Distributed Denial of Service (Dağıtık Hizmet Engelleme) kısaca DDoS, internete bağlı hedef sistemi kapasite sınırlarının üzerinde trafiğe maruz tutma yoluyla düzenlenen saldırılar sonucu asıl kullanıcıların sisteme girişinin engellenmesidir. Bu yazıda Netflow kavramı ve DDoS atakların tespitinin nasıl yapıldığını inceleyeceğiz. Haydi başlayalım.

Atak koruma altyapıları genellikle simetrik ya da asimetrik yapıda çalışmaktadır. Simetrik yapılarda,  dışarıdan korunan sisteme gelen trafik ve korunan sistemden dışarıya çıkan trafik mitigation  cihazından sürekli olarak geçmektedir. Asimetrik yapılarda ise sadece korunan servise dışarıdan  gelen trafik mitigation cihazından geçmektedir.

Asimetrik yapılarda, dışarıdan korunan servise gelen trafik sürekli olarak bu cihazlardan geçebildiği  gibi detaylarını aşağıda aktaracağım Netflow protokolü kullanılarak sadece atak anında trafiğin  mitigation cihazından geçtiği yapıda da çalışabilmektedir.

NetFlow, Cisco tarafından geliştirilen Router ‘lar üzerindeki paket iletişimini kontrol etmek ve  iyileştirme sağlamak için kullanılan bir protokoldür. Giden ve gelen tüm IP trafiğini kaydetme, izleme için yaygın olarak kullanılan bu protokol 3. katman ve sonrasında çalışmaktadır. NetFlow ‘un versiyon 1 ile versiyon 9 arasında yayınlanmış versiyonları vardır. En sık tercih edilen versiyonlar ise versiyon 5  ve versiyon 9 ‘dur.

Bir ağı izlemek ve ağ trafiğini analiz etme amacı ile kullanılan, kısaca ağ trafiği izleme protokolü  olarak tanımlanan araçlar, belirli bir protokol üzerinde IP ve Port bilgisini bizlere verir. Bu bilgiye ise flow adı verilmektedir.

Kullanım amaçları ise olası bir risk/atak anında gelen tehdidin hızlıca fark edilmesi, donanım ve  güvenlik hatalarının giderilmesi, performans sorunlarının düzenlenmesi vb. sorunları daha fazla risk  oluşturmadan çözümlenmesini sağlar.

NetFlow belirli bir arayüzde gerçekleşen tüm IP haberleşmelerini takip ederek raporlar. Burada söz  konusu her bir IP haberleşmesi, yukarıda bahsedilen flow kavramı ile tanımlanmıştır. Raporlanan  flow ‘lar ilgili paketlerden toplanıp yerel önbelleğe çekilir ve sistematik bir şekilde Collector denen  toplayıcılara iletilir. Flow oluşturmak için paketlerden çekilen öğeler aşağıdaki gibidir;

  • Kaynak IP Adresi
  • Hedef IP Adresi
  • UDP/TCP İçin Kaynak Port
  • UDP/TCP İçin Hedef Port
  • IP Protokolü
  • Giriş Arayüzü
  • IP Hizmet Türü

DDoS koruma altyapısı genellikle saldırıları tespit eden ve temizleme işlevlerini gerçekleştiren iki alt  bileşenden oluşmaktadır. Collector Platform (CP) Internet katmanında bulunan Internet Peering  Gateway ’lerden (IPG) NetFlow bilgisi almakta ve işlemektedir.

Tüm IPG ’lerden gelen flow bilgileri analiz edilir ve trafik bilgilerine bakılarak anormal davranışlar  tespit edilir. Trafiğin anormal olup olmadığı, korunan servisler özelinde yapılan eşik değeri  tanımlamalarına göre belirlenir. Belirlenen eşik değerleri belli bir süre geçilirse saldırı temizleme  mekanizması müşterinin talebine göre otomatik ya da müşteri tarafından istek yapılması durumunda  manuel harekete geçirilir.

Saldırı temizleme bileşeni (Mitigation Device) Collector ’den aldığı işaretle birlikte saldırı yapılan  hedef IP veya IP ’leri BGP protokolü kullanarak omurgaya anons eder. Böylece anons edilen IP ’lere  doğru olan trafik saldırı temizleme bileşeni (Mitigation Device) üzerine çekilir. Burada temizlenir ve  müşteriye sadece normal trafik iletilir.

Eşik parametreleri protokol bazlıdır ve eşik değerlerini geçen trafik miktarına göre saldırı olup  olmadığını belirlemek için kullanılır. Kullanılan önemli eşik parametrelerini aşağıda paylaşıyorum.

  • Total Traffic
  • DNS Amplification
  • NTP Amplification
  • IP Fragment
  • TCP SYN
  • TCP ACK
  • TCP RST
  • ICMP
  • UDP

Yukarıda da paylaştığım parametrelere müşteri objesi (korunan servis tanımı) içerisinde tanımlanmış  herhangi tek bir IP ’ye belirlenen eşik değerinden daha fazla trafik gönderildiği sezilirse bu durum  anormallik olarak sınıflandırılacaktır ve koruma işlemleri için sonraki adımlara geçilecektir.

NetFlow analizi ve DDoS saldırıları hakkında bu yazıda önemli bilgiler paylaştık. Bu konuları anlayarak, ağ yönetimi ve güvenlik stratejilerinizi geliştirebilir, dijital varlıklarınızı daha iyi koruma altına alabilir ve daha sağlam bir dijital altyapı inşa edebilirsiniz.

admin

Recent Posts

“A.TR” 3. Kategori Başvuruları Başladı!

“a.tr Geçiş Süreci” kapsamında işlemlerin yürütüleceği 3. Kategori Başvuruları 14 Şubat 2024’te başladı. Bu kategori sırasıyla;… Read More

6 ay ago

Öğretmenler Günü ve 20. Yıl Kutlaması: %80 İndirim Fırsatını Kaçırmayın!

Sayın Müşterimiz,Ekonomikhost İnternet ve Bilişim Hizmetleri olarak, öğretmenlerimize ve 20. yıldönümümüze özel bir kampanya ile… Read More

12 ay ago

Fırsatları Kaçırmayın! Com.tr Alan Adınızı 65 TL’ye Kaydedin!

Siz değerli müşterilerimize her zaman daha iyi hizmet sunmanın yollarını arıyoruz vebu sefer sizin için… Read More

1 sene ago

20 Yıldır Daima Hızlı, Ekonomik ve Güvenilir Hosting | Ekonomikhost 20. yaşında

Sayın Ekonomikhost Müşterileri, Bugün Ekonomikhost olarak büyük bir gurur ve mutlulukla 20. yılımızı kutlamanın heyecanını… Read More

1 sene ago

Caching (Önbelleğe Alma) Nedir ve Nasıl Çalışır?

Caching (önbelleğe alma), bilgisayar sistemlerinde ve yazılımlarda sık kullanılan verilerin geçici olarak saklanmasıdır. Bu, veriye… Read More

1 sene ago

Windows Dijital Delil İzleri: Kabuk Çantaları(Shellbags) nedir?

Bu makalemizde Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz. Windows’ta bir pencereyi… Read More

1 sene ago