Yoğun saldırılar, UTM ve benzeri sistemlerde ilk adımda sistemlerin performansında düşüş, kaynak tükenmesi ve yanıt sürelerinde artış gibi sorunlar yaratır. Sonraki adımda ise UTM’in bir takım fonksiyonları için paketlerin incelenememesi sonucuna varabilir. En son adımda ise UTM cihazlarının paket yönlendirme fonksiyonu tamamen çalışmaz hale gelebilir.

İşlem gücü düşmesi: Saldırı trafiği, UTM'in işlem gücünü aşabilir ve sistem kaynakları yetersiz kalabilir. Bu durumda UTM, saldırıları tespit etme ve engelleme yeteneklerini kaybedebilir.

Yanıt sürelerinde artış: Yoğun saldırılar, UTM'in yanıt sürelerini uzatabilir. Bu durumda, normal ağ trafiği ve güvenlik hizmetleri de etkilenebilir.

Hizmet kesintisi: Saldırıların yoğunluğu ve türüne bağlı olarak, UTM sistemleri kapasitelerinin üzerine çıkılmasıyla geçici olarak hizmet dışı kalabilir veya bazı güvenlik önlemleri geçici olarak devre dışı kalabilir.

İnternet servis sağlayıcılardaki DDoS koruma önlemleri sunan cihazlar asimetrik yapıda hizmet sağlamakta ve belirlenen statik eşik değerleri aşıldığı durumda, trafik bu cihazlara yönlendirilmesiyle trafiği izleyebilir hale gelmektedir. Yani Always-on/Always-in-line değillerdir.

Bu durumda, belirlenen eşik değerleri aşılmadan herhangi bir kontrol gerçekleştirilmediği için eşik değeri altındaki trafik her zaman korunması beklenen kurum ağına ulaşmakta ve bu trafik sistemlerin tamamen erişilmez duruma gelmesine sebep olabileceği gibi, olmasa da kaynak kullanımını artırarak performans düşüşlerine sebep olmaktadır.

OSI 7. katman paket ekleri (L7 payloads), ağ iletişiminde uygulama katmanında taşınan verileri ifade eder. Bu, ağ trafiğinin en üst katmanında gerçekleşen verileri içerir.

L7 yükleri genellikle uygulama protokollerine, web trafiğine veya HTTP (Hypertext Transfer Protocol) verilerine odaklanır. L7 DDoS saldırıları, L7 katmanında gerçekleşen saldırı türleridir, yani protokol spesifiktir.

DDoS saldırılarının ideal engellenmesi hibrit bir yaklaşım ile mümkün olabilir. Hem on-premise hem de ISS tabanlı DDoS koruma çözümlerinin avantajlarını birleştirerek daha güçlü bir koruma sağlayabilir. Harpp bu çözümü “Kazanan Çözüm” olarak adlandırmaktadır.

On-premise çözüm, protokol incelemesi ile saldırıları daha detaylı tespit edebilir ve müdahale edebilirken, ISS tabanlı çözüm geniş bant genişliğini tüketen büyük ölçekli saldırıları engellemeye yardımcı olabilir.

Saldırganın ağ adresi olarak tespit edilebildiği durumlarda saldırı paketlerinin İSS’ye kadar dahi gelmesinin engellenmesi mümkün olabilir. Bu amaçla üst kademeler olan Ağ Değişim Noktaları (IXP) veya ülke İSS’lerinin internet link sağlayıcıları teknik metotlar ile haberdar edilebilir ve saldırıların kaynağına en yakın yerlerde sönümlenmesi sağlanabilir.

İyi Bir Altyapı Tasarımı: Güçlü bir ağ altyapısı tasarımı, DDoS saldırılarının etkisini yatıştırmaya yardımcı olabilir. Yedekli ve ölçeklenebilir ağ bileşenleri, trafik filtreleme ve yük dengeleme gibi teknolojilerin kullanılması altyapıyı daha dayanıklı hale getirebilir.

Güçlü Uygulamalar: Ağdaki servis veren yazılım uygulamalarının tasarımları itibariyle aşır dar kapasitelerde olmamaları, gerçek kullanıcı robot kullanıcı ayrımını yapabilecek önlemler kullanmaları bir DDoS durumunda yatıştırıcı sistemler öncesinde uygulamanın kendi başına da kısa bir süre de olsa ayakta kalmasını sağlar. Gerçek kullanıcı tespiti gibi yazılım güvenlik özellikleri bazı saldırıları (HTTP Form Post gibi) tamamen imkânsız hale getirir.

Trafik İzleme ve Analizi: Ağ trafiğinin izlenmesi ve analizi, anormal trafik desenlerini tespit etmek ve potansiyel saldırıları erken aşamada tespit etmek için önemlidir.

Bu, DDoS saldırılarının önceden fark edilerek hızlı bir şekilde müdahale edilmesini sağlayabilir.

Saldırı Tespit Sistemleri: DDoS saldırılarını tespit etmek için özel olarak tasarlanmış saldırı tespit sistemleri (IDS/IPS) kullanılabilir.

