DDoS saldırılarını anlama: WordPress yöneticileri için bir rehber
Yayınlanan: 2019-10-10Dağıtılmış Hizmet Reddi (DDoS), saldırının bir değil birden çok ana bilgisayardan geldiği ve bunların engellenmesini çok zorlaştıran bir Hizmet Reddi (DoS) saldırısı türüdür. Herhangi bir DoS saldırısında olduğu gibi, amaç bir şekilde aşırı yükleyerek bir hedefi kullanılamaz hale getirmektir.
Genel olarak, bir DDoS saldırısı birkaç bilgisayar veya bot gerektirir. Saldırı sırasında her bilgisayar kötü niyetli olarak hedefi aşırı yüklemek için istekler gönderir. Tipik hedefler, WordPress web siteleri dahil web sunucuları ve web siteleridir. Sonuç olarak, kullanıcılar web sitesine veya hizmete erişemezler. Bunun nedeni, sunucunun yalnızca bu istekleri işlemek için kaynaklarını kullanmaya zorlanmasıdır.
WordPress yöneticilerinin DDoS saldırılarını anlaması ve bunlara hazırlıklı olması önemlidir. Herhangi bir zamanda ortaya çıkabilirler. Bu yazıda DDoS'u derinlemesine keşfedeceğiz ve size WordPress sitenizin korunmasına yardımcı olacak bazı ipuçları sağlayacağız.
DDoS, bir hack değil, kesintiye yönelik bir saldırıdır
Bir DDoS saldırısının geleneksel anlamda kötü niyetli bir WordPress saldırısı olmadığını anlamak önemlidir. Hacking, yetkisiz bir kullanıcının sahip olmaması gereken bir sunucuya veya web sitesine erişim kazanması anlamına gelir.
Bir saldırganın koddaki bir güvenlik açığından yararlanması veya WordPress parolalarını çalmak için bir paket dinleyicisi kullanması geleneksel bir hack örneğidir. Bilgisayar korsanı kimlik bilgilerine sahip olduğunda, verileri çalabilir veya web sitesini kontrol edebilir.
DDoS farklı bir amaca hizmet eder ve ayrıcalıklı erişim gerektirmez. DDoS, hedefin normal operasyonlarını bozmayı amaçlar. Geleneksel hack'lerde, saldırgan bir süre fark edilmeden gitmek isteyebilir. DDoS ile saldırganın başarılı olup olmadığını neredeyse anında bileceksiniz.
Dağıtılmış Hizmet Reddi saldırılarının farklı türleri
DDoS tek bir saldırı türü değildir. Birkaç farklı varyant var ve hepsi kaputun altında biraz farklı çalışıyor. DDoS kategorisi altında, saldırıların sınıflandırılabileceği birkaç alt kategori vardır. Aşağıda en yaygın olanları listelenmiştir.
Hacimsel DDoS saldırıları
Hacimsel DDoS saldırıları teknik olarak basittir: saldırganlar, bant genişliği kapasitesini aşırı yükleme istekleriyle bir hedefi doldurur. Bu saldırılar doğrudan WordPress'i hedef almaz. Bunun yerine, temel alınan işletim sistemini ve web sunucusunu hedeflerler. Bununla birlikte, bu saldırılar WordPress web siteleriyle çok ilgilidir. Saldırganlar başarılı olursa, WordPress siteniz saldırı süresince meşru ziyaretçilere sayfa sunmayacaktır.
Bu kategoriye giren belirli DDoS saldırıları şunları içerir:
- NTP amplifikasyonu
- UDP taşkınları
Uygulama katmanı DDoS saldırıları
Uygulama katmanı DDoS saldırıları, uygulama katmanı olan 7. katmana odaklanır. Bu, Apache veya NGINX web sunucunuza ve WordPress web sitenize odaklandıkları anlamına gelir. Katman 7 saldırıları, harcanan bant genişliğine göre verilen hasar söz konusu olduğunda , paralarının karşılığını daha fazla alır.
