İnterneti solucan çarptı

Geçtiğimiz cuma gecesi internet ağlarında yavaşlamaya ve bir çok web sunucusunun devredışı kalmasına neden olan saldırı, internette ileriki dönemlerle karşı karşıya kalabileceğimiz tehlikeleri göstermesi açısından önemliydi. Saldırıda önce Tayland, Japonya, Malezya, Filipinler, Güney Kore ve Hindistan`daki çok sayıda bilgisayar kullanıcısının internet bağlantı hızının düştüğü farkedildi. Bunun nedeninin bir virüs ya da "kurt"un (worms) olduğu ve Microsoft yazılımlarındaki bir açığı kullanarak "saldırdığı" belirtildi. İlerleyen saatlerde bunun Microsoft'un bir açığı olduğu ve "W32/ SQL Slammer" adlı bir virüs kullanılarak sunuculara saldırı yapıldığı ortaya çıktı. Saldırı sonucu, Microsoft'un yazılımı SQL'i kullanan web siteleri devredışı kalmıştı. Bir çok site bu sorunu kısa sürede gidererek, yeniden hayata döndü. Ancak, her an yeni bir saldırı olabileceği endişesi hakim. Uzmanlara göre, bu elektronik saldırı 2001 yılının yaz aylarında ``kırmızı kod`` virüsüyle yapılan saldırıyla benzerlikler gösteriyor. Antivirüs yazılımı üreticisi Symantec firmasından yapılan açıklamada ise dünya genelinde en az 22 bin sistemin etkilendiğinin tahmin edildiği açıklandı. DoS ve DDoS nedir? Açılımı, "Denial of Service Attack" olan DOS, bilgisayar ağlarını zor duruma düşürmek ve sistemleri yavaşlatacak düzeyde büyük çapta ağ trafiği yaratmak anlamına geliyor. Ping of Death ve Teardrop gibi DoS saldırıların çoğu, TCP/IP protokollarının kapasitelerinin aşmayı hedefler. Bilinen tüm DoS saldırılar için saldırıların oluşturduğu zararı sınırlandırmaya yönelik yazılım yamaları bulunuyor ve ağ yöneticileri bu limitleri tespit etme imkanına sahiptir. Ancak, aynen virüslerde olduğu gibi yeni DoS saldırıları da sürekli geliştirilmekte ve saldırganlar tarafından yenileri oluşturulmaktadır. DDoS (Distributed Denial of Service) saldırısı ise dağıtılmış yani birkaç yönden gelen DoS Saldırısı anlamına geliyor. Saldırı nasıl yapılıyor? Saldırı anında kişi, kendini gizlemek için önceden sızdığı bilgisayarlara 'zombi' adı verilen küçük programcıkları yerleştiriyor. Saldırılar bu "zombi"ler üzerinden yapılarak birden fazla bilgisayar ve istenilen hedefler üzerine veri bombardımanı gerçekleştiriliyor. Olympos Security'de yer alan bilgilere göre, binlerce bilgisayarlara yerleştirilen zombiler, bilgisayarlara uzaktan kontrol (remote) imkanı vererek, bu bilgisayarlar üzerinden istenilen sunucuya çok sayıda veri göndererek, sunucuyu devredışı bırakma imkanı sağlıyor. Böylece saldırganlar, saldırıları başka insanların bilgisayarları üzerinden gerçekleştirdiği için tespit edilmeleri zorlaşıyor. DDoS saldırısı için şu araçlar kullanılıyor: Trinoo(Trin00), The Tribe Flood Network (TFN), Stacheldraht, Trinity, Shaft, Tribe Flood Network 2K, (TFN2K), MStream. ÇIKARILACAK DERS Son saldırıdan çıkarılacak tek ders, açık kaynak kodlu yazılımlar kullanılmasının ne kadar isabetli olduğudur. Microsoft SQL yazılımı kullanan sunucular saldırıdan etkilenir ve bir çok hizmette aksaklıklar yaşanırken, Microsoft'tan uzak duran ve sunucularında UNIX gibi alternatif sistemler kullananlar burnu bile kanamadan kurtuldu. Tek kutuplu dünyanın ne kadar tehlikeli olduğu küresel arenada tartışılırken, bilişim sektöründe de tek kutuplu (Microsoft) bir yapılanmanın ne kadar yanlış olduğu bu saldırıyla bir kez daha ortaya çıktı. Yapılacak ilk iş erişimi kesmek Saldırılardan korunmak için öncelikle saldırı farkedildiği andan itibaren saldırıda bulunan adresten gelen bağlantı isteklerinin iptal edilmesi gerekiyor. Ayrıca, özel yazılım ve donanımlar kullanılarak saldırıların önüne geçme imkanı bulunuyor. Şirket ve bireysel kullanıcıların, müdahale tespit (intrusion detection) gibi yöntemlere başvurmaları gerekiyor. Ayrıca saldırının başladığı an saldırının merkezi tespit edilerek, o merkezin servis sağlyıcısıyla irtibata geçmek ve erişimi engellemek şart. Sisteminizde bir DDoS aracının kurulup kurulmadığını tespit etmek istiyorsanız "find_ddos" isimli programı kullanabilirsiniz. Bu programı şu adreste bulabilirsiniz: http://www.nipc.gov/