DDoS Saldırıları Nedir Ne Değildir?

DDoS Saldırıları Nedir Ne Değildir?

DNS sunucularına yapılan DDoS Saldırıları

10201
DDoS Saldırıları

21 Ekim Cuma akşamı yaşanan siber saldırılar sonrası Türkiye dahil neredeyse tüm dünya ülkeleri popüler birçok web servisine ve internet sitesine erişimde problemler yaşadı. Siber saldırının DNS sağlayıcılara yönelik yapılan bir DDoS saldırısı olduğu bilgileri verildi. Peki DNS ve DDoS saldırıları nedir? Yazımızda çok fazla teknik detaya girmeden en basit haliyle anlatmaya çalıştık.

DNS nedir?

Öncelikle DNS’in ne olduğunu anlatmaya çalışalım. DNS (Domain Name System) Alan Adı Sistemi’nin kısaltılmışıdır. İnternet ortamındaki kaotik yapıyı bölümlemeye, bölümleri adlandırmaya ve bölümler arası iletişimin organize bir şekilde yürütülmesini sağlayan servislerden oluşan bir sistemdir.

İnternet ağını oluşturan her birim (bu birimler kişisel bir bilgisayar, mobil cihaz ya da sunucu olabilir) benzersiz bir IP adresine sahiptir. IPv4 için XXX.XXX.XXX.XXX şeklindeki bir numaralandırmaya sahip olan IP adresi, IPv6 için daha karmaşık bir şekilde kodlanmıştır.

Kendinize ait bir internet sitesi kurduğunuzu varsayalım. İnternet ortamında bir kullanıcının sitenize erişmesi için ona sitenize ait IP numarasını vermelisiniz. Kullanıcı sitenize erişmek için -varsayalım ki 123.45.67.89- kullandığı internet tarayıcıya bu adresi girmelidir. Bir kullanıcının sitenize ait  IP numarasını, sevdiği popüler internet sitelerinin ve internet dediğimiz kaotik ortamda yer alan milyonlarca internet sitesinin IP numarasını aklında tutmasının imkansız olduğunu görürüz.

İşte bu noktada DNS devreye giriyor ve her bir alan adını (teknopusula.com gibi) bir IP numarasıyla eşleştiriyor ve dünyanın pek çok yerinde yer alan DNS sunucuları hangi IP adresinin hangi alan adına ait olduğu bilgisini tutuyor.

dns1
DNS sunucuya yapılan sorgu

Yani siz tarayıcınıza teknopusula.com yazdığınızda (eğer cihazınızda manuel olarak bir DNS sunucu belirlemediyseniz) servis sağlayıcınız kendi ya da çalıştığı DNS sunucuya teknopusula.com adresinin hangi IP ile eşleştiğini soracak ve sizi 81.4.103.102 IP adresine yönlendirecektir.

DoS saldırısı nedir?

 Konu başlığımız DDoS idi, bu DoS da nereden çıktı dediğinizi duyuyorum. Öncelikle DoS (Denial of Service, Hizmet Engelleme) saldırısının ne olduğunu anlatmaya çalışalım.

Yukarıda anlattığımız gibi bir internet sitesine ulaşmak için bilgisayarınızla bir sunucuya bağlandığınızı varsayalım. Sizin bilgisayarınız (istemci, client) sunucuya (server) bazı bilgiler sorarak karşılığında cevaplar alır.

server_client
Sunucu-İstemci çalışma mantığı

Bir nevi sunucu size hizmet verir. Her sunucunun belirli bir işlem yapma kapasitesi vardır. Eğer sunucuya kapasitesinin üzerinde sorgu gönderirseniz tüm işlemler için cevap veremez ve hizmet veremez duruma düşer. İşte bu mantıkla yapılan sahte sorgular nedeniyle bir sunucunun hizmet sunmasını engellemeye DoS saldırısı denir.

Gelelim DDoS saldırısına, DDoS saldırısı nedir?

DDoS saldırılarında aynı mantıkla sunucuların hizmet sunma kapasiteleri aşılmaya çalışılır. Ancak burada sorgu gönderen tek bir bağlantı ve istemci yerine yüzlerce hatta binlerce istemcinin sahte sorgular göndermesi söz konusudur. Binlerce istemciden aynı anda gelen milyonlarca sorgunun bir sunucuyu hizmet sunamaz hale getirmesi kaçınılmazdır. Bu binlerce istemcinin çoğu “zombi bilgisayarlar”dan oluşmaktadır.

0710_zombie_illo
Zombi bilgisayarlar

Biri “Zombi Bilgisayar” mı dedi?

Peki bir saldırganın binlerce bilgisayarı nasıl olabilir? Elbette bir saldırgan ya da ekibi, virüs ve trojanlar gibi zararlı yazılımlar ile dünya genelinde pek çok sistemi ele geçirirler. Ele geçirilen bu sistemler (bilgisayarlar, tabletler, hatta telefonlar) kendilerine bulaşan zararlı yazılımlar nedeniyle kullanıcılarından habersiz olarak aslında siber suçlulara hizmet ederler. İşte bu tür bilgisayarlara zombi bilgisayarlar diyoruz.

DNS sunucularına yapılan DDoS saldırıları neden benim trafiğimi yavaşlatır?

DNS sunucularına sistemler üzerinden gönderilen sorgular DDoS saldırılarında aynı anda milyonları bulabilir. Bu şekilde sunucu her bir sorguya cevap vermez ve bazı sorguları engellemek zorunda kalır. Hatta sunucu kapanabilir. Bu sahte IP sorgulamaları arasında elbette normal kullanıcıların sorgulamaları da cevap bulamaz. Böylelikle normal kullanıcılar da istedikleri internet sitesine ulaşamaz ya da çok yavaş bir bağlantı ile ulaşabilirler.

Geçtiğimiz cuma günü Twitter, Spotify, Reddit ve Paypal gibi büyük sistemlere erişimde yaşanan problemlerin asıl nedeni de buydu. Bu büyük internet siteleri, kendi alan adlarına yönelik özel DNS sağlayıcılarla çalışmaktadırlar. Özellikle bu sağlayıcılara ait sunuculara yapılan DDoS saldırıları nedeniyle söz konusu internet siteleri saldırılardan daha çok etkilendi.

BİR CEVAP BIRAK