Bir DDoS saldırısı ağınızı vurduğunda güvenlik/ağ ekibinizin bunun aslında servisleri etkileyen bir saldırı olduğunu tam olarak farkına varabilmesi uzun bir zaman alabilir.
Kaspersky Labs ve B2B International’ın yaptığı ‘Global IT Güvenlik Riskleri Anketi 2014 DDoS Saldırıları’ araştırmasına göre bir yıllık zaman diliminde işletmelerin hemen hemen 5’te biri (yüzde 18) bir DDoS (hizmet engelleme saldırısı) deneyimi yaşadı.
Söz konusu veri Nisan 2013 ile Mayıs 2014 aralığını kapsıyor. Anketin 3,900 katılımcısı 27 farklı ülkedeki çok küçük işletmelerden büyük organizasyonlara geniş bir yelpazeyi temsil ediyor. Aynı ankete göre ortalamada işletmelerin yüzde 61’i kendilerini DDoS saldırılarına karşı savunmaları için sorumluluğun kendi IT departmanları ve yönetim ekiplerinde olduğunu düşünüyor. Ankete katılanların yüzde 21’i dağıtık servis engelleme saldırısı tehdidinden kendilerini koruma görevinin network servis sağlayıcısı ya da web site/barındırma sağlayıcısının sorumluluğu olduğuna inanıyordu.
“Büyük işletmeler dahili kaynaklara çok daha fazla dayanma eğilimindeyken küçük firmalar bu harici servis sağlayıcılardan yardım beklemeye daha çok yatkındı” diyor Kaspersy / B2B International anketi. Ancak bu birimlerin hiçbiri ne NSP’ler, web sunucular, IT departmanları ne de kurumsal yönetim ekipleri DDoS saldırılarını savuşturmak için yeterince donatılmış değil.
Anket verilerine göre DDoS vakası başına gerçekleşen zararlar 444,000 dolara kadar çıkıyor. Bu hiç şüphesiz işletmelerin DDoS saldırılarıyla kimin savaşması gerektiğine dair varsayımlarını düzeltmesine neden olacak. Suçlu hacker’ların çoktan bu saldırıları başlatmak, DDoS saldırılarını büyütmek ve daha karmaşık hale getirmek için kullandıkları botnet’lere IoT cihazlarını ekledikleri düşünülürse bu daha doğru olamaz. Corero Network Security CTO’su Dave Larson’a göre Lizard Squad olarak bilinen hacker grubu hem PlayStation Network hem de Xbox Live üzerinde bir DDoS saldırısı başlatmak için kişisel ev router’larından oluşan bir botnet kullandı.
ABI Research’e göre geçtiğimiz yıl itibariyle 16 milyarı aşkın aktif kablosuz cihaz mevcut ve bu rakamın 2020’de 40.9 milyara çıkması bekleniyorken cihaz sayısı hiç şüphesiz IoT destekli DDoS botnet’lerin potansiyel büyüklüğüyle alarm zilleri çalıyor.
IoT cihazlarını içeren botnet’leri kullanan DDoS saldırılarının yarattığı tehdit ne kadar büyük? NSP’ler, web sunucular ve dahili kaynaklar bu saldırılarla savaşmak için yeterli mi?
IoT botnet’lerle DDoS tehdidi
Hacker’ların IoT cihazlarını zaten çalıştırdıkları botnet’lere eklemesiyle birlikte DDoS saldırıları büyüdü ve karmaşık bir hal aldı. IoT cihaz filoları suçlu hacker’lara neredeyse sınırsız botnet ordularına erişim sağlıyor.
Hacker’lar üreticilerin ARM işlemcilerle donattığı telefonlar, termostatlar ve akıllı ev aletleri gibi IoT cihazları üzerindeki gömülü Linux’e bulaşan silahlanmış rootkit’leri kullanıyor. IoT cihaz sayısının çokluğu sebebiyle (ABI Research verilerine göre 16 milyar) bu botnet’ler eski botnet’lere nazaran kat kat büyüyebilir.
Geçen yılın Eylül ayından en azından Şubat ayına kadar yabancı hacker’ların global çapta gerçekleştirdiği büyük botnet saldırıları IoT cihazlarıyla birlikte Linux çalıştıran x86 sunucularını kullandı.
Saldırı kaynak kodu, komut ve kontrol IP adresleri ve yük (payload) baz alındığında bu botnet saldırıları ELF DDoS tehdidi varyantını yaymaya yönelik yeni bir saldırı gibi gözüküyor; bu saldırıları ilk kez ortaya çıkartan Almanya’daki “Malware Must Die!” adlı malware karşıtı grup üyelerinin blog gönderisine göre böyle.
