VERISIGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 2 2014'ÜN 2. ÇEYREĞİ

Benzer belgeler
VERİSİGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 1. ÇEYREĞİ

VERISIGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 'ÜN 4. ÇEYREĞİ

VERISIGN DAĞITILMIŞ HIZMET REDDI TREND RAPORU SAYI 'ÜN 3. ÇEYREĞI

TEKNİK RAPOR VERISIGN OPENHYBRID BULUT SİNYALLEME API TEKNİK ÖZELLİKLERİ. Sürüm 1.0 Ocak VerisignInc.com

Kaspersky DDoS Koruması. ile finansal ve tanınırlıkla ilgili kayıplara karşı işletmenizi korur

LOUPE, IP Data ağlarında çalışan katma değerli servislerinizi kolaylıkla izlemenizi sağlar.

Temmuz 2014 tarihli Frost & Sullivan ın Global DDoS Etkilerini Azaltma Piyasası Araştırma Raporu'ndan (NDD2-72) özel alıntı NDD2-74

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

VERISIGN DAĞITILMIŞ HIZMET REDDI TREND RAPORU SAYI 'İN 1. ÇEYREĞI

ERİŞİM ENGELLEME DOS VE DDOS:

Yeni Nesil Ağ Güvenliği

KİLİTLENMEMİŞ KAPILAR


Sibergüvenlik Faaliyetleri

SİBER SUÇLARA KARŞI SİBER ZEKA

KURUMSAL TANITIM. Kasım 2017

Hızlı Başlangıç Kılavuzu

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

VPN NEDIR? NASıL KULLANıLıR?

IPv6 Geçiş Yöntemleri Analizi

Elbistan Meslek Yüksek Okulu Güz Yarıyılı EKi Salı, Perşembe Öğr. Gör. Murat KEÇECĠOĞLU

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

Firewall/IPS Güvenlik Testleri Eğitimi

Vitel. Manage Engine. Opmanager Yönetici Özeti

Google Cloud Print Kılavuzu

EKLER EK 12UY0106-5/A4-1:

KASPERSKY LAB BUGÜNÜ KORUR, GELECEĞİ GÜVENCE ALTINA ALIR

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

SMTP Protokolü ve Spam Mail Problemi

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Muhammet Fatih AKBAŞ, Enis KARAARSLAN, Cengiz GÜNGÖR

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

DOS vs Kurumsal Güvenlik. 15 Şubat 2011 Murat H. CANDAN

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

E-postaya Tarama Hızlı Kurulum Kılavuzu

Raporda öne çıkanlar:

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

IBM İletişim Kuralı Analiz Modülü IBM Security İzinsiz Giriş Önleme Sistemi teknolojilerinin temelindeki koruma motoru.

Venatron Enterprise Security Services W: P: M:

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

Pardus. S.Çağlar Onur, 21 Aralık Pardus Projesi [TÜBİTAK / UEKAE] Linux Kullanıcıları Derneği

OSI REFERANS MODELI-II

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Google Cloud Print Kılavuzu

(... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...)

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri. Barkın

Mobil Cihazlardan Web Servis Sunumu

Google Play Zararlısı İnceleme Raporu

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Kaspersky Küçük ve Orta Ölçekli İşletmeler İçin Güvenlik

Protocol Mimari, TCP/IP ve Internet Tabanlı Uygulamalar

Microsoft Office 365 le. Küçük işletmenizi mobil hale getirin MICROSOFT OFFICE 365 LE KÜÇÜK IŞLETMENIZI MOBIL HALE GETIRIN 1

NGN ve VoIP Ağları Güvenlik Denetimi

Güvenlik Seviyenizi Arttırmak için Şifreleme Teknolojisinden Yararlanın

AĞ HİZMETLERİ. Öğr.Gör.Volkan ALTINTAŞ. Version 4.0

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

01 Şirket Profili

Firewall Log Server. Kurulum Kılavuzu

Siber Kalkan Tatbikatı 2012 Sonuç Raporu.

