Son dönemlerde birçok siber saldırı olacağına dair haberler yapılmakta, bu süreçte en çok kullanılan siber saldırı yöntemlerinden birisi olan DDoS saldırılarına karşı alınabilecek bazı yöntemleri hatırlatmak isteriz.
1 DDoS SALDIRISINI ERKEN TESPİT EDİN
Eğer kendi sunucu hizmetinizi kendiniz sağlıyorsanız, saldırı altında olduğunuzu saptama yeteneğine sahip olmanız gerekir. Çünkü DDoS saldırısı nedeniyle sisteminizde oluşan problemleri ne kadar saptayabilirseniz, önlem alma konusunda o kadar erken bir şeyler yapabilirsiniz.
Böyle bir durumdaysanız , normal gelen trafik profilinizi tanımanız iyi bir fikir olabilir; normal trafiğinizin neye benzediğini bilirseniz, trafik profilinizdeki değişiklikleri fark etmeniz o kadar kolay olacaktır. DDoS saldırılarının çoğunluğu trafikte keskin çizgilerle başlar ve normal trafiğinizdeki ani bir dalgalanmayı fark etmeniz DDoS saldırısının başladığını tespit etmenizi sağlayabilir.
- Mesela sadece Türkiye’ye hizmet verdiğiniz bir web siteniz varsa herhangi başka bir ülkeden gelen yoğun istekler anormal bir durum olduğunu belirtebilir.
Ayrıca saldırı altındayken gerekli kontrol ve analizleri yerine getirebilecek bir ekip oluşturmak ve belirli aralıklarla saldırı simülasyonları yapıp tepkileri ölçmek iyi bir fikir olabilir.
2 BİR DDoS SALDIRISINA KARŞI İŞ SÜREKLİLİĞİ VE KRİZ YÖNETİM PLANINIZI GÖZDEN GEÇİRİN
Kuruluşunuzun DDoS saldırılarına etkili ve hızlı bir şekilde tepki verebilmesi için en iyi yol bir saldırı algılandığında daha önceden planlanmış her adımı ayrıntılı bir şekilde belirtilmiş ve belgelenmiş bir senaryo oluşturmaktır.
Önceki maddelerde belirtilen tüm ayrıntıları açık bir şekilde içermelidir. İletişim kurulacak isimler ve telefon numaraları mutlaka senaryoda belirtilmelidir.
DDoS azaltma hizmetleri veren şirketler sahte bir DDoS saldırısı gerçekleştirerek gerçek bir saldırı sırasındaki hızlı kurumsal prosedürünüzü geliştirmenize ve hassaslaştırmanıza olanak tanırlar. DDoS saldırısı için planlanan senaryoda göz ardı edilmemesi gereken önemli bir noktada sizden hizmet alan kişilere sorunun nasıl iletileceğidir.
24 saati aşmayan DDoS saldırılarında, saldırı altındayken düzgün iletişim kurarak maliyeti/zararı en aza indirebilirsiniz.
3 TAŞMA BANT GENİŞLİĞİ PLANLAYIN
Genellikle ihtiyacınız olacağını düşünmeseniz de gerekenden fazla bant genişliğine sahip olmanız faydalıdır. Çünkü yaptığınız reklam kampanyasından, özel bir tekliften hatta normal bir şekilde şirketinizin isminden bahsetmek trafikte ani ve beklenmedik bir dalgalanmaya sebep olabilir.
Fazla bant genişliği tahsis etmek hatta çok büyük değerlerde bant genişliği kullanmak bir DDoS saldırısını durdurmayacaktır. Fakat bunlar size kaynaklarınız tükenmeden önce daha fazla müdahale yapabileceğiniz zaman dilimi kazandırabilir.
4 AĞ SAVUNMANIZI GÖZDEN GEÇİRİN
Bir saldırının kısmen etkisini azaltmak için özellikle ilk dakikalarda alabileceğiniz bir kaç teknik önlem vardır, bu önlemlerin alınması büyük saldırı dalgaları arasında trafiği analiz etme saldırının etkisini azaltmada sizlere büyük faydalar sağlayabilecektir.
- Rate Limiting özelliğini kullanarak sunucunuzdaki taşmaları önlemek için yönlendiricinizi sınırlandırabilirsiniz.
- Saldırıya açık kaynaklara gelen paketleri düşürmek içinyönlendiricinize filtreler ekleyebilirsiniz.
- Tamamlanmamış bağlantıların timeout (zaman aşımı) sürelerini azaltabilirsiniz.
- Sahte veya hatalı paketleri sunucularınıza ulaşmadan düşürebilirsiniz.
- SYN,ICMP ve UDP Flood paketlerinin eşit değerlerini daha alt değerlere çekebilirsiniz.
