Değerli Müşterilerimiz;

Yakın zamanda Radore network’ünü hedef alan saldırılarla ilgili bilgilerimizi paylaşmak istiyoruz.

Saldırılarla İlgili Genel Bilgiler

  • Saldırıları Yaşadığımız Tarihler ve Yaklaşık Saldırı Süreleri: 2 Nisan, Çarşamba (21:00 – 00:30), 9 Nisan, Çarşamba (17:00 – 20:00) ve 16 Nisan, Çarşamba (16:00 – 16:30)
  • Saldırılar yukardaki saat dilimleri içinde aralıklı olarak devam etti. Süre ve erişim kapasitesi olarak network’ü etkilemeyen veya engellenebilmiş olan saldırılar dahil edilmedi.
  • Not: 7 ve 10 Nisan tarihlerinde Türk Telekom’un yurt dışı hatlarında geçici kayıplar meydana geldi. Diğer veri merkezlerine yapılan saldırıların etkili olduğu bu kayıplar, veri merkezimizde yaşanan saldırılarla ilişkili değildi. Konu ile ilgili olarak Türk Telekom’dan talep etmemize karşın resmi bir açıklama alamadık.
  • Saldırıların Türü: DDOS atakları, DNS atakları, NTP üzerinden gelen DDOS atakları
  • Saldırıların Ortak Özellikleri: Yurt dışı kaynaklı olmaları, Saldırı yapan ip’lerin tespit edilememesi, Bir veya birden fazla müşterinin ip’sine değil, 1-2 sn süre ile gelişigüzel tüm Radore ip’lerine yönelik olması, Saldırıların aynı anda başka veri merkezlerine de yönelik olması
  • Saldırıların Boyutu ve Radore Network Kapasitesi: Radore, 10 Gbps download / 20 Gbps upload olmak üzere Türk Telekom erişimi, 12 Gbps download / upload olmak üzere Türk Telekom International ve 10 Gbps download/upload olmak üzere Tnap (Türkiye Network Altyapı Platformu ) erişimi sunmaktadır. Saldırının oluşturduğu ve gözlemlenebilen trafik, Türk Telekom hattımız üzerinde yaklaşık 10 Gbps, Türk Telekom International hattımız üzerinde yaklaşık 12 Gbps ve Tnap üzerinde de yaklaşık 3 Gbps’ti.
  • Saldırıların Sonucu: Radore’den hizmet alan müşterilerin internet erişiminde geçici olarak kesintilerin yaşanması

Saldırılar Sırasında Neler Yaptık?

– Saldırıların bazılarını, geleneksel metodlarla yapıldığı için engelleyebildik. Saldırı yapıldığını tespit ettiğimiz ip’leri geçici olarak blokladık. Diğer saldırılarda ise saldırı yapan ve yapılan ip’leri çeşitli metodlarla tespit etmeye çalıştık ancak başarılı olamadık. Buna karşın saldırıların hedefinde olduğunu düşündüğümüz müşterilerimizle görüşerek geçici olarak ip’lerini blokladık.

  • NTP – UDP 123. Port’unu kapattık ve güvenliği sağlanmış ayrı bir NTP sunucusu kurduk.
  • Saldırı alan diğer veri merkezleri ile görüşerek işbirliği yaptık.
  • Bizim için hayati derecede önemli olan bu konu hakkında Türk Telekom yetkilileri ile en kısa sürede irtibat kurduk.
  • Konu ile ilgili bilgilerimizi sosyal medya kanallarımızdan paylaştık. Ancak sorunla ilgili net sonuçlara ulaşamadığımız için bilgi paylaşımında kısıtlar yaşadık.

Radore Network Altyapısı Ne Durumda?

Bu bize en sık sorulan soru oldu. Radore network altyapısında farklı güzergâhlar üzerinden gelen fiber optik kablolar birebir yedekli ve toplam 1,6 Tbit/s kapasiteli yedekli Brocade NetIron XMR 16000’lere bağlanmaktadır. Radore Veri Merkezi’nin network’ü 10 Gigabit Ethernet ara yüzlerini kullanır. Network’de kullanılan bu yüksek kapasite sayesinde, Radore Veri Merkezi müşterilerinin anlık ya da kalıcı yüksek kapasite ihtiyaçlarına ağ üzerinde hiçbir fiziksel ya da yazılımsal değişiklik yapmadan rahatlıkla yanıt verilebilmektedir. Bu ana omurga ile ihtiyaçlar doğrultusunda -tek servis sağlayıcıdan bağımsız olarak-  yedekli internet erişimi sağlanabilmektedir. Veri merkezi omurgasının network katmanında Brocade’le birlikte, Riorey ve Citrix (Netscaler) ürünleri kullanılmaktadır. Ancak özellikle network güvenliği için kullanılan Citrix Netscaler, saldırı boyutunun erişimi tamamiyle sature etmesi nedeniyle bu süreçte etkisiz kalmıştır.

Şimdi Ne Yapıyoruz?

  • Yukarda belirttiğimiz üzere Türk Telekom’la iletişimimiz devam ediyor. İlk görüşmeyi 3 Nisan tarihinde gerçekleştirdik. Türk Telekom’dan arzu ettiğimiz hızda geri bildirim alamasak da önceliğimiz hat kapasitemizi arttırmak. Türk Telekom haricinde alternatif hat kullanımı için yurtdışında hizmet veren bazı internet servis sağlayıcılarla da görüşmelerimiz devam ediyor. Ancak hat kapasitesi artışı, yaşanan sorun için kesin çözüm değil çünkü saldırı boyutları 50 – 100 Gbps ve üzeri olabilmekte, biz ise saldırıların ancak kendi kapasitemiz oranındaki kısmını gözlemleyebiliyoruz. Özetle saldırılar erişim kapasitesi oranında gerçekleşiyor.
  • Erişim kapasitesinin artışından daha önemlisi saldırının kaynağı konusunda net bir sonuca ulaşmak, bu konu hakkında Ağ Operasyon Merkezimiz yoğun olarak çalışmaya devam ediyor.
  • Türk Telekom ile hat kapasitesi artışı dışında gelişmiş güvenlik hizmetleri hakkında görüşüyoruz. Türk Telekom’un bu gibi sorunlar karşısında veri merkezlerine sunacağı alternatifleri ortaya koymalarını istiyoruz.
  • Başta hizmet aldığımız hukuk birimleri olmak üzere, üyesi olduğumuz sivil toplum kuruluşları ile görüşmelere devam ediyoruz.

Bizlere önemli derecede sıkıntı ve kayıplar yaşatan bu üzücü saldırılarla ilgili henüz kesin bir çözüm veya “bir daha yaşamama” garantisi ne yazık ki söz konusu değil.  Takip ettiğimiz bilgi kaynaklarında da yer aldığı üzere ( http://bit.ly/1md2mpK ) tüm dünyada veri merkezleri bu gibi saldırılar için çok çekici hale gelmiş durumda. Üstelik tek başına güvenliği %100 sağlayabilecek bir teknoloji, sihirli bir kurşun bulunmuyor. Radore olarak birden fazla metodu biraraya getirerek optimum savunmayı yaratmak ve yaşadığımız tecrübeler ışığında yeni metodlar geliştirmek için çalışıyoruz.

Saygılarımızla;