Siber Korsanlar DDoS Saldırılarının Etkisini Artırmaya Çalışıyor

Hedef alınan sistemin kaynaklarının tüketilerek işlevsiz hale getirilmesi amacıyla çok sayıda kaynağın kullanımını esas alan Dağıtık Hizmet Engelleme (DDoS) saldırıları artıyor. DDoS saldırıları, siber korsanların hizmetleri web trafiğiyle aşırı yüklediği, yavaşlattığı veya tamamen çevrimdışına alarak başkalarının bunları kullanmasını engellediği nispeten basit ama güçlü bir siber saldırı biçimi. Siber saldırılar birkaç dakika süren ataklardan, uzun süreler boyunca yayılan saldırılara kadar değişebilir. Son araştırmalar bu saldırı türünün anatomisine dair çeşitli yeniliklerin de denendiğine işaret ediyor.

En nihayetinde ise bu saldırılar genellikle kötü amaçlı yazılım bulaşmış bilgisayarlara, sunuculara ve nesnelerin interneti cihazlarının bir botnet’e bağlanmasını esas alıyor. Bu da DDoS’un hedefini web trafiğine boğuyor.

DDoS, diğer kötü niyetli siber saldırılara kıyasla karmaşık olmasa da, önemli kesintilere neden olabiliyor. Zira daha önce karşılaşılan büyük DDoS saldırıları, çevrimiçi hizmetleri, işletmeleri ve hatta tüm ülkelerin çevrimiçi altyapılarını geçici olarak ciddi şekilde kesintiye uğratmıştı.

2022’nin ilk yarısında dünya çapında altı milyondan fazla DDoS saldırısı olduğunu tahmin eden Netscout’taki siber güvenlik araştırmacılarına göre yöntemin arkasındaki suçlular -ki bunlar genellikle hizmetlerini başkalarının kullanması için kiralıyorlar- saldırıları daha etkili hale getirmenin yeni yollarını bulmaya devam ediyor.

Söz konusu DDoS saldırıları seviyesi, önceki altı aylık dönemle tutarlı görünüyor, ancak içerik dağıtım ağları ve siber güvenlik sağlayıcıları DDoS saldırılarını önlemede daha iyi hale geldikçe siber saldırganlar da saldırılarını güçlendirmek için yenilikçi yollar buluyor.

Hedef?

Yeni saldırı türlerinden birisi, normal bir DDoS olayına kıyasla daha küçük trafik bölümleriyle çeşitli hizmetler ve/veya cihazların hedeflenmesi. Buradaki fikir, alışılmadık derecede yüksek trafik seviyelerine karşı korumayı başlatacak eşikleri tetiklemeden, hedefin birden fazla farklı hattını tıkamak. Birçok DDoS azaltma sistemi, tüm alt ağların aksine tek tek IP adreslerine odaklanır, bu nedenle bu saldırılar genellikle radarın altında kalıyor. Diğer bir yeni saldırı türü ise saldırganların uygulama katmanı hizmetlerini alt etmek için çok sayıda sahte alt etki alanı isteği göndermek.

Netscout’tan Richard Hummel konuyla ilgili olarak “Saldırganlar sürekli yenilik ve uyum sağlayarak daha etkili DDoS saldırı dikeyleri tasarlıyor veya mevcut etkili metodolojileri ikiye katlıyor” ifadelerini kullanıyor.

Gelişen sadece DDoS saldırıları değil, siber korsanlar da büyüyen ve botnet’lere özellikler ekleyen kaynaklara yöneliyor. Siber korsanlar, gizlice daha fazla makineye kötü amaçlı yazılım bulaştırarak onları daha büyük saldırılar başlatmak için kullanabilir. İlgili rapor da botnet’lerin hem boyut hem de yetenekler açısından büyüdüğünü öne sürüyor.

Saldırıları önlemek

Geçtiğimiz yıl tespit edilen kısa ve sert tekrarlı DDoS saldırıları, ağ katmanı DDoS olarak devam ediyor. Bu durum, şirketlerin DDoS koruma önlemi bulundurması ve müdahale için hızlıca hareket etmeleri gerektiği anlamına geliyor.

DDoS saldırganları keyifleri dilediği zaman saldırma özelliğine eriştiği zaman, kısa saldırıların artan trendi güvenlik uzmanları için daha rahatsız edici hale geliyor. Bu kapsamda, 2021’de tespit edilen en büyük saldırılardan birinin beş saniyeden kısa bir sürede göz yaşartıcı 1.06 Tbps boyutunda olduğunun da altını çizmek gerekiyor.

İlk dalganın büyük bir SYN flood’u ikinci patlama olarak içerdiği böyle bir senaryoda, müdahaleye birkaç saniye içinde başlayabilmek kritik önem taşıyor. Bu tarz bir saldırı dahili sistem veya hibrit DDoS yaklaşımı ile önlenmesi mümkün olmayan, alt sistemden ana sisteme doğru veri akışında (upstream) bağlantının tamamen çökeceği bir senaryoyu temsil ediyor.

Güvenlik uzmanları, DDoS ve DNS saldırılarının yeniden baş göstermesi ile birlikte şirketlerin güvenlik altyapılarındaki kaynakları ve insan gücünü artırmakta zorlanabileceği, dolayısıyla siber korsanların fırsata çevirebileceği yeni zafiyetlerin doğabileceği uyarısında bulunuyor. Bu yüzden yeniden beliren tehditlerin kesinlikle göz ardı edilmemesi önem taşıyor.

Standart DDoS saldırılarının bir sonucu olarak kesintileri önlemeye yardımcı olmak için kurumların atabileceği birkaç adım bulunuyor. Bu adımlar arasında bulut tabanlı barındırma sağlayıcılarının kullanılması, bant genişliği yeteneklerini test etmek için IP stres ölçme hizmetlerinin devreye alınması ve bir DDoS azaltma hizmetinin kullanılması gibi şeyler yer alıyor.