Son zamanlarda ülkemize yönelik DDoS saldırıları sık sık gündeme geliyor. Bu durum bir yandan farkındalık yaratırken, diğer yandan da konuyla ilgili birçok yanlış bilginin ve gereksiz paniğin doğmasına neden oluyor. Bu yazıda DDoS saldırılarının ne olduğunu, nasıl çalıştığını ve gerçekçi bir şekilde nasıl hazırlık yapılabileceğini anlatmaya çalışacağız.
DDoS Saldırısı Tam Olarak Nedir?
DDoS’un mantığı aslında oldukça basit: birden fazla noktadan aynı anda bir sunucuya o kadar çok istek gönderiyorsunuz ki sunucu bu yükü kaldıramıyor ve çöküyor. Sanki bir mağazaya aynı anda binlerce kişi girip sürekli soru soruyor ama hiçbir şey almıyormuş gibi düşünebilirsiniz. Bir süre sonra mağaza normal müşterilere hizmet veremez hale geliyor.
Asıl sorun sadece sitenin kapanması değil. Saldırı sırasında sistem meşgulken, saldırganların içeri sızma ihtimali de var. Bu yüzden DDoS sadece “site açılmıyor” sorunu olarak görülmemeli.
Bu saldırıların genelde üç temel nedeni oluyor:
Politik sebepler: Bazı gruplar kendi görüşlerine uymayan kuruluşlara saldırıyor. Aktivizm adı altında yapılan saldırılar bu kategoriye giriyor.
İntikam: Büyük bir siber suç çetesi çökertildiğinde, bu çeteyle bağlantılı gruplar yetkililere veya yardımcı olanlara misilleme yapabiliyor.
Para: En yaygın olanı bu. Birisi para ödüyor, profesyonel saldırganlar da istenen hedefe saldırıyor.
Farklı Katmanlarda Farklı Saldırılar
DDoS saldırıları farklı seviyelerde gerçekleşebiliyor. Bunu bilmek önemli çünkü her birinin farklı etkileri var:
Katman 3-4 saldırıları daha kaba kuvvet gibi. Çok büyük miktarda trafik gönderiyorlar, bant genişliğinizi tıkıyorlar. SYN flood dediğimiz saldırı türü bunun klasik örneği. Bu saldırılar kolay tespit ediliyor ama büyük hacimlerde geldiklerinde durmak da o kadar kolay değil.
Katman 7 saldırıları ise daha sinsi. Slowloris gibi teknikler uygulama seviyesinde çalıştığı için daha az trafikle daha çok hasar verebiliyor. Bunları tespit etmek de daha zor.
İnternet Sağlayıcınız Sizi Koruyor mu?
Büyük internet sağlayıcıların çoğu zaten bir miktar DDoS koruması sunuyor. Özellikle büyük hacimli, Katman 3-4 saldırılarına karşı etkili oluyorlar. Ama işin püf noktası şurada: daha küçük, daha sofistike Katman 7 saldırılarını bunlar genelde yakalayamıyor.
Dolayısıyla sadece operatörünüze güvenmek yeterli olmuyor. Bunu söylemek herhangi bir şey satmak için değil, gerçekten böyle. Operatör koruması iyi bir başlangıç ama tek başına yetmiyor.
DDoS Testi Neden Önemli?
Burada sorulması gereken asıl soru şu: “Ne büyüklükte bir saldırı bizi etkiler?” Çünkü yeterince büyük bir saldırı zaten sizi devre dışı bırakır, buna karşı %100 koruma diye bir şey yok. O zaman yapılması gereken, mevcut kapasitemiz dahilinde hangi saldırılara karşı zayıf olduğumuzu anlamak.
İşte DDoS testi burası için gerekli. Gerçek bir DDoS testi şunları yapıyor:
- Basit SYN flood’dan karmaşık Katman 7 saldırılarına kadar farklı senaryolar deniyor
- Sistemin her bir saldırı türüne nasıl tepki verdiği gözlemleniyor
- Hangi noktada çöktüğü tespit ediliyor
- İyileştirilmesi gereken yerler raporlanıyor
Test sonuçlarına bakıp “şu noktalarımız zayıf, bunları güçlendirelim” diyebiliyorsunuz. Belki yük dengeleme cihazınızı biraz farklı yapılandırmanız gerekiyordur. Belki operatörünüzden aldığınız korumanın seviyesini artırmanız gerekiyordur. Ya da belki mevcut altyapınız düşündüğünüzden daha iyi durumdadır.
Gerçekçi Bir Koruma Stratejisi Nasıl Olmalı?
Piyasada “tam koruma” vaat eden çözümler var ama bunlara şüpheyle bakmak lazım. Gerçekçi bir yaklaşım şöyle olmalı:
Yük dengelemenizi düzgün yapın: İyi yapılandırılmış bir yük dengeleme cihazı zaten sizi birçok saldırıya karşı korur. Bunun için ekstra bir şey almaya gerek yok, elinizdekileri doğru kullanın.
Operatör korumanızı aktif edin: Zaten para ödüyorsunuz, varsa bu hizmeti kullanın. Büyük hacimli saldırılarda işe yarıyor.
Trafiğinizi anlayın: Normal trafiğinizin nasıl olduğunu bilirseniz, anormal durumları daha kolay fark edersiniz. Davranış bazlı sistemler bu yüzden mantıklı.
Düzenli test yaptırın: Yılda bir-iki kez DDoS testi yaptırıp durumunuzu kontrol edin. Hem altyapınız değişiyor hem de saldırı teknikleri gelişiyor.
Sonuç Olarak
DDoS saldırıları gerçek bir tehdit ve giderek artıyor. Ama bu demek değil ki panik olup her satılan “çözüme” para vermeniz gerekiyor. Gerçekçi olmak lazım: çok büyük bir saldırı karşısında herkes çökebilir, %100 koruma diye bir şey yok.
Yapılması gereken şey şu: kendi kapasitemiz dahilinde ne kadar dayanıklıyız, hangi noktalarda zayıfız, bunları nasıl güçlendirebiliriz. DDoS testi tam olarak bunun için yapılıyor. Testler sayesinde kör noktalarınızı görüyor ve mevcut imkanlarınızı daha iyi kullanarak kendinizi güçlendirebiliyorsunuz.
Unutmayın, siber güvenlik bir ürün değil bir süreç. Sürekli öğrenmek, test etmek ve geliştirmek gerekiyor.