Ana içeriğe geç

L7 DDOS

Hakkında

DOS ve DDOS saldırıları çoğu zaman kurum ve kuruluşların hizmetlerinin kısmen veya tamamen durmasına ya da hizmet kesintilerine yol açmaktadır. DOS ve DDOS koruma sistemleri, çok katmanlı ve dinamik mekanizmaları ile bu tip saldırılara karşı, ağ trafiğini sürekli öğrenen ve değerlendiren, zararlı trafiği engelleyen ama zararsız trafiğe izin veren davranışsal modelleme ile aktif koruma sağlayan sistemlerdir.

Temel DDOS Saldırı Tipleri

  • Ağ Düzeyi (Network Level)
  • Yansıtıcı/Yükseltilmiş (Reflective/Amplified)
  • Parçalanma (Fragmentation)
  • Uygulamaya Özel (Application Specific)
  • Hazırlanmış (Crafted)

WAF (Web Uygulama Güvenlik Duvarı) ile DDOS’u engellemek tam anlamıyla mümkün değildir. Ancak önemli olan WAF ürününün DDOS atağı süresince/sonrasında servis vermeye devam edebilmesidir.

Örnek olarak WAF ile yetkili/yetkisiz oturum durumuna göre istemcilerin HTTP istek sayıları, belli bir zaman aralığında yapabilecekleri hatalı istek sayısı, belli bir zaman aralığında yapabilecekleri bağlantı sayısı gibi bilgilere göre bloklama yapılabilmektedir. Ayrıca HTTP protokolünün temel zaman aşımı değerleri, insan kullanıcısı kontrolü yapan özel algoritmalar ile de L7 (HTTP) seviyesinde koruma yapılabilmektedir.

Nasıl Eklenir?

Yeni bir DDOS Profili eklemek için TR7 ASP web arayüzü üzerinden, Traffic Manager > Profiles > L7 DDOS > Add adımları takip edilir.

Arayüz

DDOS Profillerini Listeleme Ekranı

"Traffic Manager > Profiles > L7 DDOS" adımları takip edilerek TR7 ASP cihazı üzerinde ekli olan tüm DDOS Profillerinin listesine ulaşılır. Bu ekran üzerinde DDOS Profillerini ekleme, düzenleme ve silme işlemleri yapılır.

LOGO

DDOS Profillerini Listeleme Formu

- 1 (Information to be Displayed in the Table)

DDOS Profillerinin listesinin bulunduğu tabloda hangi bilgilerin gösterilip gösterilmeyeceği seçilir.
Seçilebilecek ve varsayılan olarak seçili gelen bilgiler;

  • DDOS Profile Name
  • Max L7 HTTP(s) Requests
  • L7 HTTP Limit Excess
  • DDOS Activation Limit
  • DDOS Limit Excess

- 2 (Add)

Add butonuna tıklanarak yeni bir DDOS Profili oluşturma formu açılır.

- 3 (Delete)

Bir veya birden fazla DDOS Profili seçilerek Delete butonuna tıklanarak ilgili DDOS Profilleri TR7 ASP cihazı üzerinde silinir.

- 4 (Edit)

Edit butonuna tıklanarak ilgili DDOS Profilinin düzenleme ekranı açılır.

- 5 (Search)

Tabloda bulunan tüm ifadeleri aramak için kullanılır.

- 6 (RegExp Search)

Tabloda bulunan tüm ifadeleri regexp olarak aramak için kullanılır.

- 7 (Column Based Search)

Tabloda bulunan tüm ifadeleri sütun bazlı aramak için kullanılır.

- 8 (Usage Filter)

Tabloda bulunan tüm ifadelerin hangi vService'lerde kullanıldığını filtrelemek için kullanılır.

- 9 (Page Information)

Açılan listede kaç adet DDOS Profilinin olduğunun ve kaç adet DDOS Profilinin listelendiğinin bilgisi bulunmaktadır. Silmek için DDOS Profilleri sol taraftan seçildiğinde, seçili olan DDOS Profilinin bilgiside burada görüntülenir.

- 10 (Page Size)

Açılan listede maksimum kaç adet DDOS Profilinin listeleneceği seçilir. Ok simgeleri ile sayfalar arasında geçiş yapılabilir.

