Özellikle web sitelerini etkileyen ve birçoğumuzun sadece adını bildiği DDoS saldırılarını açıklıyor ve nasıl önlemler alınabileceğini anlatıyoruz.
Dağıtık Hizmet Reddi Saldırıları (DDoS), herhangi bir web sitesini çevrimdışı duruma getirebilir. Google ve GitHub bile muazzam kaynakları ile büyük bir saldırı sırasında çevrimiçi kalmak için mücadele ederken zorlanabiliyor. Daha da kötüsü, biraz parası olan herkes bir DDoS saldırısı başlatabilir.
Web sitesi sahibiyseniz, siz ve kullanıcılarınız sitenizi saatlerce hatta günlerce kapatacak kadar büyük bir DDoS saldırılarıyla karşılaşabilirsiniz. Bununla birlikte, DDoS saldırılarının en kötü etkileri doğru araçlarla önlenebilir, bu nedenle cPanel ve WHM birden fazla ve etkili DDoS azaltma özelliği içerir.
DDoS Saldırısı Nedir?
Hizmet Reddi (DoS) saldırısı, kötü niyetli istekler ve bağlantılarla sunucuları bunaltmaya yönelik bir girişimdir. Bir sunucunun birincil amacı, ağ bağlantılarını, ağ sorgularını kabul etmek ve işlemektir. Her bir sorgu ve bağlantı isteği, belirli bir miktarda bant genişliği, bellek ve işlem gücü tüketir ve çok fazla kişi, mevcut kaynakların tamamını kullanarak yeni bağlantıları engelleyebilir. Böyle bir durumda web sitelerine erişilemez. Aslında web siteleri internetten ve işlem güçlerinden mahrum bırakılmış olunur.
Saldırganlar, çok sayıda bağlantı oluşturarak ve sunucu veya ağ arabiriminin baş edemeyeceği kadar çok veri göndererek bu güvenlik açığından yararlanır. Site yöneticilerini neden sadece düşmanca bağlantıları engelleyip devam etmediklerini merak ediyor olabilirsiniz. DoS saldırıları hakkında bu kadar sinsi olan da tam olarak budur: Hepsi aynı göründüğünde kötü bağlantılardan iyi bağlantıları nasıl ayırt edebiliriz?
Ayırt etmenin bir yolu, kaynağın IP adresidir. Bir IP adresi bir sunucuyu ezmekle ya da sorgulara boğmakla tehdit ediyorsa, onu engelleyebilir ve yolunuza devam edebilirsiniz. Ancak saldırganlar da bunu bilir ve Dağıtılmış Hizmet Reddi (DoS) saldırılarının motivasyonlarından biri de budur.
Dağıtık Hizmet Reddi Saldırıları (DDoS)
Bir DDoS saldırısında saldırgan, diğer sunuculardan son kullanıcı dizüstü bilgisayarlarına ve ağa bağlı güvenlik kameralarına kadar her şey olabilen, güvenliği ihlal edilmiş makinelerden oluşan bir BotNet kullanır. Bir BotNet, saldırganın hedefi sorgulara boğmak ve işlevsiz bırakmak için uzaktan talimat verebileceği binlerce node içerir. Çok fazla bot olduğu için hepsini engellemek oldukça zordur.
Amplifikasyon Saldırıları
DDoS saldırıları daha da aldatıcı hale gelebilir. Saldırganlar, iyi hazırlanmış bir hosting sağlayıcısını devre dışı bırakmak için yeterli veri üreten BotNet’ler oluşturmakta zorlanır. Hedefe doğrudan saldırmak yerine, isteklerini artırmak için çevrimiçi bir hizmet ararlar.
Bir web sayfasını açtığınızda, başlangıçta az miktarda veri gönderirsiniz ve sunucu çok daha büyük bir yanıt gönderir. Aynısı bazı DNS sunucuları, Ağ Zaman Protokolü (NTP) sunucuları, veritabanları ve önbellekler ve diğerleri için de geçerlidir.
Örneğin saldırgan, açık bir NTP sunucusuna istek göndermek için BotNet ağını kullanabilir. İlk istek küçük, birkaç bayttan oluşur. Ancak yanıt 200 kat daha büyük olabilir. Bir megabayt gönderen bir saldırgan, 200 megabayt yanıt oluşturabilir. İlk sorgunun IP adresini taklit ederlerse, veriler BotNet ağına değil, doğrudan hedefe gider.
Bu tür Amplifikasyon, 2018 yılında GitHub’a karşı olan ve saniyede 1.35 Terabayt saldırısı da dahil olmak üzere, tarihin en önemli DDoS saldırılarının çoğunun arkasındaki temel unsurdur.
