Carpet Bombing DDoS Saldırılarına Karşı Savunma

Carpet Bombing DDoS Saldırılarına Karşı Savunma
Carpet Bombing DDoS Saldırılarına Karşı Savunma

Meydan Okuma

Halı bombalaması yeni bir şey değil, yıllardır var ve saldırganlar tarafından ara sıra kullanılıyor. Beş yıl önce başlayan bu saldırılar Türkiye, Fransa, İtalya ve Güney Afrika’daki ağları hedef aldı. Bu saldırılar tehdit aktörleri arasında giderek daha popüler hale geliyor ve bugün ABD’de ve dünya genelinde birçok servis sağlayıcı ve büyük ağ operatörü tarafından yaygın olarak deneyimleniyor.

Bir Carpet Bombing saldırısı sırasında hedeflenen adresler her zaman statik değildir ve bir saldırının ömrü boyunca değişebilir. Bu saldırılar genellikle yansıma-amplifikasyon teknikleriyle birleştirilir. Yansıma amplifikasyonu, bir DDoS saldırısının gerçek kaynağını güçlendirmek ve gizlemek için zayıf bir şekilde güvence altına alınmış veya yapılandırılmış İnternet altyapısını kullanır .

Yansıma yükseltmesi, yaklaşık on yıldır internette görülen en büyük DDoS saldırılarının çoğunun arkasındaydı. DNS, NTP, SSDP, SNMP vb. dahil olmak üzere birçok protokol yansıma yükseltmesi için kullanılabilir. Son zamanlarda saldırganlar ayrıca saldırı etkisine durum bilgisi öğesi ekleyen TCP tabanlı (SYN-ACK) yansıma yükseltmesini de kullandılar (güvenlik duvarları, NAT, yük dengeleyiciler hedef alındığında).

Hedeflenen kuruluşlar arasındaki çevrimiçi iş ilişkilerinin gelişmiş keşfiyle birleştirilen Halı Bombardımanı ve Yansıma Güçlendirme taktikleri, saldırganların DDoS saldırılarını doğru bir şekilde tespit etme, sınıflandırma, izleme ve azaltma açısından savunmacılar için çıtayı yükseltmesini sağlar.

Risk

Halı bombalama saldırılarının yönetilmesi daha zordur çünkü:

  1. Bir adres aralığını hedefleyerek genellikle hedef ana bilgisayar başına daha az miktarda trafik olur. Bu, bazı algılama mekanizmalarının tetiklenmemesi anlamına gelebilir.
  2. Binlerce adres hedeflenirse, hedef adres başına bir azaltma başlatan sistemler kaynak tüketebilir.
  3. Çok sayıda ana bilgisayara yönelik trafiği yönlendirmek, saldırı/temiz trafiğin çok büyük hacimlerinin azaltma altyapısına iletilmesi anlamına gelebilir . Bu, özellikle FlowSpec tabanlı azaltmalar için bunaltıcı olabilir.
  4. Halı bombalama saldırısının hedefine doğru trafiği yansıtmak için genellikle bir veya daha fazla işletmeden veya ağdan gelen belirli İnternet altyapısı kullanılır.

Çözüm

Halı bombalama saldırıları, kötü aktörlerin başlatabileceği en yıkıcı dağıtılmış saldırılardan biridir çünkü aynı anda geniş IP adresi aralıklarını hedef alırlar ve SOC ekiplerinin yönetmesi imkansız olan binlerce saldırı uyarısı üretirler. Büyük trafik hacimlerini zaman içinde incelemek, bu verileri bağlamsallaştırmak ve iyileştirmek ve ağ kullanılabilirliğini tehdit eden anormallikler üzerinde hızla harekete geçmek hiç bu kadar gerekli olmamıştı. Ancak kaynak kısıtlamaları ağ operatörlerini etkilemeye devam ediyor ve ölçeklenebilir, uçtan uca, otomatik analitik iş akışlarının ve korumaların değerini artırıyor.

Arbor Sightline, müşterilerin korunmasını sağlayarak halı bombalama saldırılarını tespit edebilen birden fazla tespit mekanizmasına sahiptir. Arbor Sightline, bir saldırıda yer alan önekleri takip etme özelliğine sahiptir, böylece yalnızca ilgili trafik azaltma altyapısına yönlendirilir.

NETSCOUT, Adaptive DDoS Protection ile , halı bombalama saldırılarını tek, anlaşılması kolay bir uyarıda tespit edip raporlamak için tüm alt ağlarda ağ düzeyinde DDoS trafiğini anlamak için yeni bir yol tanıttı. Arbor Sightline’ın Makine Öğrenmesi tabanlı Precise Protection Prefix teknolojisi, saldırının hedef aldığı belirli IP aralıklarını otomatik olarak belirler. Daha sonra saldırı ağda farklı hedeflere doğru hareket ederken bile bunları hafifletme için otomatik olarak Arbor Threat Mitigation Systems’a (TMS) yönlendirir. Bu Adaptive DDoS Protection yeteneği, halı bombalama saldırılarının tespitini ve hafifletilmesini önemli ölçüde iyileştirir.

Arbor Sightline, hızlı sel algılama özelliğini kullanarak halı bombalama DDoS saldırılarını bir saniye gibi kısa bir sürede tespit edebilir ve saldırı altındaki IP aralıklarını belirleyip yalnızca bu trafiği Arbor TMS’ye yönlendirerek bu saldırıları otomatik olarak azaltabilir.

Arbor Sightline, kaynakları etkili bir şekilde yöneterek mevcut azaltmalara otomatik olarak yeni hedefler ekleyebilir. Arbor Sightline, saldırı trafiği hacimleri değiştikçe saldırıları mevcut Arbor TMS azaltma altyapısı arasında dinamik olarak taşıyarak mevcut Arbor TMS azaltma kapasitesini otomatik olarak yönetebilir. Bu özellikler, ağ altyapısının aşırı yüklenmediğinden emin olur ve operasyon personelinin DDoS saldırı yanıtını yönetmek için harcadığı zamanı azaltır.

Halı bombalama savunma kabiliyetleri şunları içerir:

  • Saniyede yüz milyonlarca pakete kadar ölçeklenebilen otomatik azaltma
  • (Yalnızca) ihtiyaç duyulan trafiğin incelenmesi için saldırı hedeflerinin izlenmesi
  • Akıllı azaltma için saldırı kaynaklarını belirlemeye yönelik analizler
  • Saldırı trafiğini sürekli analiz eden ve azaltma önlemlerini gerçek zamanlı olarak güncelleyen, hedeflenen adresleri ve yöntemleri değiştiren Gelişmiş DDoS Koruması.

Özet

Halı bombalaması ve yansıma-artırıcı saldırılar karmaşık ve yönetilmesi zor olsa da, Arbor Sightline’ın çok sayıda tespit mekanizması ve TMS tabanlı cerrahi azaltma özelliğiyle bu saldırıları tespit edebilir ve ağınızı ve müşterilerinizi etkili bir şekilde korumak için bunları yönetebilirsiniz.

İlgili Makaleler

Robotik Cerrahi ve Tıp Alanındaki Geleceği

Robotik Cerrahi ve Tıp Alanındaki Geleceği

Şubat 16, 2025
Siber Saldırılar ve Korunma Yöntemleri

Siber Saldırılar ve Korunma Yöntemleri

Şubat 16, 2025
Biyoçip ve İnsan Üzerindeki Etkileri

Biyoçip ve İnsan Üzerindeki Etkileri

Şubat 16, 2025
Python Nedir?

Python Nedir?

Şubat 16, 2025
Cevap bırakın

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu