DDoS Forensics / DDoS Saldırılarına Yönelik Adli Bilişim Analizi

Keşfedildiği ilk günden itibaren popülaritesini hiç kaybetmemiş nadir tehditlerden biri DDoS saldırılarıdır. Bunun temel sebebi yaygın kullanılan DoS/DDoS saldırılarının protokollerin doğasındaki tasarım hatalarını kullanmasıdır. Günümüzde kullandığımız protokoller yenileriyle değiştirilmeden de bu saldırı tipinden %100 korunmak mümkün olmayacaktır.

DDoS saldırı analizlerinin hukuki açıdan değer ifade edebilmesi için alınan logların 5651 sayılı kanuna göre tanımlanabiliyor olması gerekir ve analiz noktasında oldukça dikkatli olunması gerekir zira DDoS saldırıları en kolay sahtecilik yapılabilecek saldırılardır.

Internet üzerinde sahte ip paketi üretmek için onlarca yazılım ve yine sahte paket üretimine izin veren yüzlerde telekom firması bulunmaktadır.

Basitçe saldırgan aşağıdaki komutla Linux.com’dan geliyormuş gibi Microsoft.com’a DDoS saldırısı düzenleyebilir. Ya da X kurumundan, X devletinden geliyormuş gibi Y kurumuna, Y devletine saldırı varmış gibi gösterebilir.

hping –flood -a www.microsoft.com -p 80 -S www.linux.com

Bu konuda DDoS saldırılarının klasik bir güvenlik uzmanı değil, konunun uzmanı tarafından incelenmesi ve raporlanması şartdır. Aksi halde suçlu olmadığı halde kurum ve kuruluşlar (kişiler) suçlu gibi gösterilebilir.

DDoS saldırılarında diğer saldırılardan farklı olarak normal istekler de kullanılabileceği için (ana sayfayı on kere iste) gönüllü topluluklar tarafından gerçekleştirilen yoğun katılımlı protesto saldırılarında kimlerin gerçek saldırgan kimlerin siteyi zairet etmek isteyen kullanıcılar olduğu net olarak belirlenemeyebilir.

 

DDoS Saldırılarında Sahte IP Kullanımı

Hangi DDoS saldırı tiplerinin sahte paketlerle gerçekleştirilebileceği net olarak bellidir. TCP/IP protokol yapısına göre UDP tabanlı tüm protokoller kullanılarak sahte ip’lerden geliyormuş gibi saldırı düzenlenebilir (DNS flood, udp flood vs).

TCP tabanlı protokollerde sadece SYN FLOOD, ACK FLOOD, FIN FLOOD gibi üçlü el sıkışmanın tamamlanmasını gerektirmeyecek şekilde gerçekleştirilen saldırılarda sahte ip adresleri kullanılabilir.

HTTP GET f lood, HTTP POST flood gibi önce üçlü el sıkışmanın tamamlanmasını gerektirecek ddos saldırı tiplerinde ise sahte ip adresinden gerçekleştirmek teorik olarak mümkün olsa da pratik olarak mümkün değildir.

 

DDoS Analizi İçin Gerekli Yapının Kurulması

DDoS saldırısı esnasında çok basit işlemlerle toplanacak deliller saldırı sonrası analizlerde olduça yardımcı olacaktır. Saldırının hangi şiddette, hangi protokoller kullanılarak (TCP, UDP, ICMP, HTTP , SMTP vs) ne tip (packet flood, bandwithd aşırma ) ve kimler (gerçek ip adresleri, spoof edilmiş ip adresleri, botnet kullanımı) tarafından gerçekleştirildiği vs.

DDoS Saldırılarında sağlıklı analiz yapabilmek için uygun yerlere TAP cihazları yerleştirilmelidir. Bu cihazlar aracılığıyla saldırı anında aktif sistemleri etkilemeden log toplama imkanı olacaktır.

Saldırı Analizinde Cevabı Aranan Sorular

Herhangi bir konuda analize başlamadan yapılması gereken ilk iş konuyla ilgili sorulabilecek soruları çıkarmak ve analizi bu sorulara göre planlamak olmalıdır. DDoS saldırı analizi yaparken aynı yöntemi uygulayarak sağlıklı sonuçlar elde edilebilir.

  • Gerçekten bir DDoS saldırısı var mı?
  • Varsa nasıl anlaşılır?
  • DDoS saldırısının tipi nedir?
  • DDoS saldırısının şiddeti nedir?
  • Saldırı ne kadar sürmüş?
  • DDoS saldırısında gerçek IP adresleri mi spoofed IPadresleri mi kullanılmış?
  • DDoS saldırısı hangi ülke/ülkelerden geliyor?

Bu soruların cevabı kullanılacak uygun araçlarla net olarak belirlenebilir.