Blog

DDoSHakkında Bilgiler

Şu anda bu yazıyı okuyorsanız, henüz bir DDoS saldırısı altında değilsiniz demektir. Ancak bu durum, tehlikede olmadığınız anlamına gelmiyor…

Etrafımızda Neler Oluyor?

Son bir kaç ay içerisinde tarih kitaplarına büyük puntolarla adını yazdıran ve hedef odaklı yapılan en büyük siber saldırı serisi, saldırıların gelişimi açısından farklı pencerelerden bakmamızın zamanı geldiğini gözler önüne serdi. Kısaca yakın tarihteki siber olaylar silsilesini hatırlamak isterim.

  • Dyn: 21 Ekim 2016, 620 Gbps, yaklaşık 10 milyon IP üzerinden yapılan saldırı sonucu Dyn firmasından DNS (Domain Name Server) hizmeti alan popüler İnternet siteleri canlı yaşamlarını bir süre sessizliğe bırakır.
  • Krebsonsecurity: 20 Eylül 2016, 665 Gpbs, Site saatlerce çalışamaz duruma gelir.
  • OVH: 19 Eylül 2016, 1 Tbps, Nesnelerin de, “Bende artık bir Zombiyim” demeye başladığı ve yaklaşık 145.000 nesne ile yapılan DDoS* (Distributed Denial of Service)       Saldırısı sonucu, Fransız İnternet Servis Sağlayıcı firma hizmet veremez duruma gelir.
  • ODTÜ: 14 Aralık 2015, 220 Gbps, sebebi her ne kadar tam olarak ortaya çıkmasa da (tahmin etmek çok zor değil), ODTÜ sunucularına yapılan saldırı yaklaşık 2 hafta sürer ve tr uzantılı hesapların erişimi kesilir.
  • THY: 29 Mayıs 2012, 100+ Gbps, firma çalışanlarının grevini destekler nitelikte RedHack grubu tarafından yapılan DDoS saldırısında, dakikada yüzlerce bilet kesen online bilet satış sitesi saatlerce kullanılamaz hale gelir.

 

*Yeni Başlayanlar İçin DDoS (DDoS for Dummies)

DDoS (Distributed Denial of Service) yani “Dağıtık Yapıda Hizmet Engelleme” saldırıları, gönüllü kullanıcılar veya bu durumun farkında olmayan kullanıcılara ait IP alan ve uzaktan yönetilebilen tüm cihazların birlikte yapmış olduğu saldırıyı ifade etmektedir. Amaç trafiği engellemek, sistemi erişilemez hale getirmek ve bunun sonucunda mağdurun kazanç kaybına veya daha da önemlisi itibar kaybına uğramaktadır.

Zombi, saldırının en önemli ayağını teşkil etmektedir. Yani uzaktan yönetilebilen ve saldırı emri ile kurbana saldıran cihazlardan bahsediyoruz. Önceleri sadece bilgisayarlar, akıllı telefonlar, tabletler gibi cihazlardan oluşuyordu. Ancak bugün kamera sistemleri, akıllı ev aletleri (buzdolabı, ısıtıcı, ampuller, vb.), akıllı arabalar, raspberry pi, oyun konsolları ve bunlar gibi nicelerini sayabileceğimiz bir ordudan bahsediyoruz.

Kontrol altına alma sürecinde, bilgisayar, tablet ve akıllı telefonlara kötü niyetli yazılım bulaştırmak için ücretsiz dağıtılan programlar ve hizmetler, oltalama gibi teknikler kullanılmaktadır. Ancak, dış dünyaya açık olan cihazların fabrika ayarında bırakılan kullanıcı adı ve şifreleri en kolay hedef olarak değerlendirilmektedir. Zombi cihazlarının sayısı arttıkça yapılacak saldırının şiddeti de doğru orantıda artmaktadır.

Ağ Katmanında (Layer 3/4) DDoS, en temel seviyede DDoS atakları ağ ve taşıma katmanında karşımıza çıkmaktadır. Ağ cihazlarına büyük ölçüde iletilen paketler sayesinde cihazın tüm kaynakları tüketilir ve cihazın gelen isteklere cevap veremez hale gelmesi sağlanır.

Dünyada ve Türkiye’deki servis sağlayıcılar, internet trafiğinin yönlendirildiği noktalarda,  müşterilerini özellikle volumetrik ataklara korumak için karşı konuşlandırdıkları ürünler ve bu konuda bulut servisi veren firmalarla önlem almaya çalışırlar.

“Arbor Networks” ürünlerinin ve servislerinin müşteri lokasyonunda sağlanan koruma yöntemi açısından öne çıktığını söyleyebiliriz. Arbor’ın yüksek kapasiteli, DDoS atak trafiğini temizlemeye yönelik cihazları, DDoS temizleme merkezleriyle de iletişim kurarak ve müşteri lokasyonunda konuşlandırılan DDoS koruma cihazları ile haberleşerek çok katmanlı koruma sağlar.

