CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Network

DDoS ve DoS Saldırıları: Analiz Yöntemleri ve Stratejiler

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Network

DDoS ve DoS saldırılarını anlamak ve analiz yöntemlerini öğrenmek için kapsamlı bir rehber. Siber güvenlikte kritik bilgiler.

DDoS ve DoS Saldırıları: Analiz Yöntemleri ve Stratejiler

DDoS ve DoS saldırıları, ağların güvenliğini tehdit eden kritik sorunlardır. Bu blogda, bu saldırıların analizini nasıl yapacağınızı ve uygun savunma stratejilerini keşfedeceksiniz.

Giriş ve Konumlandırma

DDoS (Distributed Denial of Service) ve DoS (Denial of Service) saldırıları, günümüzde siber güvenlik alanında önemli tehditler arasında yer almaktadır. Bu saldırı türleri, bir ağın veya sistemin hizmetini kasten kesintiye uğratmayı hedefleyen eylemler olarak tanımlanabilir. DoS saldırıları genellikle tek bir kaynaktan gerçekleştirilirken, DDoS saldırıları birden fazla kaynak kullanarak hedef sistem üzerinde yoğun bir baskı oluşturur.

DDoS ve DoS Saldırılarının Önemi

Bu tür saldırıların önemi, yalnızca teknik açıdan değil, aynı zamanda iş sürekliliği ve veri güvenliği açısından da göz önünde bulundurulması gereken pek çok faktörü içerir. DDoS ve DoS saldırıları, işletmelerin hizmetlerine erişim sağlayamaması; dolayısıyla da gelir kaybı, marka itibarında azalma ve müşteri kaybı gibi sonuçlara yol açabilir. Özellikle finansal hizmetler, e-ticaret ve sağlık sektörü gibi kritik alanlarda, bu saldırıların etkileri daha da yıkıcı olabilir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Siber güvenlik stratejilerinin temel amacı, organizasyonların ağlarını ve verilerini korumak, siber tehditlere karşı topyekun bir savunma oluşturmaktır. Bunun bir parçası olarak, güvenlik uzmanları ve penetrasyon test uzmanları (pentesterlar), olası DDoS ve DoS saldırılarına karşı önleyici tedbirler almakta ve ağ yapılarını analiz etmektedir. Bu bağlamda, bu saldırı türlerini anlamak ve analiz edebilmek, ağ yöneticilerinin ve güvenlik uzmanlarının en kritik görevlerinden biridir.

DDoS ve DoS saldırılarına karşı etkili bir savunma geliştirmek, sistemlerin ve ağların doğru bir şekilde yapılandırılmasını, izlenmesini ve korunmasını gerektirir. Saldırıların tespit edilmesi, analiz edilmesi ve uygun yanıt stratejilerinin uygulanması, yalnızca saldırının yarattığı hasarın büyüklüğünü azaltmakla kalmaz, aynı zamanda gelecekteki saldırılara karşı da bir hazırlık sağlar.

DDoS ve DoS Saldırılarını Anlamak İçin Gerekli Temel Kavramlar

DDoS saldırıları, uygulama katmanından protokol katmanına kadar farklı kategorilere ayrılabilir:

  1. Volumetric Attack: Ağ hattını doldurmayı hedefler ve akışta devasa Byte/BPS değerleri görülür.
  2. Protocol Attack: Güvenlik cihazlarının (Firewall/IPS) kaynaklarını tüketir, akışta aşırı yüksek PPS (packets per second) görülür.
  3. Application Layer Attack: Web sunucusu gibi hizmetleri hedef alır ve genellikle çok sayıda HTTP GET/POST isteği ile kendini gösterir.

Yalnızca bu saldırı türlerinin tanınması, izlenmesi ve analiz edilmesi temel bir gereklilik olmasının yanı sıra; aynı zamanda ağ trafiğinin yasal kullanıcılar ve kötü niyetli saldırganlar tarafından oluşturulan trafiği ayırt etmek için iyi bir yapı sağlamaktadır.

Saldırı İzi ve Trafik Analizi

DDoS ve DoS saldırılarının izlerini taşımak, günümüz güvenlik sistemleri için kritik bir öneme sahiptir. Akış verileri, saldırının kaynağını ve türünü anlamak için kullanılır. Örneğin, bir saldırı trafiği tek bir IP adresinden geliyorsa, bu durum genellikle bir DoS saldırısına işaret ederken, çok sayıda farklı IP adresinden gelen trafik, DDoS saldırısının habercisi olabilir. 

# DDoS Saldırısı ve Analiz Yöntemleri

- Tek IP Kaynağı: DoS (Engelleme)
- Çoklu IP Kaynakları: DDoS (Dağıtılmış Engelleme)

Sonuç olarak, DDoS ve DoS saldırılarını anlama, ağ ve sistemlerin güvenliğini artırmak için temel bir görevdir. Bu konuya yönelik derinlemesine bilgi sahibi olmak, güvenlik profesyonellerinin ve ağ yöneticilerinin mevcut tehditlere karşı daha etkin bir savunma oluşturmalarına yardımcı olacaktır. DDoS analizi, ağdaki olağandışı yoğunluk ve odaklanmış saldırı trafiğini ayırt etme sürecidir ve bu sürecin bir parçası olarak, doğru analiz yöntemlerinin kullanılması, saldırılara karşı daha etkili savunma stratejileri geliştirmenin temelini oluşturmaktadır.

