DDoS saldırıları günümüzde sistem yöneticilerinin başını ağrıtan önemli güvenlik problemlerinden biri olmaya devam etmekte ve bu saldırıların kapasitesi de gün geçtikçe artmaktadır. Artık 1 Gbit altındaki saldırılar kolay engellenebilir saldırılar olarak görülürken, 50 Gbit üzerinde bant genişliği kullanılan saldırılarla karşılaşılma sayısı da gittikçe artmaktadır. Örneğin 2013 yılı içinde Hollandalı bir hosting firması olan Spamhaus’a 300 Gbit üzerinde DDOS saldırısı yapıldığı ve bu saldırının şimdiye kadar görülmüş en büyük saldırılardan biri olduğu uzun süre konuşulmuştu. Yüksek kapasitede gerçekleştirilen bu tip saldırılarda genellikle amplification tekniklerinin kullanıldığı görülmektedir.
Sınırlı hat kapasitesine ve kaynağa sahip saldırganların, gerçekleştirecekleri saldırının etkisini arttırmak için kullandığı yöntemlerden birisi amplification olarak adlandırılan saldırılardır. Bu tip saldırılarda amaç, yollanan isteğe, büyük boyutta cevaplar oluşturmak ve oluşan cevabı hedefledikleri sisteme yönlendirerek, mevcut kapasiteden daha büyük bir saldırı gerçekleştirmek ve saldırının etkisini artırmaktır. Bunu gerçekleştirmek için ise genellikle handshake işlemi yapmayan UDP ve ICMP tabanlı protokoller kullanılmaktadır. Dolayısı ile DNS, SNMP, IPSEC, Chargen ve son zamanlarda ise NTP gibi UDP tabanlı servisler bu saldırılarda sıkça kullanılmaktadır.
Söz konusu protokollerin kullanıldığı servisler, kaynak IP adresi değiştirilse bile gelen istek protokol standartlarına uygun oluşturulmuşsa cevap vermektedirler. Böylelikle saldırgan kaynak IP adresini istediği gibi değiştirerek cevap paketlerini yönlendireceği sistemi belirleyebilir. Amplification saldırısı gerçekleştirmek için üç temel unsur bulunmaktadır.
1- Kaynak IP adresinin değiştirilmesi (IP Spoofing)
2- Paketin yollandığı sistemin, gelen istekten çok daha büyük bir cevap üretmesi
3- Büyük cevap üretecek sistem listesi
2. unsurdan başlayacak olursak, amplification saldırılarında sunucuların yollayacağı paket sayısı ve bant genişliğinin, saldırganın yolladığı istekten daha büyük olması gerekmektedir. Saldırganların bunu sağlamak için en yaygın olarak kullandıkları protokollerden birisi DNS protokolüdür. DNS sunucularına yollanacak ANY sorgusu gibi bir sorguyla sunucudan büyük bir cevap üretmesi istenebilir.
;; Query time: 358 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jan 6 14:12:41 2014
;; MSG SIZE rcvd: 3334
Yukarıdaki cevap büyüklüğüne bakıldığı zaman 64 byte büyüklüğünde bir DNS sorgusu için 3300 byte’lık, yaklaşık 50 kat büyüklüğünde bir cevap alınabildiği görülmektedir. 1 Gbit bant genişliğine sahip bir saldırgan, bu şekilde saldırının etkisini büyütebilirse, 50 Gbit’lik bir trafik oluşturabilmesi teorik olarak mümkün olabilir. Bu örneğe istinaden, Amplification saldırılarının botnet üzerinden başlatılmasıyla, saldırı kapasitesinin oldukça yüksek boyutlara ulaşabileceğini söylemek yanlış olmayacaktır. Zone transferi açık bırakılan DNS sunucularda, zone bilgisinin istenmesi ile daha büyük cevaplar oluşturulabilir. Bunlar dışında DNS sunucular üzerinde harici domainler için sorgulama kapatılmış olsa bile, geçersiz isteklere cevap olarak root DNS sunucularının listesi gösterilecek şekilde ayarlanmış DNS sunucularda bu tip saldırılarda, etki artırıcı unsur olarak kullanılabilmektedirler.
SNMP gibi protokollerde ise cevap büyüklüğünü artırma işlemi daha yüksek olabilmektedir. Özellikle SNMP servisi açık bırakılmış ve tahmin edilebilir community parolası (Public) kullanılan cihazlara, tüm özellikleri istenecek şekilde isteklerde bulunulduğu zaman çok daha büyük cevapların gelebildiği görülmüştür.
