İnternet teröristlerinin, hedeflerini etkisiz hale getirmek için masum internet kullanıcılarını kullanmaları yeni bir haber değil. Ancak bu sefer kullanılan yöntem ADSL kullanıcılarının internet hızlarının düşmesine sebep oluyor.
Europol, AB üyesi ülkelerdeki kolluk kuvvetlerinin deneyimlerine dayanan “2016 İnternet Organize Suç Tehdit Değerlendirme” raporunu (IOCTA) yayınladı. Raporda DDoS, ilk sıralarda önemli bir tehdit olarak yer alıyor ve internete bağlı herhangi bir aracın, amacına veya işine bakılmaksızın kendisini ve kaynaklarını siber suçlular için kullandırabileceğini gösteriyor.
Detaylara geçmeden önce bilgisini vermeliyiz ki; *Bu test, basit bir port kontrolü olup, internet hızına bağlı olarak hatalı sonuçlar sunabilir.
Büyük siber saldırılarda internete bağlı masum cihazlar kullanılıyor!
21 Ekim’de yaşanan büyük ölçekli ABD hedefli saldırıda internete bağlı cihazların açıkları kullanılarak büyük bir trafik üretilmişti:
Saldırı yöntemi olarak ağırlıklı TCP-SYN ve TCP kullanılıyor.
İnternet üzerindeki erişimlerde çeşitli iletişim türleri (protokol) kullanılıyor. Bir internet sitesini görüntülemek için TCP iletişim türü kullanılıyorken, isim çözme (DNS) için halen ağırlıklı olarak UDP protokolü kullanılıyor. İletişimi sağlayan paketlerin her birinin ağırlığı ise taşınan veri ile ölçülüyor. Buna göre TCP protokolü ile UDP’ye göre daha hafif paketler daha hızlı iletilebilirken, UDP protokolünde ağır paketler az paket sayısı ile taşınıyor.
Bu sebeple yüksek paket üretebilen saldırılar TCP protokolü kullanılarak yapılır iken yüksek paket ihtiyacı nedeniyle daha fazla işlemci gücüne ihtiyaç duyuluyor. TCP saldırının hedefindeki sistemler ise gelen paketlere cevap vermeye yetişemediği için sistem kaynağı açısından bir dar boğaza düşüyor. Sistem kaynakları daha az olan cihazlardan faydalanılarak büyük ebatlı ve ağ kapasitesini zora sokmak için yapılan saldırılarda ise UDP protokolü kullanılıyor.
TCP protokolü üzerinden konuşan 2 cihazın ilk kelimesi (Merhaba) olarak ifade edilebilecek SYN paketide yine TCP tipi saldırı olarak sayılabilir.
IOCTA raporuna göre saldırılarda kullanılan yöntemlerde TCP-SYN ve TCP ilk sırayı alıyor. Ancak bu durum internet kapasitesi düşük ve yeterli fiber yatırımı yapmamış Türkiye gibi ülkelerde UDP ağırlığa dönüyor.
UDP protokolü kullanan saldırılar nasıl üretiliyor?
Bir saldırının başarılı olabilmesi için ihtiyaç duyulacak kaynağın bir merkezden üretilmesi saldırıya maruz kalanın savunmaya ayıracağı ile neredeyse aynı olduğu için saldırı aracı olarak masum cihazlar kullanılıyor. UDP protokolü üzerinden servisleri aktif cihazlara 1 birimlik soru sorulduğunda 10 birimlik cevap veren servisler tespit edildikten sonra soruya cevap veren sistemlere ait IP adresleri taranıyor. Tarama sonucu ortaya çıkan listedeki herbir IP adresine 1 birimlik soru gönderilirken sorunun cevabının gönderileceği adres olarak kurban sistem bildiriliyor. Saldırgan 10 birim soru gücü harcadığında hedef sisteme 100 birim cevap dönüyor.