Bu saldırılardan bir serinin hikayesi şöyle: 15 Kasım 2014’te bir botnet kaba kuvvet SSH saldırılarını kullanarak FireEye sunucularını vurdu. FireEye’a göre Ocak sonunda botnet yaklaşık 1 milyon giriş denemesiyle tüm sunuculara saldırdı. FireEye verilerine göre bu dönem zarfında saldırılar bu sunucular üzerindeki Port 22 trafiğinin neredeyse üçte ikisini oluşturdu.
FireEye açıklamalarına göre saldırıların ardındaki Çin merkezli zanlılar sistemlere XOR DDoS malware’in bulaştırmak için SSH kaba kuvvetle Hee Thai Limited sunucularını kullandı. FireEye’a göre çoğu DDoS bot’larının aksine XOR DDoS birden çok platformu etkiliyor, saldırganların birden çok platformu (şu ana kadar en az 41 farklı platform) hedef alması için C/C++ kaynak kodlarını yeniden derlemesine imkan tanıyor
NSP’ler, Web sunucular ve dahili kaynaklar neden yeterli değil?
Büyük telekomünikasyon firmaları gibi büyük NSP’ler DDoS saldırılarını kaldırmak için müşteri trafiğini yeniden yönlendirme ve iptal etmeye yönelik bulut tabanlı araçlarla servislere sahip. Ancak söz gelimi mevzuat gereksinimlerini tatmin etmek için iki ya da daha fazla Internet sağlayıcısı kullanan işletmelerde, tüm bu NSP’ler günümüzün çok büyük ve karmaşık DDoS saldırılarıyla mücadele edebilmek zorunda.
“Büyük telekomünikasyon firmalarının tümü bu karmaşık layer 7 saldırılarına kadar yeterli korumaya sahip değil” diyor Kaspersky Labs’in DDoS Koruma başkanı Evgeny Vigovsky.
Büyük DDoS saldırıları (işletmelerin sahip olduğundan daha fazla bantgenişliği kullananlar) spesifik olarak meseleyi hedef alan bolca bant genişliğine sahip çözümleri gerektirdiğinden web sunucular, IT departmanları ve kurumsal yönetimler de DDoS trafiğini filtrelemek için hazırlıklı değil.
“Bot’lar gerçek kullanıcılar gibi davrandığında, sisteme giriş denemeleri yapmak gibi, işletmeler bir yandan düşük bir yanlış pozitif oranını temin ederken karmaşık DDoS saldırılarını tespit edip filtrelemek için fazlasıyla tanecikli araçlara ve uzmanlara sahip olmak zorunda,” diyor Vigovsky. Bu layer 7 uygulama katmanı saldırılar uygun kaynaklara sahip olmayan NSP’ler için çok karmaşık olabilir.
Değişen DDoS botnet saldırılarını önlemek
Andi-DDoS korumaya adanmış uzmanlar büyük telekomünikasyon firmaları için bir alternatif. Bu alanda Kaspersky Labs, Corero Network Security, Imperva Incapsula ve Akamai Prolexic gibi çeşitli firmalar mevcut. Bu gibi anti-DDoS sağlayıcılar temizleme / iptal merkezlerine, anti-DDoS uzmanlarına ve anti-DDoS’a çekirdek bir iş olarak sahip olmalı, diyor Vigovsky.
Trafik farklılaştırma anti-DDoS firmalarının sunabileceğinin önemli bir parçası. Larson’a göre gelen trafiğin kötü niyetli olup olmadığını tespit etmek için işletmeler istenen ve istenmeyen trafiği, kullanıcı tabanında yer almayan IP adreslerini, anormal trafik davranışlarını ayırt etmeli.
Ardından işletmeler bu türden saldırılara karşı network sınırlarını sağlamlaştırmalı. Saldırıların çeşitli ve farklı amaçlara göre büyüklük doğasına göre (söz gelimi küçük saldırılar sadece bir APT’nin izlerini saklayabilir) işletmeler saldırıların tüm boyutlarını, türlerini ve karmaşıklıklarını savuşturmalı.
“Bizim önerimiz hibrit bir bulut ve yerinde DDoS önleme stratejileri kullanmak,” diyor Larson. Yerinde, paketleri gerçek zamanlı olarak inceleyebilen DDoS korumayı hedef alan bir network sınırı uygulamasına sahip olmak üzere katmanlı güvenlik ölçütleri kullanın.
