DDoS, bir bilgisayar sistemine veya ağına yapılan ve bir hizmetin veya kaynağın yasal kullanıcılar tarafından erişilemez olmasına neden olan bir saldırıdır.
Birkaç gün önce şu haber çıktı Google, altyapısına yönelik en büyük DDoS saldırısını kaydetti, yoğunluğu 398 milyon RPS (saniyedeki istekler) idi. Saldırılar gerçekleştirildi önceden bilinmeyen bir güvenlik açığını kullanarak (CVE-2023-44487) HTTP/2 protokolünde bulunur; bu, istemcide minimum yük ile büyük miktarda istek akışının sunucuya gönderilmesine olanak tanır.
Bundan bahsediliyor "Hızlı Sıfırlama" adı verilen yeni saldırı tekniği HTTP/2'de sağlanan iletişim kanallarını çoğullama araçlarının, yeni ağ bağlantıları açmadan ve paketlerin alınmasının onayını beklemeden, önceden kurulmuş bir bağlantı içerisinde bir istek akışı oluşturulmasına izin vermesi gerçeğinden yararlanır.
Güvenlik Açığı HTTP/2 protokolündeki bir başarısızlığın sonucu olarak kabul edilir Spesifikasyonu, çok fazla akış açmaya çalışırsanız yalnızca sınırı aşan akışların iptal edilmesi gerektiğini, ancak ağın tamamının iptal edilmemesi gerektiğini belirtir.
İstemci tarafı saldırısından bu yanaYanıt almadan yalnızca istek göndererek gerçekleştirilebilir, Saldırı minimum ek yük ile gerçekleştirilebilir. Örneğin Cloudflare tarafından kaydedilen saniyede 201 milyon istek saldırısı, 20 bin bilgisayardan oluşan nispeten küçük bir botnet kullanılarak gerçekleştirildi.
Sunucu tarafında, gelen istekleri işleme maliyeti önemli ölçüde daha yüksektir, iptal edilmesine rağmen, yeni iş parçacıkları için veri yapılarının tahsis edilmesi, isteğin ayrıştırılması, başlığın sıkıştırılmasının açılması ve URL'nin kaynağa atanması gibi işlemlerin gerçekleştirilmesi gerektiğinden. Ters proxy'lere saldırırken, proxy'nin RST_STREAM çerçevesi işlenmeden önce isteği sunucuya yönlendirmek için zamanı olabileceğinden saldırı sunuculara yayılabilir.
Bir saldırı yalnızca HTTP/2'yi destekleyen savunmasız sunucularda gerçekleştirilebilir (sunuculardaki güvenlik açıklarının tezahürünü kontrol etmek için bir komut dosyası, bir saldırı gerçekleştirmek için araçlar). HTTP/3 için saldırılar henüz tespit edilmedi ve oluşma olasılıkları tam olarak analiz edilmedi, ancak Google temsilcileri, sunucu geliştiricilerinin HTTP/3'ye yönelik saldırıları engellemek için uygulananlara benzer güvenlik önlemlerini HTTP/2 uygulamalarına eklemelerini öneriyor.
Daha önce HTTP/2'de kullanılan saldırı yöntemlerine benzer şekilde, yeni saldırı da tek bir bağlantı içinde çok sayıda iş parçacığı yaratıyor. Yeni saldırının temel farkı, yanıt beklemek yerine, gönderilen her isteğin ardından, isteği anında iptal eden RST_STREAM bayrağına sahip bir çerçevenin gelmesidir.
Bir isteği erken bir aşamada iptal etmek, istemciye gelen ters trafikten kurtulmanıza ve HTTP sunucularında tek bir HTTP/2 bağlantısı içinde aynı anda açılan mümkün olan maksimum akış sayısına ilişkin kısıtlamalardan kaçınmanıza olanak tanır. Böylece yeni saldırıda, HTTP sunucusuna gönderilen isteklerin hacmi artık isteğin gönderilmesi ile yanıtın alınması arasındaki gecikmelere (RTT, gidiş-dönüş süresi) bağlı olmayıp yalnızca sunucunun iletişim kanalının bant genişliğine bağlıdır.
Bundan bahsediliyor En son saldırı dalgası ağustos ayı sonlarında başladı ve bugün de devam ediyor. Google Hizmetleri, Google Bulut Altyapısı dahil olmak üzere büyük altyapı sağlayıcılarını ve onların müşterilerini hedefler.
Her ne kadar bu saldırılar Google'ın şimdiye kadar gördüğü en büyük saldırılardan biri olsa da, küresel yük dengeleme ve DDoS azaltma altyapısı, hizmetlerinin çalışmaya devam etmesine olanak sağladı.
Google'ı, müşterilerini ve İnternet'in geri kalanını korumak amacıyla, saldırının mekaniğini anlamak ve bu saldırılara yanıt olarak uygulanabilecek hafifletme önlemleri üzerinde işbirliği yapmak amacıyla sektör ortaklarıyla koordineli bir çabanın yürütülmesine yardımcı oldular.
Google'ın yanı sıra, Amazon ve Cloudflare de 155 ve 201 milyon RPS yoğunluğundaki saldırılarla karşılaştı. Yeni saldırılar, saldırganların saniyede 47 milyon istek akışı oluşturmayı başardığı önceki rekor kıran DDoS saldırısının yoğunluğunu önemli ölçüde aşıyor. Karşılaştırma yapmak gerekirse, Web'in tamamındaki tüm trafiğin saniyede 1.000 milyar ila 3.000 milyar istek arasında olduğu tahmin edilmektedir.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara şuradan bakabilirsiniz: aşağıdaki bağlantı.