- Preview of the Selected L7 DDOS Profiles

"Trafik Yöneticisi > Profiller > DDOS" adımları takip edildikten sonra herhangi bir profilin üzerine tıklandığında ekranın sağ tarafında ilgili profile ait bilgilerin olduğu pencere açılır.

LOGO

Bu pencerede ilgili profile ait bilgilerin yanı sıra "Used In" bilgisi de verilmektedir. "DDOS_1" adlı L7 DDOS profilinin "www.tr7.com" adındaki vService'de kullanıldığı görülmektedir.

Açılan pencerenin sağ üstünde bulunan (x) butonuna tıklanarak önizleme kapatılabilir.

Arayüz

DDOS Profili Ekleme Formu

"Traffic Manager > Profiles > L7 DDOS > Add" adımları takip edilerek TR7 ASP cihazı üzerine yeni bir DDOS Profili eklenir.

LOGO

DDOS Profili Ekleme Formu

- DDOS Profile Name

Oluşturulacak olan DDOS Profiline isim girilir.

- Max. L7 HTTP(s) Requests

Max. L7 HTTP requests ile ilgili vService'in alabileceği maksimum HTTP/HTTPS isteği limitlenir. vService'de tam anlamıyla koruma yapılabilmesi için vService Limitlerinde maximum connection count, new connection limit, maximum connection frequency gibi limitlemelerin yapılmasıda önerilir.

- L7 HTTP Limit Excess

L7 HTTP Limit Excess ile limit aşıldığında istemcilere ne yapılacağı seçilir. Maintenance seçilerek bir içerik sayfası gösterilebilir. Redirect seçilerek ilgili istekler farklı bir adrese yönlendirilebilir. Block seçilerek de ilgili istekler bloklanabilir.

LOGO

Maintenance seçilerek limitin üzerinde çıkıldığında, L7 HTTP Content sekmesinde istemciye gösterilecek olan İçerik Sayfası seçilir.

LOGO

Block seçilerek limitin üzerinde çıkıldığında, istemcinin direkt olarak bloklanması sağlanır.

Redirect seçilerek limitin üzerinde çıkıldığında istemcinin, L7 HTTP Limit Excess - Redirect URL sekmesinde girilmiş olan URL'e yönlendirilmesi sağlanır.

LOGO

- DDOS Activation Limit

DDoS devreye girme sınırı ise yukarıda verilen limitin örnek olarak saniyede 1 milyon HTTP(s) req/s olduğunu varsayalım. L7 HTTP Limit Excess 'Block' seçilerek saniyede 1 milyondan fazla HTTP/HTTPS isteği geldiğinde kalan istekler bloklanır. DDOS activation limit ise 700 bin girilip captcha göster şeklinde konfigüre edildiğinde artık saniyede 700 binden fazla gelen isteklere captcha gösterilerek DDoS koruması aktif edilmiş olur.

- DDOS Limit Excess

Yukarıdaki limitin üzerinde çıkıldığında Maintenance ile istemcilere içerik gösterme, başka bir adrese yönlendirme veya captcha gösterme gibi işlemler yapılabilir.

LOGO

Maintenance seçilerek limitin üzerinde çıkıldığında, DDOS Content sekmesinde istemciye gösterilecek olan İçerik Sayfası seçilir.

LOGO

Redirect seçilerek limitin üzerinde çıkıldığında istemcinin, DDOS Limit Excess - Redirect URL sekmesinde girilmiş olan URL'e yönlendirilmesi sağlanır.

LOGO

Show CAPTCHA seçildiğinde istemciye Captcha doğrulamasının gösterilmesi sağlanır. Number of Shown Captchas/2min sekmesinde girilen değere göre Captcha gösterilir.

LOGO

İstemciye Captcha gösterildiğinde tarayıcı üzerinden göreceği sayfanın görüntüsü;

LOGO

LOGO

- Country Based State Management

Ülke Bazlı Davranış Takibi ile ilgili servise gelebilecek olan istekler ülke bazlı olarak %'lik dilimlerle kısıtlanabilir. Örnek olarak türkiye için %65, yerel ağlar için %15 lik bir limitleme yapılarak trafiğin büyük bir kısmı bu şekilde ayrılabilir. DDoS saldırısı gelebilecek olan Çin, ABD, Rusya gibi ülkelere çok düşük %lik dilimler verilebilir kalan %lik dilim ise Diğer ülkelere ayrılmış olur.

