VERİSİGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 1. ÇEYREĞİ

Transkript

1 VERİSİGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 1 -

2 YÖNETİCİ ÖZETİ Bu rapor, Verisign DDoS Koruma Hizmetlerinin müşterileri adına ve onlarla işbirliği yaparak gerçekleştirilen azaltma işlemlerine ilişkin gözlemleri ve bilgileri içermektedir. Rapor, önceki çeyrekte çevrimiçi yayılan saldırı trendlerine yönelik olarak saldırı istatistikleri, davranış trendleri ve geleceğe ilişkin değerlendirmeler içeren benzersiz bir görüş yansıtmaktadır. 1 Ocak 214'ten başlayıp 31 Mart'a kadar süren dönemde, Verisign aşağıdaki önemli trendleri gözlemledi: % 83 ARTIŞ Önceki çeyreğin ardından ortalama saldırı boyutunda yüzde 83 artış Verisign, önceki çeyrekte (213'ün 4. çeyreği) saldırı boyutunda ortalama yüzde 83'lük bir artış ve geçen yılın aynı çeyreğinde (213'ün 1. çeyreği) yaklaşık yüzde 6'lık bir artış gözlemledi. Saldırganlar, NTP yansıtıcısı ve DNS sorgulama tekniklerini müşteri hedeflerine ve altyapı sağlayıcılarına karşı kullanarak kitlesel sorgulama saldırıları başlattı. En yaygın hacimsel saldırının boyutu saniyede 5-75 gigabit () aralığındaydı. Verisign istemcilerine yönelik saldırıların yaklaşık yüzde 3'u, özellikle uygulama katmanını (özellikle SSL katmanı) hedeflemişti, bu da Verisign'ın gelişmiş azaltma tekniklerine başvurmasını gerektiriyordu. Saldırganlar yalnızca finansal hizmetler sektöründen ziyade daha geniş aralıktaki müşteri odaklı pazarları hedeflemektedir. Medya ve eğlence 1. çeyrekte en sık saldırı alan sektörken, IT Hizmetleri/Bulut Bilişim/SaaS sektörü ikinci sırada yer alıyordu. Verisign, yakın gelecekte saldırganların daha büyük sorgulama saldırıları için diğer UDP protokollerinin açıklarından faydalanacağına ilişkin belirtileri görmektedir; UDP'nin basitliği ve durumsuz yapısı nedeniyle bu çekici bir faktör haline gelebilmektedir. 2