Uygulama Katmanında (Layer 7) DDoS, Web servisinin veya web uygulamasının bir açığından faydalanarak yapılan atakta, hizmet veren sunucu veya veri tabanı yüksek boyutlu veriler ile cevap veremez kılınır. Kullanıcıya ait oturumların sonlandırılması veya uygulama kaynaklarının belirli protokoller (http, SMTP, POP, FTP, Telnet, DNS, vb.) kullanılarak devre dışı bırakılması hedeflenir.

Görüleceği üzere, birbirinden farklı saldırı türlerinin boyutları değişen dünya ve gelişen teknoloji ile gücüne güç katarak ilerlemektedir. En güncel örnek olarak, OVH ve Dyn‘in başına gelen saldırı, tam olarak bu gücün ne kadar etkili olduğunu gözler önüne sermektedir. Peki, bu iki atağın ortak özellikleri nedir? Cevap basit: Yapılması gereken, başıboş bırakılmış ve güvenliği hiç düşünülmemiş nesnelerin ortaya çıkardığı çok büyük bir trafik ile kaynakların tüketilmesi ve atakların dünyanın farklı bölgelerinden yapılmasıdır. Bu aşamada akıllara gelecek ilk çözüm “İnternet Servis Sağlayıcı”ların, trafik gelen ülkelerdeki iletişimi keserek çözüm üretmesi olacaktır. Ancak, birden fazla ülkeden gelen atak sonrası tüm ülkelerin erişimini keserseniz trafik susacak ve DDoS KAZANMIŞ OLACAKTIR.

“Ne oldu da nesneler bu duruma geldi” demeyin çünkü onlar masum. Onlara bunu yaptıran Japonca’da “gelecek” anlamına gelen Mirai(未来) zararlısıdır. Hackforums gibi herkesin erişebileceği forum, portal veya bilgi alışverişi yapılan sitelerde bulunan kaynak ile kendi IoT ordusunu oluşturan saldırganlar, hiç bir şifreleme yapmayan, erişim kontrolü olmayan ve fabrika ayarında bırakılan kullanıcı adı ve şifresinden faydalanarak elde ettiği yüz binlerce nesne ile güçlü bir DDoS ordusu kurdular. Binlerce CCTV Kamera sistemini ele geçiren saldırganlar tarihin en güçlü DDoS saldırısı ile OVH ve Dyn firmalarına karşı ataklarını gerçekleştirdiler ve başarıya ulaştılar. Bu başarı aslında konuya özel güvenlik üreticileri ile çalışamayan firmaların başarısızlıklarıdır. Saldırılara karşı çözüm üretebilmek adına güvenlik üreticilerinden Cloudflare’in ürünleri bu konuda kendini ispat etmiş durumda. Özellikle 10 Tbps gibi bir saldırı kapasitesine dayanabilmek “Neden Cloudflare olmalı?” sorusunun cevabı olacaktır diye düşünüyorum. (Tablo A)

Untitled1

Tablo A – Kaynak https://www.cloudflare.com/ddos/
Cloudflare, Anycast adı verilen ağ sayesinde devasa boyutlardaki ağ seviyesindeki DDoS ataklarını engelleyebilmektedir. Anycast, dünya çapındaki 100 adet veri merkezi üzerinden aynı IP adresinin yayınının yapılmasını sağlar. Bu IP adresine gelen çağrılar en yakın Cloudflare veri merkezine yönlendirilir. Normal koşullar altında, ziyaretçilerin web sitenize yüksek performansla erişebilmesini sağlar. Yapılan bir atak sırasında ise, Anycast ağı, atak trafiğinin etkili bir şekilde veri merkezleri arasında dağıtılmasını sağlar. Her veri merkezi aynı IP adresini yayınladığından dolayı, trafik hiçbir zaman tek bir lokasyona toplanmaz. Dolayısıyla DDoS ataklarının ana mantığı olan, çok sayıdaki kaynaktan belirli bir noktaya yapılan erişim, çok sayıdaki kaynaktan, yine çok sayıdaki noktaya yönlendirilerek etkisiz hale getirilir.

Cloudflare bu yöntemle, yapılan HTTP atak trafiğinin %90’lık kısmını engelleyebilmektedir. Koruma sistemlerini geçen %10 civarında trafik karşısında da web sitenizin korumasını sağlayabilmeniz için de Cloudflare “Atak Altındayım” adı verilen ek güvenlik servisini devreye alarak, DDoS kontrol mekanizmalarının detay seviyesini arttırır. Bu işlemleri yaparken de sitenize gelen ziyaretçileri normal erişim süresinden 5 saniye daha fazla süre bekletir ve bu durumu da ziyaretçiye web sayfası üzerinden belirtir. “Atak Altındayım” hizmeti ile verilen ek DDoS kontrolleri, ziyaretçilerin “CAPTCHA” girmesine gerek olmadan, otomatik olarak bot testi yapan bir sistem olarak da tarif edilebilir.

Netaş olarak iş ortağımız Cloudflare ile birlikte, her geçen daha farklı yöntemler kullanarak çeşitlenen ve etkisi artarak geleneksel DDoS korunma yöntemlerini aşabilen ataklara karşı, web sitelerinizin korunmasını sağlayacak çözümler sumaktadır. Web sitenizin ziyaretçilerinize yüksek performansla hizmet sunmasını ve ataklara karşı korunmasını sağlayabilmeniz için Cloudflare doğru çözüm olarak karşımıza çıkıyor.

