DDoS (Servis dışı bırakma saldırısı) Saldırısı Nedir?
Şöyle düşünün: İnternette bir “dükkanınız” (web siteniz, sunucunuz) var. Müşteriler (kullanıcılar) gelip dükkanınızdan alışveriş yapmak istiyorlar. Normalde dükkanınız belirli sayıda müşteriye aynı anda hizmet verebilir.
DDoS saldırısı ise şu: Bir grup kötü niyetli kişi, aniden çok büyük bir kalabalığı sizin dükkanınızın önüne ve içine yığıyor. Bu kalabalığın amacı alışveriş yapmak değil, sadece girişi tıkamak, içeriyi doldurmak ve gerçek müşterilerin (yani normal kullanıcıların) dükkana girmesini veya içeride bir şey yapmasını engellemek.
Bu durumda dükkanınız (sunucunuz) aşırı yüklenir, gerçek müşterilere hizmet veremez hale gelir ve sonunda kapılarını kapatmak (çevrimdışı olmak) zorunda kalır. İşte bu, hizmetin reddedilmesidir. “Dağıtılmış” kısmı ise, bu kalabalığın tek bir yerden değil, çok farklı yerlerden, aynı anda gelmesidir. Bu da kalabalığı dağıtmanın zorlaşması demektir.
Botnet Nedir?
Peki bu çok büyük kalabalık nereden geliyor? Genellikle “Botnet” adı verilen bir “zombi ordu”dan gelir.
Botnet, kötü niyetli bir kişinin (saldırganın), genellikle internete bağlı bilgisayarları, telefonları veya diğer cihazları (farkında olmadan veya zorla) ele geçirerek oluşturduğu kontrollü bir ağdır. Bu ele geçirilmiş cihazlara “bot” veya “zombi” denir. Cihaz sahibi genellikle cihazının ele geçirildiğini ve kötü amaçla kullanıldığını bilmez.
Yani botnet, saldırganın uzaktan komuta edebildiği, dünya geneline yayılmış bir sürü cihazdır. Saldırgan, bu “zombi orduya” aynı anda “Şu dükkana (hedefe) gidin ve girişi tıkayın!” (DDoS saldırısı yapın) komutunu verir. İşte DDoS saldırılarının büyük gücü genellikle bu botnetlerden gelir.
Layer (Katman) Nedir?
İnternette iki cihaz birbiriyle konuşurken, bu iletişim aslında farklı “katmanlarda” gerçekleşir. Bunu, bir mektup gönderirken izlenen adımlar gibi düşünebilirsiniz:
- Mektubu yazarsınız (Uygulama – Ne göndereceğiniz).
- Zarfa koyar, adres yazarsınız (Sunum/Oturum – Nasıl paketleneceği).
- Postaneye verirsiniz, postane mektubun doğru adrese gitmesi için gerekli işlemleri yapar (Taşıma – Ulaşım garantisi veya hızı).
- Mektup farklı şehirlerden, yollardan geçer (Ağ/Veri Bağlantısı/Fiziksel – Fiziksel yolculuk).
Bizim konumuzda Layer 4 ve Layer 7 önemli.
Layer 4 (Taşıma Katmanı): Mektup örneğinde “postane” gibi düşünebilirsiniz. Verinin göndericiden alıcıya güvenilir (TCP) veya hızlı ama garantisiz (UDP) bir şekilde ulaşmasından sorumludur. Bağlantı kurma, veri paketlerini düzenleme işleri burada olur.
Layer 7 (Uygulama Katmanı): Mektup örneğinde “mektubun içeriği” veya “ne sipariş ettiğiniz” gibi düşünebilirsiniz. Web sitesini görmek için yapılan istek (HTTP), e-posta göndermek (SMTP) gibi doğrudan kullanıcı uygulamalarıyla ilgili işlemler burada döner.
Layer 4 Saldırısı Nedir?
Postane benzetmesine dönelim: Layer 4 saldırısı, dükkanın (hedefin) önündeki postane binasını (sunucunun taşıma katmanını) hedef alır. Saldırgan (genellikle botnet kullanarak), postaneye çok sayıda eksik veya yanlış adresli zarf gönderir.
Postane bu kadar çok zarf geldiği için bunları ayıklamaya, işlemeye çalışır ama çoğu hatalı veya tamamlanmamıştır. Postane o kadar meşgul olur ki, gerçek mektupları (normal kullanıcı bağlantılarını) işleyemez hale gelir.
Yani Layer 4 saldırısı, iletişim kurma sürecini, postane binasının (sunucunun taşıma katmanının) mektupları işleme kapasitesini hedef alır ve onu boğar. Mektubun içeriğiyle (Layer 7) ilgilenmez, sadece gönderim trafiğiyle ilgilenir.
Layer 7 Saldırısı Nedir?
Şimdi dükkanın içine dönelim: Layer 7 saldırısı, kalabalığın (genellikle botnetin) dükkanın içindeki belirli aktivitelere odaklanmasıdır. Kalabalık içeri girer (bağlantı kurar, Layer 4’ü geçer), ama sonra hepsi birden dükkanın en yoğun, en yavaş çalışan veya en pahalı (sunucu kaynağını en çok harcayan) bölümüne koşar.
Mesela hepsi aynı anda kasaya yığılır (yoğun login isteği), hepsi aynı anda depodan ürün getirilmesini ister (veritabanı sorgusu veya karmaşık işlem), hepsi aynı anda en zor bulunan ürünü sormak için personeli meşgul eder (kaynak tüketen HTTP istekleri).
Bu istekler dışarıdan bakıldığında “gerçek müşteri” isteği gibi görünebilir, çünkü bağlantı kurulmuştur. Ancak sayıları çok fazladır ve hepsi sunucunun en hassas, en çok yorulan kısımlarını hedef alır. Sonuç olarak, dükkanın personeli (sunucunun işlem gücü) bu kadar “ilgili müşteriyle” baş edemez ve gerçekten alışveriş yapmak isteyen müşterilere (normal kullanıcılara) hizmet veremez hale gelir.
Layer 7 saldırısı, postane binasını değil, içeri giren mektupların içeriğini (HTTP istekleri gibi) veya dükkandaki müşterilerin eylemlerini hedef alarak sunucuyu yorar.
