DDoS saldırıları genellikle hacimsel (BPS) niteliktedir ve hedefi, gelen internet hattını zorlamak ve tasarlanandan daha fazla trafiği hedefe yollayarak veri yolunu tıkamaktır. Buna karşılık, PPS odaklı saldırılar büyük ölçüde ağ donanımını ve / veya müşterinin veri merkezindeki veya bulut ortamındaki uygulamaları bunaltmak için tasarlanmıştır. Her ikisi de hacimseldir, ancak PPS saldırıları, devrelerin kapasitesi yerine işlemci kaynağı tüketmeye yöneliktir ve yapılışı daha zahmetli olduğu için BPS saldırılarından çok daha az yaygındır.

Bu son saldırının, yüksek PPS yükü ile DDoS engelleme sistemlerini bunaltmayı hedeflediğini bildiren AKAMI, saldırının özellikle bu amaç için optimize edildiğini açıkladı. Grafikten görülebileceği üzere, gönderilen her bir paket sadece 1 baytlık bir bilgi taşıdı (IPv4 üstbilgileriyle toplam 29bayt )

Saldırı sırasında kaynak IP’lerin sayısının önemli ölçüde arttığı bildirilirken, normalde gözlemlenen değerlere göre saldırı anında sistemlere ulaşan IP sayısının olağandan 600 kat yükseldiği bilgisi paylaşıldı.

21 Haziran saldırısı sadece büyüklüğü için değil, aynı zamanda zirveye ulaşma hızı nedeniyle de dikkat çekti. Saldırı, normal trafik seviyelerinden saniyeler içinde 418 Gbps’ye yükseldi ve yaklaşık iki dakikada 809 Mpps’lik tepe boyutuna ulaştı. Toplamda, saldırı 10 dakikadan biraz daha az sürdü.

Siber Saldırıda Hedef Kimdi?

İşin teknik detaylarını verdikten sonra Avrupada büyük bir banka olarak tanımlanan kurbanın kim olduğu merak konusu oldu. AKAMAI tarafından hedef ve kaynak IP adresleri wireshark çıktısında gizlenerek yayınlandı. Ancak paylaşılan ekran görüntüsünde siber saldırıya ait paketin ikili (binary) kodları gizlenmesi unutulduğu için hedef IP adresi kolayca tespit edilebiliyordu.

11011001 01000100 11011001 00010100 şeklinde yer alan ikili kodun (binary), ondalık (decimal) karşılığı 217.68.217.60 olarak karşımıza çıktı.

Buna göre sistemleri zorlayan bu saldırı 217.68.217.20 IP adresine yapıldı. Bu IP adresi sorgulandığında 217.68.216.0 – 217.68.223.255 aralığının Garanti Bilisim Teknolojisi ve Tic. T.A.S. ait olduğu görülebilmekte. Yine basitçe IP adresi tarayıcıya yazıldığında karşımıza www.garantibbva.com.tr adresi çıkmakta. Daha önce de siber saldırı kurbanı olan banka, Türkiye’de kendini siber saldırılardan koruyabilecek bir servis sağlayıcı bulamadığı için önceki saldırı sırasında yurtdışı erişim güvenlik hizmetini AKAMAI’den almaya başlamıştı.

Güncelleme: Binary-Decimal çeviriyle IP çözümlemesi sonrası AKAMAI açıklamasında yer alan görüntünün ilgili kısmını gizledi. Ancak daha önce yayınlanan haber kaynaklarında halen sansürsüz ekran görüntüsüne ulaşılabilmekte.

Güncelleme II: Ekran görüntüsünü sansürsüz yayınlayan haber sitelerinden de ekran görüntüsü kaldırılmaya başlandı.