Yönlendiriciler ve Yönlendirme Temelleri


Web Servis-Web Sitesi Bağlantısı

Altyapı Güvenliği. Prof. Dr. Eşref ADALI www. Adalı.net

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Kuruluma başlamadan önce gerekli tüm bileşenlerin mevcut olup olmadığını kontrol edin. Kutuda şunlar bulunmalıdır:

BİLGİ GÜVENLİĞİ. Bu bolümde;

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Yazılım Tanımlı Ağlar Ders 1 Yazılım Tanımlı Ağların Temelleri. Mehmet Demirci

Ajanda. Siber Tehditler Etkiler Karşılaşılan Zorluklar Çözüm Kaynakları

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

HotelTV. HotelTV Kurulum Öngereksinimleri REV A0.2 D Ekim

Bölüm3 Taşıma Katmanı. Transport Layer 3-1

1. BULUT BİLİŞİMDE VERİTABANI

Kurumsal Güvenlik ve Web Filtreleme

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Değişen ve Gelişen Türkiye nin, Yenilikçi ve Atılımcı Elektronik Üreticisi

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

30 yılı aşkın bir süredir, Rauland-Borg hemşire. çağrı sistemlerinde mükemmellik standardını. belirlemiştir. Şimdi de, komple, entegre ve

Kuruluma başlamadan önce gerekli tüm bileşenlerin mevcut olup olmadığını kontrol edin. Pakette şunlar bulunmalıdır:

BioAffix Ones Technology nin tescilli markasıdır.

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Ağ Yönetiminin Fonksiyonel Mimarisi

Siber Güvenlikte Neler Oluyor? Hasan H. SUBAŞI KAMU SİBER GÜVENLİK DERNEĞİ GENEL SEKRETER

Wi-Fi Direct Rehberi. Wi-Fi Direct ile Kolay Kurulum. Sorun Giderme

Transkript:

VERISIGN DAĞITILMIŞ HİZMET REDDİ TREND RAPORU SAYI 2 2014'ÜN 2. ÇEYREĞİ

İÇERİKLER YÖNETİCİ ÖZETİ 3 VERISIGN, 2014'ÜN 2. ÇEYREĞİNDEN İTİBAREN DDOS TRENDLERİNİ GÖZLEMLEDİ 4 Saldırı İstatistikleri 4 Saldırı Boyutuna göre Azalmalar 4 Müşteri Odaklı Sektörlere Yönelik Azaltmalar 5 DAVRANIŞ TRENDLERİ 6 UDP Tabanlı NTP Yansıtma Saldırıları Devam Ediyor 6 Uygulama Katmanı Hedeflemesi Yavaşlıyor 6 Gelecek Değerlendirme 6 ÖZELLİK: VERISIGN, GLOBAL MEDYA MÜŞTERİSİNE KARŞI YAPILAN YOĞUN 300 GBPS ÇOKLU VEKTÖR DDOS SALDIRISINI ENGELLER 7 Giriş 7 Saldırı Zaman Çizelgesi 7 Saldırı 8 Taktikler, Teknikler ve Prosedürler (TTP'ler) 9 Rakip Nedenleri 10 Güvenlik Açığı 10 SONUÇ 11 2 2

