DDOS Dosyası Bölüm-1: Siber Saldırıların Global Faili DDOS Nedir, Ne Değildir?

DDOS Dosyası Bölüm-1: Siber Saldırıların Global Faili DDOS Dosyasını Açıyoruz!

Siber saldırıların son yıllarda yoğunluğunu ve etkisini hızla artırmasıyla beraber, neredeyse hemen her gün yepyeni bir atak çeşidini duyar hale geldik. Bu saldırı çeşitlerini yalnızca duymakla kalmıyor; zaman zaman şirketlerimizin e-posta hesaplarına giremeyerek, bazen evlerimizde bilgisayar başında veya değilken maruz kalarak deneyimliyoruz. Hatta nesnelerin interneti teknolojisiyle kullanılan cihazların hack’lenerek bu saldırılarda kullanılabildiği günleri yaşıyoruz. Bu siber saldırıların en kuvvetlilerinden biri ise DDOS… İşte bu nedenle, 2015 yılından bu yana etkisini hissettiren ancak özellikle son dönemde ülkemizin gündemini meşgul eden, ayrıca 2015 yılından beri de artarak hem ülkemizde hem dünyada kendinden söz ettiren ve Türkçe’ye ‘Dağıtık Servis Reddi’ olarak çevirilen DDOS (Distributed Denial of Service) saldırıları hakkında bilgi vermek istedik.

‘Nedir ve daha önemlisi ne değildir?’, ‘Siber güvenlik dünyasını neler bekliyor ve ne tür önlemler alınıyor/geliştiriliyor?’ gibi soruları cevaplamak üzere de okuduğunuz bu yazıyı kaleme aldık.

Gelin şimdi sık sık global teknoloji gündeminde yer alan DDOS saldırılarının detaylarına birlikte bakalım:

DDOS nedir, ne değildir?

Önce işin tanımından başlayalım. DDOS’u açıklamadan önce DOS’un anlamını açıklayalım. DOS, ‘Denial Of Service’ kelimelerinin baş harflerinden oluşuyor ve Türkçe’ye ‘Servis Reddi’ ya da ‘Servis Kesintisi’ olarak çevriliyor.

DOS atağına maruz kalan bir şirketin; web sitesi, alan adı sunucusu anlamına gelen DNS (Domain Name Server), internet hatları ya da network cihazları -hangisi hedeflendi ise- atak yapan kişi/kurumun gönderdiği aşırı miktardaki istekler nedeniyle; kendisinden beklenen servisi veremez hâle geliyor. Normal kullanıcılar, bu servisi kullanamadığı için saldırı hedefine ulaşıyor ve ‘kesintiye’ sebebiyet veriyor.

Atak yapan kişi ve kurum, tüm istekleri tek bir noktadan gönderiyorsa buna ‘DOS Atağı’, bu istekler tek bir noktanın orkestrasyonu altında ancak; birden fazla noktadan gönderiliyorsa buna da DDOS atağı yani ‘Distrubuted Denial of Service’ deniliyor. Türkçe’de ise ‘Dağıtık Servis Reddi’ ya da ‘Dağıtık Servis Kesintisi Atağı’ olarak adlandırılıyor.

Bunu günlük hayattaki bir analojiyle anlatmaya çalışalım:

Bir sitede oturuyorsunuz ve kapıdaki güvenlik, eve gelen her sipariş için sizi arayarak onay alıyor. Siz onay vermedikçe de hiçbir paket servisi, site içine dolayısıyla evinize göndermiyor.

Size atak yapmak isteyen ve yeterli kaynaklara sahip olan kişi, evinize farklı restoranlardan 100 adet pizza siparişi veriyor ve bunların tümü aynı saatte sitenin güvenliğine ulaşıyor.

Bu arada siz de akşamki yemeğiniz için fırından; ekmek, marketten yoğurt, su vb. siparişlerinizi veriyorsunuz ve tam da bu saatlerde arkadaşınız daha önceden organize ettiğiniz yemek davetiniz için sitenin kapısına geliyor.

Fırın, market ve arkadaşınız sitenin girişine geldiğinde, önlerinde bekleyen 100 tane pizzacı motorunu görünce muhtemelen şok olacaklar ve oldukça beklemeleri gerektiğini düşünecekler. Diğer yandan hiçbir şeyden haberi olmayan pizza paketlerini getiren 100 motosikletli, güvenliğe; teker teker, sizin isminizi bildirecek ve onayınız için bekleyecek. Ve bir sonraki pizzacı, bir sonraki pizzacı… Bu arada siz dairenize telefon eden güvenliğe, “Ben bu pizzacıdan sipariş vermedim.” diye yüz farklı sipariş için ‘oldukça meşgul olacak’ bir yandan da anlam vermediğiniz bir şekilde “Bu kadar pizza neden bana geliyor?” diye sorgulayacaksınız. İşin bir başka tarafı ise ihtiyacınız olan su, market alışverişi ve arkadaşınız vakit geçmesine rağmen bir türlü gelmeyecek; belki de vazgeçip geri dönecekler… Böylece atak hedefine ulaşacak…

DDOS atağının kurum kaynaklarına yaptığı şey tam da bu. Anlamsız, amaçsız ve fazlaca istek/paket/kaynak/zaman kullanımına yol açarak “normal kullanıcıları” servis alamaz; kurumları da servis veremez hale getirmek. DOS ya da DDOS atağının temel mantığı ve felsefesini bu şekilde özetleyebiliriz.

