Dünyada en fazla raðbet gören cnn.com, yahoo.com, ebay.com gibi Ýnternet sitelerine düzenlenen Denial-of-Service (DoS, hizmet yadsýmasý) ataklarý güvensizliði her fýrsatta dile getirilen Ýnternetin bu kötü ününün perçinlenmesine sebep oldu. Milyonlarca dolarla ifade edilen kayýplara sebep olan ve birkaç gün boyunca etkisini hissettiren bu ataklar zincirinin belki de en önemli zararý geniþleme sürecindeki elektronik ticaretin üzerine uzun süre çýkarýlamayacak ‘güvensiz’ damgasýnýn vurulmasý idi. Gerçi bu ataklar tüketicilerin elektronik alýþveriþ sýrasýnda kulladýklarý kredi kartý numarasý gibi hassas bilgileri açýða vuracak türden ataklar deðildi ama bir yönden savunmasýz olduðu anlaþýlan bir sistemin diðer yanlarýnýn aslýnda güvenli olduðunu teknik olmayan insanlara (bazen teknik olanlara da) anlatmanýn zor oldugu da bir gerçektir. Belki elektronik ticarette kullanýlan teknolojinin ne kadar güvenli olduðunu, hatta SET’in (Secure Electronic Transaction, Visa ve MasterCard’ýn ortaklaþa geliþtirdikleri son derece güvenli elektronik ödeme protokolü) içerdiði güçlü güvenlik mekanizmalarý yüzünden kullanýþsýz olduðunu ve aradan geçen 4 seneye raðmen halen süründüðünü baþka bir yazýda anlatýrýz.

 

DoS ataklarý taným itibarýyla yeni bir tür güvenlik gediði deðildir. Ancak son aylardaki ataklar, týpký 17 Aðustos depremindeki bilinçlenme gibi, insanlarýn birden bu konuya hatta genel olarak Ýnternette güvenlik olayýna daha dikkatli bir gözle bakmalarýna yol açtý. DoS ataklarý temel olarak ‘bana yar olmayan baþkasýna da yar olmasýn’ mantýðý güden ataklardýr. Ortada bir ele geçirme, zapdetme ya da teknik deyimiyle ‘hack’ etme yoktur. Yapýlan iþ, kurban sitenin kaynaklarýný kullanmaya zorlayarak normal ziyaretçilerine veya sanal müþterilerine geçici bile olsa hizmet verememesini saðlamaktýr. Yani ataða uðramýþ bir sitenin normal ziyaretçileri bu ataklar boyunca siteye baðlanamayacak ve belki de bu sýrada yapmayý düþündüðü elektronik alýþveriþi yapamayacaktýr.

 

Zombiler

 

DoS ataklarý sýrasýnda düþman yakalanmamak ve iz býrakmamak için elinden geleni sarfeder. O yüzden bu ataklar için ‘zombi’ denilen aracý bilgisayarlar kullanýr. Ataklarý bu zombiler üzerinden yaparak hem ayný anda bir çok bilgisayarýn saldýrmasýný saðlar, hem de kendi kimliðini ve IP adresini/numarasýný gizler. Bu þekilde birçok zombinin ayný anda saldýrmasý ile yapýlan DoS ataklarýna Daðýtýk DoS (DDoS) denir. Åžubat ayý içindeki ataklar da çok sayýda zombinin kullanýldýðý daðýtýk DoS idi. O yüzden etkisi fazla oldu.

 

Zombiler aslýnda düþmanýn bir açýðýný bularak önceden ele geçirdiði (hack ettiði) ve atak sýrasýnda kullanýlmak üzere bir deamon býraktýðý bilgisayarlardýr. Baþka bir deyiþle zombiler düþman tarafýndan kullanýlan ve kullanýldýklarýnýn farkýnda bile olmayan masum bilgisayarlardýr. Tek suçlarý güvensiz olmaktýr. Zombiler üzerinde kurulan bu deamonlar belirli bir porttan gelecek DDoS emirlerini dinleyerek ataklarý gerçekleþtirmektedirler. Düþmanlar zombi olarak genellikle açýk ve göreceli olarak daha güvensiz olan çok kullanýcýlý Internet Servis Saðlayýcý (ISS) ve üniversite bilgisayarlarýný tercih etmektedirler. Son ataklarda genellikle Unix ve Linux tabanlý sistemler zombi olarak kullanýlmýþsa da Windows tabanlý sistemlerin de ele geçirildikten sonra zombi olarak kullanýlmalarý mümkündür.