> YÖNETİCİ ÖZETİ Saldırıların %65 İ 1 Gbps'den büyük olmuştur Bu rapor, Verisign DDoS Protection Services'in müşterileri adına ve onlarla işbirliği yaparak gerçekleştirilen azaltma işlemlerine ilişkin gözlemleri ve bilgileri içermektedir. Rapor, önceki çeyrekte çevrimiçi yayılan saldırı trendlerine yönelik olarak saldırı istatistikleri, davranış trendleri ve geleceğe ilişkin değerlendirmeler içeren benzersiz bir görüş yansıtmaktadır. 1 Nisan 2014'ten başlayıp 30 Haziran 2014'e kadar süren dönemde, Verisign aşağıdaki önemli trendleri gözlemledi: Saldırıların %65'i 1 Gbps'den büyük olmuştur. Verisign, 2014 yılının 2. çeyreğinde UDP saldırıları için yaklaşık olarak 300 Gbps/24 Mpps ve TCP için yaklaşık 35 Gbps/91 Mpps gibi en üst sınıra ulaşan saldırılarla hacimsel DDoS faaliyetinde önemli bir artış gözlemledi; bu geçen yılın aynı çeyreğine (Ç2 2013: 3.17 Gbps) göre ortalama saldırı boyutunda %291'lik ve önceki çeyreğe göre (Ç1 2014: 3,92 Gbps) %216'lık bir artış gözlemledi. %216 ARTIŞ 2014'ün 1. çeyreğinden beri ortalama saldırı boyutu Trend ilk çeyrekte devam ederken, saldırıların en büyük sayısı (%43) Medya ve Eğlence müşterilerini hedef aldı, ama IT Hizmetleri/Bulut Bilişim/SaaS müşteri odaklı sektörlere karşı yürütülen saldırılar (%41) tarafından neredeyse yansıtıldı. Verisign, azaltma ivmesi üzerinde çabuk ve tahmin edilemez bir şekilde değiştirilmiş vektörlerin de olduğu 2. çeyrek DDoS saldırılarında bir karmaşıklık artışı gözlemledi. Verisign, spesifik özel uygulama portlarını ve sürekli olarak anahtarlanmış vektörleri hedeflemiş karmaşık TCP ve UDP saldırıları gözlemledi. İlk saldırı vektörü çevrimiçi işlere karşı önemli hacimsel saldırı ölçeği oluşturan UDP tabanlı NTP yansıtıcı saldırıları olmaya devam etmektedir. Verisign'ın 2. çeyrekte gözlemlediği saldırılar çoğunlukla süre olarak çok kısa, ama yoğunluk olarak yüksek olmuştur. 2. çeyrekte, Verisign 24 saatlik süreç içerisinde 200+ Gbps aralığında çoklu saldırıları azaltmıştır. 3 3

VERISIGN, 2014'ÜN 2. ÇEYREĞİNDEN İTİBAREN DDOS TRENDLERİNİ GÖZLEMLEDİ Saldırı İstatistikleri Verisign, 2014'ün 2. çeyreğinde bu yıl bir Verisign müşterisine karşı kaydedilen en büyük DDoS saldırılarından birinin de olduğu çevrimiçi işlere ve uygulamalara karşı DDoS saldırı faaliyeti gözlemledi. Saldırı Boyutuna göre Azalmalar Ortalama saldırı boyutu, geçen yılın aynı çeyreğine göre %291'lik bir artış gösteren önceki çeyrekten itibaren 12.42 Gbps (Şekil 1) ile %216 arttı. 14 12,42 12 8 6 3,70 1,51 2013-Ç1 2013-Ç2 4 3,92 3,17 2013-Ç3 2 2,14 2013-Ç4 2014-Ç1 Gbps 10 2014-Ç2 0 Şekil 1: Çeyrek Olarak Ortalama En Yüksek Saldırı Boyutu 4 4

Ayrıca, Verisign UDP saldırıları için en yüksek 300 Gbps ve 24 Mpps ve TCP için yaklaşık 35 Gbps ve 91 Mpps'ye ulaşan saldırılarla hacimsel DDoS ölçeğinde bir artış gözlemledi. 5-10 Gbps aralığındaki saldırıların yüzdesi %33 ve 10 Gbps üzeri saldırıların sayısı 2014 yılının 1. çeyreğinde sırasıyla %17 ve %9 kıyasla %16 arttı. (Şekil 2). %2 Hacimsel Saldırılar Arttı: UDP 300 GBPS/ 24 MPPS %74 0 %7 100 Ç1 2014 %35 TCP 35 GBPS/ 91 MPSS %17 %33 0 %16 %16 <1G 1G-5G 5G-10G >10G 100 Şekil 2: Ç1- En Yüksek Saldırı Boyutları 1 Gbps üzerinde tepe noktasına ulaşmış üç saldırıdan ikisi. Çoğu küçük ve orta büyüklükteki işlerin büyük olasılıkla 1 Gbps'den az üst bant genişliğine sahip olduğu göz önünde bulundurulduğunda, bu gibi saldırılar yeterli koruması olmayan kuruluşları zarara uğratabilir. Müşteri Odaklı Sektörlere Yönelik Azaltmalar 2014'ün 2. çeyreğinde saldırganlar, 2013 yılında en çok saldırılan müşteri odaklı sektör olan Finansal Hizmetlerin dışındaki sektörleri hedeflemeye devam etmektedir. Medya ve Eğlence 2014 yılının 2. çeyreğinde en sık saldırı alan sektörken, IT Hizmetleri/Bulut/SaaS sektörü (Şekil 3) ikinci sırada yer alıyordu. Finansal Medya ve Eğlence/İçerik %43 IT Hizmetleri/Bulut/Saas %41 0 Kamu Sektörü %5 Telekomünikasyon Diğer %5 %3 %3 100 Şekil 3: Müşteri Odaklı Sektörlere Yönelik 2. Çeyrekteki Azaltmalar 5 5