Küçük bir parantez de “DDOS ne değildir?” konusu için açalım istiyorum.

‘Hacking’ temelde, size ait bir bilgi sisteminin, kullanıcı kodları ya da verinin; tamamı ya da bir kısmının kontrolünün, “hacker”larca ele geçirilmesi amacıyla yapılan saldırı türüdür. Bu saldırı sonucunda hacker’lar; sistemi, kullanıcı kodu ya da veriyi kendi hedefleri doğrultusunda bozabilir, çalabilir, silebilir ya da sisteme zarar verebilir. Bu nedenle; DDOS saldırıları “hacking”den farklı bir siber atak türüdür.

Şimdi de biraz DDOS atak tiplerini açıklamaya çalışalım. DDOS atakları çok fazla çeşitlilikte yapılabilir. Bunu belirleyen en önemli birkaç unsur şudur:

• Hedefteki kurumun erişimi kesilmek istenen kaynak/sistem/siteye göre,
• Atak yapan kişi/kurumun yapısına, kullandığı yönteme ve elindeki kaynaklara göre,
• Yaratılmak istenen etkiye göre, atak tipi değişkenlik gösterebilir.

Yukarıdakilerin dışında da unsurlar olabilir. Her atağın anatomisi kendi içerisinde incelenmeli; yapısı, yöntemi ve etkisi ayrı ayrı değerlendirilmelidir.

Atak tiplerine baktığımızdaysa oldukça fazla sayıda yöntemle karşılaşıyoruz. Burada hepsine teker teker değinmek mümkün olmayacağından, biz belli başlı birkaç tanesini açıklamaya çalışalım. Yine pizzacı örneğimiz üzerinden giderek...

Hacimsel Ataklar (Volumetric Attacks): İsminden de anlaşılacağı üzere, bu tür ataklarda ‘sıkıntı yaratan’ en önemli unsur: pizzanın markası, lezzeti, ne kadar hızlı teslim edildiği vb. kriterler değildir. İnternet üzerinde normalden fazla, hatta çok çok fazla trafik veya istek oluşturarak hedefteki sistemin tüm ya da birkaç bileşeninin, gelen trafik veya istekle baş edemez hale gelmesi amaçlanır. Böylelikle, kurum servis veremez ve ‘normal kullanıcılar’ servise erişemez hale gelirler. Atak amacına ulaşır.

Pizza örneğimize dönersek; pizzaların evinize, alışılan şekilde motosikletler yerine kocaman tırlarla ve 100 adet değil; 100.000 adet gönderildiğini varsayın. Atak öyle bir boyuta gelir ki sadece; siz, fırın, market, misafir arkadaşınız ve güvenlik görevlisi değil; sokağınıza gelen herkes, belki mahallenin tümü hatta ana arterlerdeki tüm şehir trafiği bile mağduriyet yaşar.

Protokol Tabanlı Ataklar (Protocol Based Attacks): İnternet dünyası, iletişimi tamamen açık bir şekilde belirlenen ve herkes tarafından benimsenen protokollerin kullanılması sayesinde işler. Bu yüzlerce protokol ailesine, ‘internet protokolleri’ denir. Bağlantı kurmaktan mesaj iletimine, kesilen bir erişimin kaldığı yerden devam edebilmesinden hızlı canlı yayın akışının sağlanmasına, kolayca dünyanın diğer ucundaki sitenin ismini ezbere yazabilmekten sunucular arası zaman/durum vb. bilgilerin değişimi ya da izlenmesine kadar çok farklı ve gün geçtikçe de zenginleşen bir protokoller ailesinden bahsediyoruz. Bu protokoller bazen -ve maalesef- zafiyetler de içeriyor. Çünkü internetin kullanıldığı ilk zamanlarda güvenlik ve güvenilirlik kaygısı, açıkçası bugünkü boyutlarda değildi.

