Cloudflare’ün yayınladığı rapora göre, 2024 yılında 1 Tbps’i aşan hiper hacimli DDoS saldırılarında önemli bir artış oldu. Sadece büyüklük değil, sıklık açısından da yükselme var.
Bu arada 29 ekim 2024 tarihinde de Doğu Asya’daki bir internet servis sağlayıcısı(İSS) rekor kıran 5,6 Tbps’lik DDoS saldırısı meydana geldi. Bu, bugüne kadar kaydedilen en büyük DDoS saldırısı oldu.
Saldırı yaklaşık 80 saniye sürdü ve 13.000’den fazla sızılmış Nesnelerin İnterneti (IoT) cihazından oluşan bir Mirai varyantı botneti kullanıldı.
Cloudflare, 2024’ün 4. Çeyreğinde 420’den fazla bu tür saldırıyı azalttığını bildirdi ve bu, bir önceki çeyreğe kıyasla %1.885’lik şaşırtıcı bir artışa işaret ediyor. Cloudflare, 2024 boyunca yaklaşık 21,3 milyon DDoS saldırısını engellediğini ve bunun, 2023’e göre %53’lük bir artışı temsil ettiğini açıkladı.
Ddos Saldırılarındaki Artışın nedeni nedir?
2024’te saniyede 1 terabit’i (Tbps) aşan hiper hacimli Dağıtılmış Hizmet Reddi (DDoS) saldırılarındaki artış, birden fazla teknolojik, jeopolitik ve siber suç faktöründen kaynaklanıyor. Bu rekor artışın arkasındaki temel nedenler şöyle sıralanıyor;
Mirai ve Gelişmiş Botnetlerin Yaygınlaşması : Bu, IoT Odaklı DDoS Saldırıları Ölçeklenmesi anlamına geliyor.
Mirai botnet ve türevleri milyonlarca korumasız Nesnelerin İnterneti (IoT) cihazını (akıllı kameralar, yönlendiriciler ve diğer akıllı ev cihazları) enfekte ederek gelişmeye devam ediyor. Saldırganlar, genellikle 1 Tbps’nin üzerine çıkan yüksek hızlı, yüksek hacimli DDoS saldırıları başlatmak için bu botnet’leri kullanıyor.
IoT cihazlarının artan sayısı (şu anda küresel olarak 20 milyardan fazla) daha fazla DDoS yeteneğine sahip makine sağlıyor. Birçok IoT cihazı temel güvenlik korumalarından yoksun ve bu da onları ele geçirmeyi kolaylaştırıyor.
Yapay Zeka Destekli Saldırı Otomasyonu :Yapay Zeka (AI) ve Makine Öğrenimi (ML), siber suçluların saldırı modellerini maksimum etki için optimize etmelerine yardımcı oluyor. Yapay zeka destekli botlar, gerçek zamanlı olarak uyum sağlayabilir ve saldırı vektörlerini azaltma yanıtlarına göre değiştirebilir. Saldırganlar, birden fazla saldırı yöntemini (hacimsel, TCP tükenmesi ve uygulama katmanı taşmaları) aynı anda koordine edebilir.
Ayrıca, yapay zeka destekli botnet’ler saldırı yöntemlerini dinamik olarak değiştirebilir ve bu da azaltmayı zorlaştırır. Yapay zeka modelleri ağ trafiğini gerçek zamanlı olarak analiz ederek en savunmasız giriş noktalarını bulur.
“Patlama” Saldırılarının (Kısa, Büyük Hacimler) Benimsenmesi : Saldırganlar, kısa süreler (90 saniyenin altında) için aşırı trafik patlamaları (1 Tbps’nin üzerinde) başlattıkları “vur-kaç” DDoS taktiklerine geçiyor. Bu, azaltma devreye girmeden önce savunmaları alt üst ediyor. Örnek: 2024’ün 4. çeyreğindeki 5,6 Tbps saldırısı yalnızca 80 saniye sürdü, ancak büyük kesintilere neden oldu.