%87 Yıldan Yıla En Yüksek Saldırı Boyutundaki Artış Medya/Eğlence ve IT Hizmetleri/Bulut/SaaS müşteri odaklı sektörlerdeki azaltmaların yüzdesi, 2014'ün 1. çeyreğine kıyasla %16 arttı. Medya ve Eğlence sektörleri 300 Gbps'ye ulaşan en büyük saldırıyı yaşadı, 2013 yılının 2. çeyreğinde ise Verisign müşterisine yapılan en büyük saldırı boyutu 160 Gbps'nin üzerine çıkmış ve bir Finansal Hizmetler müşterisini hedef almıştı, bu da önceki yıla göre en yüksek saldırı boyutunda %87'lik bir artış olduğunu gösteriyor. DAVRANIŞ TRENDLERİ UDP Tabanlı NTP Yansıtma Saldırıları Devam Ediyor 2014 yılının 2. çeyreğinde UDP saldırılarına yapılan ilk saldırı vektörü büyük Network Time Protocol (NTP) (Ağ Zaman Protokolü) saldırıları olmaya devam ediyor. Verisign, 2013 yılının Aralık ayında büyük NTP yansıtma saldırılarının meydana geldiğini gözlemledi ve son kamu raporları aksini söylese de bunlar 2014 yılının ikinci çeyreği boyunca sabit bir şekilde devam etti. Çoğu kuruluş NTP'leri için dış sistemleri kullanmaz veya bu sistemlere güvenmez, bu yüzden bu durumda çözüm gelen/giden NTP portlarını sadece yetkili/bilinen ana makinelere kısıtlamak veya oran limiti koymak kadar kolay olabilir. Bir NTP saldırısının gerçek tehlikesi sağladığı uygulanabilir hacim büyütme vektörlerinin bir sonucu olarak hacimdir. Bir kuruluş büyük bir NTP yansıtma saldırısının hedefindeyse, üst kapasitelerinin üzerinde veya buna yakın bir boyut aralığında, bir bulut tabanlı azaltma en ideal çözümdür. Verisign, 2014 yılında NTP tabanlı DDoS saldırılarına karşı 50-70 Gbps aralığında savunma yaptı. Uygulama Katmanı Hedeflemesi Yavaşlıyor Hacimsel Katman 3 ve Katman 4 saldırıları kesinlikle daha ortak olmasına rağmen, 2. çeyrekte müşterilerimize karşı yapılan saldırıların %10'u uygulama katmanını hedef aldı ve 2014 yılının 1. çeyreğinde %30'dan aşağı indi. Katman 7 saldırıları özel Web uygulamalarını, protokol üstbilgilerini ve uygulama parametrelerini hedef alır ve tipik olarak bütün hacim içerisinde daha küçüktür, ama paket soruşturması, gerçek zaman imza oluşturma, kaynak yönetim teknikleri ve çeşitli müşteri kapasitesi-idaresi tekniklerini kapsayan karmaşık azaltma teknikleri gerektirir. Verisign'ın özel Athena azaltma platformu ve Verisign idefense'den entegre istihbaratı bu karmaşık saldırıları azaltmada etkili olmuştur. Gelecek Değerlendirme DDoS saldırganları yeni teknikler uyguluyor ve hedeflerinin doğrultusunda her gün yeni ağ ve sunucu açıkları geliştiriyor. DNS yansıtma, NTP, SNMP vb. gibi teknikler kullanan sorgulama saldırıları işleri hedefleyerek daha yaygın hale geliyor. Verisign, 200-300 Gbps aralığında tekrarlanan hacimsel saldırılarda bir artış gözlemledi çoğu şirketten veya çoğu İSS'lerden bile daha büyük boyut sıralamaları kapsamlı yardımcı materyal veya hizmet düşürme olmadan devam edebilir ve koruma hizmetleri kullanılabilirliği ve iş sürdürülebilirliği için yetenekli bir bulut tabanlı DDoS azaltma hizmetleri sağlayıcısının desteği gereklidir. Bazı kuruluşlar hazırlama bant genişliğinden ve diğer kaynaklar üzerinden seçim yapmasına karşın, modern saldırılarda görülen hacimler bunu gereksiz bir biçimde en iyi ihtimalle pahalı yapar ve en kötü ihtimalle savunma yapan bir silah yarışını kaybedecektir. DDoS azaltma sağlayıcıları zararlı paketlerdeki özellikleri bulmak ve bunları temizlemek için özelleştirilmiş sistemler kullanırlar, bu da geçiş için yasal trafiği mümkün kılar. Verisign ayrıca saldırganların kurbanlarını saf dışı bırakmak için belirlenmiş bir çaba içinde bir atağın ivmesi üzerinden taktiklerini ayarlamaya devam ettiğini gözlemledi. Aynı zamanda saldırganların giderek bulut tabanlı DDoS hizmetlerinin farkına vardıkları açıktır ve aşağıdaki özellik durum çalışmasında ele alınan GRE tünelleme ağ taşıması yoluyla başarılı bir şekilde yayınlamak için kullanılan saldırıların durumunda belirtildiği gibi, saldırıları sağlayıcı altyapılarını kuşatma amacıyla yapabilirler. 6