3 4 3,92 3, , 'ün 1. çeyreği 213'ün 214'ün 4. çeyreği 1. çeyreği SALDIRI İSTATİSTİKLERİ 214'ün ilk çeyreğine ait Verisign azaltma verileri, çevrimiçi işletmelere ve Web uygulamalarına yönelik DDoS saldırılarının boyut ve karmaşıklık bakımından arttığı bilgisini destekler niteliktedir. Bu dönem boyunca, Verisign, müşterileri hedefleyen DDoS saldırılarının ortalama maksimum boyutunda belirgin bir artış gözlemlemiştir. Ortalama saldırı boyutu (3,92 ) önceki çeyrekten sonra (213'ün 4. çeyreği ortalama 2,14 ) yüzde 83 e kadar çıktı ve geçen yılın aynı çeyreğinden sonra (213'ün 1. çeyreğinde 3,7 ) yüzde 6'lık bir artış gösterdi. 214'ün 1. çeyreğinde, NTP yansıtma saldırıları ve DNS sorgulama saldırıları Verisign'ın gözlemlediği en yaygın iki saldırı tipiydi. 213'ün 1. çeyreğinde karşılaşılan en yaygın faktör, saldırıların PHP ve Joomla kurulumlarıyla uyumlu itsoknoproblembro, bilinen adıyla Brobot kullanması nedeniyle, DNS sorgulamasından kaynaklanıyordu. NTP saldırı tipi, geçen sene görülen en büyük saldırı faktörlerinin yerini aldı. Verisign Kasım 213 civarında büyük NTP yansıtma saldırılarına tanık oldu ve bu trend 214'ün 1. çeyreğinden günümüze kadar devam etti. Verisign, 1. çeyrekteki müşteriler adına, 5-75 aralığındaki çoklu sorgulama saldırılarını azalttı. DAVRANIŞ TRENDLERİ Artan uyumluluk 5 75 GBPS 1. Çeyrekteki Sorgulama Saldırılarının Ortalama Boyutu 214'ün 1. çeyreğinde Verisign, DDoS saldırganlarının 213 yılında gözlemlenen uyumlu davranışlara benzer bir tutum göstermeye devam ettiklerini gözlemledi. Bazı durumlarda, saldırı düzenleyen kişiler, saldırı devam ederken sürekli olarak etkinliklerini takip etti ve daha sonra, uygulanan azaltma stratejilerinden saklanarak işlerini yapmaya devam etmek üzere saldırı tekniklerini değiştirdi. Saldırganların teknikleri, ayrıca hedef web sitelerin altyapı bileşenlerine ve bu web siteleri koruyan DDoS azaltma sağlayıcılarına saldıracak kadar gelişti. Normalde, saldırı trafiği hedeflenen bir web sitesinin IP adresine yöneltilir; saldırganlar bu yeni saldırı yöntemlerini kullanarak, hedef web siteye giden ağ yolunun üzerinde yer alan ve "en zayıf bağlantı"yı arayan çeşitli yönlendiricilerin IP adresini hedefledi. NTP NEDİR? TANIM AÇIKLARDAN YARARLANMA AZALTMA Kuruluşlar, bu kuruluşların ağına giren ağ cihazlarını, yönlendiricilerini, anahtarlarını, güvenlik duvarlarını, saldırı tespit sistemlerini, sunucularını, iş istasyonlarını, VoIP sistemlerini ve istemci cihazlarını senkronize etmek için Ağ Aktarım Protokolü (NTP) kullanırlar. NTP, hem kaynak hem de hedef olarak 123 numaralı portu kullanan ve NTP sürüm 4'ün mevcut sürümüne yönelik Yorum İsteği (RFC) 595'te açıklandığı gibi IP üzerinden yürütülen Kullanıcı Veri Birimi Protokolü (UDP) üzerinden yürütülür. NTP, potansiyel bir saldırgana sistem hakkında, son sıfırlamadan bu yana geçen süre anlamına gelen pptime, bellek istatistikleri ve NTP denk listelemeleri de dahil olmak üzere çeşitli bilgiler sağlar. Metasploit ve Nmap gibi yaygın araçları kullanan bir saldırgan, monlisti destekleyen açık NTP sunucularını belirleyebilir. Bu saldırının başarısı, NTP'nin monlist özelliğiyle açıklardan yararlanmaya dayanmaktadır. Bu özellik, NTP ile uyumlu daha eski cihazlarda varsayılan olarak etkinleştirilir. Bu komut, NTP sunucusuna bağlanan son 6 IP adresinin bir listesini kurbana gönderir. Yanıltıcı kaynak adresleri sayesinde NTP sunucusu yanıt gönderdiğinde, bu, isteği yapan yanıltıcı adres yerine hedefe gönderilir. Yanıtın boyutu talebin boyutundan çok daha büyük olduğu için, saldırgan kurbanın ağına yöneltilen trafiğin hacmini artırabilir. Devam eden bir NTP saldırısının etkilerini azaltmanın bir yöntemi, ağa girme izni olan NTP trafiğinin miktarını kısıtlamaktır. NTP sunucusunun içindeki monlisti devre dışı bırakmak veya monlist işlevselliğini devre dışı bırakan NTP'nin en son sürümüne (4.2.7) güncellemek geçici çözümlerden bazılarıdır. 3

