Hizmet Engelleme (DoS) Saldırısı Nedir?
Hizmet engelleme saldırılarının tarihi, gelişimi ve ciddiyetini anlamak
Paylaş
Hizmet Engelleme (DoS), en eski ve sık görülen siber saldırı türlerinden biridir. Temel amacı bir hizmetin kullanıcılar tarafından erişilmesini engellemektir.
Hizmet Engelleme (DoS) Saldırı Türleri
DoS saldırıları genellikle aşağıdaki yöntemlerle gerçekleştirilir:
- Aşırı Yükleme: Koordine edilmiş bir saldırıda, hizmeti sağlayan sunucular kapasitesinin çok üzerinde trafik gönderilerek hizmet veremez hale getirilir.
- Açığı Kullanma: Exploit adı verilen özel olarak hazırlanmış mesajlar, sunucunun işlem kaynaklarını tüketerek hizmetin erişilemez olmasına neden olur. Bu durum; sunucunun sonsuz döngüye girmesi, yavaşlaması, çökmesi, donması veya uygulamanın yeniden başlatılması gibi şekillerde ortaya çıkabilir.
Özetle, saldırganlar güvenlik açıklarını kullanarak ya da ağ bant genişliği, CPU ve bellek gibi kaynakları aşırı yükleyerek hedef sistemin müşterilere hizmet veremez hâle gelmesine neden olur.
Bu saldırıların en etkili türlerinden biri Dağıtık Hizmet Engelleme (DDoS) saldırısıdır. DDoS saldırılarında, saldırgan çok sayıda ele geçirilmiş bilgisayarı kontrol ederek bu cihazlar üzerinden tek bir hedefe eş zamanlı trafik gönderir. Özellikle aşırı trafik gönderme yöntemiyle gerçekleştirilen saldırıların büyük çoğunluğu DDoS kapsamına girer.
Takibi zor ve etkisi son derece yıkıcı olan DoS ve DDoS saldırıları, ticari internetin ortaya çıkışından bu yana varlığını sürdürmektedir. Günümüzde ise yapay zeka ve bulut teknolojilerinin kullanımıyla daha karmaşık, daha güçlü ve daha etkili hâle gelerek sürekli olarak evrim geçirmektedir.
Peki bir DoS saldırısı nasıl başlar?
Cihazlar nasıl ele geçirilir ve kullanılır?
Botnet’ler ve ücretsiz VPN’lerin riskleri hakkında muhtemelen bir şeyler duymuşsunuzdur. Cihazların ele geçirilmesinin en yaygın yollarından biri, masum görünen ama zararlı yazılım içeren programların indirilmesidir. Bu programlar genellikle ücretsiz VPN, crack yazılım veya ücretsiz hizmet gibi sunulur. İnternette sıkça söylenen şu söz durumu iyi özetler: **Bir hizmet ücretsizse, ürün sizsiniz **.
Bir DDoS saldırısının temel amacı, hedef alınan hizmeti çalışamaz hâle getirecek kadar çok sayıda cihazdan gelen yükü aynı anda üzerine bindirmektir. Bu, güvenliği zayıf cihazların ele geçirilip üzerlerine zararlı yazılımlar yüklenmesiyle yapılır. Bu şekilde ele geçirilen cihazlar saldırgan tarafından uzaktan kontrol edilir.
Ele geçirilmiş bilgisayarlar, sunucular ve IoT cihazlarından oluşan bu ağa botnet denir. Botnet’ler, siber suçlular tarafından bir işlem gücü ordusu gibi kullanılır. İkinci olarak, bu kadar çok cihazın ele geçirilmesi saldırının gerçek kaynağını gizler. Bu sayede DDoS saldırılarını yapan kişiler çoğu zaman tespit edilemez ve yaptıklarından sorumlu tutulmaz.
Bu yüzden “ücretsiz” bir VPN ya da web hizmeti indirmeden önce dikkatli olun. **Farkında olmadan cihazınız ele geçirilip bir suç botnet’inin parçası haline gelebilir ** ve siz bilmiyorsanız bile çeşitli yasa dışı faaliyetler, özellikle DDoS saldırıları, sizin IP adresinizle ilişkilendirilebilir.
