Değerli TEKNOLTAN.com okurları bugün sizlere anladığım kadaııyla BGP Conununity ile DDOS Saldırılarım Nasıl önleyeceğimize dair Lojistik Destek Adına Hazırladığım makaleyi sizlerle paylaşmak istedim umarım faydalı olur.
Öncelikle Terimlerin daha iyi anlaşılması adına tanımlarım yapma gereği duyuyorum.
BGP’nin açılımı Border Gateway Protocol Türkçe meali ise Sınır Geçit Protokolü olarak karşılık bulmaktadır. ‘ ’ İnternet servis sağlayıcıları tarafından kullanılan gelişmiş bir yönlendirme protokolüdür. BGP’de yönlendiricilere otonom sistem numarası atanır. Otonom sistem numarası 1 ile 65535 arasında değişir. 64512 ile 65535 arası özel otonom sistem numarasıdır ve herkes tarafından kullanılabilir. BGP. yönlendirme tablosunu oluşturmak için metrik hesaplarken, hedefe giderken üzerinden geçilen otonom sistem sayısını göz önüne alır. Bu duranı BGP’nin Distance Vector (Uzaklık Yönelim) algoritmasını kullandığını gösterir. EIGRP ve IGRP gibi otonom sistem özelliğine göre çalışan yönlendirme protkollerinin aksine BGP farklı otonom sistemlere ait yönlendiriciler arasında da çalışabilmektedir. Bir otonom sistemden çıkan BGP update (güncelleme) paketine otonom sistem numarası eklenir’. Böylece otonom sistemden çıkan update (güncelleme) paketinin aynı otonom sisteme girmesi engellenerek loop (döngü) oluşması engellenir.”*
DDOS ataklar ise ; yani Distributed Denial of Service (Dağıtık Hizmet Engelleme)
saldırılan, tamamen Bilgi Güvenliği unsurlarından Erişilebilirliği hedef almaktadır. Öncesinde sadece DoS (Denial of Service), yani tek bir kaynaktan hedefe doğra saldın yapılması şeklinde ortaya çıkan bu saldın türü, zamanla şiddetinin arttırılması için çok sayıda kaynaktan tek hedefe yapılan saldın şekline dönüşmüştür. Sistemlerin erişilebilirliğini engellemeye yönelik bir saldırı türüdür. Her sistem kurulurken; kullanıcı sayılan, hat kapasitesi, anlık istek sayısı gibi unsurlar için belli değerler öngörülür ve bu değerlerin biraz daha üstünde yükü kaldırabilecek şekilde tasarım yapılır. Saldırı esnasında sistemin kaldırabileceği yükün çok üzerinde anlık istek, anlık kullanıcı sayısı ile sistem yorulur ve cevap veremez hale getirilir.
DDOS gibi bir saldırıya maraz kalması durumunda ISP’deki Null Route’u kullanmasına olanak sağlanır.
ISP bu tarz ataklan bertaraf etmek için öntanımlı bir Null-Route oluşturarak sunucuyu hedef alan DDOS saldmlannı bir black-hole’a yönlendirebilir, saldınya maraz kalan prefke null-route community ile birlikte no-export community uygulanırsa DDOS ataklan, kullandığımız ISP’ye dahi ulaşamadan sönümlenebilir. Çünkü no-export ile prefk’in yurt dışı anonsu önlenmiş olmaktadır.
Senaryo olarak bahsedecek olursak; Tabi bu senaryolan çok farklı şekillerde kurgulayabiliriz ancak konura fazla uzatmamak ve siz değerli Teknoltan.com okuyucularımızı sıkmamak adına basit bir senaryo planı örnekleyelim.
1-Saldırı Başlıyor
2- IDS (Saldırı Tespit Sistemi) Saldırı altında kullanılan ip veya ip aralığını tanımlar
3- Müşteri statik, ip veya ip aralığını Null0 değerine yönlendirir ve 1234: 123 ile etiketleyen bir yol haritası ile ilgili bir duyuru ekler.
Yapılandırma Örneği (XXXX saldırıya uğradı ip)
conf t
-> conf t :(confıgure moduna çıkmak için confıgure terminal ya da kısa olarak conf t yazabilirsiniz komutunu giriyoruz.)
ip route X.X.X.X 255.255.255.255 Null0
->ip route : (Static Route girmek için kullanılır.)
-> NullO : Gerçekte varolmayan ve fiziksel olarak erişeleyemecek bir interface’dir.
router BGP Your as
Network X.X.X.X mask 255.255.255.255 (route-map blackhole)
route-map blackhole permit 10
set community (1234:123)
end
NOT: 1234:123 sağlayıcınız size sunduğu set community değeri ile değiştirilmeli