35 Gbps/ 91 Mpps 0 VERISIGN, GLOBAL MEDYA MÜŞTERİSİNE KARŞI YAPILAN YOĞUN 300 GBPS ÇOKLU VEKTÖR DDoS SALDIRISINI ENGELLER 20-40 Gbps/ <50 Mpps 20-40 Gbps/ <50 Mpps 5 SIFIR SAAT + 15 20 25 300 Gbps Saldırı azaltılmış Takip Giriş Verisign'ın gözlemlediği ve 2014'ün 2. çeyreğinde azaltılan en büyük DDoS etkinliği, bir Medya ve Eğlence Hizmetleri müşterisine yöneltilmişti ve 300 Gbps boyutundaydı. 10 250+ Gbps/ 200+ Gbps Özellik: 30 35 Şekil 4: Saldırı İlerlemesini Gösteren Zaman Çizelgesi Verisign, bu saldırının bir çok nedeninin dikkat çekici olduğuna inanıyor: boyutu (toplam bant genişliği ve saniye başına paketler) sıra dışı bir şekilde büyüktü ve çok sayıda TCP ve UDP taşıma katman saldırı vektörleri kullanılarak çoklu vektörler sağlandı. Verisign, bu uygulanabilir ve iyi idare edilen DDoS saldırılarının, düşmanlara sağlanan asimetrilerin çabuk cevap ve saldırı vektörlerinin gitgide bir genişlemesine uyum sağlayabilen katmanlı güvenlik savunmaları gerektiren, hızlı bir şekilde gelişen bir tehdit manzarasına işaret ettiğini ileri sürmektedir. Saldırı Zaman Çizelgesi Aşağıda Verisign DDoS Protection Services Ekibinin gözlemlediği ve saldırıyı azaltmak için yaptıkları da dahil olmak üzere saldırının yüksek dereceli bir zaman çizelgesi vardır. Sıfır Saat (S+0 sa.): Verisign, azaltma merkezlerinin global ağı vasıtasıyla kurbanın IP alanını yönlendirmeye başlıyor ve daha sonra SYN saldırısı DDoS saldırı trafiğini almaya ve filtrelemeye başlıyor. Kurban temiz trafik almaya başlıyor ve ağı sabit hale getiriliyor. İkinci Dalga (S+3:30 sa.): Verisign, 3,5 saat geçersiz işaret birleşimleriyle periyodik SYN ve TCP saldırılarını azaltıyor. Saldırı boyutları ortalama 20-40 Gbps'dir ve tıklanma 91 Mpps kadar yükseğe ulaşmıştır. Yön Değiştirme (S+4:00 sa.): Saldırgan belki de çabalarının engellendiğini görerek saldırı tipini büyük paketler kullanan bir UDP saldırısına çeviriyor. Verisign yeni saldırı vektörlerini azaltmak için azaltma tekniklerine uyum sağlıyor. Saldırgan sürekli olarak saldırı biçimini karmaşık hale getiriyor ve saniye başına yüksek TCP paketleri ve saniye başına yüksek miktarda UDP paketleri arasında değişiklik yapıyor. En Yüksek (S+4:10 sa.): UDP saldırısı 250+ Gbps'e ulaşıyor. Verising global ağı ve kapasitesiyle uyumlu çeşitli azaltma platformlarını (Athena dahil) kullanarak saldırıyı azaltmaya devam ediyor. Paralel olarak, Verisign DDoS uzmanları ve idefense istihbarat analistleri devam eden azaltma tekniklerini geliştirmek için saldırgan taktiklerini anlama, olası saldırı imzaları ve botları hakkında işbirliği yapıyorlar. Kuşatma (S+4:11-28:00 sa.): Saldırgan direnç gösteriyor ve 5-15 dakikalık dalgalar ve hamlelerle bu 24 saatlik dönemde 30'dan fazla 200+ Gbps UDP ve TCP saldırıları biçiminde saldırıyı yeniden başlatıyor. Saldırı imkan dahilinde iyi püskürtülmüştür, dünyanın birkaç bölgesinden başlamıştır ve çoklu tehlikeli bilgisayarlardan veya "botlardan" kaynaklanmaktadır. 7

