DYN’e karşı yapılan DDoS Saldırısı

Güvenlik analistleri, Cuma günü çok sayıda internet sitesini etkileyen siber saldırıda hacker’ların “Mirai Botnet” kullandıklarını belirtmekteler.

Peki Mirai Botnet Nedir ?

Sistemlerdeki ya da uygulamalardaki öntanımlı kullanıcı adı ve parolaları değiştirmemek güvenlik açısından her zaman büyük bir sorun olmuştur. Bazı kullanıcıların teknik bilgi eksikliği veya gözardı etme alışkanlıkları ise şimdiye kadar  kayıtlara geçen en büyük DDoS saldırısına olanak sağladı.

Tüketici elektroniği ürünlerinin gelişmesiyle neredeyse artık her  evde bulunan cihazlar; modem routerlar, DVR(ip kamera ve kayıt sistemi) ve diğer akıllı ev cihazları, yani internete bağlı olan herşeyimiz bu botnet ağının bir parçası oldu.

divzsfq

Mirai adı verilen botnet ağı işte bu cihazlarımızı ele geçirerek (yaklaşık olarak 400.000 aygıt) kendisine dev bir ordu oluşturdu ve şimdiye kadar kayıtlara geçen en büyük DDoS saldırısını gerçekleştirdi.

Mirai botnet ağı nedir sorusunun cevabı ise kısaca; C dilinde yazılmış scriptlerden oluşan bu küçük program (sadece 104 kb), bruteforce yöntemi ile kullanıcı adı ve şifresini ele geçirdiği cihazları (ip kameralar, modem routerlar vs.) kendi botnet ağına katıyor ve cihaz sahibinin haberi olmadan, cihazı dilediğince yönlendirip saldırıya geçirebiliyor. Bir nevi cihazlarınızı zombileştirerek başka birisi veya birilerinin hizmetine veriyor.

DNS Nedir ?

DNS, domain isimlerini IP’ye çevirmek için kullanılan bir sistemdir.

Isc.sans.edu =>  66.35.59.249

Bir alan adına (örn: “sans.edu”) sahipseniz, o zaman bu alan adı için DNS sağlamanız gerekiyor.Bu sayede örneğin bir web sitesi sunuyorsanız, insanlar alan adınız ile sitenize ulaşabilirler. Çünkü insanlara IP adresi ezberletmek yerine (66.35.59.249 ), domain (sans.edu ) ezberletmek daha kolaydır.

DNS bozulursa, o zaman müşterilerin web sitenizi ulaşamaz. Şirketiniz ile yapılan E-mail hizmeti de büyük olasılıkla bozulacaktır.

Dyn, kullanıcıları web sitelerine yönlendiren DNS hizmeti sağlayıcısıdır ve bu tarz hizmetler internet altyapısının en önemli hizmetlerindendir.

Peki ya dyn kimdir ?

Dyn şirketi başlangıçta dinamik internet adresleri sahip kullanıcılar için DNS hizmeti veren bir şirket olarak tanındı (ev kullanıcıları, küçük işletmeler gibi.)

Daha sonra, Dyn Dns coğrafi olarak farklı DNS altyapısına ihtiyaç duyan büyük işletmelere hizmetler sunmaya başladı.

Dyn, bu hizmetlerin en büyük sağlayıcılarından biridir. Dünya çapında önemli veri merkezlerini korur ve yedeklilik sağlamak için çeşitli teknikler kullanır.

Dyn neden devre dışı kaldı ?

Dyn, Cuma günü “DDos” kısaltmasıyla bilinen ve binlerce bilgisayarın servisin iş yükünü artırmak için koordineli bir şekilde mesaj göndermesi anlamına gelen DDoS(Distributed Denial of Service) saldırısına maruz kaldı.Sunucuları ya yanıt vermeyi durdurmuş ya da yanıtları büyük ölçüde geciktirmişti. Sunucuları cevap vermezken yedekli sunucularına network trafik yönlendirmesi yapamadı.

