DrDoS Nedir, Nasıl Saldırı Yapılır?

Hızlı Bakış

DrDoS, saldırganın sahte kaynak IP adresleriyle genel sunuculara istek yağdırıp yanıtları hedefe yönlendirdiği yıkıcı bir DDoS türevidir. Saldırgan, DNS veya NTP gibi açık protokolleri kullanan yansıtıcı makinelere kurbanın IP adresini yazdığı küçük sorgular gönderiyor. Bu sunucular, minik isteğe karşılık katbekat büyük yanıt paketlerini kurbanın hattına boşaltıyor. Böylece hedef sistem, kendi talep etmediği devasa trafik altında ezilip gerçek kullanıcılara hizmet veremez hale geliyor. Bu sinsi büyütme, saldırganın kimliğini gizlerken dar bant genişliğiyle dev ölçekli kesintiler yaratıyor. Söz konusu yansıma zinciri, internetin güvenilir altyapısını bir silaha dönüştürüyor.

Son Güncelleme:
Yazar:
Kategori:Ağ Güvenliği & Saldırıları
Okuma Süresi:7 dakika

Dağıtılmış Yansıtılmış Hizmet Reddi saldırısı, saldırganın hedef bilgisayar sistemine, kaynak adresi hedef bilgisayarın adresi olarak değiştirilerek yanıltmalı yani sahte bir istek göndererek yapılır.

DrDoS Tanımı ve Çalışması

DrDoS (Dağıtılmış Yansıma Hizmet Reddi) Nedir?

DoS saldırıları, hedef bilgisayarın hizmet vermesini engellemek için yapılır. Önceki yazımızda, DoS nedir ve DDoS nedir kısaca bahsettik. Bu yazımızda DrDoS saldırıları hakkında bahsedeceğiz.

Bu saldırı türünde, DDoS saldırısının bir türüdür ve en büyük farkı yanıltıcı olarak kaynak adresin hedef bilgisayar adresi olarak değiştirilerek yapılmasıdır. Bu saldırılar en etkili ve en kalıcı saldırılardır.

DrDoS saldırıları da aynı DDoS saldırılarındaki gibi çoklu bilgisayar grubu kullanılarak yapılır. Bu bilgisayar grubu kullanılarak kurban bilgisayara saldırılar yöneltilir veya yansıtılır.

Bu saldırı tipinde son kullanıcı bilgisayarlarından ziyade sunucu bilgisayarları kullanılır.

Saldırıda Kullanılan Protokoller

Saldırıda kullanılan protokoller aşağıda listelenmiştir.

  1. DNS (Domain Name System)
  2. NTP (Network Time Protocol)
  3. SNMP (Simple Network Management Protocol)
  4. CHARGEN (Character Generator Protocol)
  5. SNMPv2
  6. NetBIOS
  7. SSDP
  8. QOTD

Bileşenler

  • Attacker (Saldırgan)

Saldırganlar bu saldırılar için İşleyicileri kontrol eder. Saldırganın ana amacı, kurban bilgisayarın servislerini kapatmaktır.

  • Master (Yönetici)

Yöneticiler veya İşleyiciler, Slave makinaları kontrol eder ve Slave makinaları saldırıya geçirir.

  • Slave (Köle)

Slave makinalar İşleyiciler tarafından kontrol edilir. Slave makinalar kurban bilgisayarın IP adresini, Reflector’e kaynak adresi olarak gönderir.

  • Reflector (Yansıtıcı)

Reflector makinalar yanıt paketlerini kurban bilgisayara büyük bir trafik hacmi olarak yansıtır.

  • Victim (Kurban)

Kurban bir sunucu, bilgisayar olabilir. saldırısı esnasında, kurban bilgisayarın hizmetleri, yerel olarak ulaşabilen kullanıcılar tarafından ulaşılamaz hale gelir.

DrDoS Saldırılarını Nasıl Önleriz?

Bu saldırıları önlemek neredeyse imkansızdır. Fakat, bu saldırıları azaltmak için ağ ortamımızda Firewall (Güvenlik Duvarı), Saldırı Tespit Cihazı gibi aygıtların bulunması gereklidir.

Bu tarz saldırıları önlemek veya azaltmak için aşağıdaki çözüm yolları uygulanabilir.

  1. İnternet Servis Sağlayıcıları, sahte IP adreslerini ile Spoof edilen UDP trafiğini reddetmelidir.
  2. Saldırıları önceden belirlemek için sürekli ağ trafiği izlenmelidir.
  3. DNS tabanlı saldırıları önlemek için DNSSEC extensions kullanmalıdır.
  4. Eğer ağ bir iş ortamına ait değil ise, yukarıda bahsedilen protokoller kapatılmalıdır.
  5. Bu saldırılara maruz kalmamak için daima sistem güncellemeleri yapılmalıdır.

DrDoS Yansıma Saldırıları SSS

DrDoS saldırısını klasik DDoS'tan ayıran o yansıtma numarası tam olarak nasıl işliyor?

Düşünün ki posta kutusunu doldurmak istiyorsunuz. Doğrudan kendiniz binlerce mektup yollamak yerine, sahte bir numara çeviriyorsunuz. Kurbanın adresini kullanarak yüzlerce şirkete katalog talebi gönderiyorsunuz.
Tüm şirketler katalogları kurbanın adresine yağdırıyor. Siz sadece birkaç talep yolladınız, ama kurbanın kapısına kamyonlarca posta yığılıyor. İşte bu yansıma saldırısının ta kendisidir.
Saldırgan, hedefin IP adresini kaynak adres olarak yazar. Sonra bu sahte paketleri masum yansıtıcı sunuculara yollar. Yansıtıcılar da yanıtları otomatik olarak kurbana iletir. Ortaya dev bir trafik seline dönüşür.

