Teknolojinin yaygınlaşması, kolay tedarik edilebilir sistemler ve geniş bant internet erişim imkanları suistimalleri ve art niyetli teşebbüsleri de beraberinde getiriyor. Elindeki imkanları art niyetli emeller için kullanan kişiler nedeniyle siber güvenlik ihtiyacı hat safhaya çıkmış, yüksek yatırım maliyeti gerektiren güvenlik sistemleri nedeniyle de hem maliyetleri arttırmış hem de son kullanıcıları kullanım konforundan taviz vermek zorunda bırakmıştır.
Peki DDos saldırıları nasıl gerçekleşiyor, nasıl engelleniyor, nasıl önlem alınabilir? Bu konuyu işin mutfağından anlatalım.
Öncelikle şunu ifade edelim ki, DDos saldırıları pekte yüksek seviyede teknik bilgiye ihtiyaç duyulan teşebbüsler değildir. Dolayısıyla bu saldırıları gerçekleştiren kişiler, en klişe ifadeyle "Hacker" değildirler. Aslına bakarsanız Hacker ve Hacking kavramlarının kendi içinde bir tutarlılığı, hatta kabul etmek gerekir ki karizmatik de bir havası vardır. Her ne kadar tasvip etmesekde Hackerların genel olarak bir amaçları ve aldıkları aksiyonların kendilerine göre geçerli sebepleri vardır. Bir bilgiye erişmek, şifreli bir veriyse kırmak, kullanılamaz duruma getirmek ya da "Beyaz Şapka" takmış olanlar için uyarı amaçlı bildirimler göndermek gibi aksiyonlar alan hackerlar elbette yüksek bir teknik bilgiye, karakteristik olarak sabır ve psikolojik dayanıklılığa, tüm bunların ötesinde aldıkları riskler bakımından da cesarete sahiptirler.
İşte DDos kavramı tüm bu mefhumların dışında bir olgudur. DDos"un temel prensibi yoğunluk meydana getirmek ve kaynakları tüketerek hedefi yanıt veremez duruma getirmektir. Bu işlemler için se teknik bilgiye değil en fazla 1 aylık hizmet bedeli ödenenerek alınacak bir internet erişimine ihtiyaç vardır. Tabi bir de ddos paketleri oluşturan küçük bir programa. Haliyle her an her sunucu ve sistem komplikasyonu muhtemel bir DDos saldırısı ile karşı karşıya kalma riski taşır.
DDos saldırılarının temel çalışma sistemi aslında bellidir. Saldırgan kaynak suni paketler oluşturarak bu paketleri doğal yollardan (internet) hedefe gönderir. Hedef, her bir paketi alacağı ve bu paketi kontrol ederek işlem yapacağı, belki de cevap vermek için bir proses kaynağı ayıracağı için her bir paket iş yükü anlamına gelir. Art arda ve milyonlarca paket gönderilen bir sistem, bu istekleri yorulamak için çaba sarf edeceğinden işlem kapasitesi (Cpu, Ram, Hdd I/O, Bant Genişliği, v.b.) dolmaya başlayacak, bir süre sonra yanıt veremez duruma gelecektir.
Evet, bilgisayar ve internet teknolojileri pek çok yenilik ve yetenek ile güçlenmektedir. Sistemler bu tür saldırılara tümüyle açık ve çaresiz değildir. Ancak söz konusu milyonlarca istek olunca gelen trafiğin içerisinden legal yani gerekli trafiğin ayrılması gerekliliği ortaya çıkar. Yapılan saldırı türünün analitiği, saldırının engellenebilir olması ile ters orantılıdır. Bir sunucunun belli bir IP adresine ve belli bir portuna statik bir istek göndermeniz durumunda bu saldırı sistem yöneticileri tarafından hızla tespit edilir ve engellenir. Ancak hedefin farklılık arz etmesi, paketlerin çeşitliliğinin artması gibi faktörler basit müdahaleler ile engellenebilmesini zorlaştırır hatta imkansız hale getirebilir.
Bir diğer saldırı yöntemi de internete açık bilgisayarlara bulaştırılan virüsler aracılığı ile yapılan saldırılardır. Bu saldırı yönteminde kullanıcının düşük bant genişliğindeki internet erişiminden faydalanılarak kullanıcının hissetmeyeceği oranlarda trafik çıkışı sağlanır. Aslında virüsler de genellikle bu amaç için kullanılırlar. Milyonlarca insanın bilgisayarına bulaştırılan bu virüsler muazzam boyutlarda trafik meydana getireceği için ortaya korkunç bir trafik çıkacaktır. Bu trafik ile başetmek de oldukça zor olacaktır.
