İnternet iletişim kuralları oluşturulurken, bu teknolojinin daha çok akademik seviyede olacağı, cihazların birbirleri ile iletişim kurduğu protokollerin ise her zaman dostça amaçlar için kullanılacağı öngörülmüş. Bu düşünce tarzı, oluşturulan iletişim protokollerinin saldırılara açık ve korumasız bir yapıya sahip olmasına sebep olmuş. Bu yüzden DDos olarak isimlendirilen saldırı yöntemi ile zayıf protokollerin zafiyetleri kullanılarak internet sitelerinin ve servislerinin yayınlarının engellemesi mümkün.
Beklenmeyen miktarda trafiğin hedefe yollanması olarak tanımlanabilecek bu saldırıların en yenisi 1 haftadır sahalarda fırtına gibi esiyor. Hatta bu yeni yöntem için ABD Bilgisayar Acil Durum Hazırlık Takımı (US-CERT) 14 Ocakta 2014’de Ağ Zaman Protokolü (NTP) üzerinden gelecek yansıtılmış saldırılar konusunda bir uyarı ve önlem şekli yayınlamış.
Ağ Zaman Protokolü NTP ne işe yarıyor?
NTP basitçe saati sorduğunuzda size saati söyleyen bir servis. Bu servis yardımı ile bilgisayarlar saatlerini eş zamanlayarak olaşabilecek zaman kayma problemlerini düzeltebilmekteler. Servis, sadece tanıdıklara saati söyleyebilecek şekilde ayarlanabicek iken, sistem yöneticilerinin servisi standart ayarlarla kurması nedeniyle, dünya üzerinde her sorana saati söyleyen milyonlarca NTP servisi çalışmakta.
[box type=”info”]Benzer yöntemle DNS servislerinin kullanımı global internette sorunlara neden olmuştu.[/box]
Bir koyup on alalım!
İyi niyetli NTP servisine saati sormak kolay iken cevabın sorudan daha büyük bir paketle yanıtlanması saldırganlar için bulunmaz bir nimet. Bu sayede saldırgan, saldırmak istediği IP adresini taklit ederek servise saati sorduğunda cevap, hedef IP adresine, misli ile geri dönmekte.
Son dönemdeki büyük ebatlı tüm saldırıların reflection(yansıtma) ve amplitude(yükseltme) ile yapılıyor olması oluşan trafiğin sıkıntı yaratacak seviyeye çıkmasına sebep olmakta. Mart 2013’de 300GBps olarak kayıtlara geçen ve spamhaus’u hedef alan DNS saldırısından sonra şu sıralar NTP’nin 400Gbps trafik ürettiği görülmüş durumda.
Bugün Avrupanın büyük veri merkezlerinden OVH‘ın güvenlik duvarını ve networkünü etkileyen saldırı yanında yine internet sitelerine koruma hizmeti sağlayan Cloudflare’de durumdan oldukça muzdarip. 400Gbps trafiklerle mücadele eden avrupalı meslektaşlar yanında Türkiye ayağında son bir haftadır yurtdışı erişimdeki problemlerin sebebinin bu saldırılar olduğunu düşünmek çok yanlış değil. Türkiye’de bulunan bir IP adresine bu saldırı yapıldığında önündeki herşeyi silip süpüren sel, Türkiye’nin yurtdışı çıkışlarında sıkışmalara sebep olduğu gibi iller arası bağlantılarıda zorlamakta.
İlacı var mı?
Esas olarak spoof(sahte) kimlik bilgisi ile networklerden çıkışın engellenmesi bu işin olmazsa olmazı. Eğer saldırgan kendini hedefi gibi gösteremezse, hedefe doğru yansıtmada mümkün değil. Bu yazıyı yazdığım günün sabahında ülkemizi siber saldırılardan korumak adına bu konudaki çözüm bilgilerini de konuyla ilgilenenler ile paylaşmış durumdayım. Bu konuda hızlı aksiyon alınması, NTP yansıtma tipi saldırının internet erişiminde sebep olabileceği yavaşlamalara ve kesintilere engel olabilir.
Linkler:
[unordered_list style=”tick”]
[/unordered_list]