Ucuz İnternet ve erişilebilir bulut teknolojilerinin bir dezavantajı var, bu da botnet’ler. Daha önce, siber suçlular onları yerel sunuculara dayalı olarak oluşturuyordu. Ancak, bulut teknolojilerinin ve IoT’nin gelişmesiyle birlikte, botnet’lerin potansiyel unsurları olan cihazların, sanal makinelerin ve fiziksel sunucuların sayısı katlanarak arttı.
Uzmanlar, sunucusuz teknolojilerin geliştirilmesinin botnet’lerin oluşturulmasını daha da kolaylaştıracağına inanıyor. İşte buna nasıl karşı koyabiliriz.
Botnet sahipleri tarafından hangi teknolojiler kullanılıyor?
Biraz teori ile başlayalım. Saldırı başlatmak için hangi ekipman ve teknolojiler kullanılabilir? İşte bazı temel seçenekler:
- Fiziksel sunucular bir saldırgan için en uygunsuz ve pahalı seçenektir. Ancak saldırganlar fiziksel sunucuları hedeflediğinde, altyapıyı etkilemek ve onu farklı yığın seviyelerinde engellemek için botnet’teki rastgele hedeflere saldırmaya zorlamak yeterlidir.
- Sanal makineler botnet sahiplerinin favori silahıdır. Bulut platformları, müşterilere daha hızlı sanal örnekler oluşturmak ve sunmak için sürekli olarak gelişmektedir. Aynı zamanda saldırganların da işine geliyor: büyük bir ucuz kaynak havuzuna hızlı erişim sağlıyorlar.
- IoT cihazları botnet yaratıcılarının sık sık kurbanı olurlar. Nesnelerin İnterneti’ne (genellikle yönlendiriciler) bağlı bu cihaz ağlarına kötü amaçlı yazılım bulaşabilir ve saldırılarda kullanılabilir.
Siber suçluların potansiyel olarak kullanabileceği bir başka teknoloji de sunucusuz bilgi işlemdir. Hizmet Olarak İşlev (FaaS) gibi bulut hizmetlerinin geliştirilmesiyle, botnet sahibinin herhangi bir altyapıya ihtiyaç duymayacağı, programa göre kod yürüten ve ardından kapatılan durum bilgisiz birimleri kullanabileceği varsayılmaktadır. Bu durumda, her tetikleyici aynı işlevin yeni bir örneğini oluşturur. Neyse ki, kontrollü deneyler dışında botnet’ler için sunucusuz bilgi işlem kullanımına ilişkin hiçbir vaka kaydedilmedi.
Bulut sağlayıcıları için zorluklar nelerdir?
Sunucusuz teknolojilerin kötü niyetli kullanımı hâlâ bir teori olsa da, fiziksel veya sanal olmak üzere daha geleneksel altyapıyı ele alalım. Çoğu durumda, saldırganlar bu tür altyapılara toplu güvenlik açıklarını kullanarak bulaşır. Şu şekilde çalışır: Belirli bir marka veya modelin yönlendiricilerinde bir kusur tespit edildiğinde, saldırganlar ağları tarar ve onlardan saldırı başlatmak için yönlendiricilere büyük miktarlarda kötü amaçlı yazılım yükler. Aynısı fiziksel sunucular ve sanal makineler için de geçerlidir.
Siber suçlular, virüslü altyapının her bir düğümünde bir bot başlatır. Bu küçük komut dosyası, belirtilen işlevi otomatik olarak gerçekleştirir – bir DDoS saldırısı. Bu tür saldırıların sayısı büyür her yıl gelen trafiğin hacmi artıyor ve sonuç olarak güvenlik çevresi üzerindeki yük daha da ağırlaşıyor.
Bulut sağlayıcıları bu yeni koşullarda nasıl hareket etmeli? Elbette, artan trafik hacmini emmeleri için filtreleme merkezlerinin kapasitesini artırmaya devam edebilirsiniz. Bununla birlikte, bu yeni zorluklara yol açacaktır: birincisi, pahalıdır ve ikincisi, bu merkezler düzenli bakım, ekipman değişimi ve daha fazlasını gerektirecektir. Bu nedenle, kötü niyetli trafiği engellemek ve meşru istekleri tutmak isteyen çeşitli bulut ve barındırma sağlayıcıları, yükü mümkün olduğunca yeniden dağıtmaya çalışır. CDN, yük dağıtımı için mükemmeldir. İşte nasıl çalıştığı.
Gcore Koruması nasıl çalışır?
Gcore’un Koruması temizleme merkezi üç seviyeden oluşur:
- DDOS koruması—bu seviye, L3/L4 hacimsel saldırılara karşı koruma için çözümler içerir.
- Bot Koruması zaten çevreye girmiş olan trafiği temizlemek için bir dizi algoritmadır.
- WAF web uygulamalarını bilgisayar korsanlığından ve gizli verilere erişimden koruyan bir güvenlik duvarıdır.
Bu çok seviyeli güvenlik sistemi, tüm istekleri analiz etmemizi sağlar. Bir IP’den bir URL için çok sayıda istek olduğunu görürse, oturum işaretlenir ve engellenir. Sistem, kaynaklar üzerindeki ortalama yükü takip ettiğinden ve daha sonra normal ve anormal değerleri bağımsız olarak belirlediğinden, aşırı isteklere otomatik olarak tepki verir. Böylece, meşru trafiğin geçmesine izin verir, ancak ilk koruma seviyesinde UDP/ICMP taşması, amplifikasyon, SYN-ACK ve RST-SYN taşması gibi hacimsel saldırıları engeller. Durum, başka bir saldırı vektörü olan HTTP seli ile daha da ilginç hale geliyor.