İşte bu protokollerin bazı zafiyetleri kullanılarak da DDOS atakları yapılabiliyor. Örneğin; mesajın kimden geldiğini sağlam bir şekilde kontrol etmeyen ve her aldığı mesaja “Mesajı aldım.” diye yanıt verilmesini zorunlu kılan bir protokol kullanıldığını varsayalım. Atak yapan kişi dünyadaki yüzlerce, binlerce hatta milyonlarca kişiye ‘sanki sizmiş’ gibi aynı mesajı gönderdiğinde, tüm bu mesajı alan kişiler; milyonlarca yanıtı, sizin mesaj sunucunuza gönderecekler ve sunucunuz olağanüstü bir mesaj yoğunluğu yaşayacaktır. O an çok önemli bir müşterinize gidecek/müşterinizden gelecek mesajı iletmeniz mümkün olmayacaktır. Burada protokolün, mesajın kimden geldiğinin kontrol edilmemesine yönelik zafiyeti kullanılmış olur. Çünkü atak yapan kişi, bu zafiyeti kullanarak milyonlarca kişiye ‘sizmiş gibi’ mesaj iletmeye izin veren bir zafiyeti kullanmıştır.

İlk pizza örneği, tam da bu tipte bir ataktır. Her restorana verilen siparişi ‘gerçekten sizin verip vermediğiniz’ çok sıkı bir şekilde kontrol edilmeyebilir. Bu pizza siparişi alma sürecine ait bir zafiyettir. Eğer atağı yapan kişi, bu zafiyeti biliyorsa ve kredi kartında yeterince yüksek bir limit varsa yüzlerce pizzayı size teslim ettirebilir.

Yansıtma/Yükseltme Tabanlı Ataklar (Reflection/Amplification Based Attacks): Yansıtma tabanlı atakların en tipik özelliği: direkt hedefe yönelik icra edilmemesi; bunun yerine öncelikle ve tercihen, dağıtık yapıdaki çok sayıda paravan kaynağa doğru başlatılıp; sonrasında atağın gerçek etkisinin, hedef üzerinde oluşmasıdır. “Paravan kaynaklar nelerdir?” sorusu akla gelebilir. İnternete bağlı olan her cihaz potansiyel bir paravan kaynak olabilir. Eğer; yeterli güvenlik önlemleri alınmamışsa, güncellemeleri eksikse, basit şifreler kullanılıyorsa vb. her PC, laptop, sunucu, cep telefonu, modem, IP kamera, akıllı buzdolabı, akıllı TV ve akla gelebilecek her internete bağlı cihaz “paravan” olarak kullanılmaya adaydır. Bu tür DDOS saldırıları bu paravan cihazların üzerinden ve paravan cihazların kaynakları kullanılarak yapıldığı için yansıtma atakları

Bu tür ataklarda kullanılan protokol ya da servisin bu tür yansıtma/yükseltme etkisine uygun olması gerekir.

Yukarıdaki mesaj protokolümüzden devam edelim. Diyelim ki bu mesaj protokolü alınan her mesaja sadece “Mesajı aldım.” şeklinde bir yanıtla dönmekle yetinmeyip, onun yerine “01.01.2001 tarihli 12:03:45 saatinde gönderilen ‘5’ adet karakterden oluşan mesajınızı aldık; ve bu teyit mesajımızı 01.01.2019 tarihinde saat 12:06:54’te size gönderiyoruz.” şeklinde bir yanıtla dönmek zorunda olsun.

Atağı yapan kişi, yine milyonlarca kişiye ‘sanki sizmiş’ gibi –bu zafiyeti de kullanarak–sadece: “Selam.” mesajı göndermiş olsun. Bunu çok küçük bir sistem kaynağıyla yapabilir. Karşılığında “01.01.2001 tarihli 12:03:45 saatinde gönderilen, 5 adet karakterden oluşan mesajınızı aldık ve bu teyit mesajımızı 01.01.2019 tarihinde saat 12:06:54’te size gönderiyoruz.” şeklinde milyonlarca kişiden gelen yanıtların size iletildiğini düşünün. Sadece 5 karakterlik bir mesajı, dünyadaki milyon kişiye gönderip, buralardan yansıtma ve yükseltme yöntemiyle sizi, milyonx169 karakterlik bir yanıt seline maruz bırakmış olur. Üstelik bunu kullandığı kaynağın; yaklaşık 169/5=34 katı bir yükseltme etkisi gerçekleştirerek yapar. Bu da sizin sisteminizi normal akışın hayli üzerinde bir yoğunluğa sokacağından normal bir mesaj iletme imkânınız bile kalmaz. Yansıtma/yükseltme tabanlı atakların etkisi bu şekilde yaşanır.

Eğer siz de internet kullanırken karşılaşabileceğiniz güvenlik açıklarını kapatmak ve bilgisayarınızı olası saldırılara karşı koruyabilmek için bazı yardımcı programları kurmak isterseniz buradan faydalı linklere ulaşabilirsiniz.