DoS saldırısı mimarisi
Aşağıdaki örnekte saldırgan, aracı sistemler kullanarak çok sayıda bilgisayarı ele geçirir. Saldırı bu ele geçirilmiş cihazlar üzerinden yapılır. Böylece saldırganın gerçek kimliği gizlenir, saldırıda kullanılan cihazların sahipleri ise farkında olmadan suçlu durumuna düşebilir.
Şekil 1.1 – Handler / Agent mimarisi
Ara sunucular, saldırgan ile ele geçirilmiş cihazlar arasında bulunan ve saldırıyı yöneten sunuculardır. Amaçları, saldırıyı yapan kişi ya da grubun kimliğini gizlemek ve izinin sürülmesini zorlaştırmaktır. Agent cihazlar ise saldırının asıl yükünü taşıyan sistemlerdir. Ara sunuculardan gelen komutları alır ve hedefe DoS ya da DDoS saldırısı yaparlar. Bu saldırılar ya güvenlik açıkları kullanılarak ya da hedefe aşırı trafik gönderilerek gerçekleştirilir. Hem ara sunucular hem de agent cihazlar saldırgan tarafından kontrol edilir.
Agent cihazlar ve ara sunucuların ortak noktası nedir? Genellikle zayıf siber güvenlik önlemlerine sahip olmalarıdır, örneğin:
- Zayıf veya varsayılan (dafault) parolalar
- Yanlış yapılandırılmış güvenlik duvarları
- Güvenlik yamaları uygulanmamış, güncel olmayan sistemler
Ayrıca, suçluların şirket içi iletişimleri taklit ederek zararlı yazılımların kurulmasını sağladığı, çalışanları şirket sistemlerine ayrıcalıklı erişim vermeye yönlendirdiği veya e‑posta yoluyla zararlı bağlantılar paylaştığı sosyal mühendislik yöntemleri, cihazları ele geçirmek ve kontrol etmek için en etkili yollar arasında yer alır.
Bulut, Yapay Zeka ve DoS Pazarı Devrimi
Bulutlardaki risk
Hiç kimse COVID-19 pandemisi yıllarını hatırlamak istemez: karantinalar, ekonomik kriz, sağlık hizmetlerinin aşırı yüklenmesi ve ölümler… Gerçekten de çok zor bir dönemdi. Ancak bu sürecin kalıcı etkilerinden biri, bazıları için olumlu sayılabilecek şekilde, evden çalışma uygulamalarının hız kazanması ve yaygınlaşması oldu.
Ancak evden çalışmak, neredeyse her durumda şirket sistemine uzaktan erişim gerektirir. Bu da bulut hizmetlerinin kullanılmasını zorunlu kılar. Kısaca, bulutları dünya genelindeki büyük veri merkezlerinde bulunan ve ticari hizmetler sunan güçlü bilgisayarlar olarak düşünebiliriz.
Kabaca söylemek gerekirse, bulutları dünya genelindeki devasa veri merkezlerinde bulunan ve ticari hizmetler sunan çok güçlü bilgisayarlar olarak özetleyebiliriz. Yani, hizmetler sizin bilgisayarınızda veya şirket sunucunuzda çalışmak yerine, AWS, Microsoft Azure ve Google Cloud gibi bulut sağlayıcılarının bilgisayarları üzerinden sunulur.
Şirketler genellikle hizmetlerini barındırmak için **birden fazla bulut sağlayıcı ** kullanır. Ancak her bulutun kendi ayarları, izinleri ve kayıt sistemi farklıdır. Bu durum güvenlik açıklarına yol açabilir. Ayrıca, bulut hizmetlerinin yaygınlaşması, saldırıya uğrama ihtimalini de artırır.
Bu nedenle, DoS saldırı yöntemlerinin her dönemde o zamanın en gelişmiş teknolojisine göre değişip geliştiğini görebiliriz.
Ev Bilgisayarları
1990’lar ve 2000’lerde ev bilgisayarlarının yaygınlaşmasıyla birlikte, Windows sistemlerine bulaşan ve botnetlerde kullanılan Phatbot gibi kendi kendine çoğalan solucanlar ve diğer zararlı yazılımlar ortaya çıktı.
Nesnelerin İnterneti (IoT)
2010–2015 yılları arasında Nesnelerin İnterneti cihazlarının yaygınlaşması, savunmasız cihaz sayısını büyük ölçüde artırdı ve Mirai gibi dikkat çekici vakaların ortaya çıkmasına yol açtı.
