DDoS Hücumları: İnfrastrukturunuza ən böyük təhlükələrdən biri

Bu yazıda DDoS hücumlarının necə işlədiyini, hansı növlərinin mövcud olduğunu və onlardan qorunmaq üçün tətbiq olunan üsulları sadə dildə izah edəcəyik.

DDoS hücumu, bir serverin və ya şəbəkənin normal fəaliyyətini pozmaq üçün həyata keçirilən kiberhücumdur. Hücumun məqsədi – serveri və ya xidmətləri çoxsaylı saxta sorğularla yükləyib, onları adi istifadəçilər üçün əlçatmaz hala gətirməkdir.

Bunu gündəlik həyatdan belə təsəvvür etmək olar:
Bir yol düşünün, normalda avtomobillər rahat hərəkət edir. Birdən minlərlə avtomobil eyni anda həmin yola girir. Nəticədə, yol tıxanır və heç bir maşın hərəkət edə bilmir. DDoS hücumu da məhz bu “rəqəmsal tıxac” prinsipinə əsaslanır.

Hücum necə həyata keçirilir?

DDoS hücumları adətən botnet adlanan quruluş üzərindən icra olunur. Botnet – zərərli proqramlarla yoluxdurulmuş minlərlə (bəzən milyonlarla) kompüter və ya IoT cihazlarının şəbəkəsidir.

Hücumçu bu şəbəkəni uzaqdan idarə edir və eyni anda hədəf serverin IP ünvanına böyük həcmdə sorğular göndərir. Bu sorğular:

• HTTP sorğuları,
  
  

• TCP əlaqə cəhdləri,
  
  

• və ya DNS sualları ola bilər.
  
  

Çünki hər bir cihaz adi internet qurğusudur, zərərli trafiki normal trafikin içindən ayırmaq çox çətinləşir.

DOS vs DDoS

Hər iki hücum növünün məqsədi eynidir – hədəfi əlçatmaz etmək. Lakin onların miqyası, icra üsulu və nəticələri fərqlidir.

• DoS hücumu – tək bir hücumçu və ya cihaz tərəfindən həyata keçirilir. Resursları yükləyir, amma qarşısını almaq nisbətən asandır.
  
  

• DDoS hücumu – yüzlərlə, minlərlə hətta milyonlarla cihaz (botnet) tərəfindən icra olunur. Çox genişmiqyaslıdır və müdafiə olunmaq çətindir.
  
  

Bəzən sadəcə saytın yavaşlaması və ya tam əlçatan olmaması DDoS hücumuna işarə edə bilər. Amma bu, həmişə doğru olmur – ola bilsin ki, səbəb real istifadəçi axınıdır. Ona görə daha dərin analiz lazımdır.

DDoS hücumu zamanı müşahidə edilə biləcək bəzi əlamətlər:

• Eyni IP ünvanından və ya IP aralığından anormal sayda sorğu gəlməsi,
  
  

• Qeyri-adi vaxtlarda trafikdə kəskin sıçrayışlar,
  
  

• Müəyyən bir səhifəyə və ya API endpoint-ə səbəbsiz marağın artması,
  
  

• Eyni cihaz tipindən, brauzerdən və ya lokasiyadan böyük trafik gəlməsi.
  
  

DDoS hücumları şəbəkə protokollarının fərqli “qatlarını” hədəf alır. Ən çox rast gəlinən üç əsas kateqoriya var:

Bu hücumlar OSI modelinin 7-ci qatını – yəni tətbiq qatını hədəf alır. Burada məqsəd serverin resurslarını tükətməkdir.

Misal:

• HTTP Flood – təsəvvür edin ki, minlərlə istifadəçi eyni anda veb səhifənizi “refresh” edir. Hər sorğu server üçün CPU və verilənlər bazası əməliyyatı tələb edir. Nəticədə server sıradan çıxır.
  
  

Bu hücumlar şəbəkə avadanlıqlarını (firewall, load balancer və s.) iflic etməyə yönəlir.