Korumanın ikinci bileşeni yerinde sınır uygulaması ile bulut DDoS koruma sağlayıcısı arasında sıkıca birleştirilmiş bir sinyaldir, diyor Larson. “Saldırının sizin mevcut bant genişliğinizden daha büyük ve tüm trafiğinizi durduracak olduğu durumlarda, bulut tabanlı iptal bileşeni üzerinden trafiği gerçek zamanlı olarak yeniden yönlendirmeniz gerekiyor.”
DDoS saldırılarını durdurmanın en iyi yolu
Bir dağıtık servis engelleme (DDoS) saldırısını deneyimlemek evinizi su basması gibi bir şey. Uyarı olmaksızın saldırganlar işletmenizi altüst ediyor. Her dakika önemli fakat ne yazık ki bazı DDoS çözümleri saldırıyı tespit edip raporladığında zarar çoktan gerçekleşmiştir. Büyük zararı önlemek için daha hızlı ve daha anlık bir tehdit tespitine ihtiyacınız var.
Bir DDoS saldırısı ağınızı vurduğunda güvenlik/ağ ekibinizin bunun aslında servisleri etkileyen bir DDoS saldırısı olduğunu (arızalanan bir sunucu ya da uygulama değil) tam olarak farkına varmasından önce uzun bir zaman geçebilir. Tehdide dair önlemlerin etkili olmaya başlamasından önce daha da fazla zaman geçebilir.
Kullanıcılar ve kurum içi servis görüntüleme sistemlerinin hacimsel ve yıkıcı saldırıların etkilerini fark etmesi zaman alır. Radar tespit edemesin diye alçaktan uçan uygulama katmanı saldırılarının tespiti çok daha güçtür çünkü onlar düşük hacimli profile sahiptirler.
Hasar azaltma çok geç başladığında zarar çoktan verilmiş olabilir: firewall durum tablosu bastırılır, yeniden başlamalara neden olur ve daha da kötüsü kilitlenir ki bu da saldırganın perspektifinden DDoS saldırısını efektif yapar. Servis artık normal kullanıcıları için erişilebilir değildir.
Konuşlandırma metotları ve tespit
Çeşitli metotlar güvenlik ekiplerinin bir ağ üzerinde neler olduğuna dair anlayış elde etmesine imkan tanıyor. En popüler yaklaşımlardan bir tanesi akış (flow) örnekleme. Tüm router’lar NetFlow, IPFIX veya sFlow gibi akış teknolojisinin bazı formlarını destekliyor. Bu süreçte router paketleri örnekliyor ve o paket hakkında bilgi içeren bir datagram oluşturuyor. Bu yaygın olarak var olan bir teknoloji, güzel ölçekleniyor ve ağ trafiğindeki eğilimleri işaret etmek için nispeten yeterli.
Diğer yandan derinlemesine güvenlik analizi amaçları için örneklemelere dayanmak ciddi bir ödün; bin tanede sadece tek bir paket (ya da daha kötüsü) aldığınızdan büyük bir enformasyon parçasını kaçırıyorsunuz. Bir akış analitik cihazı bir şeyin yanlış olduğundan emin olmak ve yanlış pozitiflerden kaçınmak için bir trafik akışının davranışını daha uzun bir süre değerlendirmek zorunda.
Yaygın DDoS koruması konuşlandırmaları bir akış analitiği cihazı kullanıyor. Bu cihaz tespit ettiği vakaya kurbanın trafiğini bir önleme cihazına yönlendirerek ve hangi eylemin alınması gerektiğini söyleyerek tepki veriyor. Bu metot trafiğin analiz edilmesi için toplanması için güzel ölçekleniyor ve reaktif model sadece potansiyel kötü trafiği yönlendiriyor ki bu da bantgenişliğinin bir kısmında aşırı talebe izin veriyor. Ancak önleme ortalama süresi dakikalara çıkabileceğinden bu riskli bir iş.
En anlayışlı tespit ve en hızlı önleme için anında tespit ve önleme yapabilen yüksek performanslı bir DDoS önleme cihazının in-path konuşlandırmasını geçemezsiniz. In-path konuşlandırma tüm gelen trafiğin (asimetrik) ve muhtemelen aynı zamanda giden trafiğin (simetrik) kesintisiz işlenmesine imkan sağlar. Bu da önleme cihazının anında eyleme geçebilmesi anlamına gelir; saniyeden düşük önleme zamanlarıyla. Önleme çözümünün uplink kapasitesiyle ölçeklenebilmesine ve çok vektörlü saldırılar sırasında gerçek dünya performansına dikkat edilmelidir.