Çünkü saldırganlar, geleneksel DDoS azaltma çözümünün tepki vermesinin zaman aldığını biliyor. Kısa ama büyük çaplı bir saldırı, savunmalar ölçeklenmeden önce ağları çökertebiliyor.
Artan Jeopolitik Siber Savaş : Hükümet destekli bilgisayar korsanlığı grupları giderek artan bir şekilde DDoS’u bir siber savaş aracı olarak kullanıyor. DDoS saldırıları Rusya-Ukrayna, Çin-Tayvan ve Orta Doğu siber çatışmalarında kullanıldı. En büyük devlet destekli saldırılar 1-2 Tbps’yi aşıyor.
Son Jeopolitik DDoS Trendlerine bakarsak, Rus tehdit grupları Ukrayna altyapısına karşı 1+ Tbps saldırıları başlattı. Çinli siber aktörler Tayvan’ın ağlarını büyük trafik artışlarıyla doldurdu. ABD ve AB finans kuruluşları sıklıkla siyasi amaçlı siber gruplar tarafından hedef alınıyor.
Kiralık DDoS Hizmetlerinin (Booter/Stresser) Yaygınlaşması : Siber suçlular DDoS saldırılarını ticarileştirerek bunları yaygın olarak kullanılabilir hale getiriyor. Kiralık DDoS hizmetleri (Booter/Stresser platformları) herkesin saatte 20$ gibi düşük bir ücretle saldırılar başlatmasına olanak tanıyor. Bu hizmetler ölçekleniyor ve çoklu Tbps saldırı yetenekleri sunuyor.
Düşük becerili saldırganlar (script kiddies) bile artık büyük, yüksek hızlı saldırılar başlatabiliyor. Birçok karanlık web hizmeti “garantili 1+ Tbps saldırıları” reklamı yapıyor.
Güçlendirme İçin Bulut Hizmetlerinin İstismarı : Saldırganlar, DDoS trafiğini artırmak için yanlış yapılandırılmış bulut hizmetlerini, API’leri ve uç bilgi işlem ağlarını kullanıyor. DNS amplifikasyonu, Memcached yansıması ve HTTP flood’ları gibi teknikler saldırıların 100 kata kadar büyütülmesine olanak tanır.
Bulut tabanlı DDoS amplifikasyonu rekor kıran saldırı hacimlerine olanak tanır.
Yanlış yapılandırılmış API’ler ve CDN (İçerik Dağıtım Ağları) saldırı trafiğini büyük ölçekte yeniden yönlendirmek için ele geçirilebilir.
Ddos Saldırılarındaki Artışa Karşı Neler Yapılmalı?
Cloudflare ülkemizde de çok kullanılan bir servis. Bahsettiği DDoS saldırılarının hem ölçeğindeki hem de sıklığındaki artış, gelişen tehdit ortamına karşı önlemler şöyle sıralanabilir :
Gelişmiş DDoS Azaltma Stratejileri Uygulayın: Büyük ölçekli saldırıları gerçek zamanlı olarak tespit edip azaltabilen çözümler kullanın.
IoT Cihazlarının İzlenmesini Geliştirin: Mirai gibi botnetlerdeki IoT cihazlarının rolü göz önüne alındığında, istismarı önlemek için bu cihazları güvence altına almak hayati önem taşır.
Tehdit İstihbaratı Hakkında Bilgi Edinin: Ortaya çıkan saldırı vektörlerini öngörmek ve onlara karşı savunmak için en son tehdit istihbaratına dayalı olarak güvenlik protokollerini düzenli olarak güncelleyin.
Proaktif ve kapsamlı siber güvenlik önlemlerini benimseyerek, kuruluşlar kendilerini artan DDoS saldırıları tehdidine karşı daha iyi koruyabilirler.
Kaynak : 