NTP servisi de, son zamanlarda amplification saldırılarında daha sık kullanılmaya başlamıştır. Özellikle NTP monlist komutuyla o NTP sunucusunu kullanan sistemlerin listesi istendiği zaman, sunucu ayarlarına bağlı olarak son 600 istemcinin IP bilgisi görülebilmektedir. (CVE-2013-5211) Görüntülenen bu bilgide oldukça büyük bir cevabın oluşmasına yardımcı olmaktadır.
Amplification saldırısı gerçekleştirmek için gerekli son unsur belki de saldırgan için en önemli noktalardan birisidir. DNS üzerinden gerçekleştirilecek bir saldırıyı ele alırsak, bu tip saldırılar herkese açık DNS sunucular kullanılarak başarıya ulaşabilir. Dolayısı ile saldırganların kendi kapasitelerini de etkin kullanabilmeleri için, bu tip DNS sunucularından oluşan listelere ihtiyacı bulunmaktadır. Bunu oluşturmak için ise periyodik olarak ağ blokları saldırganlar tarafından servis taramasına tabi tutulmakta ve bu tip saldırılarda kullanılabilecek sistemler aranmaktadır. Özellikle güvenlik duvarı loglarınızı kontrol ederseniz, sahip olduğunuz ağ aralığının SNMP, NTP, DNS gibi servisler için sıkça tarandığını görebilirsiniz. Saldırı başladıktan sonra, saldırının asıl hedefi olmayan ancak etki artırıcı olarak kullanılan sistemlerde de belirli bir trafik yoğunluğu oluşmaktadır. Saldırının direkt hedefi olmasa da (saldırının yoğunluğuna bağlı olarak) bu sistemler de saldırıdan etkilenebilirler. Sistemlerinizin bu tip saldırıların bir parçası olmasını engellemek için tedbirler almak, aynı zamanda bu tip saldırılardan etkilenme olasılığınızı da azaltacaktır.
Amplification saldırılarında yaygın olarak UDP tabanlı servisler kullanılıyor olsa da, TCP SYN flood saldırıları da benzer şekilde gerçekleştirilebilir. Bu saldırılarda ACK paketi ile gelen ICMP mesajları aracılığıyla saldırının etkisi arttırılmaya çalışılabilir. Özellikle sistemlerin ACK paketini birkaç defa yollaması, port unreachable, network unreachable, administratively prohibited gibi ICMP mesajları da saldırının etkisini arttırabilmektedir. Bu nedenle amplification saldırılarında, saldırı sonlandırılmış olsa bile, bazı paketlerin sistemler tarafından tekrar (re-transmit) yollanması nedeni ile trafik gelmeye devam edebilir. Bu açıdan bakıldığında amplification saldırıları, saldırının daha uzun sürmesi için de kullanılabilmektedir.
Amplification saldırıları, saldırı etkisini arttırmak dışında mevcut koruma sistemlerini aşmak amaçlı da kullanılabilmektedir. Saldırıları gerçekleştirmek için kullanılan çeşitli araçların paketleri her zaman standartlara uygun bir şekilde oluşturmadığı görülmektedir. Gelen paket yapısındaki anormalliğe bakılarak veya bir trafik içinde tekrar eden benzer unsurlar belirlenerek, gelen trafiğin bir saldırı trafiği olup olmadığı koruma sistemleri tarafından rahatlıkla tespit edilebilmektedir. Ancak amplification saldırılarında, hedefe ulaşan paket, başka bir aracı işletim sistemi üzerindeki TCP/IP bileşenleri tarafından oluşturulacağı için standartlara uygun, anormalliği daha az bir trafiğin oluşturulmasını mümkün kılabilmektedir. Bu tip saldırılarda gerçek trafik ile saldırı trafiğinin ayırt edilmesi zorlaştırılarak, normal trafiğin de sisteme ulaştırılması engellenebilir.
Her ne amaçla kullanılırsa kullanılsın amplification saldırıları önemli risk taşıyan ve önceden önlem alınması gereken güncel problemlerden birisidir. Kurum sistemleriniz içinde amplification saldırılarında kullanılabilecek bir unsurun bulunması, sizin sistemlerinizin de saldırının bir parçası olmasına neden olacaktır. Dolayısı ile bu tip saldırıların bir parçası olmanızı engelleyecek ve aşağıda listelenmiş kontrollerin yapılması faydalı olacaktır.
Sınırlı hat kapasitesine ve kaynağa sahip saldırganların, gerçekleştirecekleri saldırının etkisini arttırmak için kullandığı yöntemlerden birisi amplification olarak adlandırılan saldırılardır. Bu tip saldırılarda amaç, yollanan isteğe, büyük boyutta cevaplar oluşturmak ve oluşan cevabı hedefledikleri sisteme yönlendirerek, mevcut kapasiteden daha büyük bir saldırı gerçekleştirmek ve saldırının etkisini artırmaktır. Bunu gerçekleştirmek için ise genellikle handshake işlemi yapmayan UDP ve ICMP tabanlı protokoller kullanılmaktadır. Dolayısı ile DNS, SNMP, IPSEC, Chargen ve son zamanlarda ise NTP gibi UDP tabanlı servisler bu saldırılarda sıkça kullanılmaktadır.
