ABD hedefli saldırı, erişim problemine sebep oldu

Saldırı yöntemi olarak ağırlıklı TCP-SYN ve TCP kullanılıyor.
İnternet üzerindeki erişimlerde çeşitli iletişim türleri (protokol) kullanılıyor. Bir internet sitesini görüntülemek için TCP iletişim türü kullanılıyorken, isim çözme (DNS) için halen ağırlıklı olarak UDP protokolü kullanılıyor. İletişimi sağlayan paketlerin her birinin ağırlığı ise taşınan veri ile ölçülüyor. Buna göre TCP protokolü ile UDP’ye göre daha hafif paketler daha hızlı iletilebilirken, UDP protokolünde ağır paketler az paket sayısı ile taşınıyor.
Bu sebeple yüksek paket üretebilen saldırılar TCP protokolü kullanılarak yapılır iken yüksek paket ihtiyacı nedeniyle daha fazla işlemci gücüne ihtiyaç duyuluyor. TCP saldırının hedefindeki sistemler ise gelen paketlere cevap vermeye yetişemediği için sistem kaynağı açısından bir dar boğaza düşüyor. Sistem kaynakları daha az olan cihazlardan faydalanılarak büyük ebatlı ve ağ kapasitesini zora sokmak için yapılan saldırılarda ise UDP protokolü kullanılıyor.
TCP protokolü üzerinden konuşan 2 cihazın ilk kelimesi (Merhaba) olarak ifade edilebilecek SYN paketide yine TCP tipi saldırı olarak sayılabilir.
IOCTA raporuna göre saldırılarda kullanılan yöntemlerde TCP-SYN ve TCP ilk sırayı alıyor. Ancak bu durum internet kapasitesi düşük ve yeterli fiber yatırımı yapmamış Türkiye gibi ülkelerde UDP ağırlığa dönüyor.

UDP protokolü kullanan saldırılar nasıl üretiliyor?
Bir saldırının başarılı olabilmesi için ihtiyaç duyulacak kaynağın bir merkezden üretilmesi saldırıya maruz kalanın savunmaya ayıracağı ile neredeyse aynı olduğu için saldırı aracı olarak masum cihazlar kullanılıyor. UDP protokolü üzerinden servisleri aktif cihazlara 1 birimlik soru sorulduğunda 10 birimlik cevap veren servisler tespit edildikten sonra soruya cevap veren sistemlere ait IP adresleri taranıyor. Tarama sonucu ortaya çıkan listedeki herbir IP adresine 1 birimlik soru gönderilirken sorunun cevabının gönderileceği adres olarak kurban sistem bildiriliyor. Saldırgan 10 birim soru gücü harcadığında hedef sisteme 100 birim cevap dönüyor.
Bunu daha iyi anlamak için şu örnek verilebilir: Ürün veya hizmetlerini ücretsiz dergi, broşür hazırlayarak, talep eden müşteri adaylarına ücretsiz gönderen işletmeleri tespit edelim. Tespit ettiğimiz işletmelere talep gönderirken posta adresimizi saldırı yapmak istediğimiz kişinin posta adresi olarak bildirelim. Sonuç olarak bir süre sonra kurbanın posta kutusu yeni ileti alamayacak hale gelecektir!

Her saati sorana cevap verme!