Teknik Analiz ve Uygulama

DDoS (Distributed Denial of Service) ve DoS (Denial of Service) saldırılarının analizi, siber güvenlik alanında kritik bir öneme sahiptir. Bu tür saldırıları anlamak ve analiz etmek, etkili bir savunma stratejisinin geliştirilmesine katkıda bulunur. İşte bu bağlamda, DDoS ve DoS saldırılarını daha iyi anlamak için teknik analiz yöntemleri ve uygulamaları üzerinde duracağız.

Hizmetin Sonu

DoS ve DDoS saldırılarının temel amacı, hedef sistemin kaynaklarını tüketerek yasal kullanıcıların erişimini engellemektir. DDoS saldırıları, genellikle bir botnet (zombi bilgisayar ağı) kullanarak çok sayıda kaynaktan gelirken, DoS saldırıları tek bir kaynaktan gerçekleşir. DoS saldırılarında, belirli bir sistem üzerine yoğunlaşan trafik, daha az çeşitlilik gösterirken, DDoS saldırılarında kaynak IP sayısı çok fazladır. Bu durum, DDoS saldırılarının tespit edilmesini ve engellenmesini zorlaştırır.

Küçük Paketlerin Gücü (PPS)

Saldırıların etkisini analiz ederken, paket başına saniye (PPS) oranı önemli bir kriterdir. Örneğin, SYN Flood saldırısında paket boyutları oldukça küçüktür, bu nedenle bant genişliği (BPS) normal görünebilir. Ancak, saniyedeki paket sayısı (PPS) milyonlara ulaştığında, sistem bu yükü kaldıramaz ve sonuçta çöküş yaşanır.

Aşağıdaki komut, ağ akışında PPS değerlerini izlemek için kullanılabilir:

sudo tcpdump -i eth0 -c 1000 | awk '{print $1}' | sort | uniq -c

Bu komut, belirli bir ağ arayüzünü dinleyerek, 1000 paket üzerinde kesim yapar ve her bir farklı paketin kaç kez geldiğini sayar. Böylece, yüksek PPS değerlerinin tespit edilmesine olanak sağlar.

Saldırı Kategorileri

DDoS ve DoS saldırıları, birkaç farklı kategoriye ayrılabilir:

  1. Volumetric Attack: Hedef ağ hattını tamamen doldurmayı amaçlar ve akışta devasa Byte/BPS değerleri görülür.
  2. Protocol Attack: Güvenlik cihazlarının kaynaklarını tüketir. Aşırı yüksek PPS değerleri, bu tür bir saldırının varlığını gösterir.
  3. Application Layer Attack: Web sunucusu gibi hizmetleri hedef alır. Çok sayıda HTTP GET/POST isteği ile kendini gösterir.

Bu saldırı türlerini daha iyi anlamak için, akış verisi üzerinde yapılan analizlerin sonuçları önemlidir. Örneğin, yüksek PPS değerleri genellikle protokol tabanlı DoS saldırılarının işaretidir.

Trafiği Katlamak: Reflection

Yansıtma (reflection) saldırıları, saldırganın kurbanın IP adresini taklit ederek DNS veya NTP sunucularına küçük istekler gönderdiği ve bu sunuculardan kurbana devasa yanıtlar almayı amaçladığı bir saldırı türüdür. Bu tür saldırıların tespit edilmesi, genellikle ağ akış verisinde görülen olağandışı yoğunluklarla mümkündür.

sudo tcpdump -i eth0 'udp and (port 53 or port 123)' -c 100

Bu komut ile, belirli bir arayüzdeki DNS veya NTP üzerinden gelen UDP paketleri izlenebilir. Yanıtların büyüklüğü analiz edilerek, yansıtma saldırılarının varlığına dair ipuçları elde edilebilir.

Kaynak Dağılımı Analizi

DDoS saldırıları sırasında, gelen trafiğin IP dağılımı büyük bir önem taşır. Eğer trafik tek bir IP adresinden geliyorsa, bu bir DoS saldırısının işaretidir ve engellenmesi nispeten kolaydır. Ancak, on binlerce farklı IP adresinden gelen trafik, açıkça bir DDoS saldırısını gösterir ve profesyonel koruma gerektirir.

Aşağıdaki komut, gelen trafiğin IP dağılımını analiz etmek için kullanılabilir:

sudo tcpdump -i eth0 -n | awk '{print $3}' | sort | uniq -c | sort -nr

Bu komut, gelen IP adreslerini sayarak en fazla kaynak kullanan IP'leri sıralar.

Trafik Temizliği

DDoS saldırısına maruz kalan bir sistemde, gelen trafik genellikle "temizlenmek üzere" yönlendirilir. Bu işlem için özel veri merkezlerine Scrubbing Center denir. Akış verisi, trafiğin ne zaman bu merkeze yönlendirileceğine karar vermek için kullanılır.

sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/s -j ACCEPT

Bu komut, HTTP trafiğini belirli bir limitin üzerinde kabul ederek, aşırı yüklenmelerin engellenmesine yardımcı olur.

Sonuç

DDoS ve DoS saldırıları, günümüzdeki siber güvenlik tehditlerinin önemli bir parçasını oluşturur. Teknik analiz ve uygulama yöntemleri, bu saldırıların etkili bir şekilde tespit edilmesine ve önlenmesine yardımcı olmaktadır. Network yöneticileri ve güvenlik uzmanları, bu araçları ve yöntemleri kullanarak, siber tehditlere karşı daha iyi bir savunma stratejisi geliştirebilirler.

Risk, Yorumlama ve Savunma

Bu bölüm üretilemedi.