www.cihansalim.net

 Dosya Konusu
 
  İnternet'in Kendisine Saldırdılar
Kasım 2002
 
Hackerlar Bu Sefer İnternet'i Kilitlemeye Çalıştılar!

Belli kuruluşlara ya da sitelere saldırılara alışmıştık ama İnternet'in adres defteri görevi gören DNS'lerine yapılan saldırı ile kullanımda %6'lık bir yavaşlama oldu, daha da tehlikelileri gelebilir...

Ekim'in ayının son günlerine
tıklayın, destekleyin:
yaklaşırken yapılan saldırıda son kullanıcılar pek de rahatsızlık hissetmedi. Saldırı ender tanık olunan türden bir saldırıydı ama basit bir yapıda olduğundan ve de çok uzun sürmediğinden kullanıcılar bundan büyük çapta etkilenmedi. Ama bu dev bilgi ağında da artık küresel anlamda güvenliğin önemi tartışılır hale geldi.

Saldırıda ne oldu?
Domain Name Server (DNS) diye adlandırılan ana sunucular adeta İnternet'in adres defteri görevini yapıyorlar. Aranan sitenin bulunmasında, tüm adresleri kaydeden bu sunuculardan yararlanılıyor. Bunların sayısı 13 ve de tümüne de aynı tür saldırıda bulunuldu. Saldırı, "Denial of Service" olarak tanımlanan türdendi ve de bu ana sunuculara aşırı yükleme yapılması mantığına dayalıydı. Bu saldırı türünü yazının ikinci bölümünde daha ayrıntılı inceleyeceğiz.

Fakat bu sefer ki, bir çok uzman tarafından, bugüne kadar ki hedefi belli en büyük saldırı olarak yorumlandı. 13 sunucudan bazılarında, normalin üç katına varan yoğunlukta trafik gözlemlendi. 7 sunucu yaklaşık üç saatliğine hizmet veremez hale geldi. İnternet'te sitelere yönlenmemizi sağlayan bu sunucuların devre dışı kalmasıyla bazı sitelere kısa süreliğine erişilemedi.

Daha büyük bir sonuçla da karşılaşabilirdik ama saldırının yapısı çok karmaşık değildi ve de ana atak dalgası yaklaşık bir saat sürdü. Hem de bu zaman içinde farklı anlarda farklı hedeflere yüklenildi. Buna sistemlerin esnekliği de eklenince yöneticiler veri dalgalarının önünü kesmeyi bildiler. Yine de bir orkestra gibi uyumlu hareket eden saldırganlar belli bir kısmı değil, İnternet'in kendisini hedef almıştı. Çok daha uzun süreli bir harekette bulunmayı göze alsalar, İnternet "yoğunluktan düşüremediğimiz telefon numaralarını" hatırlatacaktı.

Saldırı sonrası, iki sunucudan sorumlu olan VeriSign'in basın sözcüsü, "Çok hareketli, değişken bir ortamdayız, kötü insanlar devamlı kötülükler peşinde" deyip şirket olarak güvenliği arttırmanın yollarını devamlı araştırdıklarını belirtti. Ayrıca saldırıda iki sunucularının da çöktüğü söylentisini yalanlayan VeriSign, aksine ayakta kalan dört sunucundan ikisinin kendilerinin olduğunu belirtti.

Nasıl bir saldırı
Son yaşadığımız saldırı, hedefi nedeniyle şaşırtıcı bir atak. Tabii İnternet'i ağırlaştırmayı hedef alanlar da doğal olarak pek sık görmediğimiz bir metotla bunu gerçekleştirmeye çalışıyorlar. Bu tip saldırılara "Denial of Service" deniyor ve de anlayacağınız gibi İnternet hizmetlerinin işleyebilirliğini bir süreliğine engelleme amacı taşıyorlar. Fakat en üst derecede tehlikeli oldukları söylenemez.

2000 yılında DNS'ler yerine ünlü siteleri hedef alan aynı tarz saldırıdan Yahoo! gibi siteler etkilenmişti. "Denial of Service" türündeki saldırıların temel mantığı son derece basit. Sıradan bir bağlantıda üç aşamalı bir el sıkışma yaşanır. Kullanıcı sunucuya bir mesaj gönderir ve de sunucu bunu doğrulayarak geri gönderir. Bundan sonra kullanıcı siteye giriş hakkını kazanır, sunucu sadece onun bağlanabileceği bir "açık kapı" bırakmıştır. Saldırı sırasında, saldırganlar kendi yerlerini manipüle ederken, isteklerinin kaynaklarını da rasgele gösterirler. Bu isteklerin sahibi olarak gösterilen çoğu rasgele seçilmiş yer, aslında yoktur yani bir anlamda sunucunun doğruladığı mesajları geri döndürdüğü adresler yanlıştır. Yine de sunucu bağlantıyı bir süreliğine açık tutar, bu bazen bir dakikayı bile geçer. Buna bir de saldırganların aşırı miktardaki talebini ekleyince sunucu zorlanmaya başlar. Açtığı kapıları kapatmaya başlasa bile bu sefer de yeni bir talep dalgasıyla karşılaşır. İşler artık iyice sarpa sarmaya başlamıştır.