Peki internet neden yavaşladı? Neler oluyor?
Daha önce DNS servisi hedefli DNS yansıtma, zaman sunucuları hedefli NTP yansıtma gibi yöntemler kullanılmasına karşın, her ev kullanıcısının cihazlarında bulunmayan bu servisler nedeniyle bu denli sorun yaşanmamıştı.
Bugün ise yoğun kullanılmaya başlanan saldırı yönteminde ADSL modemlerde açık bulunan SSDP portları hedeflenmekte. SSDP; bir ev ağındaki UPnP (Universal Plug & Play) cihazlarını tespit etmeye yarayan bir protokol. (Kaynak)
SSDP portu aktif olan modemlere 1 birimlik sorgu gönderilerek başlatılan saldırıda, zaten 8-16Mbps aralığında olan ADSL kapasitesi bu gelen istekler ve cevaplar nedeniyle normal internet kullanımına cevap veremez hale gelmekte. Saldırı yönteminin bir çok hedef ve kişi için kullanıma başlanması ile birlikte, modemler daha fazla rahatsız edilmeye başlanıp, sadece portu açık olan abone değil, abonenin bağlı olduğu şebekede durumdan etkilenmeye başlıyor.
Türkiye içindeki servisleri hedef alan örnek bir saldırı raporu aşağıda görülebilir.
IP: xx.xx.xx.xx
Paket Sayisi/Packet Count: 380.395PPS
Buyukluk/Size: 8,80GBps
Tarih/Date: 11.12.2016 13:12:34
------------------------------------
13:12:34.365120 IP 85.102.57.13.ssdp > xx.xx.xx.xx.27015: UDP, length 280
13:12:34.365121 IP 88.234.141.235.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365121 IP 85.105.251.140.ssdp > xx.xx.xx.xx.27015: UDP, length 323
13:12:34.365123 IP 88.225.223.250.ssdp > xx.xx.xx.xx.27015: UDP, length 339
13:12:34.365123 IP 88.234.231.213.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365124 IP 85.105.229.107.ssdp > 4xx.xx.xx.xx.27015: UDP, length 264
13:12:34.365127 IP 88.247.117.206.ssdp > xx.xx.xx.xx.27015: UDP, length 319
13:12:34.365127 IP 88.242.101.54.ssdp > xx.xx.xx.xx.27015: UDP, length 259
13:12:34.365128 IP 88.224.161.66.ssdp > xx.xx.xx.xx.27015: UDP, length 307
13:12:34.365128 IP 88.247.169.88.ssdp > xx.xx.xx.xx.27015: UDP, length 280

Rapora göre, zararlı isteklere cevap veren ADSL modemleri kaynaklı 8.8Gbps trafik üretilmiş. Üretilen bu trafik ADSL kullanıcılarının ücretini ödeyerek satın aldıkları erişim olup, hem kullanıcı hem de tüm ADSL ağının yavaşlamasına sebep olmakta.
Peki sizin modeminiz saldırılarda kullanılıyorsa ne yapacaksınız?
Modem kullanımına hakim iseniz dışarıdan UDP 1900 portuna gelen istekleri engelleyebilirsiniz. Bu işlemi yapacak kadar teknik bilginiz yok ise UPnP desteğini modem arayüzünden kapatabilirsiniz.
Modem ayarları konusunda deneyimsiz olan kullanıcılar yerine operatörün UDP 1900 numaralı porta doğru olan erişimi kısıtlaması kısa vadede hızlı bir çözüm olabilir.

Aracısız, ilk elden toplanılan kıymetli bilgilerin içinden kendine uygun olanları özümseyerek sonuçlar çıkartmak yerine, kulaktan kulağa kitlesel etkileşim ile bilgiye “Özet Geç!” muamelesi yapan yaklaşım, toplum tarafından daha rahat kabul görmekte. Bu yaklaşımla makyajlı, kolay algılanabilen paket bilgiyi/haberi sunan konvansiyonel (geleneksel) medyanın internet tanımı toplumda farklı yorumlara sebep olabiliyor.

Melek, melek: İnternet; getirdiği kolaylıklar ile hayatımıza hergün daha fazla giren, gelişen, bilgiye erişimi hızlandıran, en önemlisi de yeni ticaret yönteminin yeni mecrası, artık aramızdan biri…

Öcü, öcü: İnternet; sosyal medya vahşetleri, halk hareketi organizatörü, hükümet deviren, filtrelenerek içeriğinin dizginlenmesi gereken, mahallenin sevilmeyen çocuğu…

“Yenilik ve değişikliklere insan doğal olarak karşı koyma eğilimindedir. Her yeni usul, yöntem ve teknoloji, eski usul yöntem ve alışkanlıklara karşı olarak geliştirilmiştir. Bu nedenle, kişiler daha önce alışmış oldukları iş düzeninden, adet ve alışkanlıklarından vazgeçmeyi istemezler.”

