Etik olmayan bir saldırı çeşidi olarak DDos ataklar uzun zamandır sistem ve ağ yöneticilerini zor durumda bırakmaktadır. Teknik olarak bu saldırılar network üzerinde gereksiz trafik oluşturmaktan öte bir şey değildir.
Aslında Aktif cihaz (Router, switch, modem vs.) üreticileri bu sorunu kökünden çözebilir. Paketlerin çıkış ve varış noktaları geriye doğru teyit edilerek bir saldırı paketi daha çıkış noktasında iken engellenebilir. Ancak uygulamada bu döngü ters çalışıyor. Bir saldırının kağnağından çıkışının engellenmesi yerine varış noktasında sisteme girişinin engellenmesine çalışılıyor.
Ortada ciddi bir ürün pazarı oluşmuş olduğu için şuan bile bu durumu düzeltmeye yönelik adımlar atılmıyor. Firewall cihazlarının Routerlardan çok daha pahalı olması bunun göstergesidir.
Bu saldırıların gündemde olmasının bir sebebi de; Birçok firma Botnet ağları ile rakiplerinin site ve network sistemlerine, ticari rekabet amaçlı zarar vermek istediği için bu saldırılar artık illegal bir sektör olma yolunda hızla ilerlemektedir. Günümüzde Botnet ağları artık alınıp satılan ya da belli süreliğine kiralanan sistemler haline geldi.
Küçük ve orta ölçekli saldırılar
Küçük ve orta ölçekli saldırılar hariç genel kural olarak soft bazlı çözümler DDos saldırılarında etkili olmaz.
Zombi bilgisayar (juno için server) sayısı ve bu bilgisayarların bağlantılarının hızları çok önemlidir. Saldırıların toplamı sizin sunucunun/datacenter ’ın çıkış kapasitesini aştığı anda ziyaretçiler siteye erişemez hale gelir.
Küçük ve Orta ölçekli saldırılarda Soft bazlı çözümler işe yarar.
Soft bazlı çözümler : IDS, IPS, Firewall yazılımları ve web sunucu (IIS, Apache vb.) üzerinde yapılan konfigürasyonlar ve işletim sistemi ayarlarından (Network yapılandırması, Registry ayarları vb.) ibarettir.
Windows sunucular için sayısız IPS programı var bu konuda herhangi bir öneride bulunmak ve yönlendirme yapmak istemiyorum. Üzerinde kural yazabileceğiniz piyasadaki birçok IPS programı işinizi görür. Linux sistemler için ise genelde Snort tercih edilir.
Saldırı loglarını ve saldırı anındaki trafiği analiz ederek bunu IPS programıza imzalatmanız yeterli olacaktır.
Saldırı paketlerini tanır hale gelen IPS hepsini otomatik olarak banlayacaktır.
Saldırı paketlerini yakalamak ve trafiği analiz edip saldırıyı imzalamak için (IDS yani) Wincap ve Ethereal ikilisini önerebilirim.
Wincap paketleri yakalamak için gerekli olan network sürücüsünü kurar. Ethereal ile paketleri yakalayıp analiz edebilirsiniz. Alternatif başka birçok yazılım mevcuttur (Microsoft Network Monitor vb.)
Büyük Saldırılar
Büyük ölçekli saldırılarda saldırı paketleri sizin makinenize ulaştıktan sonra soft bazlı yapacak bir şey yoktur. Gelen paketlerin tamamını engelleseniz bile paket zaten kapınıza kadar gelmiştir, Firewall’ınız gelenlere git derken zaten kendisi sistemi kilitleyecektir.
Saldırı paketleri engellenmiş olsa ve sunucu ayakta kalsa bile asıl siteye girmesi gereken gerçek ziyaretçilerde ulaşamayacağı için saldırı amacına ulaşmış olacaktır.
Büyük saldırılar için Host bazlı çözümler gerekir. Yani Networkun girişine Fiziksel Firewall cihazları kurulmalı, bunlar hali hazırda varsa konfigürasyonlarının çok düzgün yapılması gerekir. Routerlar’da benzer şekilde yapılandırılmalıdır.
Ayarları yapılmamış bir Firewall hiçbir işe yaramaz.