Durumun neden böyle olduğunu anlamak için, WordPress REST API'sine bir DDoS saldırısı örneğini inceleyelim. Saldırı, ana makinelerden birinden gelen HTTP GET veya HTTP POST gibi bir HTTP isteğiyle başlar. Bu HTTP isteği, ana bilgisayarda nispeten önemsiz miktarda kaynak kullanır. Ancak, hedef sunucuda birkaç işlemi tetikleyebilir. Örneğin, sunucunun kimlik bilgilerini kontrol etmesi, veritabanından okuması ve bir web sayfası döndürmesi gerekir.
Bu durumda, saldırganın kullandığı bant genişliği ile sunucunun tükettiği kaynaklar arasında büyük bir tutarsızlık var. Bu eşitsizlik tipik olarak bir saldırı sırasında kullanılır. Bu kategoriye giren belirli DDoS saldırıları şunları içerir:
- HTTP taşkınları
- Yavaş Mesaj saldırıları
Protokol tabanlı DDoS saldırıları
Protokol tabanlı DDoS saldırıları, diğer DDoS saldırılarıyla aynı kaynak tüketme modelini takip eder. Ancak, genellikle hizmet veya uygulamanın aksine ağ ve taşıma katmanlarına odaklanırlar.
Bu saldırılar, güvenlik duvarları veya sunucunuzda çalışan temel TCP\IP yığını gibi cihazları hedefleyerek hizmeti reddetmeye çalışır. Sunucunun ağ yığınının ağ paketlerini nasıl işlediğine veya TCP iletişiminin nasıl çalıştığına ilişkin güvenlik açıklarından yararlanırlar. Protokol tabanlı DDoS saldırılarına örnekler:
- Syn sel
- ölüm pingi
Çok Vektörlü DDoS saldırıları
Tahmin edebileceğiniz gibi, saldırganlar kendilerini tek bir saldırı türüyle sınırlamazlar. DDoS saldırılarının çok vektörlü bir yaklaşım benimsemesi giderek yaygınlaşıyor. Çok vektörlü DDoS saldırıları tam da beklediğiniz gibi: Bir hedefi çevrimdışı duruma getirmek için birden çok teknik kullanan DDoS saldırıları.
DDoS'ta yansıma ve amplifikasyonu anlama
DDoS saldırılarında sıkça karşımıza çıkan iki terim yansıma ve amplifikasyondur. Bunların her ikisi de saldırganların DDoS saldırılarını daha etkili hale getirmek için kullandığı tekniklerdir.
Yansıma , saldırganın sahte bir IP adresiyle 3. taraf bir sunucuya istek gönderdiği bir tekniktir. Sahte IP adresi, hedefin adresidir. Bu tür saldırılar sırasında saldırganlar genellikle çeşitli UDP protokolleri kullanır. İşte nasıl çalıştığı:
- Saldırgan, sahte IP adresiyle, örneğin WordPress sitenizin IP'sini, yansıtıcı adı verilen çok sayıda sunucuya bir UDP isteği gönderir.
- Reflektörler isteği alır ve aynı anda WordPress sitenizin IP'sine yanıt verir.
- Yansıtıcı yanıtlar, WordPress sitenizi doldurarak potansiyel olarak aşırı yükleyerek siteyi kullanılamaz hale getirir.
Amplifikasyon , yansımaya benzer şekilde çalışır. Daha az bant genişliği ve kaynak gerektirmesine rağmen, reflektörlere gönderilen talepler, reflektörlerin hedefe gönderdiği yanıtlardan çok daha küçüktür. Uygulama katmanı Dağıtılmış Hizmet Reddi saldırılarında gördüğümüze benzer şekilde çalışır.
DDoS saldırılarında botnetlerin rolü
Saldırganların saldırıları koordine etmek için kaynakları nereden elde ettiğini hiç merak ettiniz mi?
Cevap botnetlerdir. Botnet, kötü amaçlı yazılım tarafından güvenliği ihlal edilmiş bir ağ veya cihazlardır. Bu bir PC, sunucu, ağ veya akıllı cihaz olabilir. Kötü amaçlı yazılım, saldırganların güvenliği ihlal edilmiş her bir ana bilgisayarı uzaktan kontrol etmesine olanak tanır.
