Saldırı Tespit Prosedürü

[rule-creation-options]:    ../user-guides/events/check-attack.md#attack-analysis_1
[request-processing]:       ../user-guides/rules/request-processing.md
[api-discovery-enable-link]:        ../api-discovery/setup.md#enable

# Saldırı Tespit Süreci

Wallarm platformu, uygulama trafiğini sürekli analiz eder ve kötü amaçlı istekleri gerçek zamanlı olarak önler. Bu makalede, Wallarm'ın saldırılardan koruduğu kaynak türlerini, trafikteki saldırı tespit yöntemlerini ve tespit edilen tehditlerin nasıl izlenip yönetilebileceğini öğreneceksiniz.

## Saldırı Nedir ve Saldırı Bileşenleri Nelerdir?

<div>
  <script async src="https://js.storylane.io/js/v2/storylane.js"></script>
  <div class="sl-embed" style="position:relative;padding-bottom:calc(61.18% + 25px);width:100%;height:0;transform:scale(1)">
    <iframe loading="lazy" class="sl-demo" src="https://wallarm.storylane.io/demo/pmaofaxiwniz?embed=inline" name="sl-embed" allow="fullscreen" allowfullscreen style="position:absolute;top:0;left:0;width:100%!important;height:100%!important;border:1px solid rgba(63,95,172,0.35);box-shadow: 0px 0px 18px rgba(26, 19, 72, 0.15);border-radius:10px;box-sizing:border-box;"></iframe>
  </div>
</div>

<a name="attack"></a>**Saldırı**, aşağıdaki özelliklere göre gruplanan tek bir hit ya da birden fazla hit'tir:

* Aynı saldırı türü, kötü amaçlı yük içeren parametre ve hit'lerin gönderildiği adres. Hit'ler aynı ya da farklı IP adreslerinden gelebilir ve aynı saldırı türü içinde kötü amaçlı yüklerin farklı değerleri olabilir. Son hit'ten sonra bir saat içerisinde yeni bir hit gelmelidir; aksi halde ayrı bir saldırı olarak değerlendirilecektir.

    Bu hit gruplama yöntemi temel olup tüm hit'lerde uygulanır.

* Eğer [kaynak IP’ye göre hit gruplama](../user-guides/events/grouping-sampling.md#grouping-of-hits) etkinleştirilmişse, aynı kaynak IP adresine sahip hit'ler. Diğer hit parametre değerleri farklı olabilir.

    Bu hit gruplama yöntemi, Brute force, Forced browsing, BOLA (IDOR), Resource overlimit, Data bomb ve Virtual patch saldırı türleri dışındaki tüm hit'ler için geçerlidir.

    Eğer hit'ler bu yöntemle gruplanırsa, ilgili saldırı için [**Yanlış pozitif olarak işaretle**](../user-guides/events/check-attack.md#false-positives) butonu kullanılamaz.

Listeye alınan hit gruplama yöntemleri birbirini dışlamaz. Eğer hit'ler her iki yöntemin özelliklerine sahipse, hepsi tek bir saldırıda gruplanır.

<a name="hit"></a>**Hit**, seri hale getirilmiş kötü amaçlı bir istektir (orijinal kötü amaçlı istek ve Wallarm düğümü tarafından eklenen meta veriler). Eğer Wallarm, tek bir istekte farklı türde birçok kötü amaçlı yük tespit ederse, her tür için ayrı hit'ler kaydeder.

<a name="malicious-payload"></a>**Kötü Amaçlı Yük**, aşağıdaki öğeleri içeren orijinal bir isteğin parçasıdır:

* Bir istekte tespit edilen saldırı işaretleri. Eğer bir istekte aynı saldırı türünü karakterize eden birden fazla saldırı işareti tespit edilirse, yalnızca ilk işaret kötü amaçlı yüke kaydedilir.
* Saldırı işaretinin bağlamı. Bağlam, tespit edilen saldırı işaretlerinin öncesinde ve sonrasında bulunan sembollerden oluşur. Kötü amaçlı yük uzunluğu sınırlı olduğundan, eğer saldırı işareti tüm yük uzunluğunu kapsıyorsa bağlam atlanabilir.

Saldırı işaretleri [davranışsal saldırıları](#behavioral-attacks) tespit etmek için kullanılmadığından, davranışsal saldırıya ait isteklerin yükleri boştur.

[Learn how to analyze attacks in Wallarm →](../user-guides/events/check-attack.md)

## Korumalı Kaynak Türleri

Wallarm düğümleri, korumalı kaynaklara gönderilen HTTP ve WebSocket trafiğini analiz eder:

* HTTP trafik analizi varsayılan olarak etkinleştirilmiştir.