Kaynak : AKAMAI BLOG
Kaynak : Bleepingcomputer (Sansürsüz Ekran Görüntüsü)

14:30

Bağlantı probleminin neden kaynakladığı konusundaki bilgi talebimize Türk Telekom ; “Yurtdışı çıkış cihazımızda yaşanan anlık sorun nedeniyle müşteri trafiği olumsuz etkilenerek paket kaybı yaşamışlardır.” şeklinde bir yanıt döndü. Devamında ise Garanti Bankası web sitesi ve mobil yazılımının çalışmadığı rapor edildi.

Bu süreçten sonra eş zamanlı Vodafone ağında da ülke genelinde erişim problemi yaşandı, “#vodafonepişmanlıktır” Twitter’da trend topic oldu. Vodafone tarafında da yaşanan sorun düşünüldüğünde Garanti’nin yurtdışından gelen trafiği yönetebilmek adına farklı operatörler üzerinden çıkış vermeye çalışması akla geldi.

100Gbps bir trafiğin yurtdışı yönünden geldiği şeklinde net olmayan bir bilgiye sahibiz, bu yaşanan daha önce .com.tr isim sunucularına yapıldığı gibi ülkenin yurtdışı çıkışlarının yetersizliği ve siber saldırı süreçlerinin iyi yönetilememesini akla getirdi. Mesai saatleri dışında yaşanan bu sorunun iş saatleri içinde olması durumunda yaşanabilecek maddi kaybın çok büyük olacağıda bir gerçekken yıllardır bu konuda altyapı ve yönetim sistemine yatırım yapılmaması ayrı bir üzüntü kaynağı.

17:00

Bankaya yönelen siber saldırının operatörleri etkilememesi adına sistemlere ait isim sunucularına ait IP adreslerinin yurtdışı erişimleri kesilmiş durumda. Bu sebeple isim çözümleme yapılamamakta ve Türkiye içinden de bazı kullanıcılar sistemlere erişim sağlanamamakta.

18:00

IP trafiğiniz tekrar yurtdışı için aktif edildiği ve Türk Telekom DDoS servisinden geçirildiği görülmekte.
traceroute to garantibbva.com.tr (217.68.217.60)

1. ae-0.a00.amstnl02.nl.bb.gin.ntt.net 0.0% 3 15.5 13.4 12.3 15.5 1.8
2. 212.119.24.246 0.0% 3 13.7 13.7 13.4 14.1 0.4
3. 06-ulus-xrs-t2-1—302-ams-col-1.statik.turktelekom.com.tr 0.0% 3 60.1 60.1 60.1 60.1 0.0
4. 212.156.117.186.29-gumushane-t3-1.25-erzurum-t2-1.statik.turktelekom.com.tr 0.0% 3 60.1 60.1 60.1 60.1 0.0
5. 06-ulus-xrs-t2-2—06-ebgp-ulus1-k.statik.turktelekom.com.tr 0.0% 3 64.6 64.6 64.6 64.7 0.1
6. 06-ddos-t3-1—06-ulus-xrs-t2-2.statik.turktelekom.com.tr

19:00

Garanti Bankası IP adres aralıklarını taklit ederek yansıtma saldırısı yapılması şeklinde saldırı devam ediyor. Bu yöntemde saldırgan ülke üzerindeki binlerce IP adresine Garanti Bankası IP aralıklarını taklit ederek paketler göndermekte. Trafiği karşılayan cihazlar ise yanıtı taklit edilen IP adresine dönüyor. Bu şekilde ağ yavaşlaması ve servisin yanıt vermesinin engellenmesine çalışılıyor.

20:12

DNS adresleri tekrar yurtdışından yanıt veremez duruma geldi. Türk Telekom DDoS servisi ile korunmaya çalışan site için DDoS servisinde de paket kayıpları yaşanmaya başlandı. Site erişimi ülke içinden de kesildi.