Bu çözümler sunucu yöneticisinin alacağı önlemler değildir. Bunlar hizmet aldığınız datacenter tarafından yapılır. Artık yurtdışındaki birçok datacenter Ddos Protect Network kurmakta ve bunları daha özel fiyatlarla satışa sunmaktadır.
Sunucunuz Türkiye’de ise şansınız yok denecek kadar azdır, Çünkü Türkiye’de yüksek bant genişliği almanız çok büyük maliyetlerdir.
Çok Büyük Ölçekli Saldırılar
Datacenterların dahi etkilendiği çok büyük saldırılarda olabilir. Bunlar için yapacak pek birşey yoktur. Datacenter yetkilileri zaten kısa bir süre içinde hangi makineye saldırıldığını tespit edecek ve Null Route saldırı geliyor diyerek o sunucunun ip adresini networkten silecektir.
Bu nisbeten etkili bir yöntemdir, Datacenter çalışmaya devam edecek ancak sizin sunucunuza erişim olmayacaktır.
Böyle durumlarda mutlaka ikinci, üçüncü ip adresleriniz olsun. Artık DNS değişiklikleri 2 saat içinde tüm dünyada yayılabiliyor, Saldırıya uğrayan ip adresini Ağ Ayarlarından makinizden silerek yerine ikincil ip adresinizi primay olarak ayarlayın. Ancak bu ip adresi daha önce NS bilgilerinizde kullanmadığınız bir ip adresi olmalı.
Zombi Ağının Çökertilmesi ve Saldırganın Tespiti
Saldırı süresince saldırganların vazgeçmesini beklemek oldukça can sıkıcı gelebilir. Bu sıkıcı süreci verimli hale getirebiliriz. Ben böyle durumlarda zombi bilgisayarlardan birine herhangi bir yolla ulaşma yoluna gidiyorum. Uğraşırsanız çok büyük olasılıkla sonuç alabilirsiniz.
Zombi bilgisayar yada sunuculara ulaşma için birçok yöntem izlenebilir;
Makinede açık olabilir öncelikle buna bakılır, Port Scan yapılarak makine isminden, ev kullanıcısı değilse Active Directory üyesi bir makine olabilir, bu durumda login olduğu domain yani Firma/kurum bilgisine ulaşılabilir.
İp adresi adsl dışında bir aralığa ait olabilir, bunlara da bakılmalı buradan bir bilgiye ulaşılabilir. C$ paylaşımları Administrator accont ile denemek gibi başka birçok yöntemler denenmelidir..
Hiç birinden bir şey çıkmazsa başka zombi ip adreslerini deneyin, Nasılsa bilinçsizce size saldırıda bulunan elinizde yüzlerce ip adresi var. Mutlaka birinde açık bir nokta, gözden kaçırılan bir husus önünüze çıkacaktır.
Unutmayın bu bilgisayarların sahipleri bilgisiz cahil kullanıcılardır, öyle olmasalardı zombi durumuna düşmezlerdi. Bu bilgisayarlarında bir açık olabileceği ihtimalini çok güçlendirir.
Zombi bilgisayarlardan birine girdikten sonra saldırı emirlerini hangi siteden aldığını tespit edeceğiz.
Bu executable bir program olabilir, Script kodu vs. olabilir. Sonuçta zombi haline gelen bilgisayar saldıracağı hedef sitenin ip adresini almak için mutlaka bağlandığı bir site adresi olmalı.
İşte O adresi Abusement bildirimleri kapattırabilirsiniz. Bu çok kolay bir işlemdir, düzgün bir İngilizce ile maile ekleyeceğiz herhangi bir log kaydı ile bunu kolayca yapabilirsiniz. Free site bile olsa hiçbir hosting sağlayıcı kendi sistemleri kullanılarak bir yere saldırılmasına izin vermez, Uyardığınız anda o adresi derhal kapatacaktır.
Bu aşamadan sonra zombiler artık hiçbir işe yaramaz.
Hedeflerin alındığı adres free bir site ise düzgün bir yazışma ile siteyi açan kişinin bilgilerini de talep edebilirsiniz. Kurumsal bir sağlayıcı ise zaten her türlü alırsınız.
