1 hafta süre ile bizleri meşgul eden ve .TR uzantılı alan adlarının çalışmasını büyük ölçüde etkileyen DDOS saldırısı hakkında ODTÜ’den açıklama geldi.
“.tr” alan adı işlemleri için gerekli olan politika ve prosedürler, 1991-1998 yılları arasında, ODTÜ – Bilgi İşlem Daire Başkanlığı’nca oluşturulmuş ve uygulanmıştır. Alan adı tahsisi işleri ve gerekli olan destek ve danışmanlık hizmeti (hızla artan işlemler ve yönetim yükü nedeniyle) 1998 yılından itibaren Nic.tr (“.tr” Alan Adları) Yönetimi tarafından sağlanmaktadır.
Problem yaşanmaya başlandığı ilk andan itibaren sürekli veri akışı ile konunun ilgilililerini bilgilendirdiğim blog yazısına buradan ulaşabilirsiniz.
Kamuoyu Duyurusu
14/12/2015 tarihinde başlayan ve azalarak sürmekte olan Dağıtık Servis Kesintisi Saldırısı (DDoS) saldırısına ilişkin gelişmeler ve potansiyel sorular için yanıt teşkil edebilecek saptamalar aşağıda maddeler halinde özetlenmektedir.
1. 14 Aralık 2015 Pazartesi günü, yurtiçi ve dışında 5 (beş) ayrı noktada konuşlanmış bulunan 6 (altı)
adet “.tr” alan adı sunucusuna doğru gelen DDoS saldırısına bağlı olarak çok ciddi ölçüde Internet
bant genişliği yoğunlukları yaşanmıştır. Saldırı temel olarak, “DNS yükseltme saldırısı” (DNS
Amplification Attack) olarak başlamıştır. Bu saldırı, “.tr” Alan Adları’ndan ilgili IP adreslerine
ulaşılmasını engellemek amacıyla, sahte ağ trafiği üretmek de dahil olmak üzere, DNS
sunucularımıza doğru yoğun ağ trafiği yollanması şeklinde ülke dışındaki kaynaklar tarafından
organize bir şekilde gerçekleştirilmiştir.
2. İlerleyen saatlerde saldırı, sunucuların bulunduğu ağları işleten Telekom operatörlerinin yurtdışı
bağlantılarını dolduracak (ve taşacak) seviyelere ulaşmıştır. Telekom operatörlerimiz bir üst ağ
sağlayıcıları tarafında, filtre ve saldırı önleme tedbirleri alınma yoluna başvurmuşlardır. Bu durum
bu tür saldırılarda uygulanan rutin bir yöntemdir.
3.Üst (upstream) Telekom operatörlerinde konuşlanmış birden fazla 40 Gbps kapasiteli iletişim
hattında taşmalara yol açan, bazılarında zaman zaman 200+ Gbps yoğunluklarına erişen bant
genişliği saldırıları gözlenmiştir. Bu toplu saldırının, bugüne değin dünya üzerinde yaşanmış en
yoğun saldırılardan biri olduğu bilinmektedir.
4. Yurtdışında DNS sunucusunun bulunduğu Avrupa’nın Internet Örgütlerinden biri olan RIPE, ilgili
trafiğin yoğunluğu nedeniyle DNS sunucumuzu kapatmak zorunda kaldığını ifade etmiştir. Bu zaman
diliminde Nic.TR diğer 5 sunucusu ile saldırı karşısında çalışır durumdaki konumunu korumuştur.
5. Bu durum, “.tr” DNS sunucularına öncelikle geliş yönünde gecikmelere neden olmuştur. “.tr” DNS
sunucularına erişildiği durumlarda ise DNS sunucularının verdiği yanıtların isteği yapan noktalara
gidişi yönünde de gecikmelere neden olmuştur. Diğer bir deyişle, saldırganlar tarafından ana iletişim
arterlerinde oluşturulmuş yapay ve yoğun trafik, ülke ağının önemli arterlerinde bazı tıkanmalara ve
yavaşlamalara neden olmuştur.
