DDoS saldırıları 2016’dan bu yana büyük bir evrim geçirdi ve Mirai benzeri botnetler yeni rekorlar kırdı.
Saldırı sıklığı ve yoğunluğu 2023 yılında önemli ölçüde arttı, 2024 yılına gelindiğinde 1+ Tbps saldırılar neredeyse günlük hale geldi.
OVHcloud’daki siber güvenlik araştırmacıları, 840 Mpps’lik rekor kıran DDoS saldırılarını tespit etti ve ~2,5 Tbps’lik zirvelerin de gözlemlendiğini ileri sürdü.
Rekor Kıran DDoS Saldırısı
Siber saldırının Mayıs 2024’te 911 S5 Botnet’in devre dışı bırakılmasıyla aynı zamana denk geldiği belirtiliyor; ancak bunun nedensel olup olmadığı henüz doğrulanmadı.
Saldırı sıklığı artık normal olsa da, yüksek paket oranlı saldırılar (>100 Mpps) hâlâ artıyor.
Saldırı senaryoları arasında bant genişliği veya paket işleme yoluyla dağıtılmış hizmet reddi (DDoS) saldırısı yer alabilir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Paket oranı saldırıları, internet bağlantısını doyurmak yerine, ağ cihazlarının işlem kapasitelerini zorlamayı amaçlar.
Bu özellikler onları daha etkili hale getirir, çünkü çok sayıda küçük paketle başa çıkmak, daha az sayıda büyük paketle başa çıkmaktan daha fazla hesaplama gerektirir.
Örneğin, 84 baytlık bir paketi içeren 10 Gbps’lik bir saldırı yaklaşık 14,88 Mpps üretirken, 1480 baytlık benzer büyüklükteki paketler 0,85 Mpps üretiyor.
Bu sorun, OVHcloud’u DDoS saldırılarını azaltmada verimlilik sağlamak amacıyla FPGA ve DPDK tabanlı özel ağ cihazları geliştirmeye yöneltti.
Yüksek paket oranlı DDoS saldırıları arttı; OVHcloud, Nisan 2024’te rekor kıran 840 Mpps’lik bir saldırı gözlemledi.
En kötü performans gösteren IP’ler üzerinde yapılan bir araştırmada, bunların çoğunun MikroTik yönlendiricilerden kaynaklandığı ve bu cihazlarda genellikle güncel olmayan yazılımların yüklü olduğu ortaya çıktı.
Her biri 14,8 Mpps’ye kadar hız üretebilen bu cihazlar çoğunlukla Asya’daki ticari İSS’lere veya bulut sağlayıcılarına aittir.
RouterOS 6.44+ sürümlerinde bulunan “Bant Genişliği Testi” özelliği bu tip saldırılarda kullanılabilir.
DDoS’taki yeni trend ise çoğunlukla MikroTik Cloud Core Router’lar (CCR) olmak üzere hacklenmiş ağ çekirdek cihazlarının kullanılması.
Analiz, 99000’den fazla CCR cihazının çevrimiçi olarak açığa çıktığını ortaya koydu. Bunlar, her biri maksimum 4 – 12 Mpps üretebilen CCR1036-8G-2S+ ve CCR1072-1G-8S+’dır.
Eğer bu cihazların sadece yüzde birini kullanan varsayımsal bir botnet olsaydı, teorik olarak 2,28 Gpps’ye kadar veri üretecekti.
Bir diğer olayda ise Kasım 2023’te saniyede 1,2 milyon isteklik bir tepe gücüne sahip L7 saldırısında kullanılan aynı modeldeki yönlendiriciler yer aldı.
Bu nedenle çekirdek ağ cihazlarına geçiş, anti-DDoS altyapıları için çok sayıda zorluğa yol açıyor ve ağ ekipmanlarıyla ilişkili ciddi güvenlik sorunlarını gündeme getiriyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files