 

Atak Teknikleri

 

Düþmanýn kendisini gizleyebilmesini olanaklý kýlan þey, HTTP, DNS gibi anonim Internet servislerinde, sitelerin IP numaralarýný doðrulayacak bir denetim mekanizmasýnýn (authentication) bulunmamasýdýr. Bunun yanýsýra yine ayný sebepten otürü düþman atakta kullanacaðý trafiði zombiler üzerinden kurban siteye yönlendirebilmektedir. IP-spoofing olarak adlandýrýlan bu aldatma tekniðinde düþmanýn yaptýðý þey gönderdiði IP paketlerine kendi gerçek IP numarasýný koymamak, yerine göre ya var olmayan bir IP numarasýný ya da kurban sitenin numarasýný koymaktýr. Zombiler veya kurban siteler bu paketlerdeki gönderen IP numarasýný doðrulayamadýklarý için düþman kendisini gizleyerek istediði siteye saldýrabilmektedir. Dilerseniz sistemin nasýl iþlediðini yaygýn bir DDoS tekniði olan SYN-flood tekniði üzerinde görelim.

 

Bir TCP baðlantýsýnýn baþýnda istekte bulunan uygulama SYN paketi gönderir. Buna cevaben alýcý site SYN-ACK paketi göndererek isteði aldýðýný teyid eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alýcý site bunlarý biriktirir ve periyodik olarak göndermeye çalýþýr. SYN-flood türü ataklarda düþman, ya kendi sitesini kullanarak ya da Åžubat ayýndaki DDoS ataklarýnda olduðu gibi zombileri kullanarak kurban siteye dönüþ adresi kullanýmda olmayan bir IP numarasý olan çok fazla sayýda SYN paketi gönderir. Kurban site SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim kuyruklarýn dolup taþmasýna sebep olur ve kurban site normal kullanýcýlara hizmet verememeye baþlar.

 

IP-spoofing kullanan bir baþka DDoS tekniði ise ping komutunu yani ICMP (Internet Control Message Protocol) protokolünü kullanan ’smurf’ tekniðidir. Burada düþman çok miktarda bilgisayara ping isteði gönderir. Ancak bu isteklerde dönüþ adresi olarak kurban bilgisayarýn IP numarasý verilir (bir tür IP-spoofing). Bu durumda çok miktarda bilgisayar bir anda kurban bilgisayarý cevap yaðmuruna tutar ve kýsa bir süre içinde kurban bilgisayar normal hizmet verememeye baþlar.

 

Hangi teknik kullanýlýrsa kullanýlsýn düþman ataðýn þiddetini artýrmak için kendi sisteminden baþka olarak zombileri de uzaktan kumanda ederek yönlendirir. Bunun için zombilere emir olarak gönderdiði paketler genelde tek yönlüdür, yani zombi gelen DDoS emrini teyid etmez. Bu yüzden bu tür paketlerde de dönüþ IP numarasý verilmez ya da gerekirse yanlýþ bir numara verilir.

 

Ne yapýlmalý?

 

Åžu hali ile ataðýn ilk kaynaðýný yani düþmaný saptamak zordur. Çoðu ülkenin yasalarla suç saydýðý bu tür giriþimlerin fail-i meçhul ve cezasýz kalmasý ataklarý bir þekilde özendirmektedir. Bu gerçeðin bilincinde olan bazý þirketler kendilerine yapýlan ataklarý rapor etmekten çekinmektedirler. Çünkü hem ünlerinin zedelenmesinden korkmaktalar hem de ayný ataklarýn baþkalarý tarafýndan kopya edilmesinden çekinmektedirler. Gerçekten de Ýnternet üzerinde kolayca bulunabilecek bazý yazýlýmlar ile DDoS ataklarý düzenlemek kolaydýr. Bu ataklarýn etkisi atakta kullanýlan zombilerin sayýsý ve etkinliði ile orantýlý olarak artacaktýr.

