Ağ Güvenliği

DDoS (Dağıtık Hizmet Engelleme)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

2016'da Dyn DNS'e yönelen Mirai botnet'i, on binlerce ele geçirilmiş IP kamerası ve yönlendiriciyle Twitter, Spotify ve Netflix gibi devleri saatlerce erişilemez hale getirdi — DDoS işte bu ölçekte bir tehdittir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta DDoS (Dağıtık Hizmet Engelleme) saldırısının ne olduğunu, nasıl çalıştığını ve kurum ortamında neden önemli olduğunu öğreniyoruz. Soldaki ağ bölgeleri görselinde trafiğin sisteme nasıl aktığını izleyebilirsin.

Anlatım

NEDİR? DDoS (Distributed Denial of Service — Dağıtık Hizmet Engelleme), bir web sitesini, sunucuyu veya ağ servisini birçok farklı kaynaktan aynı anda aşırı yükleyerek meşru kullanıcılara hizmet veremez hale getirme saldırısıdır. Tek bir kaynaktan yapılan klasik DoS'tan farkı, trafiğin coğrafi olarak dağıtılmış binlerce/milyonlarca cihazdan (botnet) gelmesidir; bu da saldırıyı engellemeyi ve kaynağını tespit etmeyi çok zorlaştırır. Amaç veri çalmak değil, erişilebilirliği (availability) yok etmektir. NASIL ÇALIŞIR? 1) Saldırgan, kötü amaçlı yazılımla ele geçirdiği bilgisayar, IoT cihazı, kamera ve yönlendiricilerden oluşan bir "botnet" (zombi ordusu) kurar. 2) Komut-kontrol (C2) sunucusu üzerinden bu cihazlara hedef adresi ve saldırı başlangıç komutunu gönderir. 3) Tüm botlar aynı anda hedefe istek seli yollar. Bu istekler ya bant genişliğini (hacimsel saldırı), ya sunucu bağlantı tablolarını (protokol saldırısı: SYN flood gibi), ya da uygulama kaynaklarını (uygulama katmanı saldırısı: HTTP flood) tüketir. 4) Hedef sistemin kaynakları dolunca meşru istekler yanıtsız kalır; hizmet yavaşlar veya tamamen çöker. 5) Bazı saldırılar "yansıma/güçlendirme" (DNS/NTP amplification) tekniğiyle küçük istekleri devasa yanıtlara çevirip etkiyi katlar. NEDEN ÖNEMLİ / İŞ YERİNDE Bir DDoS saldırısı sırasında e-ticaret sitesi satış yapamaz, banka uygulaması erişilemez olur, çağrı merkezi hatları kilitlenir — yani doğrudan gelir kaybı, itibar zedelenmesi ve SLA ihlali doğar. Saldırı çoğu zaman fidye talebiyle (ödemezsen seni çevrimdışı bırakırız) veya başka bir saldırıyı (veri sızıntısı) maskelemek için bir "duman perdesi" olarak kullanılır. Bu yüzden DDoS yalnızca teknik değil, iş sürekliliği ve kriz yönetimi konusudur. DİKKAT / İYİ UYGULAMA • CDN ve özel DDoS koruma servisleri (ör. trafiği temizleyen "scrubbing" merkezleri) kullanın. • Rate limiting (istek hızı sınırlama) ve WAF (Web Uygulama Güvenlik Duvarı) ile uygulama katmanını koruyun. • Otomatik ölçeklenen altyapı ve fazlalık (redundancy) ile ani yükü emin. • Bir olay müdahale planınız ve İSS/koruma sağlayıcınızla önceden anlaşmanız olsun — saldırı anında plan yapmak için çok geçtir.

📌 Senaryolar
📌 Örnek 1: Bir çevrimiçi sınav platformu, sınav saatinde aniden açılmaz hale gelir; loglarda tek bir ülkeden değil yüzlerce farklı ülkeden saniyede on binlerce istek görülür. Açıklama: Bu klasik bir hacimsel DDoS'tur. Trafiğin dağıtık kaynaklardan gelmesi tek bir IP'yi engelleyerek durdurmayı imkânsız kılar; çözüm trafiği üst katmanda (CDN/scrubbing) süzmektir.
📌 Örnek 2: Bir bankaya "24 saat içinde Bitcoin ödemezseniz sitenizi çökerteceğiz" tehdidi gelir, ardından kısa süreli bir 'gösteri saldırısı' yapılır. Açıklama: Bu bir RDoS (Ransom DDoS — fidye amaçlı DDoS) senaryosudur. Doğru yaklaşım fidye ödememek, koruma sağlayıcıyı devreye almak ve olayı yetkili birime (ör. USOM/CERT) bildirmektir.
📌 Örnek 3: Ele geçirilmiş binlerce ev kamerası ve akıllı priz, sahibinin haberi olmadan gece yarısı bir oyun sunucusuna saldırı için kullanılır. Açıklama: Bu bir IoT botnet'idir (Mirai benzeri). Varsayılan/zayıf parolalı IoT cihazları kolayca ele geçirilip zombi haline getirilir; bu yüzden cihaz parolalarını değiştirmek ve güncel tutmak bireysel kullanıcının bile DDoS'a karşı katkısıdır.
Özet

• DDoS, bir hizmeti çok sayıda dağıtık kaynaktan aşırı yükleyerek erişilemez kılan saldırıdır (hedef: erişilebilirlik). • Saldırı, ele geçirilmiş cihazlardan oluşan bir botnet ve komut-kontrol sunucusu ile yürütülür. • Hacimsel, protokol ve uygulama katmanı olmak üzere farklı türleri vardır; güçlendirme teknikleriyle etki katlanır. • Korunma: CDN/scrubbing, WAF, rate limiting, fazlalık ve önceden hazır olay müdahale planı.

✅ Mini-Test (3)
1.DDoS saldırısının temel hedefi aşağıdakilerden hangisidir?
2.DDoS ile klasik (tek kaynaklı) DoS arasındaki temel fark nedir?
3.Ele geçirilmiş IoT cihazları (kameralar, yönlendiriciler), sahibinin haberi olmadan bir DDoS saldırısının parçası olabilir.
← Tüm sözlük terimleri · Farkındalık eğitimi