Uzmanlar TCP Reflection DDoS Saldırıları Konusunda Uyarıyor
Radware şirketi araştırmacıları, geçtiğimiz haftalarda Amazon, SoftLayer ve bazı telekom altyapı şirketlerine büyük boyutlarda “TCP SYN-ACK Reflection DDoS (DrDoS)” saldırıları gerçekleştirildiğini bildirdiler. Araştırmacılar, son 30 günde, şirketlere yapılan bu saldırıların dalga dalga büyüyeceğini ve etkisini artıracağını düşünüyorlar.
Araştırmacıların analizlerinde, “Radware şirketi olarak son 30 gün içerisinde büyük şirketlere TCP reflection saldırısı kullanılarak yapılan suç girişimleri tespit ettik. Saldırılar yalnızca hedeflenen ağları etkilemekle kalmadı, kullanılan yansımalar dünyadaki ağları da bozdu ve birçok işletme tarafından şüpheli olarak tanımlanan SYN-flood saldırıları tespit edildi.” ifadelerine yer verildi.
Yapılan bu TCP SYN-ACK reflection saldırıları, saldırganın daha önceden belirlenmiş bir yansıma sağlayacak IP adresine ya da rastgele adreslere sürekli SYN paketleri yansıtılarak gerçekleştiriliyor. Kullanılan sahte paketleyiciler orijinal IP kaynağını hedefin IP adresi ile değiştirip göndermektedir. IP yansıma adreslerindeki sistemler ise hedefe bir SYN-ACK paketi ile cevap vermek ister ancak three-way handshake (üç yollu el sıkışma) mekanizmasından dolayı paket mağdur bilgisayara gider ve mağdur buna ACK ile cevap vermediğinde yansıtma servisi SYN-ACK paketini tekrar tekrar iletmeye devam eder. Bu mekanizma sayesinde de yapılan DDoS saldırıları sistemlerden tekrar tekrar yansır ve etkisi güçlenerek büyür.
“Bu saldırılardaki sahte kaynaklar, hedeflenen IP adreslerinin aralıklarını bildiriyor ve hedeflenen reflektörler RST paketleri almadığı sürece “carpet bombing” saldırısına maruz kalarak SYN-ACK paketlerini tekrar tekrar iletmek zorunda kalıyor.”
Carpet Bombing terimi, kelime manasına düz olarak bakıldığında “halı bombardımanı” demek ancak teknik olarak buradaki kullanım amacı, hedeflenen IP aralığına karşı yapılan DrDoS saldırısıyla geniş yüzeyi aynı anda bombalama anlamı taşımaktadır.
Küresel olarak, kötüye kullanıma açık olan sistemlerdeki amplifikasyon (etki arttırma) faktörleri, yansıtma IP adresinde çalışan servis tarafından yeniden iletilen SYN-ACK sayısına bağlı olarak değişir. Servis ne kadar güçlüyse iletilen paket de o kadar artar. Bağımsız bir araştırmaya göre dünya üzerinde inanılmaz bir saldırı gücü oluşturabilecek, bir saldırı vektörünün gücünü ortalama 112 kat artırabilen 4.8 milyondan fazla cihaz bulunuyor. Saldırının gücünü 80.000 katlık bir faktöre yükseltebilecek binlerce sistem bulunması da saldırganlara büyük bir saldırı gücü kazandırıyor.
Uzmanlar, bu saldırı gücünün etkisini ortaya koyabilecek bir çok saldırı keşfetti. Bunlar Amazon, SoftLayer, Eurobet Italia SRL, Korea Telecom, HZ Hosting ve SK Broadband şirketlerine gerçekleştirildi.
Yeni başlayan bu büyük saldırı dalgasının ilki Ekim ayında, çevrimiçi bahis sitesi Eurobet‘in İtalyan şubesine yapıldı ve şubenin tüm ağları hizmet veremeyecek duruma getirildi. Saldırı birkaç gün sürdü ve diğer bahis sitelerine ait ağlar da bu durumdan etkilendi.
Ekim ayının sonlarına gelindiğinde ise Radware şirketi, İtalya, Güney Kore ve Türkiye‘deki finans ve telekomünikasyon endüstrilerine karşı TCP reflection DDoS saldırıları düzenlendiğini gözlemledi.
Garanti BBVA IP aralıklarından çıkan paket sayıları – 2019 Ekim (Radware Raporu)
“Saldırı vektörlerinin yansıtıcı etkisinden dolayı bu saldırılar güvenlik ekibi tarafından tespit edilebildi. 24 saat içinde yaklaşık 7.000 farklı IP adresinden gelen milyonlarca TCP-SYN paketi, Türk şirketi olan Garanti Bilişim Teknolojisi ve Ticaret TR. A.Ş.’nin (AS12903) 22, 25, 53, 80 ve 443 numaralı portlarını hedef aldı.”
Uzmanların tespitlerine göre, bu saldırı vektörlerinin ilk etkileri 2018 yılında gözlemlenmeye başlandı. İlk saldırı alanları ise maddi açıdan iyi olan şirketler, küçük işletmeler ve ev sahipleri oldu. Uzmanlar, TCP trafiğindeki ani yükselişlere hazırlı olmayan şirketlerin ikincil yansıtmalardan kaynaklanan kesintilerden muzdarip olduklarına dikkat çekti.