Son 30 gündür devam ettiği söylenen, son 15 gündür gündemde yer tutan DDOS nedir, ne değildir? Bu konuda çok yazı okudum. Bir çoğu kuru sıkı içerikten oluşuyor. Hazır gündem olan bir konu olduğundan tribüne oynama amaçlı olduğu bariz, teknik detaydan uzak bu yazıların bir çoğu gerçeklikten bile uzak durumda.
Bir kısım yazıların ise bizim gibi sektör profesyonellerinin tamamen kişisel ve şirketlerinin reklamı amacıyla yazıldığı ortada. Her satırda şirketin adını büyük harflerle tekrar tekrar yazmaktan bilgi vermeyi unutmuşlar maalesef.
Birazdan paylaşmaya çalışacağım detaylar herhangi bir şirketi veya kurumu reklam etmeye veya yermeye çalışmadan, ticari bir beklenti haricinde tamamen çözüm ve fayda sağlama amacıyla 15 yıllık bilgilerimi paylaşmaya çalışacağım.
Öncelikle nedir Ddos? Herhangi bir sunumu, yayını, ticareti engellemeyi amaçlayan, doğru veya oynanmış bir yoğunluk yaratılarak gerçek işi engelleme amacıyla gerçekleştirilen olayların tamamı aslında Ddos kapsamındadır. Fakat konumuz siber saldırı olduğundan bu işin genelde web sitesinin yayınını engellemek olarak incelersek, siteye karşılayabileceğinden çok daha fazla talebi yönlendirme işine Ddos denir.
Halk diliyle anlatmak istersek, mahalledeki bakkalın ticaretini engelleme örneğini verebiliriz. Mahalle bakkalının kapısı aynı anda 1 kişinin geçmesi için müsait ise siz tüm semtte “ekmek bedavaymış, sucuğun kilosu 1 TL imiş” şeklinde bir ayaklanmayla bakkala 10.000 kişiyi sürekli yönlendirirseniz bakkalın siz yönlendirmeyi durdurana kadar ticaretini engellemiş, bakkal abimizi tam anlamı ile hayatından bezdirmiş olursunuz.
Yine başka bir örnek, mesela bir çekilişte araba çıktı fakat 160. sıradasınız. Çekilişi yapan firma sıradan sıradaki herkesi arayacak ilk kime ulaşabilirse arabayı o kazanacak durumunda. Siz ilk 159 kişinin telefonlarını aynı anda 3-4 telefondan arayarak meşgul edersiniz. Bu noktada çekilişi yapan firma ilk 159 kişiye ulaşamaz ve siz 160. kişi olarak kazanabilirsiniz. Bu da başka bir Ddos uygulama türüdür.
Ddos ile bilgilerimiz çalınır mı? Garanti Bankası çalışmadığında kredi kartı borcumdan yırttım mı? Tabi ki hayır. Bilgileriniz çalınmaz, kredi kartı borcunuzdan kurtulamazsınız. Ddos veriye ulaşmadan yapılan bir saldırı türüdür. Amaç veriye ulaşmayı değil sadece saldırı anında yayın yapmasına engel olmayı hedefler.
Ddos nasıl yapılır? Korunmak için önce nasıl yapıldığını ve işin doğasını öğrenmeniz gerekiyor. Biraz uzun olacak ama bu da gülün dikeni… 1995 yılından bugüne internet dünyası çeşitli saldırılara sahne olmuştur. Bunların büyük kısmı Ddos kapsamındadır. Fakat son 10 yıllık süreçte alt yapıların ve kapasitelerin çok büyümesi sorunların çözümü ile birlikte yeni problemleri de paralelinde getirmiştir.
Günümüzde Ddos için en basit 2 metod TCP-IP protokolü üzerinden uygulanan sahte talep açma metodları meşhur olsada artık çok büyük trafik kapasitelerine sahip mecralar tarafından kolayca çözülebildiğinden uygulanmamıştır. Örnek olarak tcp-ip kullanımında ortalama bir server donanımı üzerinden saniyede 400-600 mbit trafik kapasitesi ile 1 milyon paket gönderilebilir.
Son birkaç yıldır ise UDP saldırıları yoğunlaşmıştır. UDP üzerinde çalışan DNS, SNMP ve şu sıralar en çok kullanılanı NTP protokol hataları üzerindeki ataklar ciddi boyutlara ulaşmıştır.