- Syncookie , Synproxy gibi özellikleri aktifleştirebilirsiniz.
5 DÜZENLİ DDoS TESTİ YAPTIRIN, ÖNERİLEN TEKNİK ÖNLEMLERİ ZAMANINDA ALIN
DDoS saldırılarının bir çoğu, basit teknik önlemlerle engellenebilir. Örnek olarak, Unicast Reverse Path Forwarding (uRPF) tekniği özellikle spoof IP’ler üzerinden gerçekleştirilen saldırılarda etkili olan bir tekniktir.
Zararlı kaynaklardan iletilen paketlerin düşürülmesi için strict ve loose modlarının birlikte kullanılması önerilmektedir.
6 SERVİS SAĞLAYICINIZLA BAĞLANTIYA GEÇİN
İnternet Servis Sağlayıcınızı (kendi sunucularınız yoksa hosting firmanızı) arayın ve onlara saldırı altında olduğunuzu belirterek yardımcı olmalarını isteyin. Acil durumlar için direk iletişim kuracağınız birileri olursa bu işlemi daha hızlı yapabilir ve daha hızlı sonuç alabilirsiniz. Saldırının gücüne bağlı olarak İnternet Servis Sağlayıcınız da saldırıyı erken fark edebilir ya da saldırıdan dolayı hizmet veremeyecek duruma gelebilir.
7 SUNUCULARINIZI DDoS KORUMA HİZMETLERİ İLE GÜVENCE ALTINA ALIN
Çok büyük saldırılarda hizmet vermeye devam edebilmeniz için en iyi şansınız DDoS azaltma hizmetini kullanmanızdır. Bu hizmeti veren kuruluşlar, sunucularınızı hizmette tutmak için büyük ölçekli altyapılara sahiptirler ve çeşitli teknolojileri kullanırlar. Bu hizmeti kullanmak için doğrudan bu hizmeti veren bir şirketi aramanız gerekebilir ya da servis sağlayıcınız veya hosting sağlayıcınız bu şirketlerle büyük çaplı saldırıları engellemek için anlaşma yapmış olabilir.
Eğer saldırı alıyorsanız ve bir DDoS azaltma hizmetine başvurduysanız , onlar sizin trafiğinizi kendi sunucularına yönlendirirler. Bu işlemi BGP gibi yönlendirme protokolleri kullanarak yaptıkları için sadece bir kaç dakika içerisinde trafiği kendi üzerlerinden geçirme işlemini gerçekleştirebiliyorlar.
Bu hizmeti veren firmalar çok yüksek boyuttaki trafiklerle başa çıkabilecek yetenekte olduklarından, temizlenen trafiği hedefe (yani size) ulaştırarak hizmet vermeye devam etmenizi sağlayabiliyorlar. Bu trafik yönlendirme işlemi kullanıcılar için herhangi bir gecikmeye sebep olmaz fakat kullanıcıların bir kısmı hizmete erişememe sorunu yaşayabilir.
DDoS azaltma hizmetleri ücretli olduğu için sadece saldırı durumunda başvurmanız, ödeme yapmanız gibi işlemler olacağından belirli bir zaman alacaktır. İsterseniz bu hizmeti sürekli olarak alabilirsiniz, bunun karşılığında hizmeti sunan şirkete aylık belirli bir sabit ücret ödemeniz gerekir.
Mesela DDoS azaltma hizmetlerinden olan Akamai 137.000 ‘den fazla sunucularıyla akıllı bir platform üzerinden hizmet veren bir DDoS azaltma çözümüdür. Hem ağ katmanındaki hem de uygulama katmanındaki DDoS trafiğini saptar ve absorbe eder. Yüksek ölçeklenebilir Web Application Firewall (WAF) ile , HTTP ve HTTPS trafiğindeki uygulama katmanı saldırılarına karşı ek koruma sağlar.
DDoS Azaltma Hizmetlerinden Bazıları :
- Akamai
- Arbor Networks
- Black Lotus
- CloudFlare
- DOSarrest
- F5 Networks
- Incapsula
- Neustar
- Nexusguard
- Prolexic
- rOOt- Services
- Staminus
- VeriSign
- Radware
8 BİR DDoS SALDIRISI ALTINDAYSANIZ, AYNI ZAMANDA DOLANDIRICILIK, VERİ SIZDIRMA VEYA BAŞKA SUÇLAR GERÇEKLEŞİYOR OLABİLİR !
İncelemeler sonucunda güvenlik uzmanları genellikle DDoS saldırılarını finansal dolandırıcılık ve veri sızdırma gibi siber suçları gizlemek için sis perdesi olarak kullanıldığını saptamıştırlar. Bunun kontrolünü yaparak DDoS saldırılarının hizmet engelleme zararından daha büyük zararlara yol açması engellenmelidir.