Çoğunlukla free bir site üzerinden hedefler alınır, ve bu adresler birden fazla olabilir, Botnet ağını kuran kişi herhangi bir sebepten hedefleri verdiği adres kapanırsa zombilere ikinci adrese yönlenmelerini söyler. Bu sebeple işin başında iken kodun içine 2-3 tane farklı adres yazacaktır. İşte burada çok büyük hata yapabilir ve ona ulaşmamızı kolaylaştırabilir.
İlk 2 adresi freehost alabilir üçüncü adres ona ulaşabileceğimiz kişisel host yada erişiminin olduğu firma sitesi vs. olabilir. Yada zombi yazılımına update özelliği ekleyebilir ve belirlediği bir adrese bağlanarak kendini güncellemesini sağlayabilir.
Örnek bir saldırıda hedeflerin alındığı 3 tane adres tespit etmiştik.
http://bnet34.somee.com/target.txt
http://target.co.tv
http://yenermakina.com/Bot/victim.txt
Bunlardan ilk ikisi freehost, Bu adresler bir şekilde kapanırsa üçüncü adresten hedefleri almak üzere zombi kodunun içine yazılmış. (Adresler örnektir)
İlk iki adresi 3-4 saat içinde abusement bildirimi ile kapattık. Üçüncü adres saldırganı ele veren adresti, Bu site saldırgan tarafından web tasarımı yapılmış, FTP şifreleri elinde olan bir siteydi.
Firma sahibinin tabiki durumdan haberi yoktu.
Sonu saldırganın savcılıkta velisinin sızlanması ile biten bir süreçti…
Hukuki ve Etik Değerlendirmeler
Bir sisteme DDos, Flood, Botnet türü saldırılar yapmak Etik olarak asla kabul görmez. Bu durum Teknik olarak bu dünyanın içindeki insanlar tarafından acizlik olarak görülür.
Çünkü asıl olan sisteme girmektir. Bu tip saldırılar son zamanlarda “hacker saldırıları” olarak anılmaya başlandı oysa Hacking tanımında böyle bir ibare yoktur.
Verileri yok etmemek kaydıyla;
Bilişim sisteme girmenin cezası 1 yıl hapistir. (TCK 243
Bilişim sisteminin işleyişini engellemenin cezası ise 5 yıl hapistir (TCK 244)
Görüldüğü gibi sisteme erişimi engellemenin suçu o sisteme girmekten daha fazladır. Mevcut durum kanuna uygun olduğu gibi aynı zamanda hukukidir.
Bu durum stadyuma girmeye izni olmayan bir taraftarın dışarıdakileri içeri sokmamak için olay çıkarmasına ve girmek isteyenleri engellemesine benzer. İllegal bir şekilde içeri girmiş olsa suç bireyseldir ve cezası en fazla kapı dışarı edilmek yada cüzi bir şekilde cezalandırılmaktır. Oysa İllegal olarak içeriye girmeyi beceremeyip dışarıdakileri engellemesi çok kişiyi etkileyen bir hak mağduriyeti doğurur. Bu sebeple cezasının daha yüksek olması hukuka uygundur .
Botnet ağı kuran çoğu kişi yakalanmam zor diye düşünmektedir, Çünkü saldırıları kendisi değil zombi bilgisayarlar yapıyor diye düşünür. Yukarda açıkladığım yöntemler ile çoğu zaman bu tespit edilebilir. Ancak tespit edilmese dahi kim tarafından yapıldığı biliniyorsa ve hukuki süreç başlatılmışsa sonuç alınması muhtemeldir. Bu hırsızlıktan yakalanmış birinin benzer bir olay olduğunda sürekli yakalanmasına benzer.
Çoğunlukla bilişim sistemine girme suçunda somut delil aranırken, DDos, Botnet saldırılarında Emniyetin operasyon yapması için irade beyanı dahi yeterli olmaktadır.
Konuda Adı Geçen Bazı Yazılımlar
http://www.snort.org/snort-downloads
http://www.ethereal.com/download.html
http://www.winpcap.org/install/default.htm
Nerden aldığımı bilmiyorum fakat ddos üzerine bir makale.