TCP-IP üzerinden atak yapmak isteyen saldırganın elinde güçlü ve kapasiteli sunucular olmalıdır. Bu sunucuları dilerse kendisi para verip satın alabilir, dilerse interneti tarayarak yazılım açıklarını bulan bir uygulama ile edinebilir. İlk olarak kolay metodu tercih edip 10 adet 10 Gbit kapasite çıkışa sahip sunucu kiraladığını baz alıyorum. Aylık maliyeti yaklaşık 1000 euro civarında olacaktır. Bu sunucular üzerine gerçek saldıran yani kendi ip adreslerini yani saldırgana ulaşmaya neden olacak kayıtları gizleyecek IP-SPOOF tekniğine uygun başka bir yazılım ile saldırı yapacaktır. Bu yazılımı merkezi bir emir sistemine bağlayarak aynı anda emir verip kullanabilir. Bu örnekte aylık 1000 euro maliyet ile dünyanın herhangi bir yerindeki internet sitesine kabaca 40-100 Gbit arasında saldırı yapabilir. Bunu dilerse aylarca açık tutabilir.
Bu saldırıdan korunmak için kurban her 10 Gbit saldırıyı çözebilmek için aylık TR içerisinde 50-100 Bin TL civarında bir masraf ödemek zorundadır. Bu maliyet tek başına pek çok mecraya zarar vermekte ve pek çok şirketin ticari hayatına mal olabilmektedir.
UDP saldırılarında iş çok daha kötüdür. UDP sistemlerinde saldırganın cebinden harcaması gereken tek para aylık 50 euro olacaktır. Bu yapıda merkezi bir sistem kiralayacaktır. Bu sistem üzerinde dünyadaki tüm bilgisayarları tarayacaktır. Taramalarında güncellenmemiş veya deneyimsiz yöneticilerin ayarladığı güçlü sunucular üzerindeki açıkları tespit edecektir. Bu açık bilgisayarları o anda kullanmayacak ve tek tek kaydedecektir.
Kayıtlar sonrasında açığı olan sistemleri tek tek test edecek. Bunun için bu sistemlerden kendine ait bir yapıya saldırarak her sunucunun ne kadar kapasitesi olduğunu not edecek. Bu yapının ötesinde bir ön çalışma daha yaparak bu açık sunuculardan gruplar yaratacak kapasite bazında organize edecek. Böylece önce 5 gbit saldırı yaparak denediği bir sistemi engelleyene kadar adım adım 10-50-100 Gbit kapasitelere kadar arttırmak mümkün olacak, gücünün tamamını yani tüm kurşunlarını 1. dakikadan harcamayacaktır. Bu noktada saldırı zaten bir sinir harbine dönüşeceğinden psikolojik olarakta etkili olmaya çalışacaktır.
UDP 50 euro paraya mal edilen bir sistem ile 500 Gbit saldırı üretebileceğiniz imkan verir. Ve maalesef çözümü zahmetlidir. %100 olmasada mümkündür, en azından etkiyi minimize etmek mümkündür.
UDP saldırısından korunmak için kurban maalesef yine TCP de olduğu üzere her 10 Gbit için 50-100 bin TL masrafa katlanmak zorundadır. Fakat dikkat ederseniz saldırganın eli çok geniş kapasite ile güçlü olduğundan sıkıntılı bir süreç yaşanacaktır.
Peki çözüm ne?
Saldırıyı nasıl yaptıklarını anlatmaya çalıştım, biraz uzun oldu fakat terminolojiyi öğrenmeden çözümü uygulamanız mümkün değildir. Bu arada yazımın amacı işi çözmeniz değildir. İşin ne kadar belalı bir süreç olduğunu anlatmaya çalışıyorum. Bu noktada işin profesyoneline gitmeniz çözümü profesyonelden satın almanız gerekmektedir. Profesyonel olduğunu iddia eden şirket veya kişilerin yorumlarını ve çözüm önerilerini yukarıdaki bilgiler ışığında karşılaştırmanız benim gerçek amacımdır. İşi yapmanız değil işi yapacak adamı tartmanız için doğru çözümü satın alabilmeniz için paylaşmaktayım.
Öncelikle yapmamanız gerekenler
- Siz asla uzman değilsiniz! Uzman olmanızda gerekmez! Çok iyi yazılımcı olmanız, 20 senelik sistem yöneticisi olmanız çözümüm parçası olmayacaktır.
- Çözüm ucuz değildir. Kalitenin maalesef bedeli olacaktır. Ucuz çözümler her zaman daha pahalı olacaktır. Risk hesabını yaparken Ucuz hizmet vereni değil, sorunu 1 saat daha geç çözecek ucuz çözümün size kaybettireceğini düşünerek karşılaştırın!
