1.400’den fazla web sitesinde yapılan Induface araştırması, 2023’ün 2. çeyreğinde, 2023’ün ilk çeyreğine kıyasla DDoS saldırılarında ve bot saldırılarında önemli bir artış kaydetti. DDoS saldırılarında %75 artış ve bot saldırılarında %48 artış.
Üstelik DDoS saldırılarındaki son trendler, Mirai botunun ötesinde önemli bir evrime işaret ediyor ve bu da çok daha büyük bir tehdit oluşturan yeni nesil botnet’lerin ortaya çıkmasına yol açıyor. Bunlardan biri bot başına düşük oranlı HTTP DDoS saldırısıdır.
Bot başına düşük oranlı HTTP DDoS Saldırısı
Bot başına düşük oranlı HTTP DDoS saldırısı, genellikle bot olarak adlandırılan, güvenliği ihlal edilmiş veya kontrol edilen birçok cihazın, uzun bir süre boyunca hedef bir web sunucusuna veya uygulamaya nispeten az sayıda HTTP isteği gönderdiği bir siber saldırı türüdür.
Hedefe büyük istekler yağdıran geleneksel botnet saldırılarının aksine, bot başına düşük oranlı saldırılar gizlilik ve kalıcılığa odaklanır.
Bu saldırıda her bot, hız sınırlama veya tespit mekanizmalarının tetiklenmesini önlemek için kasıtlı olarak düşük tutulan bir hızda istek gönderir. Ancak çok sayıda bottan gelen bu isteklerin kümülatif etkisi yine de hedef sunucuyu veya uygulamayı zorlayabilir ve hizmetin kesintiye uğramasına neden olabilir.
İşletmeler, özellikle karmaşık uygulama saldırıları biçiminde, giderek artan sayıda siber tehditle karşı karşıyadır. “Uygulama Güvenliğinin Durumu 2023 2. Çeyreği” başlıklı bu rapor, 1.400’den fazla başvurudan toplanan verilerden yararlanıyor.
Şimdi İndirin
Bot başına düşük oranlı bir HTTP DDoS saldırısının temel amacı, meşru kullanıcı trafiğini taklit ederek güvenlik önlemlerinin radarına girmektir. Bot başına istek oranının azalması nedeniyle saldırı trafiği daha az dikkate değer göründüğünden, bu durum güvenlik çözümlerinin kötü niyetli ve meşru istekler arasında ayrım yapmasını zorlaştırıyor.
Bir Fortune 500 Şirketine Karşı Düşük Oranlı HTTP DDoS Saldırısı
Kuruluşlar bu ilerleyen DDoS saldırılarına karşı nasıl korunabilir? Statik hız sınırlamaya alternatif bir yaklaşım, davranışa dayalı DDoS korumasıdır ve AppTrana’nın yaptığı da budur.
Birkaç hafta önce, AppTrana platformunu kullanan ekibimiz, Fortune 500 şirketindeki bir uygulamayı hedef alan bir HTTP DDoS saldırısını ortaya çıkardı. Bu saldırı binlerce bireysel bottan oluşan bir botnet tarafından gerçekleştirildi.
HTTP Flooding saldırısının büyüklüğü, web sitesinin dakika başına deneyimlediği tipik istek oranından 3000 ila 14000 kat daha fazlaydı. Ayrıca bu saldırı, iki haftalık kontrolü sırasında yaklaşık 8 milyon benzersiz IP adresi kullandı.
Belirli DDoS saldırılarına karşı etkili olsa da, bazı IP’lerin dakikada yalnızca bir istek göndermesi nedeniyle hız sınırlamanın bu senaryoda yetersiz olduğu ortaya çıktı ve hız sınırını bu kadar düşük bir seviyeye ayarlamak uygun bir çözüm değildi.
Bu saldırıyı farklı kılan şey, /404, /admin ve /config gibi çoğu ya var olmayan ya da herkese açık olarak erişilemeyen temel URL’leri kendine özgü bir şekilde hedeflemesiydi.
Uygulamadaki trafikteki büyük artış, hızın düşmesine, bant genişliği kullanımının artmasına neden oldu ve meşru kullanıcıların hizmetlere erişme olanağını kesintiye uğrattı.
AppTrana tüm bu anormallikleri tespit etti ve yönetilen hizmet ekibimiz bu saldırıları sıfıra indirmek için stratejik olarak özelleştirilmiş bir çözüm kullandı.
Induface’in sunduğu kapsamlı yaklaşımı ve çözümleri ve elde edilen sonuçları inceleyin Burada.
İşletmenizi Bot Saldırılarından Korumak İçin Öneri
Müşteri vaka çalışmasındaki gözlemlerimize dayanarak, daha gelişmiş tehditlere odaklanarak DDoS saldırılarını azaltma stratejilerini geliştirmeye yönelik bazı önerileri burada bulabilirsiniz.
- Bir alana çok sayıda URL eklemek, hız sınırlarını tetiklemek için gereken sayfa başına istekleri azaltabileceğinden, alan adı düzeyinde hız sınırları uygulamaktan kaçının. Bu, meşru isteklerin gereksiz yere engellenmesine yol açabilir veya genel hız limitlerini artırarak telafi ederseniz çok fazla kötü niyetli isteğin geçmesine izin verebilirsiniz.
- Bunun yerine, belirli URL’lere veya URL kümelerine erişimi yönetmek için URL düzeyinde hız sınırları belirleyin. Her URL için ayrı hız sınırları belirleyebilirsiniz ve sunucular bu sınırları aşan istekleri engelleyebilir.
- Kötü niyetli aktiviteye işaret edebilecek anormal davranışları tespit etmek ve sunucunun aşırı yüklenmesini proaktif olarak önlemek için oturum süresine (oturumda geçirilen süre) göre istek oranlarını özelleştirin. Örneğin, anormal davranış olarak kabul edildiğinden, IP’nin müşteri URL’sine dakikada 20 defadan fazla erişmesini engelleyen bir kural uyguladık.
- Bireysel IP adreslerinden gelen isteklerin veya bağlantıların sayısını kısıtlamak için IP adresi düzeyinde hız sınırlarını izleyin. Bilinen kötü amaçlı kaynakların kara listeye eklendiği IP kara listesinin uygulanması, DDoS saldırılarıyla ilişkili IP adreslerinden gelen trafiğin engellenmesini kolaylaştırır.
- Trafik kaynaklarını doğrulamak için IP adresi itibarının ve coğrafi konum verilerinin anında değerlendirilmesini içeren coğrafi tabanlı hız sınırlamasını uygulamayı düşünün. En iyi uygulama olarak, coğrafi sınırlamayı tüm yerel uygulamalar için standart bir önlem olarak dahil etmenizi öneririz.
- Bot modüllerinin tolerans düzeyini iş gereksinimlerinize ve risk toleransınıza uygun olacak şekilde ayarlayın. Bu senaryoda tolerans düzeyini yüksekten düşüğe kaydırdık.
- Belirli bir zamandaki saldırı isteği eğilimlerinin kapsamlı bir analizini yapın. Analizin ardından bot azaltma kurallarını buna göre uygulayın.