Şu sıralar internet üzerinden hizmet veren kurumların karşılaştığı ve önlem almakta zorlandığı en önemli siber güvenlik tehditlerinden birisi DDoS (Distributed Denial of Service – Dağıtık Servis Dışı Bırakma) saldırılarıdır. DDoS saldırıları çok fazla sayıda noktadan, belirli bir hedefe doğru gerçekleştirilen, kimi zaman değişik saldırı tekniklerinin bir arada kullanıldığı ve hedef sistemin erişilemez duruma getirilmesinin amaçlandığı saldırılardır. DDoS saldırılarının üretilen aşırı trafik sayesinde bir uygulama veya sistemden kaynaklanan zafiyet nedeni ile veri veya sistemi ele geçirmeye yönelik daha gelişmiş saldırıların izlerini gizlemek amacıyla kullanıldığı durumlarla da karşılaşılmaktadır.
DDoS saldırıları TCP/IP protokolünün değişik katmanlarına yönelik gerçekleştirilebilmektedir. Ancak bu saldırıların, web protokollerine yönelik daha sık gerçekleştirildiği göze çarpmaktadır. Bunun en önemli nedeni ise web uygulamalarının karmaşık yapıları ve uygulama sunucusu, reverse proxy, veri tabanı gibi çok sayıda sistemle entegrasyonu nedeni ile yüksek yoğunlukta paket yollamaya gerek duymadan performans sorunu yaşatılabilecek çok sayıda noktanın bulunmasından kaynaklanıyor olması muhtemeldir. Uygulama performans sorunları DDoS saldırılarının düşük yoğunlukta bile başarıya ulaşma ihtimalini arttırmaktadır.
Gerek Anonymous gibi grupların organize bir şekilde çeşitli kurumlara gerçekleştirdiği saldırılar, gerekse de bilgi güvenliği konusunda çalışan pek çok uzmanın bu problemin önemine dikkat çekmeye yönelik yaptığı çalışmalar, üst kurulların yayınladığı ve kendine tabi olan kurumların uymak zorunda olduğu tebligatlar, DDoS saldırıları konusunda pek çok kurumun farkındalık kazanmasına ve çözüm arayışına girmesine neden olmaktadır.
Bununla birlikte etkili bir DDoS saldırısıyla karşılaşıldığı zaman yapılabilecek savunma manevraları sınırlıdır. Eğer gelen saldırı trafiğindeki ortak nokta bulunamaz ise engellenmesi de oldukça zordur. DDoS saldırıların önüne geçilememesinin en temel nedeni saldırı sırasında yollanan trafiğin normal trafikten ayırt edilememesi ve bağlantının çok sayıda farklı noktadan yapılmasıdır. Genellikle saldırgan bu tip bir saldırıyı gerçekleştirmek için botnet adı verilen ve değişik zafiyetlerden dolayı ele geçirilmiş binlerce bilgisayardan oluşan sistemleri kullanmaktadır. Saldırganın verdiği emir ve oluşturduğu senaryo doğrultusunda kısa süre içinde hedefe doğru botnet’e dahil bilgisayarlardan bağlantı istekleri başlatılmakta ve hedef üzerinde yük oluşturulmaktadır.
Tüm bu özellikleri ve yaratabileceği etkiden ötürü DDoS saldırılarını depreme benzetmek yanlış olmayacaktır. Alınan her tedbir saldırıya olan direncinizi arttıracaktır. Ancak bu direnç de depremin şiddetindeki artış gibi belirli oranda bir saldırı şiddetine kadar sistemlerinizin ayakta kalmasına yardımcı olacaktır. Bu nedenle yüksek yoğunlukta ve dikkatli bir şekilde planlanmış DDoS saldırılarına karşı %100 çözüm bulabilmek veya önlem alabilmek pek mümkün değildir. Bununla birlikte kurum sistemlerinin ve uygulamalarının, güvenlik ve sistem yöneticilerinin depreme hazırlanır gibi bu tarz saldırılara hazırlanması, bir saldırı ile karşılaşıldığı zaman etkin çözümler üretme yönünde yardımcı olacaktır. Bunu sağlamak için ise planlı ve kontrollü bir şekilde gerçekleştirilecek DOS ve DDoS testleri kullanılabilir. Tatbikat niteliğindeki bu testler sayesinde ağ ekipmanlarının kaldırabileceği yüklerin ortaya çıkartılması, performansının iyileştirilmesine yönelik düzenlemeler gerçekleştirilmesi ve muhtemel yapılandırma hatalarının ortaya çıkartılması, dolayısı ile sistemlerin direncinin arttırılması mümkün olacaktır. Bunun yanı sıra sistem yöneticilerinin hazırlığı, saldırı karşısında alınacak tedbirlerin denenmesi ve tecrübe kazanılması açısından da faydaları olacağı aşikardır.