- Bu konuda cihaz satın alarak çözüm üretemezsiniz! Yani size 2 milyon USD değeri olan firewall satmak isteyen arkadaşlar DDOS konusunda asla ama asla çözüm üretemeyeceklerdir. DDOS’un ilacı asla ve asla sadece cihaz yatırımı olmayacaktır.
- Bir arkadaş var tanıdık o da google’da çalışmış birini tanıyor diyalogları size sadece zaman kaybettirecektir! Profesyonele gidin!
Gelelim çözüme
Ddos farkında olunduğu üzere kaba kuvvet işidir. Dolayısı ile elinde büyük sopası olan bir alt yapıya ihtiyacınız var.
- Çözüm olacak datacenter çok önemlidir.
- Datacenter firmasında en az 3-4 farklı kanaldan FULL BGP konuşabileceği ve bu BGP trafiklerinden gelen tüm trafiği detaylı COMMUNITY haraketleri ile izleyebileceği gelen trafiğin kaynağını görebilecekleri bir alt yapıları olmalı.
- Gelen çöp değerindeki blok trafiğin BGP detaylarında hangi kanaldan network’e girdiğini bulmalılar.
- Çöp trafiğin girdiği kanala, saldırı alan hedef ip grubuna ait bir emir verilerek limit veya engelleme yazılmalı.
- Bu firmanın trafik kapasitesi içeri yönlü olarak en az 50 Gbit + olmalıdır.
- Bu konuda ülkemizdeki ufak şirketler genelde çözümü Türk Telekom ve Turkcell gibi operatörlere yıkmaya çalışmaktadırlar. Saldırı çözümünü Turkcell veya Turk Telekom’dan satın alan şirketlerin %100 çözüm üretemeyeceği ortadadır.
- Datacenter firması trafik analizini otomatik yapabilmelidir.
- Trafikleri otomatik analiz edebilen pek çok ürün olsa da bu konuda kişisel önerim şirketin trafikleri analiz eden bir yazılımı üretmiş olması gerekiyor. Hazır yazılımlar genelde ufak tefek düzenlemelere hazır çözüm üretemediğinden hızlı güncelleme için datacenter şirketinin üretimi olması şarttır.
- Datacenter elinde en az 2 adet tüm dünyanın BGP verisini işleyebilecek Backbone Router’a sahip olmalı, bu cihazların yedekliliği işlem kapasitesi için önemli olduğundan bu cihazların yokluğu maalesef çözümü 10-20 gbit kapasitelerdeki saldırıları bile çözemeyecek duruma getirecektir.
- Trafik analizinin sonucunda uç noktalara kapatma emirlerini otomatik vermelidirler.
Datacenter şirketi bu noktalarda sağlıklı çalışabilmek için doğru ve bu özellikleri eksiksiz sağlayabilecek Telekom Operatörlerine ihtiyaç duyarlar. Ülkemizde bu noktada hakim operatörler Turk Telekom ve Turkcell‘dir. Vodafone, Telecom Italia gibi şirketlerin kabloları üzerinden ülkemizin yabancı erişim noktaları bulunmaktadır.
Bu durum kesinlikle yetersiz olmasına rağmen mevcutta işi çözmek için firmaların BGP tarafındaki sorunları çözmeleri şarttır.
5. Telekom operatörü, sağladığı internet erişimlerini tıpkı global operatörlerin yapığı gibi BGP Community başlıklarını silmeden, manipüle etmeden eksiksiz Datacenter’a teslim etmelidir. Şuan ülkemizde Turk Telekom ve Turkcell bu konuda işin kolayına kaçarak hiç bir detayı paylaşmamaktadırlar.
6. Kötü ve çöp trafiğin büyük bir kısmının daha kaynağında çözülmesi ile size gelen trafikten büyük oranda kurtulursunuz. Bu noktada Odtü tarafından yapılan açıklamada yer alan 200 Gbit DDOS saldırıyı yukarıda paylaştığım metod ile muhtemelen %99 çözerlerdi.
7. Kaynakta çözülemeyen ve dağınık olarak gelecek diğer trafikler için muhtemelen bu kapasiteler 10-20-30 Gbit seviyelerindedir ki artık çözülebilir boyutlara gelmiştir. Bu noktada Datacenter veya kendi firewall cihazlarınız üzerinde çözebilirsiniz.
Yukarıda saydığım sorun tanımı ve çözüm ile birlikte sadece 1 şirketin değil ülkemizdeki tüm riskli varlıkların bu servisler üzerinden korunması mümkün olacaktır.
Ddos saldırıları kaba kuvvete dayalı sorunlar olup karşılığında uzman çözümler veya benzer büyüklükte kapasiteler olması şarttır.