Türkiye 2010 Yılı DDoS Raporu

DDoS tehditi her geçen gün kendisini göstermeye devam ediyor. Bilgi güvenliği bileşenlerinden “erişilebilirlik”i hedef alan bu saldırı tipini ciddiye almayan kurumlar saldırı sonrası çok daha yüksek maliyetli çözümlere yönelerek altyapı güçlendirmesine ağırlık veriyor.

Geçtiğimiz yıl Türkiye’de karşılaştığımız DDoS saldırıları ile ilgili gerçekleştirdiğimiz analiz sonucu aşağıdaki bilgiler ortaya çıkmıştır.

BGA olarak 2010 yılında karşılaştığımız ve müdahale ettiğimiz DDoS saldırı sayısı: 59

DDoS saldırı tipi:

Türkiye’de yoğun olarak syn flood, udp flood ve HTTP get flood saldırılarıyla karşılaştık. Syn flood saldırıları engellemesi en kolay saldırı tiplerinden olmasına rağmen en fazla tercih edilen saldırı tipi olmaya devam ediyor. Bunun temel nedeni Syn flood saldırılarının HTTP flood saldırılarındaki gibi gerçek ip adreslerinden yapılma zorunluluğunun olmaması.

Saldırılarda kullanılan IP adreslerinin gerçekliği:

Gelen saldırılardaki IP adreslerinin gerçekliği TCP için kesin fakat UDP için tahmine dayalıdır. UDP kullanılarak gerçekleştirilen saldırılarda eğer kullanılan botnet üzerinde spoofed ip seçeneği işaretliyse gelen saldırı paketlerinden ip adresinin gerçek ya da sahte olduğu rahatlıkla anlaşılabilir.

Gerçek IP kullanım oranının fazla çıkmasının bir sebebi de alınan saldırılarda yoğun olarak Türk botlarının kullanılması ve Türkiye’deki internet kullanıcılarının büyük çoğunluğunun NAT arkasında olması sebebiyle ip spoofing işleminin çalışmaması.

En ciddi saldırı :600 Mbps

Gelen saldırı SYN flood olduğu için kolaylıkla savuşturulabildi.

Bunun haricinde yurt dışında  da bakımını yaptığımız sistemlerden birine doğru 3Gps’lik bir hafta süren ve çeşitli DDoS tiplerinin birlikte kullanıldığı saldırı aldık. Bu saldırının önündeki ISP sistemleri yeteri kadar güçlü olmadığı için kesin çözüm olarak yük dengeleme yapılarak birden fazla lokasyona sistemler dağıtılarak ve DNS ayarlarıyla oynayarak saldırının şiddeti azaltıldı.

En düşük seviyeli saldırı: 30 Mb

Saldırılarda kullanılan BotNet’lerdeki max IP adres sayısı :53.567

En ciddi saldırılardan birinde kullanılan bot sayısı 53.000 ve %90’ı Türkiye IP bloklarından.

Tüm saldırılar arasında hedef sistemin trafik kapasitesinin üzerine çıkan saldırı sayısı 5.

2010 Yılı Türkiye Siber Tehditler Sıralamasında DDoS tehditi