Etik olmayan bir hücum növü olaraq DDoS hücumlar uzun zamanlar sistem və şəbəkə idarəçilərini çətin vəziyyətə salır. Texniki olaraq bu hücumlar server üzərində gərəksiz ağırlıq, əlavə resurs itkisi, süni giriş artımı meydana gətirməkdən başqa bir şey deyil .
Əslində Aktiv cihaz ( Router , switch , modem və s.) istehsalçıları bu problemi kökündən həll edə bilər. Paketlərin çıxış və çatış nöqtələri geriyə doğru hərəkət edərsə, bir hücum hələ başlamadan əngəllənə bilər. Ancaq hazırda bundan danışmaq yersizdir, çünçi cihazlara bunu etmək qadağası qoyulur. Çünki Ddos hücumların qarşısını almaq üçün hazırda bahalı olmaqla yanaşı çox sayda vasitələr var və bu bazarın “ölməsi” cihaz istehsalçılarının işinə yaramır. Həmin bazarda satışa çıxarılan Firewall cihazlarının Routerlardan çox daha bahalı olması bunun göstəricisidir. Yəni hücumun qarşısını almaq iqtidarında olanlar, əslində onun böyüməsində maraqlı olub, daha çox pul qazanmağa çalışırlar.
Bu hücumların gündəmdə olmasının bir səbəbi də bir çox firmanın Botnet şəbəkələri ilə rəqiblərinin sayt və server sistemlərinə iqtisadi cəhətdən zərər vurmaq məqsədi ilə həyata keçirməsidir. hazırda Botnet şəbəkələri artıq alınıb satılan ya da müəyyən müddətə icarəyə götürülən sistemlər halına gəlib.
Kiçik və orta miqyaslı hücumlar
Kiçik və orta miqyaslı hücumlar xaric, ümumi qayda olaraq soft əsaslı həllər DDoS hücumlarında təsirli deyil.
Zombie kompüter ( Juno üçün server) sayı və bu kompüterlərin əlaqələrinin sürətləri çox əhəmiyyətlidir. Hücumların həcmi sizin serverin / Datacenter ' ın çıxış tutumunu keçdiyi anda ziyarətçilər sayta daxil ola bilmir.
Kiçik və orta ölçülü hücumlarda Soft əsaslı həllər işə yarayar.
Soft əsaslı həllər : IDS , IPS , Firewall proqramları və web server ( IIS , Apache və s.) Üzərində edilən konfigürasiya və əməliyyat sistemi ayarlarından (Network konfiqurasiyası , Registry ayarları və s. ) ibarətdir.
Windows serverlər üçün sonsuz sayda IPS proqramı var. Bu mövzuda hər hansı bir təklif irıli sürmək və ya istiqamət vermək istəmirəm (ən azı bundan sonra öz saytlarıma hücum daha da arta bilər deyə =D). Üzərində dəyişiklik edə biləcəyiniz, kod yazmaq imkanınız olan bir çox IPS proqramı işinizə yaraya bilər.
Linux sistemlər üçün isə ümumiyyətlə Snort seçilər.
Hücum loglarını və hücum əsnasındakı trafiki analiz edərək bunu IPS programıza daxil etmək kafi ola bilər.
Hücum paketlərini tanıyan IPS hamısını avtomatik olaraq bloklayacaq .
Hücum paketlərini tutmaq və trafiki analiz edib hücumu kodlaşdırmaq üçün ( IDS yəni ) Wincap və Ethereal duetini təklif edə bilərəm .
“Wincap” paketləri tutmaq üçün lazımlı olan network “driver”I yaratmaq üçündür. “Ethereal” ilə isə paketləri tutub analiz edə bilərsiniz. Alternativ başqa bir çox proqram təminatı mövcuddur (Microsoft Network Monitor və s.)
Böyük Hücumlar
Böyük miqyaslı hücumlarda hücum paketləri sizin maşınınıza çatdıqdan sonra soft əsaslı edəcək bir şey yoxdur. Gələn paketlərin hamısını əngəlləsəniz belə paket onsuz da artıq gəldiyi üçün Firewall “çağırılmamış qonaqlara” “get” demək isədiyi anda özü paketdə yazılmış kodlar sayəsində bloklanmış olacaq.