Söz konusu protokollerin kullanıldığı servisler, kaynak IP adresi değiştirilse bile gelen istek protokol standartlarına uygun oluşturulmuşsa cevap vermektedirler. Böylelikle saldırgan kaynak IP adresini istediği gibi değiştirerek cevap paketlerini yönlendireceği sistemi belirleyebilir. Amplification saldırısı gerçekleştirmek için üç temel unsur bulunmaktadır.
1- Kaynak IP adresinin değiştirilmesi (IP Spoofing)
2- Paketin yollandığı sistemin, gelen istekten çok daha büyük bir cevap üretmesi
3- Büyük cevap üretecek sistem listesi
2. unsurdan başlayacak olursak, amplification saldırılarında sunucuların yollayacağı paket sayısı ve bant genişliğinin, saldırganın yolladığı istekten daha büyük olması gerekmektedir. Saldırganların bunu sağlamak için en yaygın olarak kullandıkları protokollerden birisi DNS protokolüdür. DNS sunucularına yollanacak ANY sorgusu gibi bir sorguyla sunucudan büyük bir cevap üretmesi istenebilir.
;; Query time: 358 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jan 6 14:12:41 2014
;; MSG SIZE rcvd: 3334
Yukarıdaki cevap büyüklüğüne bakıldığı zaman 64 byte büyüklüğünde bir DNS sorgusu için 3300 byte’lık, yaklaşık 50 kat büyüklüğünde bir cevap alınabildiği görülmektedir. 1 Gbit bant genişliğine sahip bir saldırgan, bu şekilde saldırının etkisini büyütebilirse, 50 Gbit’lik bir trafik oluşturabilmesi teorik olarak mümkün olabilir. Bu örneğe istinaden, Amplification saldırılarının botnet üzerinden başlatılmasıyla, saldırı kapasitesinin oldukça yüksek boyutlara ulaşabileceğini söylemek yanlış olmayacaktır. Zone transferi açık bırakılan DNS sunucularda, zone bilgisinin istenmesi ile daha büyük cevaplar oluşturulabilir. Bunlar dışında DNS sunucular üzerinde harici domainler için sorgulama kapatılmış olsa bile, geçersiz isteklere cevap olarak root DNS sunucularının listesi gösterilecek şekilde ayarlanmış DNS sunucularda bu tip saldırılarda, etki artırıcı unsur olarak kullanılabilmektedirler.
SNMP gibi protokollerde ise cevap büyüklüğünü artırma işlemi daha yüksek olabilmektedir. Özellikle SNMP servisi açık bırakılmış ve tahmin edilebilir community parolası (Public) kullanılan cihazlara, tüm özellikleri istenecek şekilde isteklerde bulunulduğu zaman çok daha büyük cevapların gelebildiği görülmüştür.
NTP servisi de, son zamanlarda amplification saldırılarında daha sık kullanılmaya başlamıştır. Özellikle NTP monlist komutuyla o NTP sunucusunu kullanan sistemlerin listesi istendiği zaman, sunucu ayarlarına bağlı olarak son 600 istemcinin IP bilgisi görülebilmektedir. (CVE-2013-5211) Görüntülenen bu bilgide oldukça büyük bir cevabın oluşmasına yardımcı olmaktadır.
Amplification saldırısı gerçekleştirmek için gerekli son unsur belki de saldırgan için en önemli noktalardan birisidir. DNS üzerinden gerçekleştirilecek bir saldırıyı ele alırsak, bu tip saldırılar herkese açık DNS sunucular kullanılarak başarıya ulaşabilir. Dolayısı ile saldırganların kendi kapasitelerini de etkin kullanabilmeleri için, bu tip DNS sunucularından oluşan listelere ihtiyacı bulunmaktadır. Bunu oluşturmak için ise periyodik olarak ağ blokları saldırganlar tarafından servis taramasına tabi tutulmakta ve bu tip saldırılarda kullanılabilecek sistemler aranmaktadır. Özellikle güvenlik duvarı loglarınızı kontrol ederseniz, sahip olduğunuz ağ aralığının SNMP, NTP, DNS gibi servisler için sıkça tarandığını görebilirsiniz. Saldırı başladıktan sonra, saldırının asıl hedefi olmayan ancak etki artırıcı olarak kullanılan sistemlerde de belirli bir trafik yoğunluğu oluşmaktadır. Saldırının direkt hedefi olmasa da (saldırının yoğunluğuna bağlı olarak) bu sistemler de saldırıdan etkilenebilirler. Sistemlerinizin bu tip saldırıların bir parçası olmasını engellemek için tedbirler almak, aynı zamanda bu tip saldırılardan etkilenme olasılığınızı da azaltacaktır.