Bu bilimsel yaklaşım ışığında; yenilikleri çığlıklarla köyden kovmak her zaman halk nezlinde prim toplayacaktır. Varoluşu, çok satmak, çok izlenmek gibi fiziksel gerçeklere dayalı, halkın duymak istediklerini söyleyen,  kendi gelecekleri için kaygı duyan, interneti komik videolar ve sosyal medyaya ait bir iki web sitesi ekseninde inceleyen konvansiyonel medyanın interneti sunuşunun bu yüzden korku üzerine kurulmasından daha doğal bir şey olamaz.

Sayılarla Öcü’nün gücü!
30 milyon Türk internet kullanıcısının yüzde 59′u erkeklerden, yüzde 41′i ise kadınlardan oluşuyor.

Türkiye’de toplam 18 milyon 49 bin 667 hane var. Yaklaşık 8 milyon hanede yani hanelerin %43’ünde bilgisayar bulunuyor. İnternet bağlantısı ise bu oranın %10 altında bulunuyor. Yani internet sahibi hane oranı %33. Bu oran 5,8 milyon hane sayısına denk geliyor.

Türk Telekom tarafından açıklanan Türkiye ADSL Penetrasyon (Pazarlanan ürün ya da hizmetin hedef kitledeki yaygınlığı) Haritası ile illere göre abone sayısı.

İnterneti ve bilgisayarı olmayan 6,5 milyon hanede en az bir internet kullanıcısı var. 5,6 milyon hanede ne bilgisayar ne internet ne de internet kullanıcısı bulunmuyor.

Türkiye ekonomisinin büyük kısmını bünyesinde barındıran İstanbul’da internet kullanım oranı %51.8.

İstanbul’dan sonra internet ve bilgisayar penetrasyonu en yüksek ilk 4 il Ankara, Kocaeli, Tekirdağ ve Antalya olarak sıralanıyor.

İnternet kullanıcılarının %54,5’i interneti araştırma yaparak bilgi edinmek ve %38,1’i e-posta kontrol etmek için kullanıyorlar. İnternetten gazete okumak da gittikçe yaygınlaşan bir alışkanlık haline geliyor. Araştırmaya göre kullanıcıların %36’sı internete, internet medyasını (gazeteler, haber siteleri) takip etmek için giriyor. Çoğunluğunun 15-35 yaş arası erkeklerden oluşan Türk internet kullanıcıları arasında oyun oynayanların oranı %33.6, müzik indirenlerin oranı ise %21.6.

İnternet hızlarında ise büyük çoğunluğun ADSL kullanıcısı olması ve alternatiflerin kısıtlı olması nedeniyle, kullanıcı hızlarını belirleyen şirket Türk Telekom olmakta. Buna göre BTK (Bilgi Teknolojileri Kurumu) 2011 4. çeyrek raporuna göre %80 internet kullanıcısı 8Mbps hızında.

Türkiye’de internetin prime time’ı yani en yoğun kullanıldığı saatler 21.00-24.00 arası. Tüm internet trafiğinde bantı en çok meşgul eden aktivite, video izlemek. Genel internet trafiğinin %32’sini Youtube hariç video izleme oluştururken, Youtube tek başına %7.86 oranında bir trafik yaratıyor. İnternet trafiğinin yüzde  %28.23’ünü internette sörf yapma, % 10.86’sını dosya indirme, %3.7’sini Tivibu, %0.20’sini oyun, %0.82’sini anlık mesajlaşma ve %9.4’ünü diğer faaliyetler oluşturuyor.

İnteraktif televizyon, istediğini izle/video on demand (VOD),  ses ve internet erişimini tek şemsiye altında toplayacak geniş bant internetin yıllara göre gelişimine baktığımızda, 2011 4. çeyrekte Türkiye’de 14 milyonu aşkın bir kullanıcı geniş bant internet erişimine erişebilir durumda olduğu görülüyor.

Bu rakamlar eşliğinde bir kez daha sorayım… Nasıl? Öcü’den korktun mu?