Saldırı Size Değil, Sizden Geliyor!
DDoS konusunu ele aldığımızda çoğu kişi saldırının dışarıdan input yönde geldiğini yani sadece DDoS saldırısını aldığını düşünür. Ama her zaman saldırı yönü aynı olmamaktadır. Zamanla gelişen teknikler, üretilen saldırı türleri ve çeşitli geliştirilen yöntemler sizi şaşırtabilir. Son zamanlarda sıkça görülen ve çoğu hizmet sağlayıcı, küçük büyük işletme farketmeksizin işin içine istemeden de karışılan bir saldırı türü karşımıza çıktı. Nedir bu saldırı türü, IP Reflection! IP Reflection ile masum sunucular veya 3. taraf networkler bir saldırı silahı olarak kullanılarak, trafik çıkışı yapılıp hedef adrese trafik göndermektedir.
IP Reflection Nedir?
IP reflection, yansıma olarak geçsede, genelde aynalama olarak da bilinir. IP reflection, saldırganın IP’sini gizleyerek konudan bağımsız sunucu ve kaynakları kullanarak hedef adrese trafik gönderme işlemidir. Bunu 3 adımda anlatalım.
IP Reflection’da süreç nasıl ilerler? Nasıl çalışır?
- Saldırgan, saldırı yapacağı hedefin IP adresini kaynak IP yaparak paketi gönderir. Zaten bu işleme de spoof denir.
- Açık servisler bu isteği gerçek zannederek cevaplar.
- Servis pakete cevap verir. Bu cevap hedef adrese gönderilmiş olur.
Avantaj : Saldırı doğrudan saldırgandan değil, direkt olarak servis veya sunucu kime ait ise ondan gelmiş gibi görünür.
Neden Tehlikeli?
Yukarıda bahsetmiş olduğumuz gibi saldırı aşamalarında gördüğümüz üzere, burada işi tehlikeli kısma getiren, saldırganın gizleniyor olmasıdır. En önemlisi ise küçük paket boyutlarıyla başlayan isteklerin büyük cevap paketleriyle devam etmesi sonucu yüksek trafik oluşturuyor olmasıdır. Burada sinsice yürüyen bu saldırı, siz farketmeden saldırı aracı olmanızı sağlar.
En Sık Tercih Edilen Protokoller
- DNS
- NTP
- SSDP
- Memcached
IP Reflection İçin Ne Önlemler Alınabilir?
IP Reflection kısmında alabilecemiz önlemler bellidir. UDP servislerimizi dış ortama kapatmalıyız veya dışarıya açık kalması gereken servislerimiz var ise kurallar ile bu servislerimizi sıkılaştırmalıyız. UDP tarafında kullandığımız hizmetler ne ise bu hizmetlerimize çeşitli limitler uygulamalıyız. Bu limitlere “DNS response rate limit” veya “NTP request limit” gibi örnekler verilebilir. Bu yapılan işlemler saldırıyı durdurmaz fakat etkisini azaltır.
IP spoof engellemenin bir diğer ve etkili yöntemi ise , kendi iç networkünden dışarıya çıkacak public IP’lerini belirleyerek, bu IP adresleri hariç farklı bir source gördüğünde bu paketi droplayacak kurallar yazmak olacaktır. Aynı işlemi ISP tarafından da isteyebilirsiniz. ISP tarafı da sizin IP bloğunuz harici herhangi bir pakette farklı source gördüğünde bu paketi otomatik olarak dışarıya çıkarmayacaktır. ISP tarafı ile (BCP38) source IP validation hakkında görüşebilirsiniz.
Kontrol edilmesi gereken diğer bir kısım ise output yöndeki trafiği anlık olarak kontrol etmektedir. Eğer normal seviyelerde olarak output trafiğiniz gözle görülür şekilde artıyor ise ve zamanla anlık trafik çıkışınız yükseliyorsa iç networkünüzü, paketleri kontrol etmeniz gerekmektedir.
Güvenliğin sadece input sanıldığı network tarafında, IP reflection ile output tarafınında güvenliğinin kontrol edilmesi gereken bir yer olduğu anlaşıldı.
NetFlow/sFlow gibi açık kaynak programlar kullanarak da output bacağını monitor edip anlık kontrol sağlayabilirsiniz.
Anormal trafik gördüğünüz portlarınızı wireshark ile kontrol edin. Kontrolleriniz sonrasında paketleri incelediğinizde geri dönüş yani çıkış yapan paketleri boyutlarında farklılık görürseniz detaylı bir inceleme başlatın. Bu inceleme sonrasında kaynak ve hedef IP adreslerini kontrol etmeniz gerekir. Gelen paket farklı IP adresi fakat pakete dönülen IP farklı ise burada bir sorun olduğu anlaşılır. Bunun için aşağıdaki soruları kafanızda canlandırarak işlem yapın;
- Neden bu kadar yoğun output tarafta UDP var?
- Neden sürekli aynı IP adresine yoğun cevap gidiyor?
- Bu IP adresi ile daha önce konuşmuş muyum?
Sorularının cevabı mantıklı değil ise reflector olarak kullanılıyor olabilirsin.
Wireshark tarafında kontrol edebilirsin;
- Output tarafında paketler yoğun olarak UDP mi?
- Response Request paketlerinin boyutu normal mi?
- Belirli IP adreslerine yoğun trafik var mı?
Wireshark tarafında kontrol ettiğiniz yönün output olacağı unutmayın.
“IP REFLECTION SALDIRILARI DIŞARIDAN DEĞİL, ÇOĞU ZAMAN BİZİM NETWORK’ÜMÜZDEN BAŞLAR.“