Misal:

• SYN Flood – TCP əlaqəsinin “handshake” prosesindən sui-istifadə edir. Server cavab göndərir, amma qarşı tərəfdən son təsdiq gəlmir. Beləliklə, server cavab gözləyə-gözləyə resurslarını tükədir.
  
  

Ən klassik hücum formasıdır. Burada hücumçu böyük həcmdə məlumat göndərərək bütün şəbəkə bant genişliyini doldurur.

Misal:

• DNS Amplification – açıq DNS serverlərindən istifadə edərək qısa sorğu ilə çox uzun cavab generasiya edib hədəf serverə yönləndirirlər.
  
  

Bir şirkət üçün ən vacib məsələ – real istifadəçi trafiki ilə hücum trafikini ayırmaqdır. Əgər məhsul lansmanı səbəbilə saytınıza on minlərlə real istifadəçi daxil olursa, onları bloklamaq olmaz. Lakin əgər bu trafik hücumdursa, dərhal tədbir görülməlidir.

1. Blackhole routing

   Hücum zamanı şübhəli trafik “qara dəlik” marşrutuna yönləndirilir. Bu üsul problemin qarşısını alsa da, bəzən real trafik də itirilir.
   
   

2. Rate limiting

   Server müəyyən vaxt ərzində yalnız məhdud sayda sorğu qəbul edir. Bu, sadə hücumların qarşısını ala bilər, amma mürəkkəb DDoS hücumlarında kifayət deyil.
   
   

3. Web Application Firewall (WAF)

   Xüsusilə tətbiq qatına qarşı hücumlarda WAF çox effektlidir. WAF, sorğuları filtrləyərək şübhəli olanları bloklayır. Əlavə üstünlüyü isə real vaxtda yeni qaydaların tətbiq oluna bilməsidir.
   
   

4. Anycast şəbəkəsi

   Hücum trafikini müxtəlif coğrafi serverlərə paylayaraq təsiri minimuma endirir. Bu, iri şəbəkə infrastrukturu olan provayderlərin ən güclü həllərindən biridir.
   
   

DDoS hücumu sadəcə texniki məsələ deyil, biznes üçün də böyük riskdir:

• Maliyyə itkisi: Saytınız saatlarla əlçatmaz olduqda satış dayanır.

• Brend imici: Müştərilər xidmətinizə etibarını itirə bilər.

• Əlavə xərclər: Hücumdan sonra bərpa işləri üçün əlavə IT resursları və dəstək tələb olunur.
  
  

Biz Crocusoft olaraq, hazırladığımız hər bir sistemdə təhlükəsizliyi prioritet tuturuq. Müştərilərimizin infrastrukturunda yalnız funksionallıq deyil, həm də dayanıqlılıq və qorunma mexanizmləri qururuq.

DDoS hücumlarına qarşı:

• Təhlükəsizlik arxitekturası planlaşdırırıq,

• Monitorinq və erkən xəbərdarlıq sistemləri qururuq

• WAF və digər qoruyucu texnologiyalar inteqrasiya edirik.
  
  

Beləliklə, müştərilərimizin biznesi hücumlar qarşısında da davamlı olaraq işləməyə davam edir.

DDoS hücumları hər gün daha da mürəkkəbləşir və bizneslər üçün böyük təhlükə olaraq qalır. Bu hücumların təsirini minimuma endirmək üçün yalnız texniki alətlər deyil, eyni zamanda strateji yanaşma da vacibdir.

Əgər infrastrukturunuzun DDoS hücumlarına qarşı nə qədər dayanıqlı olduğuna əmin deyilsinizsə, indi ən doğru vaxtdır – təhlükəsizlik auditinə başlamaq və qoruyucu mexanizmləri gücləndirmək.

Crocusoft komandası bu yolda sizin yanınızdadır.

1. DDoS hücumu nədir?

2. DoS və DDoS arasındakı fərq nədir?

3. DDoS hücumlarının əsas məqsədi nədir?

4. Botnet nədir və DDoS-da necə istifadə olunur?