Bu durum tekrarlandıkça tekrarlanır, sonunda sunucu açtığı kapılardan kullanıcıların gelmesini beklemekten başka bir şey yapamamaya, bir noktada yeni taleplere de yanıt verememeye başlar... Bu son saldırı da yaklaşık 8-10 saat boyunca ana sunucuların düzgün çalışmasını engelledi. Hatta saldırılar tüm İnternet'i rahatsız etme hedefine ulaşamadıysa da ertesi gün daha düşük yoğunlukta, küçük çaplı saldırıların devam ettiği görüldü. Veri seli ICMP (Internet Control Message Protocol) paketlerinden oluştu. Bu paketler ağ hatalarını tanımlamak ve de ağ bağlanabilirliği üzerine bilgiler taşıyorlar, standart el sıkışma paketlerine benzerlikleri var ve de kolayca dar boğazları tıkayabiliyorlar. Ama bu paketler ağ yönetimi için zorunlu değiller ve de yöneticiler tüm bu paketlerin sunuculara ulaşmasını engelleyerek saldırıyı kolayca etkisiz hale getirmiş oldular.

"Denial of Service" saldırılardan korunmak için teoride sunucudan önce, araya bir filtre koymak gerekiyor. Bu filtre ile gelen kullanıcı talepleri içindeki benzerlikler kolayca fark edilebilir. Özellikle böyle yığınlarla yapılan saldırılarda filtreler bunların sunucuya ulaşmasını engeller, diğer talepleri sunucuya yönlendirir.

Saldırıdan yansıyanlar
Ekim ayının son günlerindeki bu atak hatırlanacak ama etkisiyle değil yeni bir tehlikenin ilk örneklerinden olması nedeniyle. İnternet'in bir noktaya kadarki esnek yapısı ve de yöneticilerin çabuk davranmasıyla bu sefer kayda değer bir sorun yaşanmadı. Ama gelecekte bundan daha büyük saldırılar olacağını herkes kabul ediyor.

Gerçek hayatta bir telefon rehberinde aradığınız ismin karşısında numarasını aldığınız gibi cihansalim.net yazdığınızda da bu DNS'ler size sitenin nümerik adresini veriyorlar. Ve bu DNS'lerden beşinde Perşembe sabaha doğru hala minik sorunlar yaşanıyor, bazı adreslere ulaşımda kısa süreli yavaşlamalar olabiliyordu.

Fakat hedefi bulmada da çeşitli adımlar var. Öncelikle yerel sunuculara yönelen adres aramaları ancak burada sonuca ulaşamazsa DNS'lere yöneliyor. Tabii yeni bir adres açıldığında da bir süreliğine sadece DNS'lerde onun hakkında bilgi bulanabiliyor. Buna ek olarak yerel sunucular, kendi bilgilerini doğrulamak için belli sürelerde silip yenilerini DNS'lerden almaya yöneliyorlar. tabii bugün İnternet'in geldiği noktada her gün sayısız istek DNS'lere yöneliyor. Yani aslında DNS'ler bir süreliğine hizmet veremese de yerel sunuculardan bilgi alınabiliyor. Ama bu süre saatler hatta günler sürerse, az önce belirttiğimiz bilgi yenileme süreci başladığından yerel sunuculardan bazıları da hizmet veremeyebiliyor.

Her gün yeni siteler açılır, İnternet genişlemesini sürdürürken ilerde daha büyük zorluklar yaşanacağı da kesin. FBI son saldırıyla ilgili çalışmalara başladıysa da gönderilen paketlerin içindeki geri dönüş adresi son derece farklı dağıtılmış olduğundan başarılı olması çok zor görünüyor. Bununla beraber saldırının son derece basit olduğu, böyle bir paket yollamasını yapacak onlarca script seçeneği ve araç olduğu belirtiliyor. Hatta bunu yapmak için çok tecrübeli bir hacker, hatta uzman bir bilgisayar mühendisi olmak gerekmiyor.

Tabii bu da insanı daha da huzursuz kılıyor. Artık bu yeni sanal dünyanın varlığına alışmak, ve doğasını korumak için önlemleri arttırmanın zamanı geldi...

 
 

- "Denial of Service" türü saldırıların ne olduğunu basitçe
CNET'den okuyabilirsiniz.

- Güvenlik konusuyla ilgiliyseniz ya da İnternet'te sunucuların bu tip saldırılara karşı nasıl karşı koyabileceğini merak ediyorsanız, bu sayfadan bilgi alabilirsiniz.. Bu sitede aynı zamanda pek çok benzeri konu hakkında ipuçları var, arama yaparak kolayca ulaşabilirisiniz.

- Bu saldırıyı hayranlıkla okuyan hackerlardan biriysenizse, kendinizi kanıtlamak için bir yarışma var. Toplam 5 bin dolar para ödüllü yarışma hakkında detaylı bilgi OpenHack.com 'da.

- Hazırladığım öteki dosya konularına ulaşmak için Diğer Dosyalar sayfasına göz atabilirsiniz.

Kimbilir, bir süre sonra belki El Kayda'nın İnternet üzerinden teröristlik yaptığı ortaya çıkar ve de Bush bu sefer de sanal ortam da kovboyluk yapmaya başlar!
26.10.2002