Bir grup araÅŸtırmacı CloudFlare, Imperva Incapsula, DOSarrest, Akamai Prolexic ve Sucuri’nin bulut tabanlı DDoS koruma hizmeti tarafından korunan 17,877 siteyi tarayarak bunların tam %71.5‘unun, yani 12782 sitenin gerçek IP adresini tespit edebildi. AraÅŸtırmaya göre bu hizmetler aslında sitelerin orijinal IP’sini bir ÅŸekilde sızdırdığı için DDoS’tan korunmayı anlamsız hale geliyor.
DDoS koruma kalkanındaki asıl hedef gerçek IP adresinin gösterilmeyerek, olsası bir DDoS saldırısında korunan sitenin hizmet verme sıkıntısı yaşamadan yayın yapmaya devam etmesini sağlamaktır. Yani bulut tabalı DDoS koruma hizmetleri, kötücül ve saldırgan trafik bombardımanını eleyerek normal ziyaretçilerin sıkıntı yaşamadan hizmet almaya devam almalarını sağlamayı amaçlar. Eğer saldırganlar gerçek IP adresini öğrenebilirlerse DDoS korumasını aşarak saldırılarına bir şekilde devam edebiliyorlar. Araştırmacıların geliştirdikleri ve adını CloudPiercer verdikleri tarama aracı da bu sistemler tarafından korunan siteleri tarayarak onların gerçek IP adreslerini ortaya çıkarabiliyor. Böylece bulut tabanlı DDoS korumasının aslında potansiyel olarak orijinal IP adreslerini saldırganlara da sızdırabildiğini göstermiş oluyorlar.
CloudPiercer DDoS Korumasındaki Sitelerin Gerçek IP Adreslerini Nasıl Ortaya Çıkarıyor?
CloudPiercer aslında 2013 yılında beri bilinen bazı DDoS koruması baypas etme tekniklerinin yanında bir takım yöntemlerle bulut tabanlı DDoS koruması arkasındaki sitelerin gerçek IP adresini ortaya çıkarıyor. CloudPiercer siteleri tararken şu potansiyel vektörleri kullanıyor:
- IP Geçmişi Veri Tabanları: Sitelerin geçmişe dönük DNS kayıtlarını tutan veri tabanları sitelerin orijinal IP adreslerini tutuyor olabilir. CloudPiercer de sitelerle ilgili olarak bu veri tabanlarını tarıyor.
- Subdomain’ler: Siteler bazı protokolleri veya iÅŸlemleri bozmamak adına ana siteyi (www.site.com) DDoS korumasına alırken, örneÄŸin ftp.site.com adresini orijinal IP adresiyle bırakmak zorunda kalabiliyorlar. Bu da o IP’lerden IP veri tabanlarından sitenin diÄŸer adreslerine ulaşılmasını saÄŸlayabiliyor. CloudPiercer de sitelerle ilgili olarak tüm subdomain’leri tarayarak bu tip bir IP sızıntı olup olmadığına bakıyor.
- DNS Kayıtları: Siteler gerçekte kullandıkları IP adres bloklarını MX, SPF ve diğer bazı DNS kayıtlarını kullanabilirler. CloudPiercer de siteleri tararken tüm DNS kayıtlarını da incelemektedir.
- Hassas Dosyalar: Site yöneticileri geliştirmeye ait ve log dosyalarına ait kritik veri dosyalarını site sunucularında barındırıyor olabilir. CloudPiercer de siteleri tararken PHP-info ve bu tip benzeri dosyaları tarayarak içlerine bakıyor.
- PingBack: Bir sitenin baÅŸka bir siteye verdiÄŸi linki haber almasını saÄŸlayan bir mekanizma olan pingback ile siteler kendilerine verilen baÄŸlantıları öğrenebiliyor. Bu sorguların gelmesi sırasında orijinal IP adresi doÄŸal olarak ortaya çıkıyor. CloudPiercer de kendi sunucusuna bu tür baÄŸlantı alabileceÄŸi yani pingback’i tetikletebileceÄŸi siteleri aramaktadır.
Bunlarında yanında ek olarak sitelerin kendi özel SSL sertifikaları üzerinden, hedef siteden dışarıya doğru oluşabilecek bağlantıları tetikleyerek ve sitelerin bakımı veya taşınması sırasında bulut DDoS koruma hizmetinin geçici olarak durdurulması sırasında da gerçek IP adresleri ortaya çıkabiliyor. Ayrıca kendi sitenize buluttan DDoS koruma hizmeti alıyorsanız, sitenizin orijinal adresinin ortaya çıkıp çıkmadığını da bir form üzerinden talep ederek öğrenebiliyorsunuz. Araştırmayla ilgili daha fazla bilgi edinmek için makalesini de inceleyebilirsiniz.