Marlinix kurucusu Mahir Yüksel, Cloudflare'ın 2024 yılının son çeyreğine dair yayımladığı DDoS Tehdit Raporu'nu inceledi.
Mahir Yüksel’in incelemesini okurlarımızla paylaşıyoruz:
Rekor Kıran 5,6 Tbps DDoS Saldırısı ve 2024 4. Çeyrek DDoS Trendleri Cloudflare, 2020 yılında ilk raporunu yayınlamıştı. Üzerinden beş yıl geçen bu süreçte, 21 Ocak 2025'te yayımlanan “Record-breaking 5.6 Tbps DDoS Attack and Global DDoS Trends for 2024 Q4” başlıklı rapor, şirketin 20. DDoS Tehdit Raporu oldu. Üç ayda bir yayımlanan bu rapor, Cloudflare ağından alınan verilerle Dağıtık Hizmet Engelleme (DDoS) saldırılarının giderek gelişen tehdit ortamını kapsamlı bir şekilde analiz ediyor. Bu baskıda, özellikle 2024’ün dördüncü çeyreğine odaklanıyor ve aynı zamanda yılın genel değerlendirmesini sunuyor. CloudFlare’in Bakış Açısıİlk rapor yayımlandığında, Cloudflare’ın küresel ağ kapasitesinin 35 Terabit/saniye (Tbps) olduğunu öğreniyoruz. Bugün, bu kapasitenin %817 gibi etkileyici bir artışla 321 Tbps’ye ulaştığı belirtiliyor. Bunun yanı sıra, Cloudflare’ın 2020’nin başında 200 şehirde olan küresel varlığını, 2024’ün sonunda 330 şehre çıkararak %65 oranında genişlettiğini görüyoruz.
Bu geniş kapsamlı ağ, günümüzde internet üzerindeki web sitelerinin yaklaşık %20’sine hizmet verirken; Cloudflare, 18.000’e yakın müşteri ağına da koruma sağlıyor. Bu büyüklükteki bir altyapı ve müşteri ağı, internet dünyasının geneline fayda sağlayacak önemli içgörülerin ve trendlerin paylaşılmasına olanak tanıyor.
Öne Çıkan DDoS İçgörüleri- 2024 yılında, Cloudflare’ın otonom DDoS savunma sistemleri yaklaşık 21.3 milyon DDoS saldırısını engelledi. Bu, 2023’e kıyasla %53’lük bir artışı temsil ediyor. Ortalama olarak, Cloudflare 2024 boyunca her saat 4.870 DDoS saldırısını önledi.
- Yılın dördüncü çeyreğinde, bu saldırılardan 420’den fazlası hiper-volümetrik seviyede olduğu ve saniyede 1 milyar paket (pps) ile 1 Tbps hızını aştığı bildirilmiş. Ayrıca, 1 Tbps’yi aşan saldırıların sayısı çeyrekten çeyreğe %1885 gibi çarpıcı bir artış göstermiş.
- Özellikle 31 Ekim 2024 haftasında, Cloudflare’ın DDoS savunma sistemleri, şimdiye kadar kaydedilmiş en büyük saldırı olan 5.6 Terabit/saniye (Tbps) hızındaki bir DDoS saldırısını başarıyla ve tamamen otonom bir şekilde tespit edip engellemiştir.
2024’ün dördüncü çeyreğinde, Cloudflare 6.9 milyon DDoS saldırısını engellemiştir. Bu, bir önceki çeyreğe göre %16, bir önceki yıla göre ise %83’lük bir artışı temsil ediyor.
Bu saldırıların %49’u (3.4 milyon) Ağ Katmanı (Layer 3/Layer 4) DDoS saldırılarıydı. Kalan %51’i (3.5 milyon) ise HTTP DDoS saldırılarından oluştuğu bildirilmiş.
HTTP DDoS AtaklarıHTTP DDoS saldırılarının büyük bir kısmı (%73), bilinen botnetler tarafından gerçekleştirilmiş. Cloudflare’ın geniş ağı sayesinde bu tür saldırılar ve botnetler hızla tespit edilip engellenebiliniyor. Bu kapsamlı veri akışı, güvenlik mühendisleri ve araştırmacıların, bu saldırılara karşı daha etkili savunma sağlamak için gelişmiş algoritmalar geliştirmesine olanak tanıyor.
