DDoS İstihbaratı: Botnet Ağlarını Önceden Tespit Etme

​

DDoS İstihbaratı: Botnet Ağlarını Önceden Tespit Etme​

Giriş: İnternetin Kitle İmha Silahı​

Hizmet Reddi Saldırıları (DDoS - Distributed Denial of Service), siber dünyanın en "kaba kuvvet" eylemidir. Zarif bir sızma girişimi değildir; hedefi veri trafiğine boğarak (Flood) erişilemez hale getirmektir. Bir bankanın web sitesinin veya bir ülkenin e-devlet kapısının 1 saat kapanması, milyonlarca dolar zarara ve devasa prestij kaybına yol açar.

Geleneksel güvenlik, saldırı başladığında trafiği temizlemeye çalışır. DDoS İstihbaratı ise saldırı başlamadan önce, saldırıyı yapacak olan "zombi ordusunun" (Botnet) hareketliliğini tespit etmeyi hedefler.

Botnet Anatomisi: Zombiler ve Efendileri​

DDoS saldırıları tek bir bilgisayardan yapılmaz. Saldırgan, virüs bulaştırarak ele geçirdiği binlerce cihazı (buzdolapları, güvenlik kameraları, modemler) tek bir merkezden yönetir.

• C2 (Command and Control) Sunucusu: Botnet'in beynidir. Saldırgan emri buraya verir.
• Botlar (Zombiler): Emri alan binlerce cihaz, aynı anda hedefe saldırmaya başlar.

İstihbaratın ana hedefi, zombilerle uğraşmak değil, C2 sunucusunu tespit edip iletişimini kesmektir.

İstihbarat Kaynakları: Saldırıyı Nasıl Öngörürüz?​

1. Honeypot (Bal Küpü) Ağları​

Analistler, internete savunmasız gibi görünen sahte IoT cihazları (Honeypot) yerleştirir. Botnetler bu cihazlara virüs bulaştırmaya çalıştığında, analist zararlı yazılımı yakalar ve tersine mühendislik yaparak C2 sunucusunun IP adresini öğrenir.

• Sonuç: Saldırı başlamadan önce C2 IP'si Firewall'da engellenir. Botlar emir alamaz.

2. Booter / Stresser Servisleri Takibi​

DDoS saldırılarının çoğu artık "hizmet olarak" (DDoS-as-a-Service) satılmaktadır. "Stresser" adı verilen bu sitelerde, 20 dolar ödeyen herkes bir siteyi çökertebilir.

• İstihbarat: Analistler bu sitelere müşteri gibi sızar veya veritabanlarını izler. Hangi hedeflerin "saldırı listesine" eklendiğini görürler.

Yükseltme Saldırıları (Amplification Intelligence)​

Modern DDoS saldırıları "Yansıtma ve Yükseltme" (Reflection/Amplification) tekniğini kullanır. Saldırgan, küçük bir paketi savunmasız bir DNS veya NTP sunucusuna gönderir, sunucu bu paketi 50 kat büyüterek kurbana yansıtır.

• Tarama: İstihbaratçılar, Shodan gibi araçlarla internetteki "açık DNS resolver" veya "Memcached" sunucularını tarar. Bu sunucuların sayısı artıyorsa, büyük bir saldırı hazırlığı var demektir.

Mirai ve IoT Tehdidi​

Mirai botneti, 2016'da IoT cihazlarını (kameralar, DVR'lar) kullanarak interneti felç etti. Kaynak kodu sızdığı için hala türevleri kullanılıyor.

• İstihbarat İpucu: Eğer ağınızda 23 (Telnet) portuna yönelik taramalarda ani bir artış varsa, yeni bir Mirai varyantı "asker topluyor" demektir.

Savunma: Proaktif Engelleme (Sinkholing)​

En etkili istihbarat operasyonu Sinkholing (Kara Delik) yöntemidir. Güvenlik firmaları veya devletler, mahkeme kararıyla C2 sunucusunun alan adını (Domain) ele geçirir. Botnetlerdeki binlerce zombi cihaz, emir almak için C2'ye bağlandığında, aslında istihbaratçıların kontrolündeki "Kara Delik" sunucusuna bağlanır.Böylece saldırganın ordusu, tek bir kurşun atılmadan istihbaratçının eline geçer ve etkisiz hale getirilir.

Sonuç​

DDoS istihbaratı, meteorolojistlerin fırtınayı tahmin etmesine benzer. Fırtınayı durduramazsınız ama şemsiyenizi açabilir, pencerelerinizi kapatabilir ve hasar almadan atlatabilirsiniz. Saldırı başladığında "IP engellemek" geç kalmaktır; marifet, saldırı emri C2 sunucusundan çıktığı anda onu havada yakalamaktır.