Genellikle DOS testleri gerçekleştirmek için yüksek bant genişliğine sahip birkaç güçlü sistemden yararlanılmakta ve ağ katmanına yönelik değişik TCP bayrakları işaretlenmiş SYN flood, DNS flood, UDP flood, fragmante paket ile yoğun trafik gönderimi gibi değişik teknikler kullanılmaktadır. Bu tarz saldırılar kurum ağı içinde cihazların saniyede işleyebileceği paket sayılarını ve dolayısı ile kapasitelerini ölçmek bakımından faydalıdır. Ancak bant genişliği ile doğru orantılı olarak yollanabilecek paket sayısının sınırlı olması nedeni ile eğer kurum sistemleri belirli bir güce sahip iseler bu saldırılar genellikle bant genişliğini tüketmek ile sonuçlanmaktadır. DDoS saldırıları çok fazla kaynaktan gelen ve gerçek bağlantı açmak yolu ile gerçekleştirilen saldırılardır. UDP tabanlı servisler için (örneğin DNS servisi) DDOS testlerinin yukarıda anlatılan yapı ile gerçekleştirilmesi mümkünken, TCP tabanlı servislerde protokolün yapısı gereği 3WAY handshake adı verilen mekanizmanın tamamlanması gerekliliğinden gerçek IP adreslerine ihtiyaç bulunmaktadır. Bu nedenle web servisleri gibi TCP tabanlı protokollere yönelik Internet üzerinden yapılacak gerçek bir DDOS saldırısını simüle etmek için yukarıda belirtilen yapıdan daha gelişmiş bir sisteme ihtiyaç duyulmaktadır. Bu tarz testlerin botnet kiralanarak yapılması ise illegal olması ve sistem kontrolünü kaybetme ihtimali bulunması nedeniyle tercih edilmemesi gereken bir yöntem olduğunu söylemek yanlış olmayacaktır. Bunlara ek olarak uygulama seviyesinde yapılacak saldırılar daha az paket sayısı ve bant genişliğinde bile neticeler alınmasına izin verebilir.
Bu testleri gerçekleştirirken gördüğüm bir yanlış algılama konusuna da değinmeden geçemeyeceğim. Kurumlar, DDoS testleriyle uygulama performans problemlerinin nereden kaynaklandığını belirlemeye yönelik çalışmalar yapmaktadırlar. Yanlış anlama nedir burda? Web uygulamalarının en kırılgan ve performans açısından sorunlu bölümlerini, uygulamaya yönelik yük testleri daha doğru ortaya çıkartılabilir. Uygulamada en yaygın kullanılan bölümlere öncelik verilerek oluşturulan senaryolar doğrultusunda, değişik eş zamanlı kullanıcı sayıları ile yollanan isteklere alınan cevaplar, gecikme süreleri gibi değerler incelenerek performans sorunu olan unsurların ortaya çıkartılması daha kolay sağlanabilir.
DDoS saldırıları, günümüz siber güvenlik tehditlerinin sadece bir parçası. Bu tehditlere karşı önlem almak adına atılan adımların süreç içerisinde bir bütün olarak değerlendirilmesi gerekliliğinin yanısıra, bu süreç boyunca güvenilir bir danışmanın tavsiyeleri doğrultusunda hareket etmenin önemini de unutmamak gerekir.
DDoS saldırıları TCP/IP protokolünün değişik katmanlarına yönelik gerçekleştirilebilmektedir. Ancak bu saldırıların, web protokollerine yönelik daha sık gerçekleştirildiği göze çarpmaktadır. Bunun en önemli nedeni ise web uygulamalarının karmaşık yapıları ve uygulama sunucusu, reverse proxy, veri tabanı gibi çok sayıda sistemle entegrasyonu nedeni ile yüksek yoğunlukta paket yollamaya gerek duymadan performans sorunu yaşatılabilecek çok sayıda noktanın bulunmasından kaynaklanıyor olması muhtemeldir. Uygulama performans sorunları DDoS saldırılarının düşük yoğunlukta bile başarıya ulaşma ihtimalini arttırmaktadır.
Gerek Anonymous gibi grupların organize bir şekilde çeşitli kurumlara gerçekleştirdiği saldırılar, gerekse de bilgi güvenliği konusunda çalışan pek çok uzmanın bu problemin önemine dikkat çekmeye yönelik yaptığı çalışmalar, üst kurulların yayınladığı ve kendine tabi olan kurumların uymak zorunda olduğu tebligatlar, DDoS saldırıları konusunda pek çok kurumun farkındalık kazanmasına ve çözüm arayışına girmesine neden olmaktadır.
Bununla birlikte etkili bir DDoS saldırısıyla karşılaşıldığı zaman yapılabilecek savunma manevraları sınırlıdır. Eğer gelen saldırı trafiğindeki ortak nokta bulunamaz ise engellenmesi de oldukça zordur. DDoS saldırıların önüne geçilememesinin en temel nedeni saldırı sırasında yollanan trafiğin normal trafikten ayırt edilememesi ve bağlantının çok sayıda farklı noktadan yapılmasıdır. Genellikle saldırgan bu tip bir saldırıyı gerçekleştirmek için botnet adı verilen ve değişik zafiyetlerden dolayı ele geçirilmiş binlerce bilgisayardan oluşan sistemleri kullanmaktadır. Saldırganın verdiği emir ve oluşturduğu senaryo doğrultusunda kısa süre içinde hedefe doğru botnet’e dahil bilgisayarlardan bağlantı istekleri başlatılmakta ve hedef üzerinde yük oluşturulmaktadır.
