EN
EN

DDoS Saldırıları ve Korunma Yöntemleri


Servisleri devre dışı bırakmaya yönelik saldırılar BT güvenliği için büyük tehdit olmaya devam etmektedir. DDoS saldırıları, kötü amaçlı saldırılarının aksine servisleri devre dışı bırakmak için uç noktada bulunan sunucuya direkt olarak bir saldırı gerçekleştirmezler. DDoS saldırılarında, ağınıza yönlendirilen IP adresine saldırı gerçekleştirilir. Bunlar yönlendiriciler arası bağlantı sağlayan IP’ler, güvenlik duvarı/Proxy/wifi ağ geçidi IPleri potansiyel hedefler olmaktadır. Bulut tabanlı CDN ve DNS tabanlı hafifletme (mitigation) azaltma seçenekleri bu saldırılara karşı tam koruma sağlayamaz. Bu sistemleri kullanan işletmeler üzerinde ki etkisi şu şekilde özetlenebilir;

Güvenlik duvarı veya erişim sınırından dolayı kullanıcılar bulut hizmetlerine erişim sağlayamaz. Buluttaki sunucular açık ve hizmete hazır olsa dâhi gerçekleşen kesintiden dolayı erişim sağlanamaz ve iş sürekliliği kesintiye uğrar.

Saldırganlar çok vektörlü ve çok katmanlı DDoS saldırı yöntemlerini kullanarak sahte trafik istekleri ve kaynak IP’ler ile gerçekleştirdikleri saldırılar için ACL yetersiz kalacak ve etkin bir koruma sunamayacaktır. Bu tür saldırılar giderek yaygınlaşmakta ve mirai türünde saldırılar kullanılmaktadır. Bu saldırı türleri sağlayıcılar tarafından ticarileştirildiği için kullanıcılar birkaç dolara büyük saldırılar düzenleyebilmektedir. Bu saldırıları engellemek için saldırı türlerine göre dinamik cevaplar verebilecek ve geniş saldırı yüzeylerini koruyabilecek çözüme ihtiyaç duyulmaktadır.

FortiDDoS: DDoS Saldırı Engellemesine Farklı ve Daha İyi Bir Yaklaşım

FortiDDoS cihazları makine öğrenmesini kullanır. FortiDDoS ürünleri gelen saldırıları hafifletmek ve engelleme gibi işlemlerini gerçekleştirmek için özelleştirilmiş güvenlik işlemcisi (Security Processing Units) ve CPU/ASIC hibrit sistemleri kullanır. TP2 ve TP3 SPU trafik işlemcileri %100 verim ile trafiğin denetimini gerçekleştirir. En hızlı ve en doğru algılama ve azaltma sonuçları için giden-gelen trafiğin 3,4,7 katmanlarındaki paketleri en düşük gecikme süresi ile analiz eder. FortiDDoS tehditleri tanımlamak için %100 makine öğrenimi kullanır. Bu sayede gelen trafiği ve saldırı trafiğini davranış tabanlı yöntemler kullanarak analiz eder. Önceden tanımlanmış imzalar ile trafik kontrolünün aksine bu yöntem daha önce kullanılmayan veya imzalarda bulunmayan yeni nesil saldırıları da analiz eder ve başarıyla engeller. FortiDDoS uygulayacağı ve analiz edeceği takip yolunu oluşturmak için hesaplama mimarisini kullanır ve yüz binlerce parametreden oluşan filtrelerle trafiği izler. Bir saldırı başlarsa eğer FortiDDoS bunu anormal olarak algılar ve hafifletmek için aksiyon alır.

SPU’ların Gücü

FortiDDoS bilinen zero-day saldırılarına karşı koruma sağlar ve yerel imzalar oluşturulabilir. Aynı zamanda veri tabanında bulunan güncel imzaları da kullanır. Diğer üreticiler trafiğin tamamını analiz edememektedir ve analiz edebildiği trafiğe daha az sayıda parametre uygulamaktadırlar. Bu da trafiğin tam olarak sağlıklı değerlendirilmemesine sebep olmaktadır. FortiDDoS ’un paralel SPU trafik işlemcileri küçük trafik isteklerinin bile tamamını analiz eder ve analiz ettiği trafiği 230.000 parametreye tâbi tutmaktadır. Bu sayede FortiDDoS ilk pakette bile anormal trafiği analiz edecek ve diğer yöntemlerden veya sağlayıcılardan daha hızlı bir şekilde trafiği hafifletecektir. Saldırı anında değişken vektörler ve saldırı yöntemi değişse dâhi FortiDDoS anında tepki veren parametrelerle değişkenleri tespit edecek ve trafiği hafifletmeye devam edecektir.

