Dağıtılmış hizmet reddi (DDoS) saldırılarının sıklığı ve karmaşıklığı, Dark Web’de ve suç pazarlarında birkaç dolara sunulan saldırı araçlarının sayısı sayesinde artıyor. 2022’de Londra Limanı İdaresinden Ukrayna’nın ulusal posta hizmetine kadar bir dizi kuruluş kurban oldu.
Güvenlik liderleri, trafiği birden çok sunucuya dağıtmak için ağ trafiği kalıplarını izleyerek, güvenlik duvarları uygulayarak ve içerik dağıtım ağlarını (CDN’ler) kullanarak zaten DDoS saldırılarıyla mücadele ediyor. Ancak daha fazla güvenlik denetiminin devreye sokulması, daha fazla DDoS yanlış pozitifine de neden olabilir — bir saldırının parçası olmayan ancak analistlerin hizmet kesintilerine ve marka hasarına yol açmadan önce hafifletmek için adımlar atmasını gerektiren meşru trafik.
Hız sınırlama, genellikle verimli DDoS azaltma için en iyi yöntem olarak kabul edilir: State of Application Security Q4 2022 raporumuza göre, URI’ye özgü hız sınırlama, DDoS saldırılarının %47’sini önler. Ancak gerçek şu ki, çok az mühendislik lideri onu nasıl etkili bir şekilde kullanacağını biliyor. Yanlış pozitiflerden kaçınırken oran sınırlamasını etkili bir şekilde nasıl kullanacağınız aşağıda açıklanmıştır.
Beklenen Ağ Trafiğini ve Güvenlik Açıklarını Anlayın
Mühendislik liderleri, hangi eşikleri ayarlayacaklarını bilmediklerinden, bir DDoS azaltma aracı olarak hız sınırlamasını uygulamayı genellikle zor bulurlar. İlk adım aşağıdaki soruları cevaplamaktır:
- Uygulamanızı dakikada kaç kullanıcı ziyaret ediyor?
- Uygulamanız kaç tane rapor/gösterge panosu eylemi işleyebilir? Bu, parola sıfırlama sayfası için de aynı mı?
- Kontrol panellerindeki sunucu yükü yüksek olma eğiliminde olduğundan, daha düşük bir oran sınırı, örneğin bir profil sayfası gibi daha ucuz bir kaynağa erişmeye çalışan yasal kullanıcıları engelleyebilir mi?
Bir giriş sayfasında bir dakikada 100’den fazla istek sunucuyu kapatmak için yeterli olabilirken, bir ürün sayfası dakikada 300 isteği işlemekte sorun yaşamayabilir. Bu nedenle, her uygulama içindeki her URL için ağ trafiği eşiğini bilmek yararlıdır.
Ağ izleme araçları, günlük dosyaları ve arabellek kapasitesi, ekiplerin doğru temel ağ trafiği modelleri geliştirmesine ve gelen ve giden veri akışını yönetmesine yardımcı olabilir. 30 gün boyunca bir Noel tatili kampanyası yürüttüğünüzü ve istek sınırının dakikada 300 olduğunu varsayalım. Beklenen ağ trafiğini net bir şekilde anlamak için güvenlik ve DevOps ekiplerinin iki şeyi bilmesi gerekir: Dakikada ortalama kaç istek yapıldı? Ve bir dakika içinde 480 istek varsa, ekip bunun yasal trafik olup olmadığını kontrol etmek için bir uyarı alıyor mu?
IP, ana bilgisayar, etki alanı ve URI güvenlik açıkları hakkında ayrıntılı ayrıntılara sahip olmak, ekiplerin DDoS saldırılarını engellemek için daha hızlı hareket edebileceği anlamına gelir.
Çok sayıda güvenlik ekibi, yalnızca tüketicilere yönelik ticari web sitelerini değil, kendi insan kaynakları yönetim sistemlerini hedef alan saldırılarla ilgili uyarılar aldıklarında şaşırdılar. Yanlış alarmları azaltmak için DDoS saldırılarının hedef aldığı tüm potansiyel uygulamaların farkında olmak çok önemlidir.
Çeşitli Parametrelerde Özel Hız Limitleri Uygulayın
Güvenlik ekipleri, 24 saat uygulama kullanılabilirliği istiyor ve DDoS azaltma yazılımından daha fazla değer elde etmek için yönetilen hizmetlere güveniyor. Yerleşik DDoS temizleyiciler, güvenlik liderlerinin statik oran sınırlarının ötesine geçmesine ve ana bilgisayar, IP, URL ve coğrafya tarafından alınan gelen trafiğin davranışına dayalı olarak kuralları özelleştirmesine yardımcı olur.
Peki, siber güvenlik ekipleri hız limitleri hakkında ne bilmeli?
- Etki alanı düzeyinde (ör. acme.com) asla oran sınırlaması yapmayın. Etki alanına yüzlerce URL eklenir ve bu da hız sınırını tetiklemek için gereken sayfa başına istekleri azaltır. Bu, meşru isteklerin gereksiz yere engellenmesine neden olabilir veya genel olarak hız sınırlarını yükselterek bunu telafi ederseniz, çok fazla sayıda kötü niyetli isteğin geçmesine izin verebilirsiniz.
- Hangi müşterilerin belirli bir URL’ye veya URL grubuna erişebileceğini kontrol etmek için URL’de (ör. acme.com/login) oran sınırları belirleyin. Siber güvenlik ekipleri, her URL için farklı hız sınırları belirleyebilir ve sayı hız sınırını aşarsa bir sunucu istekleri engelleyebilir.
- Kötü niyetli etkinliği gösterebilecek olağandışı davranışları algılamak ve böylece sunucuların aşırı yüklenmesini önlemek için oturum düzeyinde (oturum açma süresi) istek oranını özelleştirin. Örneğin, bir kullanıcı acme.com’u dakikada 100 kez açarsa bu normal bir davranış değildir.
- Belirli bir IP adresinden gelen isteklerin veya bağlantıların sayısını sınırlamak için hız sınırlarını bir IP düzeyinde izleyin. IP kara listesi – bilinen kötü niyetli aktörleri veya kaynakları bir kara listeye eklemek – web sitesi sahiplerinin DDoS saldırılarına karıştığı bilinen IP adreslerinden gelen trafiği engellemesini kolaylaştırır.
- Coğrafi oran sınırlaması uygulayın. Güvenlik liderlerinin, trafik kaynağını doğrulamak için IP adresi itibarlarını ve coğrafi konum verilerini hızlı bir şekilde incelemesi gerekir. En iyi uygulama olarak, ekiplerin coğrafi sınırlamayı tüm yerel uygulamalar için bir standart olarak uygulamasını öneriyorum.
Uygulama sahipleri, yukarıdaki yöntemleri kullanarak, kullanıcı davranışına dayalı sistem önerilerini kullanarak daha ayrıntılı oran sınırları belirler. Bu, istekleri engellemeden önce tarpitting ve CAPTCHA gibi DDoS azaltma mekanizmalarının kullanılmasıyla bağlantılı olarak, yanlış pozitifleri mümkün olan en üst düzeye indirebilir.
Siber güvenlik karar vericileri, ağ trafiği kalıplarını net bir şekilde anlayarak ve tehdit istihbaratı için hız limitleri belirlemek üzere tam olarak yönetilen platformları kullanarak korumaya yönelik çok katmanlı bir yaklaşım benimsemelidir.