Kirli Trafik Tehlike Habercisi

Kimi zaman sunucularımız üzerine gelen anlamsız gibi görünen, tehdit oluşturmayacağını düşündüğümüz, internet kaynaklarını bile çok az tüketen trafiklerle karşılaşır ve görmezden geliriz.

Kimi zaman sunucularımız üzerine gelen anlamsız gibi görünen, tehdit oluşturmayacağını düşündüğümüz, internet kaynaklarını bile çok az tüketen trafiklerle karşılaşır ve görmezden geliriz. Bu tür trafiklerde Kaynak IP networkleri dağınık ve farklı olduğundan, işlem yapılan portlar ve üretilen trafik anlamlı gelmediğinden önlem alma gereği duymayabiliriz. Ama bu tür anlamsız trafikler önemli bir tehlikenin habercisi olabilir. 

Hedef Kaos

Saldırganlar, hedef sistemde önce işlem karmaşası oluşturmayı, ardından esas amaçlarına yönelik girişimler başlatmayı planlayabilirler. Böylelikle loglara yansıyan yoğun işlem trafiği nedeniyle takip edilmesi zor bir hal almasını amaçlar ve savunma duygusunu zayıflatırlar. Çok basit bir taktik gibi görünebilir, ancak çok etkilidir. Dünya"nın en büyük orduları bile bu yöntemle kendilerinden zayıf ordular karşısında çok ağır yenilgiler almıştır.

Çok fazla anlam verilemeyen işlem hareketi gören IT yöneticileri genellikle bunu ivedi bir durum olarak değerendirmezler ve planlı ve önceliği yüksek süreçleri öncellerler. Bir süre sonra bu anlamsız trafik bir risk olarak değerlendirilmekten çıkar. Böylece güvenlik duvarlarında insan kaynaklı bir konsantrasyon boşluğu elde ederler. Şartlar müsait olduğunda ise en klişe yöntemler devreye girer; BruteForce, Flood, Injection, v.b. 

 

Büyük Veri Kayıpları Küçük Hatalar

Daha önce bir internet saldırganına maruz kalmış her IT"ci bilir ki; çok büyük kayıplara yol açan saldırılar bile yapılan çok küçük hatalar neticesinde gerçekleşebilme imkanı bulur. Örneğin; VPN tünel içerisinde izole edilen bir IP networküne erişim, OpenSource VPN Client kullanan bir kullanıcının bilgisayarındaki E-Posta adresinin şifresini BruteForce yoluyla ele geçirmesi neticesinde temin edilmiş olabilir. Ya da SMTP hatalarına yol açacak komutlar göndererek Mail Sunucusunun cpu kullanımını pik değere ulaştıran bir istemci, kirli trafik ile log karmaşasına yol açarak bu küçük ama etkili trafiğin tespit ve engelleme süresini saatlerce uzatabilir. 

Küçük Sorun Yoktur

Küçük sorun yoktur, küçümsenen sorunların ortaya çıkarttığı büyük sorunlar vardır. Önemsenmeyen, zararsız gibi görünen trafik akışının amacı aslında loglarınızda karmaşa, trafik hareketlerinizin izlenmesinde konsantrasyon boşluğu elde etmeye çalışıyor olabilir. Öyle ya; bu trafik gereksizse neden birileri sunucularınıza gereksiz bir trafik göndersin? Bu kuşkucu bakış açısı I.T. yöneticilerinin temel prensibi olmalıdır.

Üretilen trafikler uzun süre işlem yapılmaz ve trafik akışı engellenmezse, trafiği üreten (muhtemelen) yazılım mekanizması, trafiğe karşı önlem alınmadığını fark edip amacına ulaşmak için gerçekleştireceği evreye geçiş yapabilir. Örneğin SMTP sunucunuza yalnız EHLO göndererek hata üretmesini sağlayan bir saldırgan robot, 3 gün boyunca herhangi bir önlem alınmadığını gördüğünde SMTP BruteForce yöntemine başlayabilir. Hatta bir süre bruteforce ile devam edip tekrar EHLO hatası üretmeye devam edebilir. Ya da CPU kullanımınızı etkilemeyecek ölçekte SNMP sorguları gönderip iş dışı saatlerde bu trafiğin oranını CPU kullanımınızı etkileyecek boyutlara taşıyabilir. Bu tür durumlarda sabah geldiğinizde hata mesajlarıyla karşılaşabilir, servis kalitenizin düştüğünü görebilirsiniz.

Nasıl Önlem Almalı?

Gereksiz trafik yoktur, gereksiz gibi görünen trafikler ise aslında gerekli bir önlem alma gerekliliğinin habercisidir. Yapılması gereken bu tür trafiklerin kaynak IP Networklerini, hatta ASNUMBER kaynaklarını hassasiyetle incelemeli, gerekirse kaynak IP Networklerini C Class sınıfında yasaklamalı, kirli trafiğin sunucularınıza gelmesinin önüne geçerek önlem aldığınızı belli etmelisiniz. Muhtemelen alınan önlemler sonrasında saldırgan yazılımlar bunu farkedecek ve size daha sonra uğramayı tercih etmeyecektir. Bu yöntem, belki de olası saldırıların %80"ini engellemek için yeterli olur. Kalan %20 ise daha hassas kontroller ve önlemler gerektirecektir.

Datafon olarak ise; Verimerkezimizde üretilen kirli trafiği yakından ve hassasiyetle takip ediyoruz. Açıkça ifade etmek gerekirse, bu tür trafikler verimerkezi networkünün %5"ini oluşturabilecek kadar yoğundur. Her ne kadar hizmet seviyesini etkileyecek nicelikte olmasalar da tespit edip engellediğimiz trafikler ile internet saldırılarının %70"inden fazlasını oluşturan 3. sınıf saldırılara ilk önlemimizi almış oluyoruz.