HTTP taşkın koruması nasıl çalışır?
Temizleme merkezinin ikinci düzeyi olan Bot Koruması, HTTP taşmasına karşı korumadan sorumludur. Bu tür saldırılarda, şüpheli IP adreslerini ek kontrol yapmadan engellememek için daha dikkatli olmamız gerekiyor, çünkü bunların arkasında, NAT’ın arkasında hem meşru ziyaretçiler hem de bilgisayarlarına virüs bulaşmış kullanıcılar var.
Bunun olmasını önlemek için çok aşamalı analitik kullanıyoruz:
- Davranış analizi. İsteklerin sayısını ve sıklığını kontrol etmek.
- JS Mücadelesi/Captcha. Bir botla uğraştığımıza karar vermeden önce, JS Challenge/Captcha kullanarak bir doğrulama talebi göndeririz.
İlk yöntem—JS Challenge—belirli bir görevle istemciye bir JavaScript kodu göndermeyi içerir. Bir kullanıcı meşru ise ve tipik bir bottan farklı olarak JavaScript destekli bir tarayıcı kullanıyorsa, testi fark etmeden geçer – trafik ışıklarını ve bisikletleri işaretlemek zorunda kalmazlar.
İkinci yöntem olan JS Captcha daha az akıllıdır ancak daha güvenilirdir. Görevi tamamladıktan sonra, istemci geçici olarak doğrulanmış IP’ler listesine dahil edilir. Diğer şeylerin yanı sıra, test sırasında bot koruması için yararlı olan ve gelecekte kullanacağımız bilgileri öğreniriz (örneğin, tarayıcı sürümü).
- HTTP üstbilgi analizi. Başlıkları ve JS Challenge sonuçlarını karşılaştırma.
- JA3 hash kullanarak TLS oturum analizi. JA3 hash, bir oturumu analiz etmenin etkili bir yoludur. Her karma, istemcinin belirlenmesine izin veren birkaç değerden oluşur. TLS Hello paketi içinde alınan bilgilere dayalı olarak özel bir karma işlevi kullanılarak oluşturulduğundan, her tarayıcı sürümü ve her istemci, alınan karma ile filtreleme merkezi veritabanında saklanan karma karşılaştırılarak tanımlanabilir.
Filtreleme merkezi, TLS Hello içinde, veritabanında olmayan veya açıkça gayri meşru olan bir karma algıladığında (örneğin, Kullanıcı Aracısında ‘Internet Explorer’ diyerek curl’den bir JA3 karma değeri alındığında), merkez bunu engeller veya bir kontrol başlatır. .
Tüm bu test aşamaları, bot korumasının yüksek düzeyde nasıl çalıştığını açıkça göstermektedir. Ama içeride, daha düşük bir seviyede ne olur?
eBPF, L3—L4’teki saldırıları nasıl engeller?
Ciddi saldırılar olması durumunda, L3-L4 üzerindeki saldırıları engelleyen eBPF ile entegrasyon etkinleştirilir. Böylece filtreleme merkezine aşırı yüklenme riskini de azaltmış oluyoruz.
Düşük seviyeli analiz teknolojilerinin üstten algoritmik yöntemlerle birlikte kullanılması, hem kötü niyetli hem de meşru trafik aynı IP adresinden gelse bile meşru trafiğin engellenmesi olasılığını azaltır. Yanlış Pozitif Oranımız %0.01’den az.
Neden eBPF kullanmaya karar verdik? Çekirdeğe yerleşik bir monolit olduğu için – daha önce kullanılana (dpdk) kıyasla, bazı sorunlar daha kolay çözülebilir ve bazen tamamen ortadan kaldırılabilir. Örneğin, dpdk’den farklı olarak eBPF, bir ağ arabiriminde başka bir rolle birlikte kullanılabilir. Bu nedenle gelecekte, güçlü 3. Nesil Intel® Xeon® Ölçeklenebilir işlemciler üzerinde çalışan CDN düğümlerinde daha aktif bir şekilde kullanmayı planlıyoruz.
Gcore’un geniş bir içerik dağıtım ağı vardır—toplam kapasitesi saniyede yaklaşık 100 TB trafiktir, ancak aynı zamanda çift yönlü kanal giden trafiğin %85’i için kullanılır (içerik alan müşteriler), gelen kanal ise yeterince kullanılmaz. CDN ve eBPF entegrasyonu sayesinde, müşteriye mümkün olduğunca yakın kalarak bu kapasiteleri trafik temizliğine bağlamayı planlıyoruz.
Botlara ve diğer saldırı türlerine karşı korumayı etkinleştirin
Gcore kullanıcıları kapsamlı koruma: hem hacimsel DDoS gibi genel saldırılardan hem de maskelenebilen veya meşru trafikle karıştırılabilen saldırılardan. Tüm bunlar, WAF ile entegre olma yeteneğiyle birlikte, istemcilerin yığının ağ, taşıma ve uygulama katmanlarında gerçekleştirilen saldırıların sonuçlarını hafifletmesine olanak tanır.
Sponsorluğunda puan