DDoS için kullanıldığında, botnet'ler belirli bir hedef ana bilgisayara veya ana bilgisayar grubuna karşı koordineli bir Hizmet Reddi saldırısı gerçekleştirir. Kısacası: botnetler, saldırganların saldırı gerçekleştirmek için virüslü bilgisayarlardaki kaynaklardan yararlanmalarını sağlar. Örneğin, 2018'de diğer WordPress sitelerine karşı DDoS saldırıları gerçekleştirmek için 20.000'den fazla WordPress sitesi kullanıldığında durum buydu (daha fazlasını okuyun).
Dağıtılmış Hizmet Reddi saldırılarının arkasındaki motivasyon
“İnsanlar neden DDoS saldırıları gerçekleştirir?” bu noktada sormak için iyi bir soru. Geçmişte kötü niyetli bir bilgisayar korsanının WordPress sitenizi neden hedeflediğini inceledik, ancak bu noktalardan yalnızca biri gerçekten DDoS için geçerlidir: hacktivism. Birisi sizin bakış açınıza katılmazsa, sesinizi susturmak isteyebilir. DDoS bunu yapmak için bir yol sağlar.
Geçmişe bakıldığında bilgisayar korsanlığı, devlet düzeyinde siber savaş veya ticari motivasyonlu endüstriyel saldırılar da DDoS'un olası itici güçleridir. Ayrıca haylaz saldırganlar, eğlenen ve biraz kaos yaratmak için DDoS kullanan gençler de oldukça yaygın.
Tabii ki, en büyük motivasyonlardan biri paradır. Saldırganlar, WordPress web sitenize saldırmayı durdurmak için fidye talep edebilir. Siteniz kapalıysa ticari olarak fayda sağlayabilirler. Bunu bir adım öteye taşıyarak, kiralama hizmetleri için DDoS var!
Dağıtılmış Hizmet Reddinin gerçek dünyadan örnekleri
Dağıtılmış Hizmet Reddi saldırıları ne kadar şiddetli olabilir? Son birkaç yılın ünlü DDoS saldırılarına bir göz atalım.
GitHub (iki kez!): GitHub, 1015'te büyük bir Hizmet Reddi Saldırısı yaşadı. Saldırıların, platformdaki iki anti-sansür projesini hedef aldığı görülüyordu. Saldırılar birkaç gün boyunca GitHub'ın performansını ve kullanılabilirliğini etkiledi.
Ardından 2018'de GitHub yine bir DDoS saldırısının hedefi oldu. Bu sefer saldırganlar memcaching tabanlı bir saldırı kullandılar. Amplifikasyon ve yansıma yöntemlerinden yararlandılar. Saldırının boyutuna rağmen, saldırganlar GitHub'ı yalnızca yaklaşık 10 dakikalığına indirdi.
Estonya ulusu: Nisan 2007, bütün bir ulusa karşı bilinen ilk siber saldırı oldu. Estonya hükümetinin Bronz Asker heykelini Tallinn'in merkezinden askeri mezarlığa taşımaya karar vermesinden kısa bir süre sonra isyanlar ve yağma meydana geldi. Aynı zamanda saldırganlar, haftalarca süren bir dizi Dağıtılmış Hizmet Reddi saldırısı başlattı. Ülkedeki çevrimiçi bankacılık, medya ve devlet hizmetlerini etkilediler.
Dyn DNS: 21 Ekim 2016'da Dyn büyük ölçekli bir DDoS saldırısına uğradı. Saldırı nedeniyle, Dyn DNS hizmetleri kullanıcı sorgularını çözemedi. Sonuç olarak, Airbnb, Amazon.com, CNN, Twitter, HBO ve VISA dahil olmak üzere binlerce yüksek trafikli web sitesi kullanılamadı. Saldırı, web kameraları ve bebek monitörleri de dahil olmak üzere çok sayıda IoT cihazı aracılığıyla koordine edildi.