“Neden bu atakları gerçekleştiriyorlar?” sorusunun cevabı para, zevk, deneme, kendini tatmin etme, öğrenme veya rekabet için olabilir. Ancak, nedeni ne olursa olsun, cihazlarımızın Zombi olmasına izin veren bizlerin de bu oyuna katkısı olduğunu unutmamak gerekir. Bu saldırılardan da görüldüğü üzere, Nesnelerin İnterneti çatısı altında üreticilerin alması gereken çok önemli bir ders olduğu da ortaya çıkmaktadır. Çünkü inovatif çalışmalar kapsamında göz ardı edilen en önemli kavramın Güvenlik olduğu aşikardır. Bunun habercisi niteliğindeki olayları yakın tarihte şahit olduk.

Akıllı Arabaların, gaz ve fren sistemleri de dâhil olmak üzere, uzaktan kontrol edilmesi, uçağın rotasında sapma yapılması gibi bir çok haberi hatırlarsınız.

Farklı Pencereler Farklı Nesneler!

Peki, DDoS saldırısını amaçlayan kişi, örgüt, devlet veya her nasıl isim veriyorsak verelim, saldırgan olarak adlandırdıklarımız, neden bilgisayar ve telefonlardan vazgeçip nesnelere yönlendiler? Cevap çok basit. Onlara hiç uyumayan, hiç yorulmayan, gelen emirlere hiç karşı çıkmayan zombiler gerekiyor. Günlük yaşantıyı kolaylaştıracak tüm cihazlar gün sonunda kapanabilir, uçak moduna alınabilir ve İnternet bağlantısı kesilebilir. Ancak, bazı nesneler vardır ki hiç bir zaman uyumaz ve sürekli çalışır. Ağ cihazlarını hiç bir zaman kapatamazsınız mesela. Aksi olması durumunda bilgi transferi durur, buda ticaretin durması demektir. Ağ cihazları dışında hayatımıza giren bazı nesneler vardır ki, yaşamlarını biz insanlara adamıştır. Örneğin CCTV kamerası, fonksiyonu gereği güvenliğimizi sağlamak için sürekli açık olmak zorundadır. Ya buzdolapları, bunlardan farklı mıdır? Sağlıklı bir yaşamın formülü sağlıklı yiyeceklerden geçer. Sağlı yaşam demişken, spor yaparken kullandığımız ve sosyal medya bağlantısı olan adım ölçer, nabız ölçer ve niceleri hayatımızın vazgeçilmez cihazları haline geldi. Akıllı arabalar, akıllı televizyonlar, oyun konsolları ve niceleri… Bunların hepsi insanoğlunun hayatını kolaylaştırmak, destek olmak veya iyileştirmek için var. İşte bu sebeple, bu cihazlar “Akıllı” olarak adlandırılırlar.

Bu akıllı cihazlar bir gün kötü amaçla kullanılırsa… İşte, düşünmemiz ve çözüm üretmemiz için gerekli olan soru da tam olarak budur. Neler yapabiliriz:

  • Öncelikle fabrika ayarları ile gelen cihazların şifrelerini değiştirerek işe başlayabiliriz.
  • Sürekli Denetimler (Zafiyet Analizi vb.) ile cihazların güvenliğini kontrol ettirebiliriz.
  • Güncellemeleri takip edebiliriz.
  • Saldırı özelinde donanımlar/yazılımlar ile saldırıyı engelleyebiliriz.
  • Profesyoneller ile çalışabiliriz.
  • Yatırımlarımızı doğru planlayıp, riskleri en aza indirebiliriz. (Tablo B)

Tablo B

Tablo B – Kaynak ( https://www.cloudflare.com/ddos/)
Rakamlarla DDoS?

  • Zararlı bulaşmış IoT (Internet of Things) cihaz sayısı: 1.266.702 (Siz bunları okurken bu sayı muhtemelen artmış olacaktır)
  • Her yıl büyüyen DDoS saldırıları: Bir kaç yıl önce 200 Gpbs, 2015 yılında 600 Gbps ve Şimdi 1 Tbps
  • İnternete bağlı cihaz sayısı: 2016 yılı 6,4 Milyar Nesne, 2020 itibarıyla yaklaşık 21 Milyar Nesne

Gelişen saldırı çeşitleri bize gösteriyor ki, önemli olan, görebildiğimiz ve engelleyebildiğimiz ataklar değil göremediğimiz veya düşünemediğimiz tehditlerdir. Kim bilir, internete çıkardığımız cihazları belki başka bir pencereden de kontrol etmek faydalı olabilir.

Yazımı bir Japon Atasözü ile bitirmek istiyorum:

“Pirincin içindeki siyah taşlardan korkma beyaz olanlardan kork”

Tarih: 31.10.2016 15:49 Yazar: Ömer Özer

Yazar'a Soru Sorun!

eBülten Üyeliği

Tüm yeniliklerimizden haberdar olmak için eBültenimize kayıt olun!