    Wallarm düğümleri, HTTP trafiğini [girdi doğrulama saldırılarına](#input-validation-attacks) ve [davranışsal saldırılara](#behavioral-attacks) karşı analiz eder.
* WebSocket trafik analizi, [`wallarm_parse_websocket`](../admin-en/configure-parameters-en.md#wallarm_parse_websocket) direktifi aracılığıyla ayrıca etkinleştirilmelidir.

    Wallarm düğümleri, WebSocket trafiğini yalnızca [girdi doğrulama saldırılarına](#input-validation-attacks) karşı analiz eder.

Korumalı kaynak API'si, aşağıdaki teknolojiler temel alınarak tasarlanabilir (WAAP [subscription plan](subscription-plans.md#waap-and-advanced-api-security) kapsamında sınırlıdır):

* GraphQL
* gRPC
* WebSocket
* REST API
* SOAP
* XML-RPC
* WebDAV
* JSON-RPC

## Saldırı Tespit Süreci

Saldırıları tespit etmek için Wallarm, aşağıdaki süreci kullanır:

1. İstek formatını belirleyin ve her istek parçasını [parse edin](../user-guides/rules/request-processing.md).
2. İsteğin gönderildiği uç noktayı belirleyin.
3. Wallarm Console'da yapılandırılmış [özel](../user-guides/rules/rules.md) istek analiz kurallarını uygulayın.
4. [Varsayılan](#tools-for-attack-detection) ve özel kurallara dayanarak isteğin kötü amaçlı olup olmadığına karar verin.

## Saldırı Türleri

Wallarm çözümü, API'leri, mikroservisleri ve web uygulamalarını [OWASP Top 10](https://owasp.org/www-project-top-ten/) ve [OWASP API Top 10](https://owasp.org/www-project-api-security/) tehditlerine, API kötüye kullanımına ve diğer otomatik tehditlere karşı korur.

Teknik olarak, Wallarm tarafından tespit edilebilen tüm saldırılar şu gruplara ayrılır:

* Girdi doğrulama saldırıları
* Davranışsal saldırılar

Saldırı tespit yöntemi saldırı grubuna bağlıdır. Davranışsal saldırıları tespit etmek için ek Wallarm düğüm yapılandırması gereklidir.

### Girdi Doğrulama Saldırıları

Girdi doğrulama saldırıları, SQL enjeksiyonu, cross‑site scripting, uzaktan kod çalıştırma, Path Traversal ve diğer saldırı türlerini içerir. Her saldırı türü, isteklerde gönderilen belirli sembol kombinasyonları ile karakterize edilir. Girdi doğrulama saldırılarını tespit etmek için, isteklerin sözdizimsel analizinin yapılması – belirli sembol kombinasyonlarını tespit etmek amacıyla parse edilmesi – gereklidir.

Wallarm, listelenen [araçlar](#tools-for-attack-detection) kullanılarak, SVG, JPEG, PNG, GIF, PDF vb. gibi ikili dosyalar dahil her istek parçasında girdi doğrulama saldırılarını tespit eder.

Girdi doğrulama saldırılarının tespiti varsayılan olarak tüm müşteriler için etkinleştirilmiştir.

### Davranışsal Saldırılar

Davranışsal saldırılar, aşağıdaki saldırı sınıflarını içerir:

* [Kaba kuvvet saldırıları](../admin-en/configuration-guides/protecting-against-bruteforce.md) şifre kaba kuvvet denemesi, oturum kimliği kaba kuvvet denemesi, credential stuffing gibi saldırıları içerir. Bu saldırılar, sınırlı bir zaman diliminde tipik bir URI'ye gönderilen, farklı zorlanmış parametre değerlerine sahip çok sayıda istek ile karakterize edilir.

    Örneğin, bir saldırgan şifreyi zorladığında, kullanıcı kimlik doğrulama URL'sine farklı `password` değerlerine sahip birçok benzer istek gönderilebilir:

    ```bash
    https://example.com/login/?username=admin&password=123456
    ```
* [Zorunlu tarama saldırıları](../admin-en/configuration-guides/protecting-against-forcedbrowsing.md), sınırlı bir zaman diliminde farklı URI'lere yapılan isteklere dönen çok sayıda 404 yanıt kodu ile karakterizedir.

    Örneğin, bu saldırının amacı, gizli kaynakları (örneğin uygulama bileşenleri hakkında bilgi içeren dizinler ve dosyalar) numaralandırmak ve erişmek, böylece bu bilgileri diğer saldırı türlerini gerçekleştirmek için kullanmaktır.
* [BOLA (IDOR) saldırıları](../admin-en/configuration-guides/protecting-against-bola-trigger.md), aynı adı taşıyan açığı kullanır. Bu açık, bir saldırgana API isteği yoluyla bir nesneye tanımlayıcısı üzerinden erişip, yetkilendirme mekanizmasını atlayarak verilerine ulaşma veya verilerini değiştirme imkânı sağlar.