6. Saldırının başladığı ilk anlardan itibaren gözlenen ve algılanan saldırgan stratejisi; (i) “yapılabilirse
DNS sunucuları durdur ve ülkeyi karanlığa sürükle”, (ii) “olmazsa, ağın daha derinliklerinde problem
yarat ve başka hedef ara” şeklindedir. Bu bağlamda, saldırganlar (i) maddesinde sözü edilen
hedeflerine ilk 36 saat içinde ulaşamamış ve ilerleyen günlerde (ii). madde ve diğer şekillerde
saldırmaya devam etmişlerdir.
7. Ana arterlerdeki trafik yoğunluğu sırasında DNS sunucuların yanıt üretme performansında bir
yavaşlık gözlenmemiştir. Bu saldırı şartları altında dahi, DNS sunucuların yükünün çok düşük
seviyelerde seyrettiği, herhangi bir donanım ya da yazılım bazında yetersizlik içerisinde olunmadığı
görülmektedir.
8. Trafik yoğunluğu, ülke içinde verilen çeşitli Internet servislerinde (e-posta alışverişinde bir miktar
yavaşlık, web sitesinin bir miktar gecikme ile açılması, vb.) hız düşüklüğü şeklinde ortaya çıkan bazı
olumsuzluklara sebep olsa da, ekibimizin ve koordinasyon içinde çalıştığımız Telekom
operatörlerinin yoğun çabalarıyla ülke çapında çok önemli boyutlarda bir servis yavaşlığı
gözlenmemiştir.
9. Yaşanan yavaşlığın Türkiye İnternetine etkisi homojen olmamıştır. Bazı arterlerde bir miktar yavaşlık
yaşanırken, bazı diğer ağ parçalarında olağan hızın devam ettiği gözlenmiştir. Örnek olarak, Twitter,
Facebook vb. sosyal ortamlar ve internet bankacılığı ortamları incelendiğinde yoğun bir şikayetin
olmadığı, tersine bu ortamların problemsiz bir şekilde kullanıldığı görülmektedir.
10. Bu saldırının kaç kişi ve/veya kurumu etkilediği şeklinde bir soruya kolayca bir yanıt verilemez. Tek
söylenebilecek olan, göreli bir yavaşlığın olduğu, ancak bunun günlük Internet yaşamını ve herkesi
etkilemediğidir.
11. Eldeki verilerle saldırının kamu ve/veya özel sektör odaklı olup olmadığını ayıracak bir veri
bulunmamaktadır. Ana arterlerden gelen trafik yoğunluğu nedeniyle her kesimin bir miktar yavaşlık
şeklinde etkilenmiş olduğu söylenebilir.
12. Saldırı, sahte ağ trafiği üreterek ülke dışındaki kaynaklar tarafından gerçekleştirildiği için, bu tip
saldırıların tek çözümü saldırı oluştuğunda ülkenin İnternet girişinin ana kapıları ve arterlerinde
korunma sağlamaktır. Bu sözü edilen korunma biçimi ve önlemleri şu anda sürmektedir ve saldırının
ileride tekrarlanması halinde de bu önlemlerin Telekom operatörlerimizce alınacağı açıktır.
13. Bu aşamada 3’ü yurt dışına olmak üzere toplam 11 alan adı sunucusu ile hizmet verilmektedir.
Yurtdışındaki sunucularda uygulanan ANYCAST adlı teknik nedeniyle 11 sunucu pratikte 20’den fazla
sunucu olarak hizmet sağlamaktadır.
1 hafta sonunda yeni açıklama yapılıyor 🙁 dünya daki herhangi bir ülkede olsa yer yerinden oynardı ama bizde maşallahı var, olan sana bana oluyor dünyanın en büyük saldırısı gerçeklessin 1 hafta sonra açıklama yapılsın ne güzel dünya.
