bianet'e sistem yönetimi hizmeti sunan Yenihayat Bilişim'in yetkilisi Murat Demirten, 17 Mayıs'ta bianet'e yapılan DDoS saldırısının engellenmesi için en fazla emek veren kişi...
Benzer bir saldırıya uğrayan Sol Haber sitesinin yeniden erişilebilir hale gelmesi için de bu sitenin sistem yöneticilerine destek veren Demirten, saldırıyla ilgili bilgileri bianet'le paylaştı.
- Geçen hafta art arda Birgün Web sitesi, bianet ve Sol haber'e yapılan DDoS (distributed denial-of-service) saldırıları hakkında biraz bilgi verebilir misin?
DDoS saldırıları, günümüz internet dünyasının temel sorunlarından biri. Bu saldırı basitçe, hedef sistemin kaldırabileceği kapasitenin üzerinde isteği, sınırlı bir zaman dilimine sıkıştırarak göndermek şeklinde özetlenebilir.
Eğer daha öncesinde, çeşitli yöntemlerle konuyla ilgisi olmayan normal kullanıcıların bilgisayarlarına virüs/trojan yerleştirmişseniz, bir zaman diliminde elinizdeki tüm bu kaynağı belirli bir adrese doğru yönlendirebilirsiniz. İşlemlerin aynı zaman dilimleri içerisinde gerçekleştirilmesi, toplamdaki sayının büyüklüğü ve koordine hareket edilmesi nedeniyle hedef sistemin kaynaklarının kısa sürede tüketilmesine ve yeni gelecek isteklere yanıt veremez hale getirilmesine sebep oluyor.
Saldırının etkinliğinin artmasının bir diğer nedeni de, saldırılan sitelerin bilgi-işlem bütçelerinin görece sınırlı olması. DDoS saldırılarına karşı sürekli bir altyapı yatırımı yapmak, orta ölçekli firmalar için bile çoğu zaman mümkün olmuyor. Türkiye'deki mevcut internet sitelerinin yüzde 99'unun benzer ölçekteki bir saldırı karşısında işlevsiz hale gelebileceğini söyleyebiliriz.
- bianet'e yapılan saldırıyla sol haber'e yapılan saldırılar arasında bağlantı var mı? Kaynak aynı mı? Bu konuda ne tür veriler dikkate alınıyor?
Her iki siteye yapılan saldırıların kaynağının büyük oranda aynı olduğunu söyleyebiliriz. Özellikle saldırıda Türkiye içerisinde kullanılan IP adreslerinden gelen isteklerin içeriği, birbiriyle tamamen aynı olduğu gibi, kullanılan IP adresleri de büyük oranda ortaktı.
Ancak bu noktada şunu da eklemek gerekiyor: Saldırılar tek tipte gerçekleşmedi. Farklı karakteristik özelliklere sahip trafiklerle karşı karşıya kaldık. Dolayısıyla birden fazla kaynak noktası da olabilir. Saldırı sırasında gelen veri paketlerinin içeriği detaylı olarak incelendiğinde, kullanıcı tarafından üretilmemiş, çeşitli anormalliklere sahip olanlar tespit edilebiliyor ve bu özellikler üzerinden gruplama yapılabiliyor.
Buradaki zorluk, saldırı amaçlı kullanılan isteklerle gerçek kullanıcıların isteklerini ayrıştırma noktasında yaşanıyor. Tek tip bir saldırı olmadığı için, saldırı trafiğini ayrıştırabilecek çeşitli içerik veya davranış farklılıklarının tespiti gerekiyor. Bu da oldukça zaman gerektiren bir işlemdir.
- Sol Haber'e yapılan saldırının engelenmesi konusunda bir işbirliği yapıldı mı?
Bianet saldırısının ardından benzer bir saldırının sol.org.tr sitesine yapıldığını öğrenince, ilgili arkadaşlara ulaşarak bilgi paylaşımında bulunduk. Birlikte yapılan çalışmalar neticesinde geceleyin site tekrar işler hale geldi.
- Saldırılar ne tür yöntemler kullanılarak engellenebiliyor?
Yapmış olduğumuz incelemeler sonrasında saldırıda kullanıldığını tespit ettiğimiz IP adreslerinin sisteme erişimini tamamen engelledik. Saldırıda kullanılan bilgisayarların zaman zaman IP adresleri değiştiği için biz de sıklıkla bu listeleri yenilemek durumunda kaldık.
Ayrıca içerisinde belirli hedef kelimeleri içeren istek paketlerini de engellemeye başladık. Bu sayede internet sunucumuz, saldırı amaçlı yapılan isteklerin birçoğunu işlemek zorunda kalmadan, normal kullanıcı isteklerine yanıt dönebilmeye başladı.
- Saldırıların kaynağını bulmak için ne tür yollar izlenebilir?
Bu tarz saldırıların gerçek kaynağına ulaşmak kolay olmamakla olmakla birlikte, imkansız değil. Birçok olayla birleştirilerek kapsamlı bir biçimde takip başlatılacak olursa, bir süre sonra asıl kaynağı tespit etmek mümkün olacaktır. (ŞA/EÖ)
