Değerli çözüm ortaklarımız ve İnternet kullanıcıları,
27 Ekim 2019 tarihli erişim sorunu ile ilgili açıklama yapma ve tespitlerimizi paylaşma zarureti hissettik. Zira söz konusu sorunun göründüğünden daha mühim, kritik ve tekrar etme olasılığı söz konusu olan, yalnızca çözüm ortaklarımız ya da çözüm ortaklarımızla çalışan kullanıcıları değil tümüyle internet kullanımı ilgilendiren bir husus olduğu ve bu konuda tespitlerimizi paylaşma sorumluluğu taşıdığımızı düşünüyoruz.
Öncelikle belirtmek isteriz ki; söz konusu erişim sorunu gün içerisinde ara ara tekrar eden alelade bir sorun ya da verimerkezimizden kaynaklanan bir aksaklıktan ibaret değildir. Konunun detaylarını paylaşmak ve "farkındalık" oluşturmak gerekliliği üzerine süreci ve süreç içerisindeki tespitlerimizi aktaracağız.
Gün içerisinde 17:00 - 20:00 arasında ara ara ortaya çıkan, yavaşlık ve kesintiler şeklinde kendini hissettiren aksaklık Türkiye"nin hedef alındığı geniş ölçekli bir uluslararası DDos saldırısıdır. Saldırının boyutu ise tek bir firma yada verimerkezi tarafından açıklanamayacak, hesaplanamayacak ölçekte büyük olmuştur.
Saldırı trafiğini analiz ettiğimizde gördük ki; DDos trafiğine maruz kalan sistemler müstakil hedefler değillerdi. Yurtdışı üzerinden gelen trafik yurt içerisinde reaksiyon verebilecek sistemler hedef alınarak dolaylı olarak esas hedefe etki etmesi amaçlanmıştır. Hedef alınan Türkiye"nin dijital operatörleri ve bankacılık sistemleri olmuştur.
Süreci teknik olarak ifade etmek yerinde olacaktır. Genel geçer DDos saldırıları sahte ip başlıkları ile sentetik istekler oluşturur ve hedeflenen sistemlere art arda çok sayıda birbirine benzeyen istekler gönderilir. Günümüzde bu tür saldırılar çok hızlı tespit edilip engellenebildiğinden network donanımlarının yetenekleri sayesinde ya azamin ölçekte ya da tümüyle etkisiz hale getirilebilmektedir. Son yaşanan saldırı trafiğinde bu istekler gerçek sunuculara ve üzerinde çalışan gerçek IP"lere sentetik istekler gönderilerek taşeron olarak kullanılan sunuculardan gelen yanıtlarla hedeflenen sisteme trafik yoğunluğu oluşturmak şeklinde gerçekleşmiştir.
Örnek verecek olursak; bir bilgisayar diğer bir bilgisayarla iletişim kurmak istediğinde kendini tanıtan bir istek gönderir. İsteği alan bilgisayar da karşılığında bir istek gönderek yanıtın gelmesi durumunda bir dijital protokol oluşturur. Bu protokol ile güvenli bir erişim söz konusu olur (TCP). DDos saldırılarında bilgisayarların kendilerini tanıtmak için yanıltıcı bilgilerle art arda, çok sayıda istek göndermesi yoluyla hedef bilgisayarın isteklere yanıt veremez hale getirilmesi amaçlanır. Bu tür DDos trafikleri birbirine çok benzeyen ve tespit edilmesi için pek çok argüman sunan isteklerden oluştuğu için filtrelenmesi çok zor değildir.
Son yaşadığımız DDos trafiğinde hedef Türkiye"nin bankacılık sistemleri ve Dijital Operatörleri olmuştur. Ancak saldırı amacıyla kullanılan bilgisayarlar doğrudan hedefe trafik göndermemiş, bunun yerine biz ve pek çok diğer verimerkezinde çalışan yüksek internet erişimine sahip sunuculara kendilerini aslında hedef aldıkları IP adresleri gibi tanıtarak yanıtların hedefledikleri IP"lere tespit edilebilmesi çok daha zor trafikler üretmesini hedeflenmiştir.
DDos trafiğini analiz ederken gördük ki saldırgan IP"ler Türkiye"nin önde gelen kurum ve kuruluşlarına ait görünmekteydi. Yıllar içerisinde pek çok kez DDos trafiği analiz etmiş, bu konuda geniş tecrübeler biriktirmiş hatta Türkiye"nin ilk DDos koruma algoritmasını geliştirmiş bir ekip için bile şaşırtıcı olan bu saldırı yöntemi, saldırıya maruz kalmamıza rağmen hedefin aslında verimerkezimiz olmadığını, saldırı boyutlarının ise bize yansıdığından çok daha yüksek düzeyde olduğunu açıkça ortaya koymuştur.
Konunun alelade bir internet kesintisinden ibaret olmadığını, ulusal ölçekte bir risk taşıdığını ve tekrar etmesi muhtemel DDos kaosların çözümü için ulusal ölçekte bir işbirliği gerektiğini paylaşmak ve hem değerli iş ortaklarımıza hem de kamuoyuna ifade etmek istedik.
Saygılarımızla.