4 UYGULAMA KATMANI HEDEFLEMESİ Verisign, saldırıların YÜZDE 3 'unun uygulama katmanını hedeflediğini gözlemlemiştir. Verisign, DDoS Koruma Hizmetleri platformu tarafından azaltılan saldırıların yaklaşık yüzde 3'unun uygulama katmanlarını ve özellikle SSL katmanını hedeflediğini görmüştür. Bu saldırganlar, hedeflenen kurbanın kullanılabilirliğini etkilemek için özel Web uygulamalarını, protokol başlıklarını ve uygulama parametrelerini hedefledi. Bu saldırılar toplam hacim bakımından daha küçük olsa da daha karmaşık saldırıları temsil ediyordu, bu da Verisign'ın genellikle gerçek zamanlı imza oluşturma, paket inceleme özelliklerinin yanı sıra, istemcilerin farklı kapasite işleme ve kaynak yönetimi tekniklerinin bir kombinasyonunu içeren kompleks azaltma teknikleri uygulamasını gerektiriyordu. Verisign idefense Güvenlik İstihbaratı Hizmetlerinden dahili olarak paylaşılan tehdit istihbaratının desteklediği Verisign tescilli Athena DDoS azaltma platformunun bu kompleks saldırıları azaltmada etkili olduğu kanıtlanmıştır. GENİŞLETİLMİŞ ÇOKLU SEKTÖR HEDEFLEMESİ SaaS/ Bulut Bilişim/ IT Hizmetleri Verisign Finansal Hizmetler Müşterileri 214'ün 1. çeyreğinde de kaydedildiği üzere, saldırganlar finans hizmetlerinin yanı sıra sektörleri de git gide daha fazla hedefliyordu. Verisign, saldırıya en sık maruz kalan müşterilerin medya ve eğlence sektörü müşterileri olduğunu, onları IT Hizmetleri/Bulut Bilişim/SaaS sektörünün takip ettiğini (bkz. Şekil 1) gözlemledi. Finans hizmetlerinin müşterileri adına yapılan Verisign azaltmalarının sayısı, 213 ile karşılaştırıldığında, 214'ün 1. çeyreğinde yüzde 34 azaldı. Medya/Eğlence ve e-ticaret sektörleri için uygulanan azaltmaların yüzdesi, 213 ile karşılaştırıldığında yüzde 33 arttı. IT Hizmetleri/Bulut Bilişim/SaaS müşteri odaklı sektörler, maksimum 16 'ye ulaşan ve finans hizmetleri müşterilerine yöneltilen en büyük 213 Verisign müşteri saldırı boyutlarıyla karşılaştırıldığında, maksimum 64 'ye ulaşan en büyük saldırıları gözlemlemiştir. DDOS İLE SAVAŞIRKEN AĞ BOYUTU ÖNEMLİDİR Hacimsel saldırılara karşı etkili azaltma, kompleks bir ağ kaplama alanı ve hizmet sağlayıcıların uzmanlığını gerektirir. DDoS saldırı trafiği, dünyanın herhangi bir bölgesinden çıkabilir ve söz konusu tüm saldırı profilleri, küresel olarak birbirine bağlanan temel bir yapının kapasitelerine ve esnekliğine sahip olmayan bölgesel sağlayıcı azaltma merkezlerine akın edebilir. Verisign'ın DDoS azaltma ağı, stratejik olarak hem hafif trafik yüklerini hem de DDoS saldırı koşulları altında meydana gelen büyük trafik tıkanmalarını idare etmek üzere düzenlenmiştir. Esnek MPLS yapılandırması, Verisign'ın DDoS mühendislerine, tek bir bileşene bile saldırı olmayacak şekilde küresel DDoS saldırı dinamiklerine yanıt olarak trafik akışlarını seçici şekilde düzenleme ve yönlendirme olanağı tanır. 4

5 NDE MÜŞTERİ ODAKLI SEKTÖRLERE YÖNELİK AZALTMALAR E-ticaret/ Çevrimiçi Reklamcılık Medya ve Eğlence %35 IT Hizmetleri/Bulut Bilişim/Saas Telekomünikasyon %23 %16 Finans %11 İmalat %9 %6 1 Şekil 1: Müşteri Sektörüne göre Verisign Tarafından Azaltılan Saldırılar GELECEK DEĞERLENDİRME "Verisign yeni sorgulama ve yansıtma saldırı tiplerinin ortaya çıkmasını ve çoğalmasını bekliyor." DDoS saldırı manzarası günden güne değişmektedir ve saldırganlar daha geniş aralıkta yer alan kuruluşları hedefleyip daha kompleks hale gelen yeni tekniklerden faydalanmaktadır. Trend analizine göre Verisign, devam eden çeyreklerde ve 214 yılı boyunca, DDoS saldırı boyutlarının ve bu saldırıların kompleksitelerinin artmaya devam edeceğini tahmin etmektedir. DNS sorgulama saldırıları hala yaygınken ve NTP yansıtma saldırıları ortaya çıkmışken, Verisign yeni sorgulama ve yansıtma saldırı tiplerinin ortaya çıkıp yaygınlaşmasını beklemektedir. Bu saldırılar muhtemelen ilave protokollerin ve port tiplerinin açıklarından yararlanacak ve hazırlıksız yakalanan kuruluşları ve hatta DDoS azaltma sağlayıcılarını çabucak yakalayacaktır. Potansiyel hedef olarak görülen diğer UDP protokolleri, kaynak IP yanıltıcılı saldırı türlerini başlatmak için kullanılabilen ve DNS veya NTP gibi sorgulanma potansiyeli olan SNMP ve JKE'dir. DDoS saldırılarıyla, en iyi savunma uygulamalarıyla ve Verisign DDoS Koruma hizmetleriyle ilgili daha fazla bilgi için, VerisignInc.com/DDoS adresini ziyaret edin. VerisignInc.com 214 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN, VERISIGN logosu ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc'in ve Amerika Birleşik Devletleri ve dış ülkelerdeki bağlı kuruluşlarının tescilli veya tescilli olmayan ticari markalarıdır. Tüm diğer ticari markalar ilgili sahiplerinin mülkiyetidir. Verisign Public 2145