Açıklama içinde ayrıca teşekkür ederiz dağhan bey
Yalanlara bak. Emaillerde yavaşlık oluşmuşmuş. Şeytan diyor exim loglarını yayınla ama uğraşmaya değmez bu kafayla.
Serkan çekinme yayınla… Senin yayınlayacağın exim log neyin kanıtı olacak anlayamadım ? 1 hafta süreklilik arzeden bu çapta bir saldırı sonuçsuz kalmış. Saldırıyı üstlenen sonucu kabullenmiş senin exim logunun ne değeri var ?
Emaillerde yavaşlık olmadı, emailler gitmedi.Sen masallara inanmaya devam et. Senin bana inanmaman birşey değiştirmez. Yorumunun da bir değeri yok yani. Ben bana gelen firma yetkililerinin işlerimiz durdu diye şikayetini ve gitmeyen bounce olan emailleri bilirim. Exim logu emaillerin direk bounce olduğunu hizmet kesintisi olduğunu kanıtlıyor. Yalan konuşulduğunu kanıtlıyor. Anladın mı? Daha bugün bakan gerekli iyileştirmeler yapılacak diye üstü kapalı hazırlıksız olunduğunu kabul etti.
Saldırı öyle bir sonuçsuz kalmış ki emailler durmuş, yurt dışına sorgular kapatılmış. Neredeyse bir hafta devam etmiş. Allahtan sonuçsuz kalmış ha, bir de sonuç alınsa ne olacaktı kimbilir.
Yukarıda Odtü’nün açıklamasında belirtilen dışında ne yayınlayabilirsin çok merak ettim. yalan söylediğini iddia ettiğin Odtü ve yetkililerin açıklamalarında emaillerde yavaşlık olmadı yazan yeri bize bir gösterebilir misin ? bounce olan maillerle ilgili yayınlarım ama bu kafayla birşey olmaz dediğin logların ne değeri var ? zaten gereken açıklama yapılmış maillerde problem olduğu tr alan adlı maillerin bir süre servis kesintisine uğradığı ve mail alamadı açıklanmış. eğer takip ettiysen saldırı sırasında da “şu an dns sunucular yanıt vermiyor” , “şu an tr uzantılı alan adlarında mail erişimi yok” vs. v.s. gibi açıklamalar anlık olarak yapıldı. Saldırının başlamasından 7 gün sonra gelip burada ya açıklamalar saçma yalan söyüyorlar demenin anlamı ne? exim logu yayınlarım falan ne demek?
sanırım takip etmediğin için şu an amerikayı yeniden keşfediyormuşsun hissi oluşmuş sende…
Konuyu yeni keşfetmedim. Konuyla ilgili diğer yorumlarımı diğer makaleden okuyabilirsin: “.TR Alan Adı servisi Nic.TR Saldırı Altında!” yine bu sitede. Tamamen önyargılı ve bilmeden yorumluyorsun malesef.
Oku,
8. Trafik yoğunluğu, ülke içinde verilen çeşitli Internet servislerinde (e-posta alışverişinde bir miktar
yavaşlık, web sitesinin bir miktar gecikme ile açılması, vb.) hız düşüklüğü şeklinde ortaya çıkan bazı
olumsuzluklara sebep olsa da, ekibimizin ve koordinasyon içinde çalıştığımız Telekom
operatörlerinin yoğun çabalarıyla ülke çapında çok önemli boyutlarda bir servis yavaşlığı
gözlenmemiştir.
Ne diyor?
Benim Odtü’ye bir allerjim yok. Odtü mezunu mühendisim. Benim yalana dolana allerjim var. Olay hiç de eposta servislerinde bir miktar yavaşlıktan ibaret değil. Bildiğin bounce oldu mailler, karşı taraf bulunamadı diye.
3.Üst (upstream) Telekom operatörlerinde konuşlanmış birden fazla 40 Gbps kapasiteli iletişim
hattında taşmalara yol açan, bazılarında zaman zaman 200+ Gbps yoğunluklarına erişen bant
genişliği saldırıları gözlenmiştir.
