Burada , burada ve burada yazılanlara göre bir grup hacker Youtube yasağını protesto etmek için çeşitli devlet sitelerine DDoS saldırısı gerçekleştiriyor.
Ilginç bir protesto eylemi olmuş.
Detaylarını Netsec listesinde tartışmaya açtım bakalım neler çıkacak ortaya…
Özellikle bu son israil olaylarından sonra Ddos a önem artı http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf nette o kadar çok program varki neredeyse çocuk oyuncağı haline geldi botnet oluşturmak.
Devlet kurumlarının yada şirketlerin internet bant genişliğinin sınırlı olduğunu düşününce lokale ne kadar kaliteli ve bu işi iyi yaptığını söyleyen cihazlar koyulursa koyulsun bant genişliğini aşan saldırılarda tüm bu önlemler işe yaramaz hale gelir. Geriye saldırının kesilmesini beklemekten başka yapacak bir şey kalmaz.Bant genişliğine yönelik saldırıların engellenmesi internet servis sağlayıcıları omurgasına bu saldırıları kesen sistemlerin yerleştirilmesiyle mümkün görülmektedir.
Bantgenişliğinizi sömüren saldırılar Application level saldırılarsa(HTTP GET Flood benzeri) hat kapasitenizin 7-8 katına kadar DDoS sistemleri rahatlıkla çalışabilir. HTTP GET flood paket boyutu 400 kb civarında, siz o sistemin saldırgan olduğunu keşfedip IP seviyesinde yasakladığınızda sadece SYN paketi gönderebilecektir. SYN paketi boyutu ise 60~byte civarı. Dolayısıyla çoğu durumda bant genişliğinizden yüksek de olsa saldırı engelleme şansınız var. Telekomda engellemek tabi en temiz çözüm.
Bant genişliğini aşan saldırıları kurumların kendi tarafında engelleyemeceği düşüncesindeyim. 40 Mbps bant genişliği olan bir web sunucusuna 100 Mbps lik syn atak geldiğinde kurumlar kendi çözümleriyle saldırı trafiğini temizler ve sunucularının işlev göremez duruma gelmesini önler.Geri kalan 60 Mbps trafik fazla bant genişliği kullanımı nedeniyle web sunucusuna yönlendirilmeden internet servis sağlayıcısı tarafında kesilecektir. Bu durumda normal bir kişi atak anında web sayfanıza girmeye çalıştığında o geri kalan 60 Mbps lik kısıma gireceğinden(yüksek bir olasılık) sayfanız yine erişilemez durumda olacaktır.
Bantgenisligini aşan bazı saldırılar kurum tarafında da kesilebilir(yukardaki HTTP GET flood örneği) ama bu her saldırı tipi için geçerli değildir.
Arbor Networks’un raporuna göre yapılan DDoS ataklarının büyük çoğunluğu kurum bandwith’ini zorlamiyor, aradaki güvenlik cihazlarının kapasitesini zorladığı için başarılı oluyor. Tabi kurumun telco tarafına koyduğu çözümün sağlıklı çalıştığını farzederek yorum yapıyorsunuz. Ben malesef ki telco tarafina koyulan cihazlarin da basit numaralarla atlatildigina sahit oldum, ötesinde bazı kurumlara yaptığım DDoS testlerinde bir işe yaramayacağını somut olarak gösterdim.
DDoS konusunu bir ürüne bağlamak bence yanlış, bir çözüm olarak sunmak doğru olan.
DDoS cihazlarının performansı ve işlevselliği konusunda hemfikiriz. Değinmek istediğim nokta bant genişliğini aşan bir saldırıda lokalde eliniz kolunuz bağlı kalıyor. Saldırı trafiğini karşılayabilecek bant genişliğine sahip noktalarda sağlıklı çözümler aranmalı, üretilmeli.
Saldırı trafiğini karşılayabilecek bant genişliğine sahip noktalarda çalışacak bir sürü ürün var, biz de bir tane geliştiriyoruz ama DDoS konusuna ürün gözüyle bakıldığında hep çıkmaza giriliyor. Zira her ürün her ortama uymuyor, günümüzdeki çoğu DDoS ürünü istatistiksel değerlere bağlı çalışıyor bu da false positive oranını bazı şirketlerde kabul edilemeyecek değerler çıkarabiliyor.