Tüm bu özellikleri ve yaratabileceği etkiden ötürü DDoS saldırılarını depreme benzetmek yanlış olmayacaktır. Alınan her tedbir saldırıya olan direncinizi arttıracaktır. Ancak bu direnç de depremin şiddetindeki artış gibi belirli oranda bir saldırı şiddetine kadar sistemlerinizin ayakta kalmasına yardımcı olacaktır. Bu nedenle yüksek yoğunlukta ve dikkatli bir şekilde planlanmış DDoS saldırılarına karşı %100 çözüm bulabilmek veya önlem alabilmek pek mümkün değildir. Bununla birlikte kurum sistemlerinin ve uygulamalarının, güvenlik ve sistem yöneticilerinin depreme hazırlanır gibi bu tarz saldırılara hazırlanması, bir saldırı ile karşılaşıldığı zaman etkin çözümler üretme yönünde yardımcı olacaktır. Bunu sağlamak için ise planlı ve kontrollü bir şekilde gerçekleştirilecek DOS ve DDoS testleri kullanılabilir. Tatbikat niteliğindeki bu testler sayesinde ağ ekipmanlarının kaldırabileceği yüklerin ortaya çıkartılması, performansının iyileştirilmesine yönelik düzenlemeler gerçekleştirilmesi ve muhtemel yapılandırma hatalarının ortaya çıkartılması, dolayısı ile sistemlerin direncinin arttırılması mümkün olacaktır. Bunun yanı sıra sistem yöneticilerinin hazırlığı, saldırı karşısında alınacak tedbirlerin denenmesi ve tecrübe kazanılması açısından da faydaları olacağı aşikardır.
Genellikle DOS testleri gerçekleştirmek için yüksek bant genişliğine sahip birkaç güçlü sistemden yararlanılmakta ve ağ katmanına yönelik değişik TCP bayrakları işaretlenmiş SYN flood, DNS flood, UDP flood, fragmante paket ile yoğun trafik gönderimi gibi değişik teknikler kullanılmaktadır. Bu tarz saldırılar kurum ağı içinde cihazların saniyede işleyebileceği paket sayılarını ve dolayısı ile kapasitelerini ölçmek bakımından faydalıdır. Ancak bant genişliği ile doğru orantılı olarak yollanabilecek paket sayısının sınırlı olması nedeni ile eğer kurum sistemleri belirli bir güce sahip iseler bu saldırılar genellikle bant genişliğini tüketmek ile sonuçlanmaktadır. DDoS saldırıları çok fazla kaynaktan gelen ve gerçek bağlantı açmak yolu ile gerçekleştirilen saldırılardır. UDP tabanlı servisler için (örneğin DNS servisi) DDOS testlerinin yukarıda anlatılan yapı ile gerçekleştirilmesi mümkünken, TCP tabanlı servislerde protokolün yapısı gereği 3WAY handshake adı verilen mekanizmanın tamamlanması gerekliliğinden gerçek IP adreslerine ihtiyaç bulunmaktadır. Bu nedenle web servisleri gibi TCP tabanlı protokollere yönelik Internet üzerinden yapılacak gerçek bir DDOS saldırısını simüle etmek için yukarıda belirtilen yapıdan daha gelişmiş bir sisteme ihtiyaç duyulmaktadır. Bu tarz testlerin botnet kiralanarak yapılması ise illegal olması ve sistem kontrolünü kaybetme ihtimali bulunması nedeniyle tercih edilmemesi gereken bir yöntem olduğunu söylemek yanlış olmayacaktır. Bunlara ek olarak uygulama seviyesinde yapılacak saldırılar daha az paket sayısı ve bant genişliğinde bile neticeler alınmasına izin verebilir.
Bu testleri gerçekleştirirken gördüğüm bir yanlış algılama konusuna da değinmeden geçemeyeceğim. Kurumlar, DDoS testleriyle uygulama performans problemlerinin nereden kaynaklandığını belirlemeye yönelik çalışmalar yapmaktadırlar. Yanlış anlama nedir burda? Web uygulamalarının en kırılgan ve performans açısından sorunlu bölümlerini, uygulamaya yönelik yük testleri daha doğru ortaya çıkartılabilir. Uygulamada en yaygın kullanılan bölümlere öncelik verilerek oluşturulan senaryolar doğrultusunda, değişik eş zamanlı kullanıcı sayıları ile yollanan isteklere alınan cevaplar, gecikme süreleri gibi değerler incelenerek performans sorunu olan unsurların ortaya çıkartılması daha kolay sağlanabilir.
DDoS saldırıları, günümüz siber güvenlik tehditlerinin sadece bir parçası. Bu tehditlere karşı önlem almak adına atılan adımların süreç içerisinde bir bütün olarak değerlendirilmesi gerekliliğinin yanısıra, bu süreç boyunca güvenilir bir danışmanın tavsiyeleri doğrultusunda hareket etmenin önemini de unutmamak gerekir.