Son Sallanış (S+30:00 sa.): Saldırganın UDP saldırısı 300 Gbps'ye ulaşmıştır. Verisign'ın yaygın ağı, ağ kullanılabilirliğini korurken yine saldırıyı savuşturuyor. Son (S+30:15 sa.): 30 saatten fazla bir zaman sonra saldırgan sonunda vazgeçiyor ve saldırı geçiyor. Takip (S+30:15- TBD): Verisign saldırının gerçekten geçtiğinden emin olmak için birkaç gün müşteri ağını izlemeye devam ediyor ve daha sonra müşteri trafiği normal akışına ve işleme dönüyor. Verisign, müşteriyle bir saldırısı sonrası inceleme yapıyor ve her iki taraf üzerindeki iyileştirme fırsatlarını tespit ediyor. Saldırı İlk saldırılar TCP SYN ve boyut olarak 35 Gbps ve hacim olarak 91 Mpss'ye ulaşan geçersiz işaret birleşimleriyle (bazı durumlarda işaret tanımlanamadı) paketlerden oluşan NULL Saldırılarıdır. Bu saldırı azaltıldığında, saldırı tipi yaklaşık olarak 300 Gbps ve 24 Mpps'lik bir zirveye ulaşan bir UDP saldırısına dönüşmüştür. Saldırılar süre olarak çok kısa, ama yoğunluk olarak yüksek olan çoklu dalgalar şeklinde olmuştur. Verisign, bir 24 saatlik dönem içerisinde 200+ Gbps aralığında 30'dan fazla saldırı kaydetti (Bkz. Şekil 5). 350 300 250 Gbps 200 150 100 50 0 "S" +2 +4 +6 +8 +10 +12 +14 +16 +18 +20 +22 +24 +26 +28 +30 +32 Saatler Şekil 5: Zaman içerisindeki Saldırı Zirveleri DDoS SALDIRILARIYLA MÜCADELEDE GÜÇLÜ BİR AĞIN ÖNEMİ Verisign'ın DDoS Azaltma Hizmeti, stratejik olarak hem hafif trafik yüklerini hem de DDoS saldırı koşulları altında meydana gelen büyük trafik tıkanmalarını idare etmek üzere düzenlenmiştir. Verisign ağının esnek MPLS yapılandırması, Verisign'ın DDoS mühendislerine, tek bir bileşene bile saldırı olmayacak şekilde küresel DDoS saldırı dinamiklerine yanıt olarak trafik akışlarını seçici şekilde düzenleme ve yönlendirme olanağı tanır. Verisign ağının DDoS azaltma servisimizi nasıl daha hızlı ve daha kolay yaptığı hakkında daha fazla bilgi almak amacıyla raporumuzu indirmek için burayı tıklatın. 8