DDoS saldırılarına karşı korunmak için WordPress ipuçları
Bireysel bir WordPress yöneticisi olarak, bir DDoS saldırısını savuşturacak kaynaklara ve altyapıya sahip değilsiniz. Pek çok WordPress web barındırıcısı, bir tür DDoS saldırısı azaltma sunar. Bu nedenle, WordPress web siteniz için bir barındırma sağlayıcısı seçerken bunu sorun. Ayrıca bir WordPress / web uygulaması güvenlik duvarı (WAF) ve İçerik Dağıtım Ağı (CDN) kullanabilirsiniz. Sucuri gibi her ikisini de tek bir çözümde sağlayan sağlayıcılar olduğundan, WAF'leri ve CDN'leri tek bir girişte birleştirdik.
Bir WAF veya CDN kullandığınızda, trafik web sitenize ulaşmadan önce hizmet tarafından yönlendirilir ve filtrelenir. Bu kurulum, diğerlerinin hasarını sınırlarken geçişte birçok saldırıyı önleyebilir. Bazı CDN'ler, DDoS saldırılarının algılanmasını ve bunlara yanıt verilmesini sağlayan avantajlar sunar. Bulutta ölçek ekonomilerinden yararlanabildikleri için CDN'ler ve çevrimiçi WAF'ler saldırıları devre dışı bırakabilir. Bunları, çok fazla bant genişliğine ve bunları işlemek için doğru araçlara sahip ağlara yönlendirirler.
Bilgisayar korsanlarını ve DDoS saldırılarını caydırmak
Ancak, WordPress BruteForce Botnet'te görüldüğü gibi, saldırganların ve muhtemelen DDoS saldırılarının dikkatini çekmemesi için WordPress web sitenize uygulayabileceğiniz birkaç en iyi güvenlik uygulaması vardır:
- WordPress sitenizi güncel tutun: WordPress çekirdeğinizi, eklentilerinizi, temalarınızı ve kullandığınız diğer tüm yazılımları güncel tutmak, bilinen bir güvenlik açığının size karşı kullanılması riskini azaltır. Sitenizi güncel tutmak, aynı zamanda bir botnet'in parçası olma şansını da azaltır.
- Güvenlik açıklarını kontrol etmek için bir tarayıcı kullanın: Bazı DoS saldırıları, Slowloris gibi sorunlardan yararlanır. Bu ve diğer güvenlik açıkları, güvenlik açığı tarayıcıları tarafından tespit edilebilir. Bu nedenle, web sitenizi ve web sunucunuzu sık sık taradığınızda, DDoS saldırılarının yararlanabileceği güvenlik açıklarını tespit edersiniz. Kullanabileceğiniz çeşitli tarayıcılar vardır. WordPress yöneticilerine müdahaleci olmayan WPScan Güvenlik Tarayıcısını kullanıyoruz.
- Güvenliği artırmak ve sorunları belirlemek için günlükleri inceleyin: WordPress denetim günlükleri ve diğer günlükler, kötü niyetli davranışların erkenden belirlenmesine yardımcı olabilir. Günlükler aracılığıyla, belirli HTTP hata kodları gibi DDoS saldırılarının neden olabileceği sorunları tanımlayabilirsiniz. Günlükler ayrıca bir saldırının kaynağını incelemenize ve analiz etmenize olanak tanır. WordPress yöneticilerinin web sitelerini daha iyi yönetmek ve güvenceye almak için kullanabilecekleri birkaç günlük dosyası vardır.
- Kullanıcı kimlik doğrulamasını güçlendirin: Bu en son en iyi uygulama olabilir, ancak diğerleri kadar önemlidir. Web sitenizin kullanıcılarının güçlü parolalar kullanmasını sağlamak için güçlü WordPress parola politikaları uygulayın. Bunun da ötesinde, iki faktörlü bir kimlik doğrulama eklentisi kurun ve iki faktörlü kimlik doğrulamayı zorunlu kılmak için politikalar uygulayın.