Bulut hizmetleri
2020’den sonra bulut hizmetlerinin yaygınlaşması hem yeni fırsatlar hem de yeni riskler ortaya çıkardı. Artık büyük hacimli saldırılar kritik bulut hizmetlerine yapılabiliyor; hizmetlerin esnek yapısı kötüye kullanılarak DDoS saldırıları ekonomik bir saldırıya dönüşebiliyor: Bulut trafiği destekliyor, ancak her istek için ücret alıyor.
Yapay zekâ ile risklerin artışı
Yapay zekâ artık siber saldırılarda merkezi bir rol oynuyor. Önceden hackerlar veya gruplar saldırıları manuel olarak yönetirken, artık makine öğrenimi algoritmaları saldırıları otomatik hâle getiriyor. Bu sistemler savunmaları gerçek zamanlı analiz ederek saniyeler içinde saldırıyı ayarlıyor ve saldırının etkisini artırıyor. Ayrıca FraudGPT ve WormGPT gibi modeller sayesinde saldırı araçları artık yeni başlayanların bile kullanımına açıldı. Teknik bilgiye çok sahip olmasalar da, script kiddie’ler büyük dil modelleri (LLM’ler) ile birlikte çalışarak etkilerini artırabiliyor.
Yapay Zekâ pazarı devrimleştiriyor
Bulut ve yapay zekânın* birleşimi DDoS pazarını tamamen değiştirdi: Bulut ölçek ve ekonomik etki sağlarken, yapay zekâ esneklik ve erişilebilirlik kazandırdı.
Son olarak, burada bir DDoS pazarından bahsediyoruz: Nasıl ki aylık video akış veya bulut depolama hizmetleri kiralayabiliyorsak, talep üzerine DDoS saldırıları sunan bu yasa dışı hizmetler de Telegram kanallarında bulunabiliyor.
Elbette, Şahane Cuma’da rakibinize saldırmak ya da sevmediğiniz kişilere saniyede milyonlarca HTTP isteği “hediye etmek” hiç bu kadar kolay olmamıştı.
DoS saldırılarının tarihi
Tarih | Description | Tech Stack | Responsible(s) |
|---|---|---|---|
2003-2004 | Emergence of the Phatbot [1] worm, which exploited vulnerabilities in Windows systems to control millions of machines, used for spam, credential theft, and massive DDoS attacks. | Exploiting vulnerabilities in Windows + self-replicating worms | No clear central authorship |
2016 | The Mirai [2] botnet, made up of millions of insecure IoT devices (cameras, routers, DVRs), was used in an attack against DynDNS, which resulted in the shutdown of global services such as Netflix & Amazon. | Exploitation of default passwords on IoT devices, creation of a massive botnet, and distributed volumetric attack | In 2017, Paras Jha, Josiah White, and Dalton Norman pleaded guilty to crimes related to the Mirai botnet. [45] By assisting the government in other investigations, they were sentenced to probation and community service without |
2016 | Exploitation of the TR-069 protocol, used by modems for remote management. Malicious files sent caused a mass reboot of millions of devices in Europe | Exploitation of the TR-069 (CWMP) protocol, sending malicious SOAP payloads [2]. | Daniel Kaye (“SpiderMan”), British hacker hired to attack a Liberian telecom company. He ended up shutting down the entire internet in Liberia. |
2018 | GitHub suffered one of the largest DDoS attacks in history at the time, with peaks of 1.3 Tbps, exploiting open memcached servers on the internet. | Memcached amplification [3] (reflection and amplification via UDP) | Not attributed to a specific group; likely operators of rented botnets (DDoS-for-hire) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2022 | During the Russia–Ukraine war, Telegram channels coordinated DDoS attacks against government websites, banks, and private companies in both countries | Distributed botnets + coordination via Telegram bots | Killnet (pro-Russia) and the IT Army of Ukraine (pro-Ukraine) |
2023 | Discovery and exploitation of the HTTP/2 Rapid Reset Attack [4], in which multiple connections are opened and quickly canceled, overloading modern web servers | HTTP/2 protocol, exploitation of the pipelining mechanism and stream reset | The attack was claimed by the pro-Russia hacker activist group NoName05617 |
2025 | The social network X (formerly Twitter) was the target of a massive DDoS attack, which sought to draw political attention and cause media chaos | Botnets distributed across cloud servers + coordination on Telegram, using modern L3/L4/L7 flooding [5] techniques | Dark Storm Team, a pro-Palestinian hacker activist group. |
Not: Hacker-aktivist grupların saldırılardan kendilerini sorumlu göstermeleri, gerçekten saldırıyı onlar gerçekleştirdiği anlamına gelmez. DDoS saldırılarının kiralanabildiği bir pazar olduğunu unutmamak gerekir. Arkasında siyasi motivasyonlar olsun veya olmasın, farklı gruplar medya ilgisi, destekçi ve para kazanmak için birbirleriyle rekabet ediyor.
