27 Ekim Pazar günü saat 14:30 civarında Türk Telekom yurtdışı çıkışlarında performans kaybı ve yüksek paket kaybı görülmeye başladı. Konuyla ilgili yapılan teknik incelemede yurtdışı bağlantı girişlerini çeşitli lokasyonlardan sağlayan Türk Telekom’un bazı linklerinin satüre olduğu görüldü. Geçmiş tecrübe ve bilgilerimize göre manuel/elle yönetilen bir routing prosedürü olan Türk Telekom’un yurtdışı trafiği dengelemesi yarım saat aldı.
14:30
Bağlantı probleminin neden kaynakladığı konusundaki bilgi talebimize Türk Telekom ; “Yurtdışı çıkış cihazımızda yaşanan anlık sorun nedeniyle müşteri trafiği olumsuz etkilenerek paket kaybı yaşamışlardır.” şeklinde bir yanıt döndü. Devamında ise Garanti Bankası web sitesi ve mobil yazılımının çalışmadığı rapor edildi.
Bu süreçten sonra eş zamanlı Vodafone ağında da ülke genelinde erişim problemi yaşandı, “#vodafonepişmanlıktır” Twitter’da trend topic oldu. Vodafone tarafında da yaşanan sorun düşünüldüğünde Garanti’nin yurtdışından gelen trafiği yönetebilmek adına farklı operatörler üzerinden çıkış vermeye çalışması akla geldi.
100Gbps bir trafiğin yurtdışı yönünden geldiği şeklinde net olmayan bir bilgiye sahibiz, bu yaşanan daha önce .com.tr isim sunucularına yapıldığı gibi ülkenin yurtdışı çıkışlarının yetersizliği ve siber saldırı süreçlerinin iyi yönetilememesini akla getirdi. Mesai saatleri dışında yaşanan bu sorunun iş saatleri içinde olması durumunda yaşanabilecek maddi kaybın çok büyük olacağıda bir gerçekken yıllardır bu konuda altyapı ve yönetim sistemine yatırım yapılmaması ayrı bir üzüntü kaynağı.
17:00
Bankaya yönelen siber saldırının operatörleri etkilememesi adına sistemlere ait isim sunucularına ait IP adreslerinin yurtdışı erişimleri kesilmiş durumda. Bu sebeple isim çözümleme yapılamamakta ve Türkiye içinden de bazı kullanıcılar sistemlere erişim sağlanamamakta.
DNS servers responded | ERROR: One or more of your nameservers did not respond: The ones that did not respond are: 194.29.208.124 194.29.208.202 194.29.209.201 194.29.209.214 |
18:00
IP trafiğiniz tekrar yurtdışı için aktif edildiği ve Türk Telekom DDoS servisinden geçirildiği görülmekte.
traceroute to garantibbva.com.tr (217.68.217.60)
- ae-0.a00.amstnl02.nl.bb.gin.ntt.net 0.0% 3 15.5 13.4 12.3 15.5 1.8
- 212.119.24.246 0.0% 3 13.7 13.7 13.4 14.1 0.4
- 06-ulus-xrs-t2-1—302-ams-col-1.statik.turktelekom.com.tr 0.0% 3 60.1 60.1 60.1 60.1 0.0
- 212.156.117.186.29-gumushane-t3-1.25-erzurum-t2-1.statik.turktelekom.com.tr 0.0% 3 60.1 60.1 60.1 60.1 0.0
- 06-ulus-xrs-t2-2—06-ebgp-ulus1-k.statik.turktelekom.com.tr 0.0% 3 64.6 64.6 64.6 64.7 0.1
- 06-ddos-t3-1—06-ulus-xrs-t2-2.statik.turktelekom.com.tr
19:00
Garanti Bankası IP adres aralıklarını taklit ederek yansıtma saldırısı yapılması şeklinde saldırı devam ediyor. Bu yöntemde saldırgan ülke üzerindeki binlerce IP adresine Garanti Bankası IP aralıklarını taklit ederek paketler göndermekte. Trafiği karşılayan cihazlar ise yanıtı taklit edilen IP adresine dönüyor. Bu şekilde ağ yavaşlaması ve servisin yanıt vermesinin engellenmesine çalışılıyor.
20:12
DNS adresleri tekrar yurtdışından yanıt veremez duruma geldi. Türk Telekom DDoS servisi ile korunmaya çalışan site için DDoS servisinde de paket kayıpları yaşanmaya başlandı. Site erişimi ülke içinden de kesildi.