Hətta Firewall hücum paketləriə maneə törədilmiş olsa və serveri ayaqda saxlaya bilsə belə, sayta girməsi lazım olan gerçək istifadəçilər bunu bacarmayacaqlar və qısa sözlə hücum məntiqi sonluğuna çatmış olacaq.
Böyük hücumlar üçün Host əsaslı həllər lazımdır. Yəni Networkun girişinə Fiziki Firewall cihazları qurulmalıdır. Azərbaycan üçün bunun nə qədər real olduğunu deyə bilmərik. Çünki ölkəmizdə bu işi həyata keçirən “Delta Telekom”un özünün lazımı filter qurğuları yoxdur. Bunlardan sonra konfigiqurasiyaların çox düzgün aparılması lazımdır. “Router”lar da eyni qaydada nizamlanmalıdır.
Nizamsız “Firewall” heç bir işə yaramır…
Bu həllər server idarəçisinin alacağı tədbirlər deyil . Bunlar xidmət aldığınız Datacenter tərəfindən həyata keçirilir. Artıq xaricdəki bir çox Datacenter DDoS Protect Network qurmaqda və bunları da əlavə olaraq satmaqla məşğuldurlar.
Serveriniz Azərbaycanda, yəni “Delta Telekomda”dırsa şansınız “heç yoxdur” deyə biləcəyimiz qədər azdır. Çünki Azərbaycanda yüksək bant genişliyi almaq mümkün olsa belə bu “dünyanın pulu” olacaq. Amma pulunuz olsa belə, bunu ala bilmək üçün adıçəkilən şirkətin texniki imkanlarının olacağına inanmıram!
Çox Böyük Ölçülü Hücumlar
“Datacenter”lərın belə təsirləndiyi çox böyük hücumlar da mövcuddur. Bunlar üçün edəcək az qala heç nə yoxdur. “Datacenter” sahibləri onsuz da qısa bir müddət içində hücumun hansı maşına olduğunu təsbit edəcək və “Null Route hücum gəlir” deyərək o serverin ip ünvanını şəbəkədən siləcək. Yəni onlar qarşısını almaqdan daha asan yolu, silib atmağı üstün tutacaqlar…
Çünki bu, nisbətən təsirli bir üsuldur . Bundan sonra “Datacenter” işə davam edəcək ancaq sizin serverinizə giriş olmayacaq.
Belə vəziyyətlərdə mütləq ikinci , üçüncü IP ünvanlarının olması şərtdir. Artıq DNS dəyişiklikləri 2 saat içində bütün dünyada yayıla bilir. Hücuma məruz qalan ip ünvanını “Şəbəkə nizamlamaları”ndan (Network settings) silərək yerinə ikinci ip ünvanınızı “primay” olaraq daxil edin. Ancaq bu ip ünvanı daha əvvəl NS məlumatlarınızda istifadə etmədiyiniz bir ip ünvanı olmalıdır. Əks halda “Datacenter” onu da zərərli ip kimi silib atacaq…
Zombie şəbəkəsini çökdürülməsi və Təcavüzkarın Təsbiti
Hücum müddətində təcavüzkarların imtina etməsini gözləmək olduqca cansıxıcı görünə bilər. Bu darıxdırıcı müddəti məhsuldar hala gətirə bilərik. Mən belə vəziyyətlərdə zombi kompüterlərdən birinə hər hansı bir yolla çatmağın tərəfdarıyam ki, bu, ən asan yoldur. Hesab edirəm ki, buy olla nəticə əldə etmək ikiqat asan olacaq.
Zombie kompüter yada serverlərə çatma üçün üsullar…
Maşında açıq varsa və bunu təsbit etmək mümkündürsə mütləq bunu etmək lazımdır. Daha sonra “Port Scan” edilərək maşının (bu halda artıq “kompyuter” deyə bilərik) ip ünvanından evini tapa bilərik. Kompyuter evdə deyil Proxy serverə bağlı bir müəsiisədədirsə bu həm də o deməkdir ki, o, “Active Directory” üzvü bir maşın ola bilər. Bu halda qeydiyyatdan keçdiyi provayder köməyimizə qismən çata bilər.