Bu sistemler, saldırı trafiğini analiz ederek anormal aktiviteleri tespit eder ve saldırıları engellemek veya sınırlamak için önlemler alır.

Trafik Yönlendirme ve Dağıtma: DDoS saldırılarına karşı daha iyi koruma sağlamak için trafik yönlendirme ve dağıtma teknikleri kullanılabilir.

Bu, saldırı trafiğini farklı kaynaklara yönlendirerek yükü dağıtır ve saldırıyı yayılmadan temizleme merkezine yönlendirir.

İşbirliği ve Acil Durum Planları: DDoS saldırılarına karşı mücadelede işbirliği önemlidir.

İnternet hizmet sağlayıcıları (ISP'ler), temizleme merkezleri ve güvenlik uzmanları arasında koordinasyon sağlamak için acil durum planları oluşturulabilir. Bu, hızlı yanıt ve saldırıların etkisini yatıştırmak için daha iyi bir koordinasyon sağlar.

Bu önlemler, DDoS saldırılarının etkisini en aza indirmek ve hizmet kesintilerini önlemek için alınabilir. Ancak, her durumda önceden alınacak önlemlerin etkinliği ve uygulanabilirliği farklılık gösterebilir. Önlemlerin belirlenmesi ve uygulanması, kurumun ihtiyaçlarına ve kaynaklarına göre yapılmalıdır.

Saldırı Tespiti: DDoS saldırılarını tespit etmek için ağ trafiği izleme ve analiz sistemleri kullanılır. Bu sistemler, normal trafik desenlerini belirleyebilir ve anormal aktiviteleri tespit edebilir.

Saldırı Analizi: Tespit edilen saldırılar incelenir ve analiz edilir. Saldırının türü, kaynakları ve hedefleri belirlenir. Bu analiz, saldırının büyüklüğünü ve etkisini anlamak için önemlidir.

Tepki Planı: Saldırıya karşı bir tepki planı oluşturulur. Bu plan, hangi önlemlerin alınacağını ve kimin sorumlu olduğunu belirler. Tepki planı, çeşitli senaryolara göre önceden hazırlanmış adımlar içerir.

İletişim ve İşbirliği: İşbirliği ve iletişim, DDoS saldırısı sırasında tüm ilgili paydaşlar arasında önemlidir. İnternet hizmet sağlayıcıları, temizleme merkezleri, güvenlik ekipleri ve müşteriler arasında etkin bir iletişim ve koordinasyon sağlanması gerekir.

Saldırı Takibi ve Analizi: Saldırılar sonrasında takip ve analiz yapılır. Saldırının etkinliği, alınan önlemlerin etkisi ve geliştirilmesi gereken alanlar değerlendirilir. Bu analiz, gelecekteki saldırıları önlemek için önemli bir geri bildirim sağlar.

Harpp meşru trafiği korumak için çeşitli kontrol ve doğrulama mekanizmaları kullanmaktadır.

Doğrulama Mekanizmaları: Harpp, meşru trafiği belirlemek için çeşitli doğrulama mekanizmaları kullanır. Bu mekanizmalar, güvenli kaynakları tanımlamak ve saldırı trafiğinden ayırmak için Makine Öğrenmesi, IP doğrulama, davranış analizi ve diğer teknikleri içerir.

Trafiği Filtreleme: Çözüm, saldırı trafiğini ayıklamak ve meşru trafiği tanımlamak için filtreleme mekanizmaları kullanır. Bu sayede, saldırı trafiği engellenirken meşru trafiğin akışı sağlanır.

Köprüleme Modu: Köprüleme modu, çözümün saldırı trafiğini algılama ve engelleme aşamasında ağ trafiğini etkilemeden çalışmasını sağlar. Bu sayede, meşru trafiğin akışı kesilmez ve hizmet kesintileri minimize edilir.

Akıllı Trafik Engelleme ve Yönlendirme: Harpp, saldırı trafiğini yönlendirirken meşru trafiği optimize etmek için ağ kartlarının donanımları ile akıllı trafik engelleme ve yönlendirme teknikleri kullanır. Bu yöntemler gayrimeşru trafiğin cihazın kapasitesini yormadan kesilmesini sağlar, meşru trafiğin de optimum yollardan iletilmesiyle ağ performansını korur, saldırı trafiğini etkisiz hale getirir.

Dağıtık Yük Dağıtımı: Çözüm, meşru trafiği yük dağıtımı teknikleriyle dağıtarak, ağ kaynaklarını dengeli bir şekilde kullanır. Bu, meşru trafiğin yüksek performansla hedefe ulaşmasını sağlarken saldırı trafiğini etkisiz hale getirir.

Bu yaklaşımlar, çözümün saldırı sırasında meşru trafiği etkilenmeden korumasını sağlamak için kullanılan yaygın yöntemlerdir. Çözümün yetenekleri ve yapılandırmaları, meşru trafiğin korunması ve saldırı trafiğinin etkisiz hale getirilmesi arasında dengeli bir denge sağlamak için tasarlanmıştır.