DNS servers responded | ERROR: One or more of your nameservers did not respond: The ones that did not respond are: 194.29.208.124 194.29.208.202 194.29.209.201 194.29.209.214 |
23:50
Yerli operatörlerimizin DDoS engelleme sistemleri ve kapasiteleri yetersiz kalması ile Garanti Bankasına ait IP adreslerinin trafiği Amerika merkezli Neustar servis sağlayıcısı üzerinden temizlenmek üzere yönlendirilmiş durumda. Bu yöntemle ülke dışındaki trafik hangi lokasyonda olursa olsun önce hizmet alınan şirket sistemlerinden filtre edilerek ülkeye gönderilmiş olacak.
Muhtemelen acele ile geçilen bu sistemde konfigürasyon tamamlanmadığı için şu an IP anonsu hatalı olarak işaretlenmiş durumda. Bu sebeple yurtdışından erişim sağlansa bile hatalı konfigürasyon nedeniyle trafik ulaşamayacaktır.
The active path has an incorrect Route Origin Authorization (ROA) record but is still the best route.
Path #4: Received by speaker 0 22822 19905
28 Ekim – 10:45
garantibbva.com.tr ismine ait dns sunucuların yurtdışından yanıt vermediği ve siteye bu sebeple erişim olmadığı görüldü. Durumun muhtemelen sebebi ise genel bir IP engellemesi yapılarak sadece Türk kullanıcıların sıklıkla kullandığı 8.8.8.8 gibi adreslere izin verilmesi olabilir. Farklı yurtdışı noktalardan Türkiye’deki banka DNS sunucularına erişim yapılamıyor.
Resolving garantibbva.com.tr… failed: Temporary failure in name resolution.
wget: unable to resolve host address “garantibbva.com.tr”
DNS servers responded | ERROR: One or more of your nameservers did not respond: The ones that did not respond are: 194.29.208.124 194.29.208.202 194.29.209.201 194.29.209.214 |
ERROR: I could not get any A records for www.garantibbva.com.tr!
28 Ekim – 21:15
garantibbva.com.tr alan adına ait 217.68.217.60 IP adresinin yurtdışı merkezli DDoS koruma hizmetinden çıkartıldığı görülüyor. Ancak halen yurtdışından ilgili IP adreslerine erişim bulunmuyor.
BGP routing table entry for 217.68.208.0/20
Path #1: Received by speaker 0 3356 9121 9121 12903
29 Ekim – 19:45
Garanti sistemleri için tekrar yurtdışı merkezli DDoS engelleme sistemi devreye alındı. Bu yöntemle yurtdışı kullanıcı trafiği hizmet alınan şirket sistemlerinden geçirilerek temizlenmesi hedefleniyor. Türkiye dışındaki kullanıcı trafiği güvenlik şirketi cihazlarından geçirilerek ülkeye gönderiliyor.
Güvenlik nedeniyle IP adreslerinin izinsiz noktalardan anons edilmesini engellemek için ROA sistemiyle anonsu kimin yapacağını IP sahibi belirlemekte. Ancak daha önce olduğu gibi bu şirketin Garanti Bankası IP adreslerini kullanabilmesi için gerekli izin prosedürü (ROA) tamamlanmış ve IP anonsu BGP hijacking olarak algılanır durumda. ROA kaydı kontrol eden internet servis sağlayıcılar hatalı tanımlanan IP bloklarını geçersiz kılacağından yine yurtdışından banka servislerine erişim mümkün olamayacaktır.
2 Kasım – 12:30
Bankanın yurtdışı erişiminde yeni bir operatör (AKAMAI) üzerinden trafiğini temizlediği görülmeye başlandı. Bu durumda Türk Telekom Arbor cloud servisi olarak tanıtılan yurtdışı merkezli hizmetten vazgeçildiği ve Akamai Prolexic DDoS hizmeti alınmaya başladığı görülüyor.
- be100-1050.ams-5-a9.nl.eu 0.0% 1 6.2 6.2 6.2 6.2 0.0
- akamai.prolexic.com 0.0% 1 7.3 7.3 7.3 7.3 0.0
- po110.bs-b.sech-ams.netarch.akamai.com 0.0% 1 6.1 6.1 6.1 6.1 0.0
- ???
- ae121.access-a.sech-ams.netarch.akamai.com 0.0% 1 6.7 6.7 6.7 6.7 0.0
- ???
- a2-21-175-10.deploy.static.akamaitechnologies.com