Bu sizin exim loglarınızdan daha değerli bir bilgi bundan bahsediyorum. Teknik olarak DDOS un bir çözümü yoktur. İzle, beklemeye al, atağı savuşturana kadar alternatif yolları kullan ve bu yollar üzerinde saldırıyı belirli bir eşikte tutarak atlatmaya çalış… Gerektiğinde atağın geldiği yönde servisi kes vs.v.s. yaşadığımız DDOS saldırısı için bu adımların doğru ve zamanında atılmaya çalışıldığını analiz ettim. Bunu tartışmıyorum. Sizin bahsinizle ilgili asıl söylemek istediğim; ilk mesajınızdaki ifadenize cevaben “etik olarak problemi ortaya koymak için “yalan söylüyorsunuz” ifadesini kullanmam”, kullanırsam da gerçekçi verilere bakarım. Elimde gerçekçi bir verim varsa problemin çözümüne katkısı varsa ortaya koyarım. Eleştirirken de esasen problem sırasında yapılması gereken ne kadar ve hangi imkanlara sahipken yapılmış ona bakarım. Konuyu çok dağıtmadan sizin “şeytan diyor exim logu yayınla ama bu kafayla değmez” ifadenize katılmadığımı tekrar belirteyim. Teknik olarak dünya üzerinde hiçbir güvenlik önleminin bu tipte bir saldırıyı servis kesintisiz ya da veri kaybı yaşamadan atlatacağına inanmıyorum. Bu nedenle Odtü, USOM ve Servis sağlayıcıların bu saldırıda yetersiz kaldığı tezlerinin gerçekçi verilere ve temellere dayanmadığını düşünüyorum. Tabii ki bu benim görüşüm… Önlem alınması için daha etkili olabilecek alternatif yöntemler vardır bu tartışılır. Ama exim loglarınız bize yol göstermeyecektir.
Exim loglarını söylememin nedeni maillerde yavaşlık var kesinti yok açıklamasının yalan olduğunu göstermek içindi. Elma ile armutu karıştırıyorsunuz hala. Açıkca ilk mesajımda emaillerde yavaşlık olduğuna dair ifadeyi eleştirdiğimi ve başka birşey demediğimi görmenize rağmen garip yerlere çekiyorsunuz. Elimdeki exim logları anlayana kapı gibi kanıt ifade eder. Exim log’u email transaction log’u dur, sanırım açıklamam gerekiyor bunu. Yavaşlık değil hizmet kesintisi olduğunu gösterir. Bunda tartışacak en ufak bir husus yoktur. Tartışmaya açık değildir teknik olarak.
DDOS konusuna yabancı değilim merak etmeyin, dünya çapında her kıtada sunucusu olan bir firmada çalışıyorum, bütün major datacenterlar ile her gün içiçeyim. 500 bin site barındıran bir Amerikan şirketinde teknik personelim. 10 site barındıran sunucya DDOS geldiğinde baş edemezsen null route edersin, uğraşmazsın, fakat koskoca ülkenin bundan daha fazlası olması lazım. Açıklamalar bir hafta sonra hele hiç gelmemeli. Biz bunu ilk gün birinci veya ikinci saatin sonunda görmeliydik.
“şeytan diyor exim logu yayınla ama bu kafayla değmez” ifadenle nic.tr ye yapılan saldırılara karşı alınan önlemlerin yetersiz olduğunu mu kanıtladın anlamadım?
