İnternet hizmetlerini çalışamaz hale getirmek amacıyla tasarlanan büyük ölçekli siber saldırılar giderek büyüyor. Güvenlik araştırmacıları tarafından yakın zamanda raporlanan en büyük saldırı, saniyede 7.3 terabit (Tbps) gibi akıl almaz bir trafikle gerçekleştirildi.
7.3 Tbps'lik bu rekor saldırı, hedef sunucuya sadece 45 saniye içinde 37.4 terabayt (TB) önemsiz trafik gönderdi. Bu miktar, bir dakikadan kısa bir sürede 9.300'den fazla tam uzunlukta HD film veya 7.500 saatlik HD akış içeriğine eşdeğer.
Hedefe Yönelik Kapsamlı Saldırı
Saldırganların, tek bir IP adresine ait yaklaşık 22.000 farklı hedef portuna trafik yağdırdığı belirtildi. Toplamda 34.500 portun hedef alınması, saldırının ne kadar titizlikle planlandığını ve ne kadar kapsamlı olduğunu gösteriyor.
Saldırının büyük çoğunluğu, UDP (User Datagram Protocol) paketleri şeklinde iletildi. Normalde UDP, video oynatma, oyun uygulamaları ve DNS sorguları gibi zamana duyarlı iletişimlerde kullanılır. Bunun nedeni, verinin transfer edilmeden önce resmi bir bağlantı (el sıkışma - handshake) kurmaya ihtiyaç duymamasıdır. UDP, daha yaygın olan TCP'nin aksine, iki bilgisayar arasında bir bağlantının kurulmasını beklemez ve verinin karşı tarafça doğru şekilde alınıp alınmadığını kontrol etmez; bunun yerine veriyi hemen gönderir.
UDP flood (sel) saldırıları, hedef IP'deki rastgele veya belirli portlara aşırı yüksek hacimde paket gönderir. Bu tür saldırılar, hedefin internet bağlantısını doyurabilir veya dahili kaynaklarını kaldıramayacağı kadar çok paketle aşırı yükleyebilir.
UDP'nin el sıkışma gerektirmemesi, saldırganların iletime başlamak için sunucunun iznini almadan hedef sunucuyu yoğun trafikle boğmasına olanak tanır. UDP flood'lar tipik olarak hedef sistemdeki birden fazla porta çok sayıda datagram gönderir. Hedef sistem ise, portların erişilebilir olmadığını belirtmek için eşit sayıda veri paketini geri göndermek zorunda kalır. Sonunda, hedef sistem bu yük altında çöker ve meşru trafiğin reddedilmesine yol açar.
Saldırının çok daha küçük bir kısmı (%0.004), yansıma (reflection) saldırıları şeklinde gerçekleştirildi. Yansıma saldırıları, kötü amaçlı trafiği sunucu saatlerini senkronize etmek için kullanılan Ağ Zaman Protokolü (NTP) gibi bir veya daha fazla üçüncü taraf aracıya yönlendirir. Saldırgan, kötü amaçlı paketlerin gönderen IP'sini taklit ederek (spoofing), sanki trafiği son hedefin gönderdiği gibi görünmesini sağlar. Üçüncü taraf bir yanıt gönderdiğinde, bu yanıt trafiğin orijinal kaynağının adresi yerine hedefe teslim edilir.
Yansıma saldırıları, saldırganlara çeşitli avantajlar sunar. Birincisi, bu tür saldırılar DDoS'un çok çeşitli kaynaklardan gelmesini sağlar, bu da hedeflerin savunmasını zorlaştırır. İkincisi, bazı durumlarda orijinal isteğin binlerce katı büyüklüğünde yanıt ürettiği bilinen aracı sunucular seçilerek, saldırganlar kullanabilecekleri gücü bin kat veya daha fazla artırabilirler. Güvenlik firmaları, sunucu yöneticilerine taklit edilmiş paketlere yanıt vermelerini engellemek için sunucuları güvence altına almalarını tavsiye etse de, birçok yönetici bu tavsiyeyi dikkate almaz.
Kaydedilen bu rekor DDoS saldırısının, daha önce bahsedilen NTP'nin yanı sıra, UDP port 17'yi dinleyip kısa bir alıntı veya mesajla yanıt veren Quote of the Day Protokolü; aldığı verinin aynısını yanıtlayan Echo Protokolü; ve Uzak Prosedür Çağrısı (RPC) üzerinden bağlanan uygulamalara sunulan kaynakları tanımlamak için kullanılan Portmapper hizmetleri dahil olmak üzere çeşitli yansıtma veya büyütme (amplification) vektörlerini kullandığı belirtildi.
Saldırının ayrıca bir veya daha fazla Mirai tabanlı botnet üzerinden gerçekleştirildiği ifade edildi. Bu tür botnet'ler tipik olarak ev ve küçük ofis yönlendiricileri, web kameraları ve diğer ele geçirilmiş Nesnelerin İnterneti (IoT) cihazlarından oluşur.
DDoS saldırılarının boyutları son otuz yılda istikrarlı bir şekilde artmaya devam ediyor. Daha önce de 6.5 Tbps ve 6.3 Tbps gibi yüksek seviyeli saldırılar raporlanmıştı, ancak son kaydedilen saldırı bu rekorları da geride bıraktı.
