BLOG

Veri merkezi teknolojileri ve sunucu hizmetleri ile ilgili güncel kampanyalar, faydalı bilgiler ve gündelik içerikler için blogumuzu takip edin
156015586910 Haziran 2019 1697 kez okundu

Kirli Trafik Tehlike Habercisi

Kirli Trafik Tehlike Habercisi

Kimi zaman sunucularımız üzerine gelen anlamsız gibi görünen, tehdit oluşturmayacağını düşündüğümüz, internet kaynaklarını bile çok az tüketen trafiklerle karşılaşır ve görmezden geliriz.

Kimi zaman sunucularımız üzerine gelen anlamsız gibi görünen, tehdit oluşturmayacağını düşündüğümüz, internet kaynaklarını bile çok az tüketen trafiklerle karşılaşır ve görmezden geliriz. Bu tür trafiklerde Kaynak IP networkleri dağınık ve farklı olduğundan, işlem yapılan portlar ve üretilen trafik anlamlı gelmediğinden önlem alma gereği duymayabiliriz. Ama bu tür anlamsız trafikler önemli bir tehlikenin habercisi olabilir. 

Hedef Kaos

Saldırganlar, hedef sistemde önce işlem karmaşası oluşturmayı, ardından esas amaçlarına yönelik girişimler başlatmayı planlayabilirler. Böylelikle loglara yansıyan yoğun işlem trafiği nedeniyle takip edilmesi zor bir hal almasını amaçlar ve savunma duygusunu zayıflatırlar. Çok basit bir taktik gibi görünebilir, ancak çok etkilidir. Dünya"nın en büyük orduları bile bu yöntemle kendilerinden zayıf ordular karşısında çok ağır yenilgiler almıştır.

Çok fazla anlam verilemeyen işlem hareketi gören IT yöneticileri genellikle bunu ivedi bir durum olarak değerendirmezler ve planlı ve önceliği yüksek süreçleri öncellerler. Bir süre sonra bu anlamsız trafik bir risk olarak değerlendirilmekten çıkar. Böylece güvenlik duvarlarında insan kaynaklı bir konsantrasyon boşluğu elde ederler. Şartlar müsait olduğunda ise en klişe yöntemler devreye girer; BruteForce, Flood, Injection, v.b. 

 

Büyük Veri Kayıpları Küçük Hatalar

Daha önce bir internet saldırganına maruz kalmış her IT"ci bilir ki; çok büyük kayıplara yol açan saldırılar bile yapılan çok küçük hatalar neticesinde gerçekleşebilme imkanı bulur. Örneğin; VPN tünel içerisinde izole edilen bir IP networküne erişim, OpenSource VPN Client kullanan bir kullanıcının bilgisayarındaki E-Posta adresinin şifresini BruteForce yoluyla ele geçirmesi neticesinde temin edilmiş olabilir. Ya da SMTP hatalarına yol açacak komutlar göndererek Mail Sunucusunun cpu kullanımını pik değere ulaştıran bir istemci, kirli trafik ile log karmaşasına yol açarak bu küçük ama etkili trafiğin tespit ve engelleme süresini saatlerce uzatabilir. 

Küçük Sorun Yoktur

Küçük sorun yoktur, küçümsenen sorunların ortaya çıkarttığı büyük sorunlar vardır. Önemsenmeyen, zararsız gibi görünen trafik akışının amacı aslında loglarınızda karmaşa, trafik hareketlerinizin izlenmesinde konsantrasyon boşluğu elde etmeye çalışıyor olabilir. Öyle ya; bu trafik gereksizse neden birileri sunucularınıza gereksiz bir trafik göndersin? Bu kuşkucu bakış açısı I.T. yöneticilerinin temel prensibi olmalıdır.

Üretilen trafikler uzun süre işlem yapılmaz ve trafik akışı engellenmezse, trafiği üreten (muhtemelen) yazılım mekanizması, trafiğe karşı önlem alınmadığını fark edip amacına ulaşmak için gerçekleştireceği evreye geçiş yapabilir. Örneğin SMTP sunucunuza yalnız EHLO göndererek hata üretmesini sağlayan bir saldırgan robot, 3 gün boyunca herhangi bir önlem alınmadığını gördüğünde SMTP BruteForce yöntemine başlayabilir. Hatta bir süre bruteforce ile devam edip tekrar EHLO hatası üretmeye devam edebilir. Ya da CPU kullanımınızı etkilemeyecek ölçekte SNMP sorguları gönderip iş dışı saatlerde bu trafiğin oranını CPU kullanımınızı etkileyecek boyutlara taşıyabilir. Bu tür durumlarda sabah geldiğinizde hata mesajlarıyla karşılaşabilir, servis kalitenizin düştüğünü görebilirsiniz.

Nasıl Önlem Almalı?

Gereksiz trafik yoktur, gereksiz gibi görünen trafikler ise aslında gerekli bir önlem alma gerekliliğinin habercisidir. Yapılması gereken bu tür trafiklerin kaynak IP Networklerini, hatta ASNUMBER kaynaklarını hassasiyetle incelemeli, gerekirse kaynak IP Networklerini C Class sınıfında yasaklamalı, kirli trafiğin sunucularınıza gelmesinin önüne geçerek önlem aldığınızı belli etmelisiniz. Muhtemelen alınan önlemler sonrasında saldırgan yazılımlar bunu farkedecek ve size daha sonra uğramayı tercih etmeyecektir. Bu yöntem, belki de olası saldırıların %80"ini engellemek için yeterli olur. Kalan %20 ise daha hassas kontroller ve önlemler gerektirecektir.

Datafon olarak ise; Verimerkezimizde üretilen kirli trafiği yakından ve hassasiyetle takip ediyoruz. Açıkça ifade etmek gerekirse, bu tür trafikler verimerkezi networkünün %5"ini oluşturabilecek kadar yoğundur. Her ne kadar hizmet seviyesini etkileyecek nicelikte olmasalar da tespit edip engellediğimiz trafikler ile internet saldırılarının %70"inden fazlasını oluşturan 3. sınıf saldırılara ilk önlemimizi almış oluyoruz. 

 

Son Eklenenler
Spam Nedir? 159706970110 Ağustos 2020
İşlemci Sıcaklığı Kaç Olmalı? 159689521808 Ağustos 2020
Kişisel Web Sitesi 159683073707 Ağustos 2020
En Çok Okunanlar
Yerli ve Milli İşlemci (Çakıl) 156034654512 Haziran 2019
DDos Saldırıları 148414386711 Ocak 2017
Soğutma ve Enerji Verimliliği 148554578827 Ocak 2017
Süresi Geçen Domainler 156076775317 Haziran 2019