Saldırgan neden hedefi doğrudan vurmak varken DNS veya NTP gibi protokolleri istismar ediyor?

Zira bu protokoller devasa bir amplifikasyon gücü sunar. Saldırgan küçücük bir sorgu gönderir, sunucu katbekat büyük bir yanıt döndürür. Kendi hattından birkaç megabitlik paket çıkar, kurbana gigabitlerce veri yağar.
Örneğin bir DNS sorgusu 60 byte olabilir. Yanıt ise 4000 byte’ı bulur. Bu neredeyse 70 katlık bir şişmedir. NTP’de bu oran 500 kata kadar çıkar.
Sonuç olarak saldırgan az kaynakla muazzam bir etki yaratır. Kendi bilgisayarı zorlanmaz. Üstelik izini kaybettirmek için yansıtıcıların arkasına saklanır.

Senaryodaki Yönetici, Köle ve Yansıtıcı bilgisayarlar nasıl bir zincir oluşturuyor?

Aslında bu zincir dört halkalı bir ölüm tuzağıdır. Saldırgan önce Yönetici denen cihazları ele geçirir. Yöneticiler, Köle olarak adlandırılan zombi bilgisayarlara emir verir.
Köleler asıl kirli işi yapan ayaktakımıdır. Onlara verilen komut şudur: hedefin IP adresini kaynak olarak yaz ve Yansıtıcılara istek gönder. Yansıtıcılar meşru sunuculardır, hiçbir şeyden habersizdir.
Sadece gelen isteğe yanıt verirler. Yanıtlar doğrudan kurbana akar. Kurban, yansıtıcıları engellese gerçek kullanıcılarını da kaybeder. Engelleyemezse trafik altında ezilir.

DrDoS saldırılarını önlemek neden imkansız deniyor, hiç mi şansım yok?

Tamamen engellemek gerçekten imkansızdır. Yansıtıcı konumundaki sunucular sizin kontrolünüzde değildir. Onlar bildikleri tek işi yapıp yanıt döner.
Gelen paketler geçerli, meşru yanıtlardır. Güvenlik duvarınız bu trafiği saldırı sanmaz. Dolayısıyla hepsini kabul eder.
Buna rağmen şansınızı artıracak hamleler var. Servis sağlayıcınızın sahte IP filtrelemesini devreye alması ilk adımdır. Sınır yönlendiricilerde hız kısıtlama uygulamak sizi biraz olsun rahatlatır. Bir de bulut tabanlı trafik temizleme hizmetleri var, onlar kötü paketleri sizin kapınıza gelmeden ayıklar.

Bir sunucu yöneticisi olarak hangi protokolleri kapatırsam anında rahatlarım?

Kendi makinelerinizde gereksiz ne varsa susturmak en akılcı iştir. DNS sunucunuzu dış dünyaya açık yinelemeli sorgulara kapatın, sadece yetkili alan adlarınıza yanıt versin.
NTP servisini yalnızca iç ağa hizmet edecek şekilde sınırlayın. SNMP, CHARGEN ve QOTD gibi tarih kokan protokolleri direkt kapatın. NetBIOS ve SSDP de kapıda nöbet bekleyen davetsiz misafirlerdir.
Buna karşın, sırf siz önlem alınca saldırılar durmaz. Sizin kapasınızı kaparsınız, ama başkasının açık kapısı hâlâ kullanılır. Yine de reflektor havuzunu daraltmak global bir iyilik sayılır.

Kurbanın IP adresi nasıl oluyor da bu kadar kolay taklit ediliyor, sahte istek derken ne kastediyoruz?

İnternet protokolü adres doğrulaması yapmaz. Bir paketin başlığına istediğiniz kaynak adresini yazabilirsiniz. Saldırgan da tam olarak bunu yapar, hedefin IP’sini kaynak gösterir.
Buna sahte IP (spoofing) diyoruz. Sunucu paketi alır, kaynak adresi yanıt göndermek için kullanır. Hiç sorgulamaz, ahlaki bir kaygısı yoktur.
Sonuç itibarıyla yanıt sevinçle kurbana ulaşır. Uçtan uca bir posta zinciri gibi düşünün. Zarfın üzerine yanlış gönderen adresi yazarsanız, mektup o adrese geri döner. Modern ISS’ler bu tür sahteciliği filtrelemeye başladı, ama hâlâ önlem almayan sayısız ağ mevcut.

Sonuç

Bu yazımızda DrDoS tanımını ve saldırısı nasıl yapılır kısaca bahsettik. Bizi takip ettiğiniz için teşekkürler!

Bu Rehberi Keşfettikleri İçin Sana Teşekkür Edecekler!

Sadece bir tıkla sevdiklerine dev bir iyilik yapmaya hazır mısın? Bilgi paylaştıkça devleşir.

Tolga Bagci

PRO

Bilgisayar Uzmanı Sistem Sanallaştırma

Merhaba, ben Tolga, 20 yıllık tecrübeye sahip bilgisayar uzmanıyım. Donanım, sistemler, ağlar, sanallaştırma, sunucular ve işletim sistemleri gibi bilgisayar sorunlarının giderilmesine yardımcı oluyorum. Yararlı bilgiler için web siteme göz atın ve bana herhangi bir şey sormaya çekinmeyin. En yeni teknolojilerden haberdar olun!

1241 Makale

İlk yorumu sen paylaş