Türkiye'de ve Avrupa'da DRDoS yükselticilerinin analizi

Abstract

Hizmet engelleme saldırıları geçmişten günümüze değişik stratejiler ile etkinliğini artırarak devam etmektedir. Dağıtık Yansıtılmış Hizmet Engelleme Saldırısı (DRDoS) diğer adı ile Yükseltme Saldırısı, hizmet engellemeye yönelik saldırı türlerindeki yeni eğilimdir. Saldırganlar, Dağıtık Yansıtılmış Hizmet Engelleme saldırılarında genellikle UDP protokolü kullanan servisleri yansıtıcı olarak kullanırlar. Saldırganın sahip olduğu BotNetler kurbanın IP adresini taklit eder ve UDP tabanlı servislere sorgu gönderir. Sunucular tarafından oluşturulan yanıtlar kurbana gider ve bu şekilde kurbanın verdiği hizmetin geçici olarak devre dışı bırakılmasına ya da çok büyük gecikmeler ile verilmesini sağlar. Saldırganlar tarafından yapılan bu sorgularda saldırı verimini artırabilmek amacıyla genel olarak büyük miktarda cevap verisi üretecek sorgular tercih edilir. NTP, DNS ve memcached hizmetleri yüksek oranlı cevap verisi oluşturan protokollerden bazılarıdır. Saldırıların gücü internet üzerinde bulunan yansıtıcı sayısı ile de doğru orantılıdır. Saldırıların etkinliğinin azaltılabilmesi dolaylı olarak tüm UDP tabanlı çalışan sunucu yöneticilerinin de elindedir. Sunucuların bilinen zafiyetlerini kapatmak, saldırılarda yükseltici ya da diğer bir tabir ile yansıtıcı olarak kullanılmalarının önüne geçecektir. Hali hazırda DRDoS saldırıları sırasında kullanılan birçok servis için sıkılaştırma yöntemlerinin belirlenmiş olmasına karşın, internet üzerinde çok sayıda yansıtıcı bulabilmek mümkündür. Bu çalışmada saldırganlar tarafından sıklıkla kullanılan NTP ve DNS sunucularının yanı sıra 2018 senesinin Şubat ayından itibaren saldırganlar tarafından kullanılmaya başlanan ve günümüze kadar görülmüş en büyük hacimli saldırıların yaşanmasını sağlayan memcached sunucuları, ülkeler çapında keşfedildi ve keşfedilen bu sunucuların yükseltici olarak kullanılmalarına karşın sıkılaştırmalarının yapılıp yapılmamaları durumları araştırıldı. 43 Avrupa ülkesinde yapıldı. 43 ülkede yapılan bu çalışma neticesinde ülkeler arası sunucu yönetimlerinde sıkılaştırma bilincinin kıyaslama yapılabilmesinin yanı sıra bir saldırganın kısıtlı bir zaman içerisinde ne kadar saldırı kaynağı bulabileceği de tespit edildi. Elde edilen sonuçlar Estonya gibi bazı ülkelerde sıkılaştırma bilincinin çok yüksek olduğunu gösterirken bazı ülkelerde bunun tam tersinin olabildiğini gözler önüne sermiş oldu.

Denial of Service attack continue from the past to the present by increasing their effectiveness with different strategies. Distributed Reflected Denial of Service (DRDoS), also known as Amplification Attack, is the new trend in the types of service blocking attacks. Attackers typically use services that use the UDP protocol as a reflector in Distributed Reflected Denial of Service attacks. The attacker's BotNets spoof the victim's IP address and send queries to UDP-based services. The responses generated by the reflectors go to the victim, allowing the victim's service to be temporarily disabled or delivered with very large delays. In order to increase the attack efficiency in these queries made by attackers, it is generally preferred to produce large amount of response data. NTP, DNS and memcached services are some of the protocols that generate high rate response data. The power of attacks is directly proportional to the number of reflectors on the Internet. The ability to reduce attacks is indirectly in the hands of all UDP-based server administrators. Hardening known weaknesses of servers will prevent them from being used as amplifiers or reflective in attacks. Although a number of compression methods have already been established for many services currently used during DRDoS attacks, it is possible to find a large number of reflectors on the Internet. In this study, the NTP and DNS servers frequently used by attackers, as well as memcached servers, which have been used by attackers since February 2018 and which have led to the greatest volume of attacks to date, have been discovered throughout the countries, and the use of these servers as an amplifier has been investigated. Research has focused on 43 European countries. As a result of this study conducted in 43 countries, it was determined that the awareness of hardening in server administration between countries can be compared. The results show that in some countries, such as Estonia, the awareness of hardening is very high, and in some countries it has shown that the opposite can happen