LOGO

- User based Max HTTP(s) Requests

Kullanıcı başı maksimum HTTP/HTTPS req/s ile tek bir istemcinin yapabileceği maksimum HTTP/HTTPS isteği limitlenir. Böylelikle tek bir DDoS profili üzerinde DoS korumasıda her istemci için ayrı ayrı kontroller yapılarak sağlanabilir.

- User Based Limit Excess

Tek bir istemci yukarıda verilen değerin üzerine çıktığında ise istemciye içerik gösterme, başka bir adrese yönlendirme veya bloklama gibi işlemler yapılabilir.

LOGO

Maintenance seçilerek limitin üzerinde çıkıldığında, User Based Limit Excess Content sekmesinde istemciye gösterilecek olan İçerik Sayfası seçilir.

LOGO

Block seçilerek limitin üzerinde çıkıldığında, istemcinin direkt olarak bloklanması sağlanır.

Redirect seçilerek limitin üzerinde çıkıldığında istemcinin, User Based Limit Excess - Redirect URL sekmesinde girilmiş olan URL'e yönlendirilmesi sağlanır.

LOGO

- Blacklist on User Based Limit Excess

Kullanıcı limite takılmışsa, kullanıcıyı otomatik olarak Blacklist’e ekler.

- User Based Max Connections

Her kullanıcı için maksimum kaç yeni bağlantı yapabileceği bilgisi girilir.

- User Based Max. Traffic

Her kullanıcı için maksimum trafik bilgisi girilir.

Kbps olarak.

Mbps olarak.

Gbps olarak.

- IP Based Max Users/1min

İstemcinin 1 dakika boyunca aynı IP adresi üzerinden maksimum kaç farklı User-Agent başlık bilgisi ile gelebileceği limitlenir. TR7 ASP bir kullanıcıyı IP adresi + User-Agent bilgisi ile değerlendirir. Böyle bir limit koyulmadığı zaman tek bir IP adresi üzerinden farklı User-Agentlar ile çok daha fazla trafik yaratılabilir.

- Blacklist Timeout

Blacklist’e eklenen kullanıcıların saniye, dakika, saat cinsinden Blacklist'te ne kadar kalacağı bilgisi girilir.

Saniye olarak.

Dakika olarak.

Saat olarak.

- Whitelist Timeout

Whitelist’e eklenen kullanıcıların saniye, dakika, saat cinsinden Whitelist'te ne kadar kalacağı bilgisi girilir.

Saniye olarak.

Dakika olarak.

Saat olarak.

- Add

Add butonuna tıklanarak DDOS Profili eklenir.

Arayüz

DDOS Profili vService'e Nasıl Eklenir?

Adım > 1

İlk olarak TR7 web arayüzü üzerinden "Settings Mode > vServices" adımları takip edilir.

Adım > 2

Gelen ekran üzerinden DDOS Profilinin ekleneceği vService'e sağ tıklanarak "Edit" seçilir ya da ilgili vService'in üzerine tıklanarak sağda açılan pencereden "Actions > Edit" adımları takip edilerekte aynı pencereye ulaşılabilir.

Adım > 3

vService'in düzenleme ekranında "Details > L7 DDOS" seçilerek DDOS devreye alınmış olur. İlk devreye alındığında Default profil kullanılabilir.

LOGO

Adım > 4

Default profil dışında daha önceden eklenmiş bir profil kullanmak ya da yeni bir profil eklemek için profilin yanında bulunan ok işaretine tıklanır. Ekli olan profillerden seçim yapılabilir.

LOGO

"Add" butonuna tıklanarak yeni bir DDOS Profili vService ekranında da eklenebilir.

LOGO

Profil seçiminden sonra DDOS Whitelist ve DDOS Blacklist bilgileri vService ekranında düzenlenebilir. Varsayılan olarak devre dışı gelir.

LOGO

Devreye alınarak istenilen Whitelist ve Blacklist IP adresleri yazılabilir.

Uyarı

Kutularak yazılabilecek olan IP adresleri, "1.1.1.1" şeklinde tekli IP adresleri veya "5.5.5.0/24" şeklinde ilgili ağı kapsayacak IP adresleri yazılabilir. Sağ tarafta bulunan (+) butonuna tıklanarak birden fazla IP adresi yazılabilir.

LOGO

Adım > 5

"Save" butonuna tıklanarak yapılan değişiklikler kaydedilir ve vService'in yeniden düzenlenmesi beklenir.