Atak koruma altyapıları genellikle simetrik ya da asimetrik yapıda çalışmaktadır. Simetrik yapılarda,  dışarıdan korunan sisteme gelen trafik ve korunan sistemden dışarıya çıkan trafik mitigation  cihazından sürekli olarak geçmektedir. Asimetrik yapılarda ise sadece korunan servise dışarıdan  gelen trafik mitigation cihazından geçmektedir.

Asimetrik yapılarda, dışarıdan korunan servise gelen trafik sürekli olarak bu cihazlardan geçebildiği  gibi detaylarını aşağıda aktaracağım Netflow protokolü kullanılarak sadece atak anında trafiğin  mitigation cihazından geçtiği yapıda da çalışabilmektedir.

NetFlow, Cisco tarafından geliştirilen Router ‘lar üzerindeki paket iletişimini kontrol etmek ve  iyileştirme sağlamak için kullanılan bir protokoldür. Giden ve gelen tüm IP trafiğini kaydetme, izleme için yaygın olarak kullanılan bu protokol 3. katman ve sonrasında çalışmaktadır. NetFlow ‘un versiyon 1 ile versiyon 9 arasında yayınlanmış versiyonları vardır. En sık tercih edilen versiyonlar ise versiyon 5  ve versiyon 9 ‘dur.

Bir ağı izlemek ve ağ trafiğini analiz etme amacı ile kullanılan, kısaca ağ trafiği izleme protokolü  olarak tanımlanan araçlar, belirli bir protokol üzerinde IP ve Port bilgisini bizlere verir. Bu bilgiye ise flow adı verilmektedir.

Kullanım amaçları ise olası bir risk/atak anında gelen tehdidin hızlıca fark edilmesi, donanım ve  güvenlik hatalarının giderilmesi, performans sorunlarının düzenlenmesi vb. sorunları daha fazla risk  oluşturmadan çözümlenmesini sağlar.

NetFlow belirli bir arayüzde gerçekleşen tüm IP haberleşmelerini takip ederek raporlar. Burada söz  konusu her bir IP haberleşmesi, yukarıda bahsedilen flow kavramı ile tanımlanmıştır. Raporlanan  flow ‘lar ilgili paketlerden toplanıp yerel önbelleğe çekilir ve sistematik bir şekilde Collector denen  toplayıcılara iletilir. Flow oluşturmak için paketlerden çekilen öğeler aşağıdaki gibidir;

• Kaynak IP Adresi
• Hedef IP Adresi
• UDP/TCP İçin Kaynak Port
• UDP/TCP İçin Hedef Port
• IP Protokolü
• Giriş Arayüzü
• IP Hizmet Türü

DDoS koruma altyapısı genellikle saldırıları tespit eden ve temizleme işlevlerini gerçekleştiren iki alt  bileşenden oluşmaktadır. Collector Platform (CP) Internet katmanında bulunan Internet Peering  Gateway ’lerden (IPG) NetFlow bilgisi almakta ve işlemektedir.

Tüm IPG ’lerden gelen flow bilgileri analiz edilir ve trafik bilgilerine bakılarak anormal davranışlar  tespit edilir. Trafiğin anormal olup olmadığı, korunan servisler özelinde yapılan eşik değeri  tanımlamalarına göre belirlenir. Belirlenen eşik değerleri belli bir süre geçilirse saldırı temizleme  mekanizması müşterinin talebine göre otomatik ya da müşteri tarafından istek yapılması durumunda  manuel harekete geçirilir.

Saldırı temizleme bileşeni (Mitigation Device) Collector ’den aldığı işaretle birlikte saldırı yapılan  hedef IP veya IP ’leri BGP protokolü kullanarak omurgaya anons eder. Böylece anons edilen IP ’lere  doğru olan trafik saldırı temizleme bileşeni (Mitigation Device) üzerine çekilir. Burada temizlenir ve  müşteriye sadece normal trafik iletilir.

Eşik parametreleri protokol bazlıdır ve eşik değerlerini geçen trafik miktarına göre saldırı olup  olmadığını belirlemek için kullanılır. Kullanılan önemli eşik parametrelerini aşağıda paylaşıyorum.

• Total Traffic
• DNS Amplification
• NTP Amplification
• IP Fragment
• TCP SYN
• TCP ACK
• TCP RST
• ICMP
• UDP

Yukarıda da paylaştığım parametrelere müşteri objesi (korunan servis tanımı) içerisinde tanımlanmış  herhangi tek bir IP ’ye belirlenen eşik değerinden daha fazla trafik gönderildiği sezilirse bu durum  anormallik olarak sınıflandırılacaktır ve koruma işlemleri için sonraki adımlara geçilecektir.

Umarım keyifli bir okuma olmuştur, bir sonraki yazımda görüşmek üzere..

Kaynaklar:

Turkcell DDoS Saldırı Koruma Hizmeti Operasyonel Bilgi Dokümanı