“10 site barındıran sunucya DDOS geldiğinde baş edemezsen null route edersin” düşüncen de her ne kadar 500bin site host eden bir amerikan şirketinde çalışsanda konuya bakış açını özetlemiş. bahsettiğin yöntemi sen içinde bulunduğun organizasyon içerisinde dilersen uygularsın. tabi bu durumda mailler gelmedi internet yavaşladı insanlar işlerini yapamadı, elimden geleni yaptım servis kesintisi oldu demek yerine uğraşmadım servisi de kestim oldu bitti beni bağlamaz diyebilirsin. 200+ Gbps çapında bir saldırı için yapılan çalışmayı önemsiz sayarken olmuyorsa null route edersin şeklindeki açıklama enteresan olmuş. bence bana önerdiğin linkte adım adım yaşananları, alınan önlemleri ve orada bahsi geçen değerleri bir gözden geçirmende fayda var.. teknik olarak söyleyecek başka söz yok…
Exim logu nedir bilmediğini varsayıyorum artık çünkü cidden cevapların o kadar alakasız ki. Hayatında hiç exim logu gördün mü yada exim ne biliyor musun?
Son kez anlatacağım hala böyle saçma cevaplarla geliyorsan görmezden geleceğim. Biraz teknik bilen birisi zaten şu cevapların ne kadar lakasız olduğunu anlıyor ya yinede bir kişi bugün yeni birşey öğrense kardır düsturu ile sabırla anlatıyorum.
– Açıklamada email kesintisi olmadığını söylüyor.
– Exim kurulu email sunucu loglarında emaillerin bounce olup 100% fail olduğunu yani yavaşlama değil tamamen gönderilen emaillerin alıcılarına ulaşmadığına dair log mevcut.
– Yani emaillerde yavaşlama oldu ama kesinti olmadı demek yalan konuşmaktır.
Artık yukardaki maddelere rağmen hala anlamıyorsan dediğimi yapacak birşey yok. Benden pes.
Ha bu arada yine bilmeden komik bir örnek vermişsin, dayanamadım dokunduracağım. Null route u yapan Nic.tr ve Ulaknet oldu bu olayda. Çatır çatır yurtdışı trafiği null route ettiler ve yurt dışından Tr isimleri çözülemedi. Yani daha verdiğin örneği ve olan olayları bilmiyorsun 🙂 Geç müdahale yapıldı, yeterli hazırlığın olmadığı ve acil eylem planının olmadığı da kabak gibi ortada. Üstüne yapılan açıklamada email kesintisi olmadığı ile ilgili yalan konuşuluyor. Bizde lastik patlamadan önlem alınmaz tabii.
Biraz bu konuları öğren, yaşında genç anladığım piyasada piş iki sunucu gör ondan sonra bazı şeyleri iddia et Can. Böyle harbi olmuyor. Bak hala sana bilgi vermeye çalışıyorum. Kıymetini bil biraz. Bak mesela exim ne artık öğrendin. Burdan saldın mı iki günde linux kurdu olursun inanıyorum sana.
null-route saldırı anında hadi yapalım denilen birşey değildir. ISP lerde ön tanımlı bir değerle tetiklenir. (Teknik olarak daha önce Bgp kullanmadığınızı varsayıyorum.) Bir önceki mesajınızda 10 site host eden sunucuya gelen ddos atağıyla başa çıkamıyorsanız null route edersiniz diyerek ve sonraki mesajınızda e zaten nic.tr bunu yapmıştı diye bir açıklama yapmanız garip… neyin ne zaman neye karşı ve nerede konuştuğunuz önemli oluyor bazen.
nic.tr ve ilgili ISP lerin hazırlıklarını sorgulamadan önce ya da exim log yayınlarım diye ortaya atılmadan önce sizin biraz araştırma yapmanız gerekir.
Saldırının başlamasıyla birlikte izlenen adımlarda zaten servis/erişim kesintileri anlık olarak duyuruldu ve izlenebildi.
Olayın içindeyim zaten loglarla çalışıyorum her gün. İşim bu zaten. Exim nedir bilmeden ortaya atladığını da dolaylı olarak kabullendiğin için sağol. Bu sayede gönlüm rahat fişini çekiyorum bu tartışmanın.
Bilgi sahip olana güçtür, sahip olmadan kullanmaya kalkarsan sinir sahibi olursun Serkan.
fişi çek evet… ben de böylece fişi çekmiş olayım.
başarılar dilerim…