Bunu daha iyi anlamak için şu örnek verilebilir: Ürün veya hizmetlerini ücretsiz dergi, broşür hazırlayarak, talep eden müşteri adaylarına ücretsiz gönderen işletmeleri tespit edelim. Tespit ettiğimiz işletmelere talep gönderirken posta adresimizi saldırı yapmak istediğimiz kişinin posta adresi olarak bildirelim. Sonuç olarak bir süre sonra kurbanın posta kutusu yeni ileti alamayacak hale gelecektir!
Peki internet neden yavaşladı? Neler oluyor?
Daha önce DNS servisi hedefli DNS yansıtma, zaman sunucuları hedefli NTP yansıtma gibi yöntemler kullanılmasına karşın, her ev kullanıcısının cihazlarında bulunmayan bu servisler nedeniyle bu denli sorun yaşanmamıştı.
Bugün ise yoğun kullanılmaya başlanan saldırı yönteminde ADSL modemlerde açık bulunan SSDP portları hedeflenmekte. SSDP; bir ev ağındaki UPnP (Universal Plug & Play) cihazlarını tespit etmeye yarayan bir protokol. (Kaynak)
SSDP portu aktif olan modemlere 1 birimlik sorgu gönderilerek başlatılan saldırıda, zaten 8-16Mbps aralığında olan ADSL kapasitesi bu gelen istekler ve cevaplar nedeniyle normal internet kullanımına cevap veremez hale gelmekte. Saldırı yönteminin bir çok hedef ve kişi için kullanıma başlanması ile birlikte, modemler daha fazla rahatsız edilmeye başlanıp, sadece portu açık olan abone değil, abonenin bağlı olduğu şebekede durumdan etkilenmeye başlıyor.
Türkiye içindeki servisleri hedef alan örnek bir saldırı raporu aşağıda görülebilir.
IP: xx.xx.xx.xx
Paket Sayisi/Packet Count: 380.395PPS
Buyukluk/Size: 8,80GBps
Tarih/Date: 11.12.2016 13:12:34
------------------------------------
13:12:34.365120 IP 85.102.57.13.ssdp > xx.xx.xx.xx.27015: UDP, length 280
13:12:34.365121 IP 88.234.141.235.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365121 IP 85.105.251.140.ssdp > xx.xx.xx.xx.27015: UDP, length 323
13:12:34.365123 IP 88.225.223.250.ssdp > xx.xx.xx.xx.27015: UDP, length 339
13:12:34.365123 IP 88.234.231.213.ssdp > xx.xx.xx.xx.27015: UDP, length 268
13:12:34.365124 IP 85.105.229.107.ssdp > 4xx.xx.xx.xx.27015: UDP, length 264
13:12:34.365127 IP 88.247.117.206.ssdp > xx.xx.xx.xx.27015: UDP, length 319
13:12:34.365127 IP 88.242.101.54.ssdp > xx.xx.xx.xx.27015: UDP, length 259
13:12:34.365128 IP 88.224.161.66.ssdp > xx.xx.xx.xx.27015: UDP, length 307
13:12:34.365128 IP 88.247.169.88.ssdp > xx.xx.xx.xx.27015: UDP, length 280
Rapora göre, zararlı isteklere cevap veren ADSL modemleri kaynaklı 8.8Gbps trafik üretilmiş. Üretilen bu trafik ADSL kullanıcılarının ücretini ödeyerek satın aldıkları erişim olup, hem kullanıcı hem de tüm ADSL ağının yavaşlamasına sebep olmakta.
Peki sizin modeminiz saldırılarda kullanılıyorsa ne yapacaksınız?
Modem kullanımına hakim iseniz dışarıdan UDP 1900 portuna gelen istekleri engelleyebilirsiniz. Bu işlemi yapacak kadar teknik bilginiz yok ise UPnP desteğini modem arayüzünden kapatabilirsiniz.
Modem ayarları konusunda deneyimsiz olan kullanıcılar yerine operatörün UDP 1900 numaralı porta doğru olan erişimi kısıtlaması kısa vadede hızlı bir çözüm olabilir.