DoS saldırılarıyla mücadele edilmesi neden zordur?
DoS ve DDoS saldırılarıyla mücadele, günümüz dijital güvenliğinin en büyük zorluklarından biridir. Bunun nedenleri teknik sınırlamalardan ekonomik ve sosyal faktörlere kadar çeşitlilik gösterir. Başlıca zorluklar arasında şunlar yer alır:
Saldırının ölçeklenebilirliği
Bulut sağlayıcıları, hizmetleri aksatmadan milyonlarca eşzamanlı bağlantıyı karşılayabilir. Ancak her ek istek maliyet oluşturur ve bu maliyet hedef şirkete yansır. Bu nedenle, hacimsel bir saldırı sadece hizmetleri erişilemez hâle getirmekle kalmaz, aynı zamanda büyük ekonomik kayıplara yol açarak DDoS’u bir finansal silah hâline dönüştürür.
Saldırının izlenmesinin zorluğu
DDoS saldırılarında sık kullanılan klasik bir yöntem IP sahteciliğidir. Bu yöntemde saldırgan, gönderilen paketlerde kaynak IP adresini değiştirerek paketlerin başka bir yerden geliyormuş gibi görünmesini sağlar. Ara sunucular ve dağıtık ağların kullanımıyla birlikte, saldırının gerçek sorumlusunu tespit etmek oldukça zor hâle gelir. Sonuç olarak, çoğu zaman soruşturmalar yalnızca botnet’i oluşturan ele geçirilmiş agent cihazları izlemekle sınırlı kalır; saldırıyı yöneten kişi veya grubun kimliği tespit edilemez.
Meşru ve meşru olmayan trafiğin benzerliği
Gerçek kullanıcıları botlardan ayırmak, DDoS savunmasının en karmaşık yönlerinden biridir. Saldırganlar, kolayca tanınabilecek “garip” paketler göndermek yerine, tamamen geçerli istekleri simüle eder. Bu paketler aynı protokolleri (HTTP/HTTPS, DNS), portları ve veri formatlarını kullanır. Gönderilen istekler çoğu zaman tamamen geçerli görünür; başlıklar düzgündür, kullanılan erişim anahtarları geçerlidir ve isteklerin gönderilme şekli normal bir kullanıcının davranışına benzer.
Örneğin katman 7 saldırılarında, bir bot tarafından yapılan basit bir GET veya POST isteği, bir insan tarafından yapılan istekle tamamen aynıdır. Bazı gruplar, gerçek kullanıcı trafiğini incelemek için **makine öğrenimi ** kullanır ve bu verilerden, normal kullanıcıların ne zaman ve nasıl sisteme eriştiğini taklit eden saldırı kalıpları üretir. Buna erişim sıklığı, yoğun kullanım saatleri ve API çağrıları da dahildir. Bu nedenle, suç amaçlı trafik çoğu zaman normal kullanıcı trafiğinden ayırt edilemez. İstekler farklı kaynaklardan gelir, gerçek kullanıcıların davranışlarına çok benzer şekilde gönderilir. İki trafik türü arasındaki tek net fark ise genellikle gönderilen isteklerin sayısıdır, yani saniyedeki istek miktarıdır.
Genişleyen saldırı yüzeyi
Bugün şirketler birden fazla bulut sağlayıcı kullanıyor, birçok IoT cihazı güvenlik güncellemeleri olmadan çalışıyor ve üçüncü taraf API’ler hızla artıyor. Tüm bunlar sistemlerde daha fazla güvenlik açığı oluşmasına neden oluyor. API’ler özellikle risklidir. Çünkü bu sistemlerde iletişim doğrudan makineler arasında olur ve normal trafik ile zararlı trafiği ayırt etmek çok zordur. Saldırganlar, geçerli görünen istekleri doğru değişkenler ve erişim anahtarlarıyla üretip çok sayıda göndererek sistem kaynaklarını kolayca tüketebilir.