Ip ünvanı adsl xaricində bir mənbəyə də aid ola bilər. Bunlara da baxılmalı buradan məlumat əldə edilməlidir. C $ paylaşmaları “Administrator accont” ilə sınamaq kimi başqa bir çox üsullar sınanmalıdır .
Bu üsulların heç birindən nəticə əldə olunmasa başqa zombi ip ünvanlarını sınaqdan çıxarılır. Çünki Ddos hücumlar “şüursuz” şəkildə həyata keçirilir. Yəni Zombie kompyuterlər (bu mən də ola bilərəm) özü belə bilmədən Zombie olduğu üçün əlavə təhlükəsizlik tədbiri almır. Ddos hücumlar minlərlə belə İP-lərdən həyata keçirilir. Bu isə o deməkdir ki, mütləq şəkildə birində açıq var. Mütləq birində açıq bir nöqtə , nəzərdən qaçırılan bir nüans önünüzə çıxacaq.
Unutmayın, bu kompüterlərin sahibləri məlumatsız cahil istifadəçilərdir. Elə olmasaydılar “zombie” vəziyyətinə düşməzdilər. Bu kompüterlərində açıq ola biləcəyi ehtimalını daha da artırır.
Zombie kompüterlərdən birinə girdikdən sonra hücum əmrlərini hansı saytdan aldığını təsbit edəcəyik.
Bu “executable” bir proqram da ola bilər , Script kodu da… Nəticədə zombi halına gələn kompüter hücuma məruz qalan saytın ip ünvanını almaq üçün mütləq əlaqədə olduğu bir sayt ünvanı olmalıdır.
Bunu təsbit etdikdən sonra həmin o ünvanlara “Abusement” bildirişləri bağlamağımız lazım olacaq. Bu isə çox asan bir əməliyyatdır. Normal ingilis dilli bir mail və log qeydi… Hətta pulsuz server olsa belə, heç bir istehsalçı host firması sisteminə hücum edilməsini istəməz və buna görə də o məktuba dərhal lazımı qaydada cavab verəcək. Yəni o ünvanın girişi bundan sonra mütləq bağlanacaq.
Bu mərhələdən sonra zombies artıq heç bir işə yaramır. Sadəcə, adı zombie olaraq qalır )))
Hədəflərin alındığı ünvan free bir saytdırsa, düzgün bir yazışma ilə WebMaster məlumatları tələb edə bilər. Adətən bu hücumlar free bir sayt üzərindən yönləndirilir. Bu ünvanlar birdən çox ola bildiyi kimi, Botnet şəbəkəsini quran adam hər hansı bir səbəbdən hədəfləri verdiyi ünvan kimi zombilər ikinci ünvanı göstərə bilərlər. Bunu nəzərə alıb işin lap əvvəlində kodun içərisinə özünü ağıllı göstərmək məqsədi ilə 2-3 fərqli ünvan yaza bilər. Və ən böyük səhvini də bu zaman etmiş olar. Çünki bu halda ona çatmağımız daha da asan olacaq. Bu isə ən böyük səhv və onu tapmağımızı asanlaşdıran ən gözəl yoldur.
İlk 2 ünvan freehost, üçüncü ünvan isə onun öz fərdi host ya da daxil olduğu firma saytı vs. ola bilər.
Bundan əlavə zombi proqramına update xüsusiyyəti əlavə edə bilərik. Və təyin etdiyi bir ünvana bağlanaraq refresh olmasını gözləyərik. Və nəticədən sonra yolumuzu məhkəmədən salmağı unutmamalıyıq. Çünki Azərbaycan qanunları və Azərbaycanın qoşulduğu konvensiyalar heç bir halda Ddos ataklara haqq qazandırmır, əksinə onları qeyri-etik olaraq tanıyır. Bu isə, bizə zərər vurmaqda qərarlı olan şəxsin uzunmüddətli barmaqlıqlar arasında yaşamasına səbəiyyat yaradır…
Vüqar Qurdqanlı