In-path tespit ve örneklemeye alternatif olarak aynalanan (mirrored) veri paketleri analiz için tam ayrıntı sağlar, trafiğin yönünde şart olmasa da. Bu network’teki diğer giriş noktalarından giriş yapmış olabilen trafikteki anormalliklerin hızla tespitine imkan tanır. Büyük bir ağda ölçeklenebilir bir aynalama çözümü ayarlamak güç olabilse de, o aynı zamanda merkezi analiz ve önleme merkezi için mükemmel bir metot olabilir.
Performans ölçütlerinizi takip edin
Bant genişliği çoğu kişi için önemli bir ölçüttür. Ev için bir Internet bağlantısı satın alırken insanlar sıklıkla bantgenişliği ölçütünü karşılaştırır. Bu önemli olsa da çok şeyde olduğu gibi şeytan ayrıntılarda gizlidir. Ağ cihazları nihayetinde network paketlerini işler ki bunlar tipik olarak farklı boyutlardadır. Küçük paketler düşük bantgenişliği kullanırken büyük paketler daha fazla bantgenişlikleri kullanır. Ağ düğümündeki temel kısıtlama bir cihazın bir saniye içinde işleyebileceği paket miktarıyla ayarlanır. Çok sayıda küçük paketi yüksek bir oranda göndererek bir saldırgan altyapıyı oldukça hızlı strese sokabilir; özellikle firewall’lar ya da izinsiz giriş tespit sistemleri gibi geleneksel güvenlik altyapılarını. Bu sistemler ayrıca duruma bağlı güvenlik yaklaşımları dolayısıyla çok sayıda flood saldırıları gibi durumdan bağımsız, yüksek oranlı saldırılara karşı daha savunmasızdır.
Verizon’un 2014 Veri İhlal Araştırmaları Raporu’na göre saniyedeki paket (pps) saldırı oranı yükselişte; 2013’e nazaran 4.5 kat arttı. Eğer dikkatli bir biçimde rakamlarda tahmin yürütecek olursa, 2014’te 37 Mpps ve 2015’te 175 Mpps bekleyebiliriz. Bunlar trendi göstermeye yönelik ortalama değerler fakat çok daha yüksek pps oranları gördük. Ortalama değer trendi ortaya koysa da, ağınızı uygun bir biçimde hazırlamak için en kötü durum değerleri üzerine odaklanmalısınız.
Ölçeklenebilirliğinizi Garantileyin
DDoS saldırıları ve bilhassa hacimli saldırılar network’e çok aşırı pps oranlarıyla girdiğinden yeterli paket işleme gücüne sahip bir önleme çözümüne ihtiyacınız var.
Analitik altyapısını ölçeklemek de önemli bir etmen. Akış teknolojisi daha iyi ölçekleniyor fakat çok büyük bir maliyetle: tanecikli yapıdan ve önleme süresinden taviz vererek.
Eğer tedarikçiniz ağınızın boyutuyla uyumlu performans rakamları sağlıyorsa, gerçek dünya performansının daha düşük olabileceğini unutmayın. Mevcut trend şu ki saldırılar birden fazla saldırı yöneyi kullanıyor; birden fazla saldırı metodu aynı anda başlatılıyor.
Tedarikçi performans rakamları ürünün sizin gereksinimlerinizle uyumu için iyi bir gösterge sunuyor ancak muhtemel önleme çözümünüzü test etmeniz önerilir. Aynı zamanda sizin ortamınızda bir takım saldırı senaryosuna karşı nasıl durduğunu görmek için bir dizi testler üzerinden onaylayın.
Çok yöneyli saldırı trendi onaylama performansının önemini ortaya koyuyor. SYN flood gibi temel bir saldırı yürütmek CPU’ları temel bir stres seviyesine sokar; elbette saldırı donanım içinde önlenmedikçe. Sistemi aynı anda bir HTTP GET flood saldırısı gibi daha karmaşık uygulama katmanı saldırısıyla savaştırmak bir sistemi limitlerini aşmaya zorlayabilir.
Network’ünüzün güvenlik performansını periyodik olarak doğrulamanız, güvenlik çözümlerinizin aynı anda gerçekleşen çeşitli saldırılara karşı sağlam durabilmesini ve network yatırımlarınızın büyüyen, güvenli bir ağ için uygun olduğunu temin etmek için kritiktir.
Ağ taşkını (flooding) esasında evinizi basan su taşkınıyla çok ortak noktaya sahip. Onun gerçekleştiğini ne kadar erken bilirseniz, o kadar erken önlem alabilirsiniz. Sadece kum torbalarınızın bu görev için uygun olduğundan emin olun.