Hackerlar arasındaki rekabet
DDoS saldırılarında saldırıyı kimin yaptığı çoğu zaman belli değildir. Bazı gruplar, sadece dikkat çekmek ve ün kazanmak için aslında saldırıyla ilgileri olmasa bile saldırıları kendilerinin yaptığını söyleyebilir. Saldırılar genellikle Telegram gibi platformlarda anonim şekilde organize edildiği için, yapılan bu açıklamalar her zaman doğru değildir. Ayrıca botnet’ler saldırıyı, ele geçirilmiş cihazlar üzerinden yaptığı için, saldırının gerçek sorumlusunu doğru şekilde tespit etmek daha da zor hâle gelir.
Sonuç
DoS ve DDoS saldırıları, internetle birlikte gelişti. Başlangıçta basit trafik aşırı yükleme saldırıları iken, bugün küresel ölçek, otomasyon ve yapay zekâ ile birleşerek daha karmaşık ve dayanıklı hâle geldi.
Günümüzde Telegram gibi platformlarda açıkça pazarlanan DDoS-as-a-service planları, kripto ödemeler ve FraudGPT ile WormGPT gibi zararlı yazılım oluşturmaya yardımcı büyük dil modelleri (LLM’ler), DDoS saldırısı yapmayı daha kolay hâle getirdi.
Radware Tehdit Raporu’na göre [7], 2023’ten 2024’e web DDoS saldırıları %550, ağ DDoS saldırıları ise %120 arttı. Bulut pazarının büyümesiyle birlikte saldırılara açık alanlar da genişliyor ve 30 yıl öncesiyle benzer bir tablo söz konusu: yeni özellikler ortaya çıktıkça yeni güvenlik açıkları da oluşuyor. Bu açıklar önce kötüye kullanılıyor, ardından kapatılıyor ve tekrar sömürülüyor; dijital güvenliği belirleyen sürekli bir kedi‑fare oyunu devam ediyor.
Sonuç olarak, DDoS yalnızca teknik bir sorun değil; internetin kendisini yansıtan bir durumdur: açık, güçlü ama kırılgandır. Bu da bize, tehditlere karşı direncin de tehditler kadar hızlı gelişmesi gerektiğini hatırlatır.
Kaynaklar
-
Phatbot - Science Direct
-
Mirai botnet’i neydi? - Malwarebytes
-
TR-069 nasıl çalışıyor - Made4it
-
SOAP’ta En Yaygın 7 Güvenlik Açığı - Brightsec
-
Memcached DDoS saldırıları - Cloudflare
-
Rapid Reset DDoS saldırıları - Cloudfare
-
Katman 3, 4 ve 7 nedir? - Prophaze
DDoS: SSS
Bir DoS saldırısı, bir sunucu veya ağı aşırı trafikle doldurarak kaynaklarını tüketmeyi amaçlar. Amaç, bir web sitesini, hizmeti veya uygulamayı, bant genişliği veya sistem kapasitesini tüketerek gerçek kullanıcılar için geçici olarak kullanılamaz hâle getirmektir.
Bir DoS saldırısı tek bir kaynaktan gelirken, bir DDoS saldırısı dünya çapında yüzlerce veya binlerce enfekte cihazı kullanır. DDoS saldırıları, birçok uç noktadan gelen meşru trafik gibi göründükleri için izlenmesi ve savunulması daha zordur.
VPN, gerçek IP adresinizi gizleyerek saldırganların cihazınızı doğrudan hedef almasını zorlaştırır. NymVPN gibi merkeziyetsiz VPN’ler, veriyi mixnet üzerinden yönlendirerek daha güçlü bir koruma sağlar; böylece saldırganlar bağlantınızın kaynağını ne tespit edebilir ne de izleyebilir.
Hemen bağlantınızı kesin, yönlendiricinizi yeniden başlatın ve internet servis sağlayıcınız veya barındırma hizmetinizle iletişime geçin. Ağınızı değiştirmek veya bir VPN kullanmak, yeni IP adresinizi gizlemeye yardımcı olabilir. Kurumlar için, anti-DDoS araçları kullanmak ve merkeziyetsiz yönlendirme uygulamak gelecekteki saldırıların etkisini azaltabilir.