ve analitik benzer biçimde kapsamlı stratejiler kullanan çözümlere ihtiyacı var. Bir kuruluşu malum saldırılardan korumak ve potansiyel sıfır gün saldırılarına hazırlanmak için FortiDDoS benzer biçimde oldukça katmanlı DDoS koruması gereklidir.
FortiDDoS, Katman 3, 4 ve 7 için devamlı tehdit değerlendirmesi ve güvenlik koruması elde eden Fortinet DDoS hücum azaltma aracını ihtiva eder.