Amplification saldırılarında yaygın olarak UDP tabanlı servisler kullanılıyor olsa da, TCP SYN flood saldırıları da benzer şekilde gerçekleştirilebilir. Bu saldırılarda ACK paketi ile gelen ICMP mesajları aracılığıyla saldırının etkisi arttırılmaya çalışılabilir. Özellikle sistemlerin ACK paketini birkaç defa yollaması, port unreachable, network unreachable, administratively prohibited gibi ICMP mesajları da saldırının etkisini arttırabilmektedir. Bu nedenle amplification saldırılarında, saldırı sonlandırılmış olsa bile, bazı paketlerin sistemler tarafından tekrar (re-transmit) yollanması nedeni ile trafik gelmeye devam edebilir. Bu açıdan bakıldığında amplification saldırıları, saldırının daha uzun sürmesi için de kullanılabilmektedir.
Amplification saldırıları, saldırı etkisini arttırmak dışında mevcut koruma sistemlerini aşmak amaçlı da kullanılabilmektedir. Saldırıları gerçekleştirmek için kullanılan çeşitli araçların paketleri her zaman standartlara uygun bir şekilde oluşturmadığı görülmektedir. Gelen paket yapısındaki anormalliğe bakılarak veya bir trafik içinde tekrar eden benzer unsurlar belirlenerek, gelen trafiğin bir saldırı trafiği olup olmadığı koruma sistemleri tarafından rahatlıkla tespit edilebilmektedir. Ancak amplification saldırılarında, hedefe ulaşan paket, başka bir aracı işletim sistemi üzerindeki TCP/IP bileşenleri tarafından oluşturulacağı için standartlara uygun, anormalliği daha az bir trafiğin oluşturulmasını mümkün kılabilmektedir. Bu tip saldırılarda gerçek trafik ile saldırı trafiğinin ayırt edilmesi zorlaştırılarak, normal trafiğin de sisteme ulaştırılması engellenebilir.
Her ne amaçla kullanılırsa kullanılsın amplification saldırıları önemli risk taşıyan ve önceden önlem alınması gereken güncel problemlerden birisidir. Kurum sistemleriniz içinde amplification saldırılarında kullanılabilecek bir unsurun bulunması, sizin sistemlerinizin de saldırının bir parçası olmasına neden olacaktır. Dolayısı ile bu tip saldırıların bir parçası olmanızı engelleyecek ve aşağıda listelenmiş kontrollerin yapılması faydalı olacaktır.
- Internet’e açık UDP tabanlı servislerin kontrol edilmesi yararlı olacaktır. Özellikle aktif ağ ekipmanları ve yönlendirici sistemler üzerinde NTP ve SNMP servislerinin açık olması sıkça karşılaşılan bir durumdur. Bu tip servislerin Internet üzerinden erişilebilir olmadığı kontrol edilmelidir.
- VPN servislerinin mümkün ise TCP üzerinden çalıştırılması önerilmektedir.
- Kurum DNS sunucularının kontrol edilmesi ve harici domainler için yapılan sorgulara kapatılması önerilmektedir.
- Mümkünse DNS sunucu üzerinde büyük TXT kayıtlarının tanımlanmamasına özen gösterilmelidir.
- DNS sunucuların boş veya hatalı sorgulara, root dns sunucu listesini cevap olarak verip vermediği kontrol edilmelidir.
- Mümkünse ve kullanılan sistem performansı bu işlem için uygunsa güvenlik duvarı veya DDoS koruma gibi sistemler üzerinde UDP ve ICMP gibi protokoller için de durum tabanlı (statefull) kontrol gerçekleştirebilecek özelliklerin etkinleştirilmesi tavsiye edilmektedir. Bu sayede, örneğin saldırı DNS protokolü üzerinden geliyor ise daha önce açılmış bir bağlantıya ait olmayan ve kaynak portu 53 olan paketler otomatik olarak engellenebilir.
- Erişim kontrol listeleri veya güvenlik duvarı kullanılarak yapılan engellemelerde, geriye herhangi bir paket yollamayacak engelleme opsiyonlarının (DROP) seçilmesi yararlı olabilir. Örneğin engelleme opsiyonu olarak REJECT seçildiği durumlarda geriye ICMP mesajları gidebileceği için bu durum yine etki artırıcı bir unsur olarak kullanılabilir.