DDoS Saldırılarından Korunma Yolları
Bir sunucu ya da web sitesi yöneticisi olarak, saldırganların zararlı ağ istekleri göndermesini önlemek için yapabileceğiniz hiçbir şey yoktur. Ancak hem sunucunuzun güvenlik duvarını hem de web sunucusunu, hatalı çalışan IP adreslerinden gelen istekleri devre dışı bırakacak ya da engelleyecek şekilde yapılandırabilirsiniz.
Popüler sunucu yazılımlarından biri olan cPanel, kullanıcıları DDoS saldırılarından korumanıza yardımcı olmak için saldırı azaltma azaltma aracı içerir.
cPanel & WHM, kapsamlı konfigürasyon arayüzüne sahip bir WHM eklentisi sağlayan, Konfigürasyon Sunucusu Güvenliği (CSF) güvenlik duvarını destekler. Öncelikle, eklentiyi kurmak için bu talimatları izlemeniz gerekecek:
CSF’yi yüklemek için, root kullanıcı olarak aşağıdaki komutları çalıştırın:
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh
CSF’yi yapılandırmak için WHM’nin ConfigServer ve Güvenlik Duvarı arayüzünü kullanın:
Home -> Plugins -> ConfigServer & Firewall
CSF ile ilgili daha fazla bilgi için, CSF web sitesini ziyaret edebilirsiniz.
Ardından, WHM kenar çubuğu menüsünün Plugins bölümündeki ConfigServer Security & Firewall sayfasına gidin. Aşağı kaydırın ve Firewall Configuration’a tıklayın.
Amacımız, Connection Tracking’i açmak ve güvenlik duvarının bir IP adresinden kaç bağlantıya izin verdiğini kontrol eden “CT_LIMIT” değerini yapılandırmaktır. Bir DDoS saldırısı sırasında, aynı IP’den çok sayıda bağlantı yapılabilir ve bağlantıların sınırlandırılması, istenmeyen trafiğin ayıklanmasına yardımcı olabilir.
Doğru değer, saldırının niteliğine ve tipik trafik modellerine bağlıdır ve kendiniz de denemek isteyebilirsiniz. Ancak 300 makul bir başlangıç değeridir. Bu değeri çok daha düşük ayarlamak, yasal bağlantıların da kesilmesine neden olabilir.
Aynı sayfada PORTFLOOD değerini de ayarlamak isteyebilirsiniz. PORTFLOOD, belirli bir bağlantı noktasına yapılan bağlantıları sınırlar. Örneğin, bir sunucu, HTTP bağlantı noktası olan 80 numaralı bağlantı portuna yönelik bir saldırı yaşarsa, yeni bağlantıları on saniye içinde 50 ile sınırlandırarak sonraki girişimleri engeller.
Son olarak, en yaygın ve uygulaması kolay DDoS saldırılarından biri, Katman 4 Syn Flood saldırısıdır. CSF, yapılandırma sayfasının Port Flood Settings bölümünde açabileceğiniz SYN flood koruması içerir.
SYN Flood korumasını etkinleştirin ve SYNFLOOD_RATE ve SYNFLOOD_BURST ayarlarını yapın. Varsayılan değer, devam eden bir saldırıyı azaltmak için çok yüksek olabilir. Doğru değerler saldırının özelliklerine bağlıdır ancak 75/s ve 50 iyi bir başlangıç noktasıdır. Bu değerleri çok düşük ayarlarsanız, geçerli trafiğin de bağlantı sorunlarıyla karşılaşabileceğini unutmayın.
Syn Flood koruması, önemli bir ağ gecikmesine neden olabileceğinden yalnızca bir saldırı sırasında etkinleştirilmelidir.
cPanel IP Engelleyici
cPanel, hem bireysel adresleri hem de adres aralıklarını engellemek için kullanılabilen bir IP Engelleyici içerir. Büyük bir DDoS saldırısı için manuel IP engelleme yöntemi pratik değildir ancak daha küçük saldırılar için yararlı olabilir. IP Engelleyiciyi cPanel’in güvenlik menüsünde bulabilirsiniz:
DDoS saldırıları, web hosting sağlayıcıları için hayatın bir gerçeğidir. Zamanla, saldırılar daha büyük ve gerçekleştirilmesi daha kolay hale geldi. Saldırıların sayısı 2018 ile 2019 arasında iki katına çıktı ve bu eğilimin, meşru web hosting sağlayıcılarının ve site sahiplerinin geçim kaynaklarını tehdit ederek elde edilecek para olduğu sürece devam etmesini bekleyebiliriz. Neyse ki cPanel & WHM ve küçük bir hazırlık ile karşı koyabilir ve kullanıcılarınızı güvende tutabilirsiniz.
