DDoS Saldırıları ile Web Sayfalarını Çökerten Yeni Bir Yöntem Keşfedildi 

Hedef alınan sistemin kaynaklarının tüketilerek işlevsiz hale getirilmesi amacıyla çok sayıda kaynağın kullanımını esas alan Dağıtık Hizmet Engelleme (DDoS) saldırıları düzenleyen siber suç örgütleri, güvenlik duvarı gibi web sayfalarının hassas “middlebox” unsurlarını hedef alarak trafiklerinin gücünü yıkıcı şekilde artıran yeni bir yöntem kullanıyor.

Veri akışını güçlendiren saldırılar yeni bir yöntem değilken, bugüne kadar 3.47 Tbps seviyesine çıkan saldırılar düzenlenerek birçok sunucu çökertildi. Microsoft, geçtiğimiz sene dünya genelinde 10.000 cihaz tarafından oluşturan bir DDoS saldırısını engellemeyi başarmış ve saldırının şiddeti 3.47 Tbps olarak ölçülmüştü.

Analistler ise saldırganların bir iletim kontrol protokolünü (TCP) temsil eden “TCP Middlebox Reflection” kullanarak yeni bir saldırı dalgası başlattığını belirtti. Analizler, yeni yöntem ile düzenlenen saldırıların saniyede 1,5 milyon veri paketiyle (Mpps) 11 Gbps seviyesine ulaştığını belirtti.

ABD’nin Maryland ve Colorado Üniversiteleri tarafından hazırlanan raporda, güvenlik duvarı gibi bir TCP ile DDoS saldırılarının boyutunu güçlendirme yöntemi, geçtiğimiz yıl Ağustos ayında ortaya çıkarılmıştı.

Birçok DDoS saldırısı veri paketi iletimini artırmak için Kullanıcı Datagram Protokokü (UDP) kullanıyor: Sunucu, kendisine gönderilen veri paketini daha büyük boyutlu bir veri paketi ile karşılıyor. Ardından, veri saldırganın hedeflediği sayfaya yönlendiriliyor.

TCP saldırı yöntemi, TCP standardı ile uyum göstermeyen ağ orta kutularının avantajını kullanıyor. Analistler, güvenlik duvarları ve içerik filtreleme cihazları kullanarak saldırıların boyutunu 100 kat artırabilecek yüz binlerce IP adresi keşfetti. Böylece, sekiz ay önce teoride beliren saldırı yöntemi şimdi gerçek bir tehdide dönüştü.

Uzmanlar, middlebox DDoS güçlendirme yönteminin internette ilk kez görülen bir TCP artırıcı saldırı olduğunu ve ilk kez gözlemlendiğini belirtti. Middlebox, veri paketi iletmenin yanı sıra veri trafiğini inceleyen, dönüştüren, filtreleyen ve manipüle eden bir bilgisayar ağ cihazını temsil ediyor.

Güvenlik duvarları ve benzer middlebox cihazları şirketlerin ağ altyapısı için kritik önem taşıyor. Bazı middlebox cihazları içerik filtreleme politikalarını yerine getirirken TCP veri akımını doğru biçimde işlemeyebiliyor.

Söz konusu middlebox cihazları, saldırı amaçlı TCP paketlerine cevap vermek için kullanılabilir ve tepki olarak gönderilen veri kullanıcıların tarayıcılarına sızarak kullanıcıların bloke edilen içeriğe erişmesini engelleyebilir. Bozuk TCP uygulaması TCP trafiğine müdahale etmek için kullanılabilir ve DDos saldırıları gerçekleştirilebilir.

Saldırganlar middlebox cihazlarına müdahale ile hedef alınan kurbanın IP adresini hapsedebilir ve middlebox cihazlarından yönlendirilen trafiği bu adrese aktarabilir.

TCP’de bağlantılar senkronize (SYN) kontrol bayrakları aracılığı ile üç yollu anlaşma için anahtar mesajları takas ediyor. Saldırganlar bazı middlebox cihazlarına müdahale ederek TCP uygulamasına bozuyor ve beklenmedik bir şekilde SYN paket mesajlarına tepki vermelerini sağlıyor. Analistler, bazı gözlemlerde 33 byte taşıma yüküne sahip tek bir SYN paketinin 2,156 byte tepki ürettiğini ve boyut olarak %6,533 arttığına tanık oldu.

Analizler, siber korsanların DDoS saldırıları ile başarılı olabilmek için yeni zafiyetler aradıkları gibi yeni yöntemler geliştirmeye çalıştıklarına işaret ediyor. Tahmin edileceği üzere DDoS saldırılarının tekrar tehdit haline dönüşmeye başladığını fark eden şirketler de güvenlik önlemlerini artırıyor. Diğer deyişle siber korsanlara karşı alınan önlemlerin kapsamı da genişliyor.

Güvenlik uzmanları, DDoS ve DNS saldırılarının yeniden başgöstermesi ile birlikte şirketlerin güvenlik altyapılarındaki kaynakları ve insan gücünü artırmakta zorlanabileceği, dolayısıyla siber korsanların fırsata çevirebileceği yeni zafiyetlerin doğabileceği uyarısında bulunuyor. Bu yüzden yeniden beliren tehditlerin kesinlikle göz ardı edilmemesi önem taşıyor.

Detay: DDoS saldırısı nedir?

DDoS yani Distributed Denial of Service (Dağıtık Hizmet Engelleme) saldırıları, çok sayıda kaynaktan tek hedefe yapılan saldırı olarak tanımlanabilir. Bu saldırı türü daha çok erişilebilirliği hedef alır ve internet sitesi üzerinden yükseltilen trafik nedeniyle, saldırı yapılan internet sitesi veya dijital hizmeti kullanılamaz hale getirir. Genellikle global düzeyde bankalar, şirketler ve kamu kuruluşlarının online hizmet noktaları bu tür saldırıların hedefi haline gelirler.