 

DDoS ataðý ilk farkedildiðinde yapýlmasý gereken þey, kurban sitenin ataðýn geldiði adreslerden gelecek olan baðlantý isteklerini reddetmesidir. Sistemi tümden kapamak zaten ataðý yapanýn da amacý olduðundan bu tür bir davranýþ yenilgi anlamýna gelir ve yapýlmamalýdýr. Bu ataklarýn zombilerden geldiði düþünüldüðünde ataðýn merkezini saptamak adýna sistemi daha da uzun süre saldýrýya maruz tutmanýn gereksiz olduðu ortaya çýkar. Her sitenin böyle bir durumda atýlacak adýmlarý önceden belirlemesi ve bir ‘acil durum hareket planý’ yapmasý gerekmektedir. Ataðý baþýnda farkedip önlemin alýnmasý (yani servisin ataðýn geldiði adreslere kapatýlmasý) atak karþýsýndaki zararý da en aza indirecektir.

 

Atak sýrasýnda zombi olarak kullanýlan bilgisayarlarýn bu durumu farkedip düþmanýn önceden kurduðu deamon’larý ortadan kaldýrmasý da ataðýn bertaraf edilmesi açýsýndan faydalý bir adýmdýr. Ancak çok miktarda ve birbirinden baðýmsýz zombilerden kaynaklanan ataklarda münferid birkaç zombinin alacaðý bu þekildeki önlemler ataðýn þiddetini önlemeye yetmeyebilir.

 

Peki ataðý baþlamadan önlemenin yolu yok mudur? Bunun yolu IP-spoofing’i önlemekten geçer. Bunun için alýnabilecek en erken çözüm daha sýký paket filtreleme yapan firewallar kullanmak olabilir. Ancak bu yöntem hem pahalý, hem esnekliði az olduðundan, hem de sistemi genel olarak yavaþlatacaðý için tercih edilmemektedir.

 

IP-spoofing tekniðini olanaklý kýlan HTTP, DNS, SMTP gibi servislerin doðasýndaki dönüþ IP numaralarýnda doðruluk kontrolünün olmamasý, aslýnda, DDoS ataklarýnýn en büyük varlýk sebebidir. IETF (Internet Engineering Task Force, Internet Mühendisliði Ýþ Gücü) tarafýndan geliþtirilmekte olan DNSSec ve IPSec protokollerinin ve yeni nesil IPv6′nýn yaygýnlaþmasý ile bu servislerdeki kimlik denetiminin artmasý ve bu sayede DDoS ataklarýnýn azalmasý ve caydýrýcý hale gelmesi beklenmektedir.

 

DDoS ataklarýn etkisinin yüksek olmasý atak sýrasýnda çok sayýda zombi kullanýlmasý ile ilgilidir. O yüzden zombi olmamak için Ýnternete baðlý her bilgisayarýn azami çaba göstemesi gerekmektedir. Periyodik olarak güvenlik yamalarýnýn kurulmasý ve en son sürüm yazýlýmlarla varolan DDoS deamonlarýnýn ve olasý tecavüzlerin tesbiti, DDoS ataklarýnýn þiddetini azaltacak etkili önlemlerdir. Sistem yöneticilerinin bu konularda eðitimli ve deneyimli olmalarý elzemdir. Zombiler aslýnda atak sýrasýnda çok önemli bir zarara uðramamaktadýrlar, ancak baþkalarýna istemeden de olsa zarar vermelerinin önlenmesi ve Ýnternet sorumluluðu açýsýndan gerekli önlemleri almalarý þarttýr, hatta zorunlu hale getirilmelidir.

Not:Makalenin sahibi Albert Levi ye teþekkürü bir borç biliriz.