Network Layer DDoS

Ağ Katmanı DDoS (Network Layer DDoS)

Ağ katmanı DDoS saldırıları; sunucumuzun kaldırabileceğinden daha fazla paket göndermek veya sunucumuzun bant genişliğinden fazlasını işgal edecek saldırılardır. UDP tabanlı güçlendirici saldırıları (DNS, SSDP, NTP , ICMP vb. de dahil olmak üzere) ağ katmanı DDoS saldırıları olarak sınıflandırabiliriz.

Network DDoS saldırılarında öncelikle hedefler arasında networkümüzü yorarak şirketimize prestij  ve zaman kaybettirmektir. Saldırının en bilindik yöntemi ICMP Flooddur.

DDoS Amplification Attack

Bu saldırıda, saldırgan belirli bir ağ geçidi için bir istek gönderir; bu, isteği alır ve kurbanlara daha büyük bir istek gönderir. Bu saldırı için çoklu bilgisayarların veya ağ geçitlerinin kullanımı çok yaygındır, çünkü daha fazla bilgisayar devreye girdikçe saldırı o kadar etkili olur. Bu saldırıda, hacker bot herder olarak kabul edilirken, kurbanlara zombi denir.

ICMP flood

Bir smurf saldırısı, halka açık İnternet üzerindeki flood baskını bir DoS saldırısının bir varyantıdır. Paketlerin, belirli bir ağdaki tüm bilgisayar ana makinelerine, belirli bir makine yerine ağın yayın adresi aracılığıyla gönderilmesine izin veren yanlış yapılandırılmış ağ aygıtlarına güvenir ve oradan saldırı yapar. IP adreslerine gönderilen bu istekler ağın bant genişliği hızla tüketir ve paketlerin hedeflerine ulaşmasını engeller.

(S)SYN flood

SYN flood, bir ana makine, genellikle sahte bir gönderen adresi bulunan TCP / SYN paketleri sızdığında gerçekleşir. Bu paketlerin her biri bir TCP / SYN-ACK paketi (Onaylama) geri göndererek ve gönderen adresinden gelen bir paketi bekleyerek sunucunun yarı açık bir bağlantı oluşturmasına neden olan bir bağlantı isteği gibi işlenir. ACK Paketi). Bununla birlikte, gönderen adresi sahte olduğu için, cevap asla gelmez. Bu yarı açık bağlantılar, sunucunun yapabileceği mevcut bağlantı sayısını doldurur; ve clientlerden gelen meşru isteklere yanıt vermeyi, saldırı sona erene kadar durdurur.

Teardrop attacks

Teardrop attacks , üst üste binen, fazla büyüklüğe sahip yükler içeren, parçalanmış IP parçalarını hedef makineye göndermeyi içerir. Bu, TCP / IP parçalanma yeniden derleme kodundaki bir hata yüzünden çeşitli işletim sistemlerini çökebilir. 2009 yılında Windows 7 geliştirmeleri devam ederken Vista da kaynaklı açıklardan kaynaklı Windows kullanıcıları Teardrop attackları yüzünden etkilenmiştir

Low-rate Denial-of-Service attacks

Düşük hız DoS (LDoS) saldırısı, TCP'nin verimliliğini azaltmak için TCP'nin yavaş aktarım zaman aşımı (RTO) mekanizmalarının yavaş zaman ölçekli dinamiklerinden yararlanır. 

Peer-to-peer attacks

 Saldırganlar, DDoS saldırıları başlatmak için eşler arası sunuculardaki bir kaç hatadan yararlanmanın bir yolunu bulur. Bu peer-to-peer-DDoS saldırılarından en agresif olanları DC ++'yı patlatır. Peer-to-peer saldırıları, normal botnet tabanlı saldırılardan farklıdır. Eşler arası olarak hiçbir botnet yoktur ve saldırganın indirdiği istemcilerle iletişim kurması gerekmez. Bunun yerine, saldırgan, büyük eşler arası dosya paylaşım hub'larının müşterilerine eşler arası ağlarından bağlantı kurmalarını ve bunun yerine mağdurun web sitesine bağlanmalarını " puppet master" olarak görür. Sonuç olarak, birkaç bin bilgisayar agresif olarak bir hedef web sitesine bağlanmaya çalışabilir. Tipik bir web sunucusu performans düşmeye başlamadan önce saniyede birkaç yüz bağlantı işleyebilirken, Çoğu web sunucusu hemen hemen saniyede beş ya da altı bin bağlantı altında başarısız olur. Orta büyüklükte bu eşler arası saldırı ile, bu site potansiyel olarak kısa sürede 750.000 bağlantıyla vurulabilir. Hedeflenen web sunucusu gelen bağlantılar tarafından takılı kalacaktır.

Eşler arası saldırıların imzalarla kolayca anlaşılması kolay olsa da, engellenmesi gereken çok sayıda IP adresi (büyük ölçekli bir saldırı sırasında genellikle 250.000'in üstünde) bu tür saldırıların azaltıcı önlemleri zorlayabileceği anlamına gelir. Bir azaltma aygıtı IP adreslerini engellemeye devam edebilir bile olsa, dikkate alınması gereken başka sorunlar da vardır. Örneğin, imzanın kendisi gelmeden bağlantıyı sunucu tarafında açan kısa bir an var. Sunucuya yalnızca bağlantı açıldıktan sonra, tanımlama imzası gönderilebilir ve algılanabilir ve bağlantı kesilebilir. Bağlantıları yıkmak bile sunucu kaynaklarını alır ve sunucunun zarar verebilir.

Bu saldırı metodu, peer-to-peer protokolde hangi portlara izin verilip izin verilmeyeceğini belirterek engellenebilir. 80 numaralı bağlantı noktasına izin verilmiyorsa, web sitelerine saldırma olasılıkları çok sınırlı olabilir.