Saldırının UDP kısmının ilginç bir tarafı uygulamaya özel portu hedeflemiş olmasıydı. Saldırganlar saldırı boyutunu oluşturmak için büyük hatalı oluşturulmuş UDP yüklerini kullandılar. UDP saldırısı hakkında bir diğer önemli davranış, GRE tünellerinin içine uydurmak için paketlerin (kasıtlı veya değil) büyültülmüş olmasıydı. Bu, kurbanın GRE tünellemesi kullanan bir bulut tabanlı azaltma hizmetiyle korunuyor olduğunu saldırganın bildiğini gösterebilir. GRE tünellemesine uyan paketler kullanılarak, saldırı trafiği etkisizliği kanıtlanmış filtrelemeye sahip kurbanın ağında devam edecektir. Saldırıda kullanılan botnetlerin supermicro ipmi açıklardan yararlanma setine karşı savunmasız açıklardan yararlanma sunucularıyla yaratıldığı gözlemleniyor (Bkz. aşağıdaki SSS). Tehlikeli sistemlerin gerçek sayısı tespit edilmemesine rağmen, Verisign idefense Security Intelligence Services analistleri 100.000 kadar sunucunun bu açıklardan yararlanma setine karşı savunmasız olduğunu düşünüyor. Verisign, saldırının etkisiz hale getirilmesine yardım etmek ve azaltmayı Verisign'ın global olarak bağlanmış ağ omurgasının dışına itmek için azaltma sırasında kullanılan kara listeleri bu belirli saldırının ivmesinden dinamik olarak güncelleyememiştir. Verisign ın özel oluşturulmuş özel azaltma platformu, Athena, 1 milyondan fazla IP adresinde kara listelerin kullanımı destekleyebilir. Taktikler, Teknikler ve Prosedürler (TTP'ler) Verisign, müşteri sitesi için bir içerik teslim ağında (CDN) iki tip DDoS saldırısı gözlemledi. Bir uygulamaya özel porta karşı TCP SYN saldırıları 90 Mpss civarında zirveye ulaştı. UDP saldırıları (aynı zamanda aynı porta karşı) bunun yerine hacimsel teknikleri kullandı ve 300 Gbps'lik bir zirveye ulaştı. Ağ katmanındaki sahteciliğe karşı eksiklik ve durum protokolleri için yeni bağlantı kurulumu anlaşmaları veya UDP gibi bağlantısız protokoller etkili aldatma tabanlı veya yansıtmalı saldırı vektörleri olmasına rağmen, bir adres diğerlerinden daha sık gözüktü ve Avrupa'ya ait bir ISP'ye atanmıştı. Sözü edilen saldırganın geçmiş sosyal medya ağ iletişimleri saldırganın diğer uygulamayla ilgili hizmet sağlayıcılardan tehlikeli FreeBSD ve Juniper yönlendiriciler kullanmış olabileceğini gösteriyor. SSS SUPERMİCRO IPMI GÜVENLİK AÇIĞI S: Bu Nedir? A: Supermicro ana kartları yönetici parolalarını 49152 portuna bağlanabilen bir saldırgan için mevcut olan metin belgesinde depolar. S: Nasıl Çalışır? A: /nv dizini herkese açık bir ara yüzde IPMI çalıştıran herhangi bir UPnP-etkin Supermicro ana kartından ulaşılabilir IPMIdevicedesc. xml, BMC parola dosyasını içerir. Ayrıca, /nv/ dizinin tüm içerikleri, server.pemfile, wsman yönetici parolası ve netconfig dosyaları dahil, tarayıcıyla ulaşılabilirdir. S: Tehdit nedir? A: Bu güvenlik açığını kullanmak bir saldırganın uzaktan parola dosyalarına erişebilmesine ve bunları çalmasına veya kurbanın parolalarını ifşa etmesine olanak verebilir. Wikholm, Zachary. CARISIRT: Yet Another BMC Vulnerability (And some added extras). CARI.net; http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras/. 7/28/14 tarihinde girildi 9