Saldırıların %11’i, kendisini meşru bir tarayıcı gibi göstermeye çalışan HTTP DDoS saldırılarıydı. %10’u ise şüpheli veya alışılmadık HTTP özellikleri taşıyan saldırılardan oluşuyor. Geriye kalan %8’lik “Diğer” kategorisi ise genel HTTP flood saldırıları, volumetrik önbellek bozma saldırıları (volumetric cache busting attacks) ve login noktalarını hedef alan volumetrik saldırıları içeriyormuş.
Bu saldırı vektörleri veya saldırı gruplarının birbirinden tamamen bağımsız olmadığına dikkat edilmelidir. Örneğin, bilinen botnetlerin aynı zamanda tarayıcı taklidi yapabileceği ve şüpheli HTTP özellikleri taşıyabileceği belirtiliyor. Ancak, bu sınıflandırma, HTTP DDoS saldırılarını anlamlı bir şekilde kategorize etmeye yönelik bir çaba olarak sunuluyor.
En Yaygın Kullanıcı Ajanları (user agents)Bu raporun yayımlandığı tarihe kadar, Google’ın sürüm notalarına göre Windows, Mac, iOS ve Android için mevcut kararlı Chrome sürümünün 132 olduğu belirtiliyor. Ancak, tehdit aktörlerinin hala geride kaldığı gözlemleniyor, çünkü DDoS saldırılarında en sık görülen on üç kullanıcı ajanından yedisi, 118 ile 129 arasındaki Chrome sürümleri.
HITV_ST_PLATFORM kullanıcı ajanı, toplam isteklerin %99.9’unu oluşturarak DDoS isteklerinin en yüksek payına sahipti. Bu da, HITV_ST_PLATFORM kullanıcı ajanının neredeyse yalnızca DDoS saldırılarında kullanıldığını gösteriyor. Başka bir deyişle, HITV_ST_PLATFORM kullanıcı ajanından gelen trafiği görüyorsanız, bunun %99.9 ihtimalle geçerli olmayan bir trafik olduğu anlamına geliyor.
Tehdit aktörlerinin nadiren kullanılan kullanıcı ajanlarını tercih etmediği, bunun yerine Chrome gibi daha yaygın kullanıcı ajanlarını kullanarak normal trafiğe karışmayı tercih ettikleri vurgulanıyor.
HITV_ST_PLATFORM kullanıcı ajanının varlığı, akıllı televizyonlar ve set-top box’lar ile ilişkili olduğunu gösteriyor ve bu da bazı siber saldırılarda yer alan cihazların, ele geçirilmiş akıllı televizyonlar veya set-top box’lar olduğunu düşündürüyor. Bu gözlem, tüm internet bağlantılı cihazların güvenliğinin sağlanmasının önemini vurguluyor; akıllı televizyonlar ve set-top box’lar dahil olmak üzere bu cihazların siber saldırılarda kullanılmalarını önlemek için korunması gerektiği ifade ediliyor.
Hackney kullanıcı ajanı, DDoS saldırılarında gelen isteklerin %93'ünü oluşturarak ikinci sırada yer almış. Eğer hackney kullanıcı ajanından gelen bir trafikle karşılaşılırsa, bunun %7 ihtimalle geçerli bir trafik olduğunu söylemenin mümkün olduğu dile getiriliyor.
Hackney, HTTP istekleri yapmak için kullanılan ve Erlang/Elixir ekosistemlerinde yaygın olarak tercih edilen bir HTTP istemci kütüphanesi.
DDoS saldırılarında kullanılan diğer kullanıcı ajanları arasında, dosya indirmek için popüler bir BitTorrent istemcisi olan uTorrent dikkat çekiyor. Ayrıca, Go-http-client ve fasthttp de saldırılarda yaygın olarak kullanılan araçlar arasında. Go-http-client, Go’nun standart kütüphanesinde bulunan varsayılan HTTP istemcisi olarak öne çıkarken, fasthttp ise yüksek performanslı bir alternatif olarak kullanılıyormuş.
Tespit Edilen En Büyük DDoS Saldırısı29 Ekim’de, bir Mirai varyantı botnet tarafından başlatılan 5.6 Tbps’lik bir UDP DDoS saldırısının, Cloudflare Magic Transit müşterilerinden birine, Doğu Asya’daki bir İnternet Servis Sağlayıcısı’na (ISP) yöneldiği belirtiliyor. Saldırının sadece 80 saniye sürdüğü ve 13.000’in üzerinde IoT cihazından kaynaklandığı belirtiliyor.
Cloudflare’ın dağıtık savunma sistemlerinin, saldırıyı tamamen otonom bir şekilde tespit edip engellediği ifade ediliyor. Bu süreçte insan müdahalesine gerek duyulmadığı, herhangi bir uyarı verilmediği ve performans kaybı yaşanmadığı vurgulanıyor. Sistemlerin, tasarlandığı gibi sorunsuz bir şekilde çalıştığı belirtiliyor.
Toplamda yaklaşık 13.000 benzersiz kaynak IP adresi bulunduğu belirtiliyor, ancak saniye başına ortalama benzersiz kaynak IP adresi sayısı ise 5.500. Ayrıca, saniye başına benzersiz kaynak portlarının sayısının da benzer bir düzeyde olduğu gözlemlenmiş.
Aşağıdaki grafikte, her bir çizgi 13.000 farklı kaynak IP adresinden birini temsil ediyor ve her birinin saniyede 8 Gbps’ten daha az katkı sağladığı görülüyor. Her bir IP adresinin saniye başına ortalama katkısı ise yaklaşık 1 Gbps (~5.6 Tbps’nin %0.012’si) olarak hesaplanıyor.
Saldırı Kaynakları2024’ün son çeyreğinde, Endonezya, art arda ikinci çeyrek boyunca dünya çapında en fazla DDoS saldırısının kaynağı olarak kalmaya devam etmiş. Saldırıların nereden geldiğini anlamak için, HTTP DDoS saldırıları başlatan kaynak IP adreslerinin haritalandığı, çünkü bunların spoofingden etkilenemediği belirtiliyor.
Layer 3/Layer 4 DDoS saldırıları için ise, DDoS paketlerinin alındığı veri merkezlerinin konumları kullanılmış. Bu yöntem, Layer 3/Layer 4 saldırılarında mümkün olan spoofingden kaçınmayı sağlıyor. Ayrıca, dünya çapında 330 şehirden fazla bir ağa sahip olmaları sayesinde coğrafi doğruluğun elde edilebildiği vurgulanıyor.
Hong Kong, önceki çeyreğe göre beş basamak yükselerek ikinci sıraya yerleşmiş. Singapur ise üç basamak yükselerek üçüncü sırada yer almış durumda.
Tehdit AktörleriCloudflare müşterileri arasında yapılan bir anket, DDoS saldırılarına hedef olanların çoğunun, saldırıları kimin gerçekleştirdiğini bilmediğini ortaya koyuyor. Bilgisi olanların büyük bir kısmı, saldırıların arkasında rakiplerinin olduğunu (%40) belirtti. Diğer %17’lik kesim, saldırının devlet düzeyinde ya da devlet destekli bir tehdit aktörü tarafından gerçekleştirildiğini bildirmiş. Benzer bir oran, saldırıların arkasında memnuniyetsiz bir kullanıcı veya müşterinin olabileceğini iddia etmiş.
Bir diğer %14’lük kesim, saldırıların arkasında bir şantajcının olduğunu, %7’si, saldırının kendilerine ait olduğunu (self-inflicted DDoS), %2’si ise hacktivizm nedeniyle gerçekleştirildiğini ifade etmiş. Yine %2’lik bir kesim, saldırıların eski çalışanlar tarafından başlatıldığını bildirmiş.
En Fazla Saldırıya Uğrayan Ülkeler2024’ün son çeyreğinde, Telekomünikasyon, Hizmet Sağlayıcılar ve Operatör sektörü, üçüncü sıradan birinci sıraya çıkarak en fazla saldırıya uğrayan sektör olmuş. DDoS saldırılarının hangi sektörleri daha fazla etkilediğini görmek için, saldırılar müşterilerinin sektörlerine göre gruplandırılmış. İnternet sektörü ikinci sırada yer alırken, Pazarlama ve Reklam sektörü üçüncü sırada bulunuyor.
Bankacılık ve Finansal Hizmetler sektörü ise, 2024’ün üçüncü çeyreğinde birinci sıradayken, dördüncü çeyrekte yedi basamaktan birden düşerek sekizinci sıraya gerilemiş.
Raporun Tamamı İçin: https://blog.cloudflare.com/ddos-threat-report-for-2024-q4/#anatomy-of-a-ddos-attack