23:50

Yerli operatörlerimizin DDoS engelleme sistemleri ve kapasiteleri yetersiz kalması ile Garanti Bankasına ait IP adreslerinin trafiği Amerika merkezli Neustar servis sağlayıcısı üzerinden temizlenmek üzere yönlendirilmiş durumda. Bu yöntemle ülke dışındaki trafik hangi lokasyonda olursa olsun önce hizmet alınan şirket sistemlerinden filtre edilerek ülkeye gönderilmiş olacak.

Muhtemelen acele ile geçilen bu sistemde konfigürasyon tamamlanmadığı için şu an IP anonsu hatalı olarak işaretlenmiş durumda. Bu sebeple yurtdışından erişim sağlansa bile hatalı konfigürasyon nedeniyle trafik ulaşamayacaktır.

The active path has an incorrect Route Origin Authorization (ROA) record but is still the best route.
Path #4: Received by speaker 0 22822 19905

28 Ekim – 10:45

garantibbva.com.tr ismine ait dns sunucuların yurtdışından yanıt vermediği ve siteye bu sebeple erişim olmadığı görüldü. Durumun muhtemelen sebebi ise genel bir IP engellemesi yapılarak sadece Türk kullanıcıların sıklıkla kullandığı 8.8.8.8 gibi adreslere izin verilmesi olabilir. Farklı yurtdışı noktalardan Türkiye’deki banka DNS sunucularına erişim yapılamıyor.

Resolving garantibbva.com.tr… failed: Temporary failure in name resolution.
wget: unable to resolve host address “garantibbva.com.tr”

ERROR: I could not get any A records for www.garantibbva.com.tr!

28 Ekim – 21:15

garantibbva.com.tr alan adına ait 217.68.217.60 IP adresinin yurtdışı merkezli DDoS koruma hizmetinden çıkartıldığı görülüyor. Ancak halen yurtdışından ilgili IP adreslerine erişim bulunmuyor.

BGP routing table entry for 217.68.208.0/20
Path #1: Received by speaker 0 3356 9121 9121 12903

29 Ekim – 19:45

Garanti sistemleri için tekrar yurtdışı merkezli DDoS engelleme sistemi devreye alındı. Bu yöntemle yurtdışı kullanıcı trafiği hizmet alınan şirket sistemlerinden geçirilerek temizlenmesi hedefleniyor. Türkiye dışındaki kullanıcı trafiği güvenlik şirketi cihazlarından geçirilerek ülkeye gönderiliyor.

Güvenlik nedeniyle IP adreslerinin izinsiz noktalardan anons edilmesini engellemek için ROA sistemiyle anonsu kimin yapacağını IP sahibi belirlemekte. Ancak daha önce olduğu gibi bu şirketin Garanti Bankası IP adreslerini kullanabilmesi için gerekli izin prosedürü (ROA) tamamlanmış ve IP anonsu BGP hijacking olarak algılanır durumda. ROA kaydı kontrol eden internet servis sağlayıcılar hatalı tanımlanan IP bloklarını geçersiz kılacağından yine yurtdışından banka servislerine erişim mümkün olamayacaktır.

2 Kasım – 12:30

Bankanın yurtdışı erişiminde yeni bir operatör (AKAMAI) üzerinden trafiğini temizlediği görülmeye başlandı. Bu durumda Türk Telekom Arbor cloud servisi olarak tanıtılan yurtdışı merkezli hizmetten vazgeçildiği ve Akamai Prolexic DDoS hizmeti alınmaya başladığı görülüyor.

1. be100-1050.ams-5-a9.nl.eu 0.0% 1 6.2 6.2 6.2 6.2 0.0
2. akamai.prolexic.com 0.0% 1 7.3 7.3 7.3 7.3 0.0
3. po110.bs-b.sech-ams.netarch.akamai.com 0.0% 1 6.1 6.1 6.1 6.1 0.0
4. ???
5. ae121.access-a.sech-ams.netarch.akamai.com 0.0% 1 6.7 6.7 6.7 6.7 0.0
6. ???
7. a2-21-175-10.deploy.static.akamaitechnologies.com