DDOS saldırısı nedir? Nasıl yapılır? Nasıl korunulur?
2008 Siber Suçluların ve dDos Saldırıların Arttığı Yıl Oldu


Siber-suçlular wormlar, trojanlar, phishing ve fraud teknikleri kullanarak internet bankası soygunu ve kredi kartı dolandırıcılığı gibi yöntemlerle servet edinme peşindeler. Bunun yanında kullanıcı başına düşen yükselen bandwidth limitlerinin körüklediği DDOS saldırılarındaki yükseliş, hem servis sağlayıcıların hem de site sahiplerinin korkulu rüyası haline gelmiş durumda. 2007 yılının en büyük DDOS saldırısı 6 Şubat tarihinde 2,5 saat süre ile yaşandı.

2007 senesi siber saldırılarda talihsiz bir değişimin yaşandığı yıl oldu, zevk ve şöhret için virus, trojan üreten ve site hackleyen alışılageldik hackerların tahtı Cybercriminal (Siber-Suçlu) denilen ve sayıları son dönemde oldukça artan tehlikeli hacker grupları tarafından devrildi.

Siber-suçlular wormlar, trojanlar, phishing ve fraud teknikleri kullanarak internet bankası soygunu ve kredi kartı dolandırıcılığı gibi yöntemlerle servet edinme peşindeler. Bunun yanında kullanıcı başına düşen yükselen bandwidth limitlerinin körüklediği DDOS saldırılarındaki yükseliş, hem servis sağlayıcıların hemde site sahiplerinin korkulu rüyası haline gelmiş durumda.

2007 yılında bir diğer dikkat çeken konu da malware yazılımların çeşitliliği. Özellikle açık kaynak kodu ile birlikte sunulan trojanlar devamlı olarak farklı hackerlar tarafından modifiye edilerek anti-virus programları tarafından daha zor tanınacak hale getiriliyor. Giderek artan Win32/Busky, Win32/Nuwar, Win32/Zlob gibi malware programların 2007 senesinin ilk yarısında 20.000 den fazla varyasyonunun olduğu görüldü.

Hackerlar bu tip yazılımları hackledikleri web sitelerine yükleyerek, kullanıcıları kandırma amaçlı mailler göndererek yada P2P programlarını kullanarak geniş kitlelere yayarlar. DDOS yapmayı amaçlayan hackerlar bu şekilde yetki elde ettikleri çok sayıdaki internet kullanıcılarının PClerini istedikleri zaman istedikleri siteye binlerce sorgu göndermek için kullanıyorlar.

Üstelik bazı Rus ve Kore sitelerinde, botnetler özelliklerine ve sayılarına gore değişik fiyatlardan illegal olarak satılabilmekte ya da kiralanabilmektedir.





DDOS saldırılarından korunmak oldukça zor ve büyük boyutlara ulaştığında aynı zamanda maliyetli bir iş. Genellikle DDOS atack konusunda çok usta olan bilgisayar korsanları bile kendi serverlarını DDOS dan koruma konusunda aynı şekilde başarılı değiller.

Küçük boyutlardaki (30-40 PCden oluşan botnet gibi) bir DDOS saldırısı, yazılım ile çoğu zaman kaynak IP adresleri bloke edilerek engellenebilir, fakat saldırı daha büyük boyutlardaysa saldıran IP adreslerini tanımlayıp engelleseniz bile gelen veri size atanan bant genişliğini harcayarak sitenizi açılmaz hale getirebilir.

DDOS saldırılarının bazen haftalar hatta aylarca sürdüğü düşünülürse bu ekstra bant genişliği faturası ve bunun yanında müşteriye/ziyaretçiye iyi hizmek sunamamak oldukça sinir bozucu olabiliyor. DDOS saldırılarında genellikle hacker ın hedef servera direk bağlanması gerekmediğinden, kim olduğunun bulunması da son derece güç bir iştir.

Root DNS Serverlara DDOS

2007 yılının en büyük DDOS saldırısı 6 Şubat tarihinde 2,5 saat süre ile yaşandı. Bu saldırı Internetin 13 merkezi DNS serverından (web sitesi adreslerini IP adresine çevirmekle görevli serverlar) 6 sını hedef aldı ve bunların 2sini ağır şekilde etkiledi.

Bu saldırıda milyarlarca rastgele veri paketi internetteki bu en önemli serverlara gönderilerek tüm dünyadaki internet adresi çözümlemelerini zorlaştıracak kadar etkili olması sağlandı. Botnet saldırısının bu kadar başarılı olmasının en önemli sebebi ise botnet bulaştırılan kullanıcıların yüksek hızlı internet kullanımının çok yaygın olduğu Güney Kore bölgesinden seçilmeleriydi.

Korunma Yöntemleri

Internet önemli bir uluslararası bilgi ağı olmasına rağmen geçen trafiğin etkili şekilde filtrelenebileceği bir merkezi sistemi yoktur. Bir merkezi sistem olmadığı için de tam güvenliği sağlamak için tüm site yöneticilerin, kurumların, servis sağlayıcıların ve kullanıcıların kendi güvenliklerini almak için üstlerine düşeni yapmaları gerekmektedir. Tüm bunların arasındaki iletişim zincirinin güvenliği her zaman en zayıf halkası kadar güçlüdür. Sıradan bir internet kullanıcısının PCsindeki güvenlik açığı sadece kendi kişisel bilgilerinin başkalarının eline geçmesine olanak tanırken bir servis sağlayıcıdaki güvenlik ihlali 100lerce kullanıcıyı etkileyecek bir facia ile sonuçlanabiliyor.

Şirketler / Servis Sağlayıcılar ne yapmalıdır?


* IDS ( Intrusion Detection System - Saldırı Tespit Sistemi) çözümü uygulamalısınız. IDS şirket ağınıza dışarıdan yapılacak olan saldırları tespit etmenize, kloglamanıza ve saldırıyı önlemenize yarar. Windows için KFSensor ve WinIDS, Linux için Snort bunlara örnektir
* Firewall veya Router yardımı ile ağınıza yapılmak istenen saldırıların kaynaklarını bloke ederek veri transferini kısıtlayabilirsiniz
* Tek merkezden yönetilen proxy serverlar ve internet filtre yazılımları kullanmalısınız. Bu tür yazılımlar sayesinde şirketinizdeki çalışanların zararlı içerik bulunduran sitelere girmesini engelleyebilirsiniz. Örnek olarak Websense ve linux için Squid i gösterebiliriz.
* Her makineye ayrı ayrı Anti-virüs yazılımı kurup onları tek tek yönetmektense, tek bir noktadan yönetilen yazılımlar kullanmalısınız.Symantec Antivirus buna güzel bir örnektir.
Ev kullanıcıları ne yapmalıdır?
Tüm bu iletişim zincirindeki en zayıf halka genellikle ev kullanıcılarıdır. Internet servis sağlayıcıları yada kurumlarda bilgili personel bulunabilir fakat ev kullanıcıları en kolay kandırılabilecek, virus ve malware yazılımların hedefi olabilecek kitledir.
* PC nize Anti-Virus yazılımları yüklemelisiniz, Ad-Aware ve Nod32 Anti-Virüs yazılımları bunlara örnektir.
* Yazılımlarınızın sürekli güncel olduğundan emin olun.
* Internet Explorer 7 kurarsanız phishing riskine karşı önceden rapor edilmiş sitelerden korunabilirsiniz.