Botnetlerin Oluşması

Tehlikeye açık IoT cihazları botnet saldırılarının artmasına sebep oldu ve IoT cihazlarının artmasıyla beraber botnet cihazları büyüdü. Bireysel olarak botnet cihazlarının gücü azdır fakat birden fazla botnet cihazları birleşerek saldırı gerçekleştirmesiyle kayda değer derece de trafik oluşturarak DDoS saldırılar gerçekleştirilebilir. Küçük paketlerle ile gerçekleştirilen bu saldırıların önlenmesini Firewall’lar ve CPU merkezli DDoS cihazları tam olarak karşılayamamaktadır. FortiDDoS tam denetimli paket kontrolü ile bunun önüne geçmiştir.

DNS’e Yönelik Saldırılar

DNS, internet dünyasının çalışmasında önem arz eden protokollerden biridir. DNS günümüzün internet altyapısının çalışmasında önemli bir yere sahiptir. FortiDDoS DNS trafiğini de %100 denetleyerek DNS saldırılarını da engeller ve DNS sunuculara gelen DNS paketlerini 30 farklı parametreye tâbi tutarak tarar. Saniyede 12 milyon sorguya kadar DNS paketini analiz edebilir ve FortiDDoS’a ait yenilikçi DQRM teknolojisi ile DNS saldırılarını durdurur.

Security Fabric

FortiDDoS Fortinet’e ait olan Security Fabric yapısıyla uyumludur. FortiDDoS sistem performansını ve ağ üzerinden gerçekleştirilen engellemeleri ve hafifletmeyi(mitigation) görüntüleyebilir. FortiOS Security Fabric ara yüzünden DDoS tehditlerinde devreye alınan hafifletmeleri ve diğer Security Fabric ürünlerini görüntüleyebilirsiniz.

Temel Özellikler Ve Yararları

%100 Makine Öğrenmesi ve Algılama

FortiDDoS son tehditlerle güncellenmesi gereken imza dosyalarına kaynak olarak güvenmez ve makine öğrenmesi ile çalışan sistem trafiğini analiz eder. Bu sayede analiz ettiği trafiğe göre aksiyon alır. Böylelikle bilinen ve bilinmeyen zero-day saldırılarına karşı korunma sağlanır.

%100 Donanım Tabanlı Koruma

SPU tabanlı TP2 ve TP3 trafik işlemcileri çift yönlü algılama ve %100 paket denetimi sağlar. Bu sayede 3,4,7 katmanlarını hedefleyen DDoS saldırılarına efektif şekilde cevap verilmiş olur.

Sürekli Saldırı Değerlendirmesi

İncelenen trafiğin false positive algılamasını en aza indirir.

Gelişmiş DNS Koruması

FortiDDoS, saniye başı(QPS) 12 milyon sorguya kadar tüm DNS trafiğinde %100 denetim sağlar. DNS tabanlı hacimsel ve uygulama saldırılarını tespit eder ve önlem alır.

Makine Öğrenmesi

Minimum yapılandırma ile FortiDDoS otomatik olarak trafik ve kaynak bazlı davranış profilleri oluşturacaktır. Bu sayede BT Yönetim kaynaklarından tasarruf elde edilir.

Otonom Hafifletme

Saldırı geldiğinde operatör müdahalesi olmadan hafifletmeyi gerçekleştirir.

Merkezi Yönetim

FortiDDoS-CM coğrafi olarak farklı lokasyonlarda çalışan birden fazla FortiDDoS ünitesine sahip kullanıcıların kullanabilecekleri bir platformdur. Tüm cihazlar yönetilebilir ve platform üzerinden oturum açılabilir.