Rakip Nedenleri Saldırıların nedenlerinin sunucuyu paraya dönüştürme etrafındaki son uyuşmazlıklardan ve potansiyel olarak bağımsız forumlardaki ölçülülük etrafındaki diğer tartışmalardan kaynaklandığı görülüyor. Bu gibi saldırılar çevrimiçi aktivizmi veya "internet korsancılığını" teşkil edebilir; çünkü bu saldırıların ideolojiyle yürütüldüğü görülüyor. Siber protesto ve internet korsancılığı söz konusu olduğunda, DDoS saldırıları seçimin (SQL enjeksiyonu boyunca) iki ana silahından birisi haline gelmiştir. Güvenlik Açığı CARL barındırma hizmeti sağlayıcısından bir araştırmacı olan Zachary Wikholm 19 Haziran 2014 tarihinde yamasız Universal Plug-and-Play (UPnP)-etkin Super Micro Computer Inc. (veya Supermicro) mikroişlemci kartlarında güvenlik açığı hakkındaki ayrıntıları açıklayan bir öneri sundu. Güvenlik açığı, herhangi bir erişim kısıtlaması olmadan indirme için herhangi bir saldırgana kolayca 49152 portuna bağlanmasını ve şifrelenmiş parola dosyasına erişim sağlamasını sağlayan 49152 portuyla şifrelenmemiş bir PSBlock parola dosyasının kullanılabilirliğinden kaynaklanmaktadır. Anlaşıldığı üzere Wikholm bu hatayı Supermicro'ya açıkladı. Supermicro, cevabında bu hatayı düzelttiğini ve 2013 yılındaki bu güvenlik açığını ortadan kaldırmak için yeni bir yazılım yayınladığını bildirdi. Bir saldırgan bunlardan herhangi birine bağlanabilir ve parolaları içeren dosyaya erişim sağlayabilir. Bu erişim daha sonra saldırganın kurbanın sunucusunun ana kartının arayüz yönetimini riske atmasını mümkün kılacaktır. Supermicro bu güvenlik açığını ortadan kaldıran yeni bir yazılım yayınlamasına rağmen, kullanıcılar yeni yazılımı kurmak için sunucularını kapatmayı istemeyebilir, çünkü bu bir gelir kaybı oluşturabilir. Ne yazık ki, bu senaryo herkesin aleyhine ama saldırganların lehine olacak şekilde sonuna kadar işliyor. Bir güvenlik açığının süresi satıcı bir yama yayınladığında hemen sona ermez. Kullanıcıların yamaları kurmaları zaman alır ve kullanımda olan yamasız uygulamalar kaldığı sürece ilgili güvenlik açığının kullanılma süresi devam edecektir. Kaynak: a.g.e 10

SONUÇ Verisign, bu saldırının sadece boyutuyla değil aynı zamanda karmaşıklığıyla da kayda değer olduğunu, çoklu vektörün bu tipinin, uygulanabilir ve iyi yönetilen saldırının DDoS tehdidinin devam eden evriminin belirtisi olduğunu düşünüyor. GRE tünellerinin boyutuna yapılan paketleri kullanan ve spesifik portları hedef alan hazır saldırganlar daha esnek, tahmin edilemez ve gelecekte elverişli saldırılara işaret edebilir, bu saldırılar koruma sağlayıcılarının DDoS tehdidine, üstesinden gelemese de, karşı koymak için uzmanlıklarını, istihbaratı ve teknoloji yeniliğini artırmasını gerektirecektir. 11

NOTLAR VerisignInc.com 2014 VeriSign, Inc. Tüm hakları saklıdır. VERISIGN, VERISIGN logosu ve diğer ticari markalar, hizmet markaları ve tasarımlar, VeriSign, Inc.'in ve Amerika Birleşik Devletleri ve dış ülkelerdeki bağlı kuruluşlarının tescilli veya tescilli olmayan ticari markalarıdır. Tüm diğer ticari markalar ilgili sahiplerinin mülkiyetidir. Verisign Public 201407

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim