Uygulama Katmanı DDoS Saldırıları

Uygulama Katmanı Saldırıları veya Katman 7 (L7) DDoS saldırıları, HTTP GET ve HTTP POST gibi yaygın internet isteklerinin gerçekleştirildiği OSI modelindeki "üst" katmanı hedeflemek için tasarlanmış bir tür kötü niyetli davranıştır. Bu katman 7 saldırıları, DNS Amplification gibi ağ katmanı saldırılarının aksine, ağ kaynaklarına ek olarak sunucu kaynaklarını tüketmeleri nedeniyle özellikle etkilidir.

• Katman 7 DDoS saldırıları, ağ katmanı saldırılarına kıyasla tipik olarak "düşük ve yavaştır", ancak aynı
  derecede yıkıcı olabilmektedirler.
• Katman 7 saldırısının en yaygın türü, görünüşte meşru istekleri çok fazla sayıda gönderen HTTP Flood’larıdır.
• Bu tür saldırılar, özellikle büyük dosya indirmeleri veya form gönderimleri gibi web uygulamasının kaynağa aç öğelerini hedeflediklerinde etkilidir. Bireysel olarak, istekler meşru görünebilir, ancak yoğunluk, bellek veya CPU gibi kaynakların tükenmesine yol açmaktadırlar.

Nasıl çalışır?

Çoğu DDoS saldırısının yıkıcılığı, bir saldırı başlatmak için gereken kaynak miktarının azlığından ve saldırıyı atlatabilmek veya etkisini azaltmak için gereken kaynak miktarının çok olmasından kaynaklanmaktadır. L7 saldırılarında aynı durum geçerli olup hem hedeflenen sunucuyu hem de ağı etkileme verimliliği, aynı yıkıcı etkiyi elde etmek için daha az toplam bant genişliği gerektirmektedir. Sonuç olarak uygulama katmanı saldırısı, daha az kaynakla daha fazla hasar oluşturabilmektedir.

Durumun neden böyle olduğunu anlayabilmek için, istekte bulunan bir istemci ile isteğe yanıt veren bir sunucu arasındaki kaynak tüketimindeki farktan yola çıkılabilir. Örneğin bir kullanıcı, mail hesabı gibi bir çevrimiçi hesaba giriş yapmak için bir istek gönderdiğinde, kullanıcının bilgisayarının kullanması gereken kaynakların miktarı sunucu tarafından kullanılan kaynak miktarına oranla oldukça azdır. İstemciye sunucu tarafından veri tabanından alınan veri ve ardından istenen web sayfasını içeren bir yanıt gönderilmektedir. Oturum açma olmadığında bile, çoğu zaman bir istemciden istek alan bir sunucu, bir web sayfası oluşturmak için veri tabanı sorguları veya diğer API çağrıları yapmak zorundadır. Bir Botnet saldırısı sırasında olduğu gibi tek bir web mülkünü hedefleyen birçok cihazın bir sonucu olarak bu eşitsizlik büyüdüğünde, etki hedeflenen sunucuyu bunaltabilir ve meşru trafiğe hizmet reddine neden olabilir. Çoğu durumda, bir API'yi L7 saldırısıyla hedeflemek, hizmeti çevrimdışına almak için yeterli olmaktadır.

Durdurması neden zordur?

Saldırı trafiği ile normal trafik arasında ayrım yapmak, özellikle bir Botnet'in kurbanın sunucusuna HTTP Flood saldırısı gerçekleştirmesi gibi bir uygulama katmanı saldırısı söz konusu olduğunda zordur. Bir Botnet'teki her bot görünüşte meşru ağ isteklerinde bulunduğundan, trafik sahte değildir ve kaynakta "normal" görünebilmektedir.
Uygulama katmanı saldırıları, trafiği düzenli olarak dalgalanabilen belirli kural kümelerine dayalı olarak uyarlanabilir bir strateji gerektirmektedir. Düzgün yapılandırılmış bir WAF gibi araçlar, bir kaynak sunucuya aktarılan sahte trafik miktarını ve DDoS girişiminin etkisini büyük ölçüde azaltabilmektedir. SYN Flood gibi diğer saldırılar veya NTP
yükseltme gibi yansıma saldırıları ile ağın kendisinin bunları alacak bant genişliğine sahip olması koşuluyla, trafiği oldukça verimli bir şekilde düşürmek için stratejiler kullanılabilmektedir. Ne yazık ki çoğu ağ 300 Gbps yükseltme saldırısını alamamakta ve bir L7 saldırısının oluşturabileceği uygulama katmanı isteklerini doğru şekilde yönlendirememekte veya sunamamaktadır. 

Nasıl azaltılır/engellenir?

Yöntemlerden birisi trafiğin bot olup olmadığını test etmek için ağ isteğinde bulunan cihaza bir teyit mekanizması uygulamaktır. Bu, çevrimiçi bir hesap oluştururken yaygın olarak bulunan CAPTCHA testine çok benzeyen bir test yoluyla yapılmaktadır. JavaScript hesaplama sorgulaması gibi bir gereksinim verilerek, birçok saldırı hafifletilebilmektedir. HTTP Flood’larını durdurmanın diğer yolları arasında bir web uygulaması güvenlik duvarının kullanılması, bir IP itibar veritabanı aracılığıyla trafiğin yönetilmesi ve filtrelenmesi ve mühendisler tarafından anında ağ analizi yer almaktadır.