Dün başlayan ve bugün de süren nic.tr saldırısı[1], anlaşılan o ki, bölgesel internet sunucularını da etkilemiş. RIPE’dan yapılan açıklama, internet bloklarını tanımlayan şirkette, saldırı sırasında olanlar anlatılıyor.
RIPE yani “Regional Internet Registry for Europe” bilindiği gibi, internet servis sağlayıcı firmalar, telekom frmaları, devlet kuruluşları ve diğer büyük kurumların kullandığı internet bloklarını belirleyen ve kaydeden, kar amacı gütmeyen bir teknik kuruluştur.
RIPE’dan 13:35 (CET) saati itibariyle ve RIPE NCC Global Altyapı ekibinden sorumlu yönetici Romeo Zwart imzasıyla yapılan açıklama[2] şu şekilde;
14 Aralık 2015 Pazartesi günü boyunca, RIPE NCC Yetkili DNS servisleri erişimi zorlayan sorunlarla karşılaştı. Problem, NCC’nin ev sahipliği yaptığı bir ccTLD’ye ait ikincil DNS sunucusunu barındırmamız nedeniyle oluştu.
Saldırı trafiği 08:00 UTC civarında başladı. NCC personeli konuyla ilgili olarak gün boyu çeşitli önlemler aldı. Bu yaklaşımlar bir süre etkili oldu. Ama günün sonuna doğru gelen saldırının büyüklüğüne karşı önlemlerimiz etkisini kaybetti ve ana internet gelişlerimiz etkilendi.
Oluşan bu durum karşısında internet servis sağlayıcılarımız (uplink provider) saldırının engellenmesi ve yönetilmesi için bize yardımcı oldular. Saldırının yapıldığı ccTLD servisi dışındaki problem saat 18:30 (UTC) itibariyle çözüldü. Saldırı halen devam etmekte olup, elimizden gelen en iyi şekilde engellemeye çalışmaktayız.
Gelen saldırının sahte IP adresleri üzerinden(spoof) yapılmakta olup, bu konuyla ilgili olarak servis sağlayıcılar tarafında gerekli önlemlerin alınması önem arz etmektedir. Kaynak adres doğrulaması ve BCP-38 uygulanmalı ve bu yolla şebekelerin zorlanması azaltılmalıdır.
Romeo Zwart
Diğer yandan saldırının düşük düzeyli de olsa devam ettiği, ancak Akademik Ağ üzerinde olması nedeniyle toplumda fazla hissedilmediği not ediliyor. Ulak.Net’in bir tarafında 40 GB’lik Superonline bağlantısı varken, diğer taraftan da Avrupa’daki Akademik Ağa bağlı.
Servis Sağlayıcılar Saldırılara Hazır mı?
Saldırının ortaya koyduğu en önemli sonuç; internet servis sağlayıcılarımızın ve UlakBİM’in hazırlıklı olmadığı şeklinde yorumlanıyor. Çünkü saldırı “alan adı sunucularına yönelik” desek de, sunuculardan çok “DNS trafiği” yaratmaya yani bağlantıları doldurmaya yönelik olarak gözüküyor. RIPE da açıklamasında bunu “IP Spoofing” diyerek onaylıyor.
Dünya sanayi çağından geçti, bilgi toplumu çağından geçti, bugün “data-driven” diye tanımlanan verilerin toplumu peşinde sürüklediği bir çağda yaşıyoruz. Bu çağda önemli olan “farkındalık”. Yani önemli olan “çabuk cevap verebilen” bir toplum olmamız. Aksi tadirde, dalganın üzerinde surf yapmak yerine dalganın altında kalırız.
Bu sözleri şu nedenle söylüyorum; sabahtan beri konuştuğumuz kurumlar arasında, “önemli bir sorun yok” diyenler var. RIPE’in bile etkilendiği bir ortamda, bu cümle ancak “ne olup bittiğini bile anlayamamışlar” ya da “hatanın üstünü örtmeye çalışıyorlar gibi yorumlanabilir.
Biz yurtiçinde kendi kendimizi kandırabiliriz ama ya yurtdışındaki gözlemciler, ya saldırganlar?
Diğer yandan olayla ilgili sorularımıza cevap vermeyenler de, “yanlış yazılmış” yorumu yapabiliyor. Oysa madem bir saldırı olayı var ve birileri bu konuda soru soruyor. Cevap verilise, biz de memnuniyetle yazarız. Ama cevap alamazsak, öğrendiğimiz diğer kaynaklardan gelen bilgileri yazmak durumunda kalırız. Yanlışlık olan konu varsa da, her zaman buradayız ve düzeltiriz.
Ama sonuç olarak, bir DDOs saldırısı var ve bu olayı biz farkındayız, takip ediyoruz. Başkası farketmese de, takip etmese de.
[1] NİC.TR’ye Saldırı Yapan Kim? Ruslar mı?
[2] RIPE NCC Authoritative and Secondary DNS services on Monday 14 December
Kaynak : 