    Örneğin, bir saldırgan, gerçek bir mağaza tanımlayıcısını bulmak ve karşılık gelen mağaza finansal verilerini elde etmek için mağaza tanımlayıcılarını zorlayabilir:

    ```bash
    https://example.com/shops/{shop_id}/financial_info
    ```

    Eğer bu tür API istekleri için yetkilendirme gerekmiyorsa, saldırgan gerçek finansal verileri elde edebilir ve bunları kendi amaçları için kullanabilir.

#### Tespit

Davranışsal saldırıları tespit etmek için, isteklerin sözdizimsel analizinin yanı sıra, istek sayısı ve istekler arasındaki zamanın korelasyon analizi yapılmalıdır.

Korelasyon analizi, kullanıcı kimlik doğrulama, kaynak dosya dizini veya belirli bir nesne URL'sine gönderilen istek sayısı eşiği aşıldığında gerçekleştirilir. İstek sayısı eşiği, meşru isteklerin engellenme riskini azaltacak şekilde ayarlanmalıdır (örneğin, kullanıcının hesabına birkaç kez yanlış şifre girdiği durumlarda).

* Korelasyon analizi, Wallarm postanalytics modülü tarafından gerçekleştirilir.
* Alınan istek sayısı ile eşik değerinin karşılaştırılması ve isteklerin engellenmesi Wallarm Cloud'da gerçekleştirilir.

Davranışsal saldırı tespit edildiğinde, istek kaynakları engellenir; yani, isteklerin gönderildiği IP adresleri denylist'e eklenir.

#### Koruma

Kaynağı davranışsal saldırılara karşı korumak için, korelasyon analizi eşiğini ve davranışsal saldırılara karşı savunmasız URL'leri ayarlamak gereklidir:

* [Kaba kuvvet koruması yapılandırma talimatları](../admin-en/configuration-guides/protecting-against-bruteforce.md)
* [Zorunlu tarama koruması yapılandırma talimatları](../admin-en/configuration-guides/protecting-against-forcedbrowsing.md)
* [BOLA (IDOR) koruması yapılandırma talimatları](../admin-en/configuration-guides/protecting-against-bola-trigger.md)

## Saldırı Tespit Araçları

Kötü amaçlı istekleri tespit etmek için, Wallarm düğümleri korumalı kaynağa gönderilen tüm istekleri aşağıdaki araçları kullanarak [analiz eder](#attack-detection-process):

* **libproton** Kütüphanesi
* **libdetection** Kütüphanesi
* İstek analizi için özel kurallar

### libproton Kütüphanesi

**libproton** kütüphanesi, kötü amaçlı istekleri tespit etmede birincil araçtır. Kütüphane, farklı saldırı türü işaretlerini belirlemek için token dizileri olarak işleyen **proton.db** bileşenini kullanır; örneğin, [SQL enjeksiyonu saldırı türü](../attacks-vulns-list.md#sql-injection) için `union select`. Eğer istek, **proton.db** dizisinden eşleşen bir token dizisi içeriyorsa, bu istek ilgili saldırı türü olarak değerlendirilir.

Wallarm, yeni saldırı türleri ve halihazırda tanımlanmış saldırı türleri için **proton.db**'yi düzenli olarak token dizileriyle günceller.

### libdetection Kütüphanesi

#### libdetection Genel Bakış

[**libdetection**](https://github.com/wallarm/libdetection) kütüphanesi, **libproton** tarafından tespit edilen saldırıları ek olarak şu şekilde doğrular:

* Eğer **libdetection**, **libproton** tarafından tespit edilen saldırı işaretlerini onaylarsa, saldırı engellenir (filtreleme düğümü `block` modunda çalışıyorsa) ve Wallarm Cloud'a yüklenir.
* Eğer **libdetection**, **libproton** tarafından tespit edilen saldırı işaretlerini onaylamazsa, istek meşru kabul edilir; saldırı Wallarm Cloud'a yüklenmez ve engellenmez (filtreleme düğümü `block` modunda çalışıyorsa).

**libdetection** kullanmak, saldırıların çift tespitini sağlar ve yanlış pozitif sayısını azaltır.

!!! info "libdetection kütüphanesi tarafından doğrulanan saldırı türleri"
    Şu anda, **libdetection** kütüphanesi yalnızca SQL Enjeksiyonu saldırılarını doğrular.

#### libdetection Nasıl Çalışır

**libdetection**'ın belirgin özelliği, istekleri yalnızca saldırı türlerine özgü token dizileri için değil, aynı zamanda token dizisinin gönderildiği bağlam için de analiz etmesidir.

Kütüphane, farklı saldırı türü sözdizimlerinin karakter dizilerini içerir (şimdilik SQL Enjeksiyonu). Bu dizi bağlam olarak adlandırılır. SQL enjeksiyonu saldırı türü için bağlam örneği:

```curl
SELECT example FROM table WHERE id=