Bu saldırının arkasında kim vardı ve hedef olarak neden Dyn seçilmişti ?

“Mirai Botnet” in saldırıdan sorumlu olduğu varsayılıyor. Bu botnet saldırısına ile yüz binlerce güvenlik kamerası, router bu saldırıda zombi oldu.

DDoS saldırıları genellikle siyasi nedenlerden, fidye için ya da web siteleri veya şirketleri kapatmak için kullanılır.Saldırıyı kimin gerçekleştirdiği ya da neden DynDNS’nin hedef olduğu henüz anlaşılamadı ve sorumluluğu kimse üstlenmedi.Hedefin Dyn değil de bir Dyn müşterisi olma olasılığıda üzerinde duruluyor.

Peki bu saldırı bizleri etkiler mi ?

internet-of-thingsEvet. Biz Dyn müşteri olmasak bile, herhangi bir DNS sağlayıcı aynı saldırılara isabet olabilir ve büyük olasılıkla benzer sorunlar oluşabilir.Saldırının ilk etkisi bazı sitelere ulaşımı güçleştirmek oldu. Kullanıcıların; Reddit, Twitter, Etsy, Github, Soundcloud, Spotify başta olmak üzere birçok siteye erişimi iyice zorlaştı.Paypal, Pinterest ve Tumblr gibi sitelerle bazı kablolu hizmet sağlayıcılara erişimde de kesintiler olduğu bildirildi.

Bu noktada , bu ataklara karşı profesyonel bir savunma söz konusu değildir. Geçici bir kesinti olma olasılığı da kaçınılmaz değildir.

Bu olay DDos saldırıları diye bilinen siber saldırılarda bir taktik değişikliğine işaret ediyor. Daha önce bu tür saldırılar daha ziyade tek bir siteyi hedef alıyorken şimdi birçok internet sitesini etkileyecek şekilde DNS servis sağlayıcılarına karşı kullanıldı.

DynDNS’nin çok sayıda firma tarafından dünya çapındaki kullanıcılar için bir küresel adres rehberi gibi kullanılması saldırının çok daha etkili olmasına sebep oldu.

Riskleri nasıl minimize edebiliriz ?

Birden fazla DNS sağlayıcıları kullanın. Bu şekilde bir sorun yaşanıyor ise , trafiği yedek DNS sağlayıcımıza yönlendirebiliriz.Eğer hedef değilsek iç kullanıcılar için sınırlı hizmet sağlayarak DNS sunucuları koruyabiliriz. DNS sorgularını cache’e alacak şekilde ayarlayabiliriz.

Karşılığında Ne Yapmalıyız ?

  • DNS altyapı ve yapılandırmanızı gözden geçirin (e.g. Time to Live)
  • Özellikle en kritik domain’ler için DNS ayarlarınızı değerlendirin ( Blacklist , DNS Firewall )
  • Birden fazla DNS sağlayıcı kullanımını araştırın.
  • DNS izleme yeteneği gözden geçirin. Kesintilerini en aza indirmek için, hızlı bir şekilde saldırı tespit ve saldırı trafiğini karakterize etmek çok önemlidir.

“Mirai Botnet”e karşı ne yapılabilir?

Kullanılan modem , router, ip kamera gibi internete bağlı olan cihazların varsayılan kullanıcı adı ve parolalarını değiştirmek güvenlik açısından her zaman büyük bir öneme sahiptir. İnternete bağlı olan bu cihazlara, internet üzerinden erişebilen hacker’ların yaptığı ilk iş, cihazların varsayılan kullanıcı adı ve parolaları ile giriş yapmayı denemeleridir.

Sonuç :

Anti-DDoS hizmetlerinden yardım almadan büyük ölçekli DDoS saldırılarını savunmak güçtür.DNS gibi kritik altyapı servislerini çeşitlendirmek önemlidir.DDoS saldırılarını etkili şekilde savunmak için saldırı tipini hızla bir şekilde karakterize etmek ve raporlamak önemlidir.

2017-03-16T21:59:12+00:00 October 29th, 2016|DDOS|