Söz konusu saldırılar bir sisteme ulaştığında ortaya çıkan trafik çoğu zaman sistemi ulaşılamaz duruma getirir. Bu nedenle ilgili sisteme alternatif bir ağ üzerinden ulaşma gerekliliği ortaya çıkar. Örneğin mobil gsm bağlantısı, leased line ya da müstakil bir ADSL erişimi gibi yöntemlerle sunucuya yedek bir internet erişimi sağlanması gerekmektedir. Peki bu trafik nasıl engellenir? Bu sorunun yanıtı oldukça meşakkatlidir. Saldırı engelleme işlemi için söz konusu saldırı paketlerinin tek tek incelenmesi ve bir istatistiki verinin oluşturulması gerekmektedir. Bu verinin analiz edilerek saldırı trafiğini tanımlayabilir bir benzerlik bulunması zaruridir. Her saniye milyonlarca paketin geldiği bir sistemde bu süreci işletmek oldukça yorucu olacaktır. Söz konusu analizi yapabilmek orta ölçekli bir firewall ya da routerın başaribelieceği bir iş yükü olmaktan da oldukça uzaktır. Bu nedenle bu tür saldırılar transparan çalışan sistemlerde akan paketin analiz edilmesiyle mümkün hale getirilir. İlgili saldırı trafiğinin analizi sonucunda saldırının önlenebilmesi için gerçekleştirilecek kurallar ise çoğunlukla internet erişiminin sağlandığı router üzerinden gerçekleştirilir.
Söz konusu proseslerin başarıya ulaşabilmesi için ilgili verinin yorumlanması gerekmektedir. Bu da ancak bu iş için özel olarak geliştirilmiş bir yazılım ile mümkündür. Basit kurallar çalıştıran, amacı statik rulelar yazan bir firewall ya da router ile bu trafiğin engellenmesi mümkün olmayacaktır.
Özetleyecek olursak, DDos saldırılarının engellenebilmesi için saldırı tarfiğinin analiz edilmesi, analiz edilen verinin sonucunda çözümü sağlayacak bir rule"a karar verilmesi, bu rule"un ise doğrudan internete erişilen en uç noktadan yani router"dan ya da onun hemen arkasında konuşlandırılmış firewall üzerinden yapılması ile mümkün olur.
Peki biz bu prosesi nasıl işletiyoruz?
Saldırı koruma alanında ilk çalışmalarımızı 2006 yılında gerçekleştirdik. Türkiye"de verimerkezi sektörünün inişli çıkışlı seyrettiği, DDos gerçeğinin tam anlamıyla hissedilmeye başlandığı bu yıllarda bu sorunun sektöre büyük darbe vuracağını ön görerek alternatif arayışları içerisine girmiştik. Pek çok marka ve tipte Router ve Firewall alternatifini inceledik ve kurduğumuz labaratuvar ortamında şiddetli saldırı simülasyonlarıyla elde edebileceğimiz optimum performansı tetkik ettik. Gördük ki henüz bu alanda komplike bir çözüm üretilebilmiş değildi. Çözümü kendi imkanlarımızla üretme fikri ortaya çıktı.
Oluşturduğumuz ar-ge projesi ile uzun soluklu bir çalışma gerçekleştirdik. Açık kaynak kodlu sistemlerden istifade ederek kendi modüler IDS/IPDS sistemimizi inşa ettik. Modifiye edilmiş IOS sistemimiz ile tüm trafiğimizi transparan olarak kaydederek analiz etmeyi başardık ve analiz edilen verilerin yorumlayarak hızlı ve efektif olarak müdahale etme şansı bulduk.
Elbette projemizin gelişmesi için daha fazla saldırı tipi ve türevi tecrübe etmemiz gerekiyordu. Bu alanda da sıradışı bir çalışma yaptık ve teknik forumlar üzerinden ilan ettiğimiz bir ödüllü yarışma ile ar-ge projemiz için yeni saldırganlar aradık. 2006 yılında yaptığımız bu çalışmayla tatmin edici seviyede saldırı üretebilen ve analiz mekanizmamızı zorlayacak kadar girift saldırı trafiği üretebilen ve tabiiki önceden işbirliği yaparak gerçekleştirdiğimiz bu çalışma hiç şüphe yokki verimerkezi sektöründe bir ilk olarak tarihe geçmiştir.
Bu sıradışı ar-ge çalışmasıyla pek çok saldırı tipi ve türevi tecrübe etme şansı bulduk. Nihayetinde uzun yıllar boyunca tecrübe ettiğimiz her saldırı tipi için bir analiz mekanizması oluşturup çalışmayı yazılımsallaştırarak bir yapay zeka katmanı meydana getirdik. Bu katman, daha önce tecrübe ettiği tip ve türevdeki saldırılara karşı saniyeler içerisinde analizler gerçekleştiriyor, çalıştırması gereken Rule"u oluşturuyor ve doğrudan omurgada yer alan Router"a ilgili komutu göndererek saldırıları daha ilk saniyelerinde engelleyebiliyordu.
2006 yılında başlattığımız ve aynı yılın Aralık ayında stabil hale geldiğine ikna olduğumuz bu sistemi sürekli ve aktif olarak güncelleyerek geliştirdik. Bugün 9Gbps gibi muazzam bir saldırıyı bile kolaylıkla engelleyebilecek bir DDos korumasına sahip olduk.
Hem enformasyon, teknik hem teknik hem de kurumsal hatıraları canlandırdığımız bir yazı oldu. Çok ta keyifli de oldu.
Çalışmalarınızda başarılar ve DDos"suz temiz trafikler temenni ederek yazımızı sonlandıralım.
Okuduğunuz için teşekkür ederiz.