CloudFlare Nedir?
“CloudFlare, milyonlarca web sitesini, API'leri, SaaS hizmetlerini ve İnternet'e bağlı diğer özellikleri hızlandırır ve korur.”
Cloudflare, kullanıcısına; CDN ve Web Optimizasyonu gibi performans iyileştirmeleri, WAF, DDOS
ve SSL tehditlerine karşı güvenlik
koruması, piyasadaki %35 Pazar payı ile dünyadaki en büyük, hızlı ve güvenilir
yönetilen DNS hizmetleri ile güvenilirlik
ve geleneksel analitik teknolojilerin erişemeyeceği ziyaretçi ve bot
davranışlarını sezgisel ayrıştırma
imkânı sağlar. CloudFlare, aynı zamanda sitenizin DNS Server görevini de
üstlenerek hız, güvenlik ve performans odaklı iyileştirmeler sağlar.
CDN (Content Delivery Network) yani İçerik Dağıtım Ağı, dünyanın
çeşitli yerlerine dağıtılmış sunucuların oluşturduğu bir altyapıdır. CDN’nin
amacı, site ziyaretçilerine sitenin içeriğini en hızlı şekilde ulaştırmaktır.
Yani, siteye giren ziyaretçi site içeriğini, ona en yakın olan sunucudan alır.
Böylelikle sitede yüksek oranda hız performansı artışı meydana gelmektedir.
Herhangi
bir DDOS Koruması (DDOS Protection) teknolojisi kullanmayan sitelerde
saldırganlar, doğrudan sitenin barındığı sunucuyu hedef alarak aşırı yüklenme
(DDOS) saldırısı yapabilirler. (DDos
Nedir?) Ancak CloudFlare gibi bir DDOS Koruması kullanan web sitelerde bu
saldırının hedefi bulma ihtimali oldukça düşük seviyelere inmektedir. Bunun
nedeni yapılan DDOS saldırısının doğrudan sitenin barındığı sunucuya değil
bulut ağa yapılmasındandır. Çünkü saldırıyı gerçekleştirecek olan saldırgan,
sitenin barındığı sunucunun kullandığı gerçek
IP adresine erişemediğinden dolayı, sitenin üzerinde bulunan bulut katman
olarak nitelendirebileceğimiz CloudFlare
sunucularının IP adresine yönelmektedir. Böylelikle sitenin barındığı
sunucu korunmaktadır.
CloudFlare,
kullanıcıya aynı zamanda, Cache (Önbellek) servisiyle sitenizde oluşacak
herhangi bir aksaklık durumunda ziyaretçiye bu sorunu yansıtmadan içerik
göstermeye devam eder. Bunun yanında trafik analizi, içerik koruması, spam
koruması gibi özellikleri de barındırmaktadır.
Saldırılarda Kullanılan CloudFlare Atlatma Yöntemleri (CloudFlare Bypass Methods)
Dünya
genelinde son zamanlarda artış gösteren DDos saldırıları nedeniyle DDos
korumaları oldukça artış göstermiştir. Bu refleksin sonucunda oluşan koruma
teknolojilerinden biri de CloudFlare’dir. Ne var ki saldırganlar da bu korumayı
aşmak amacıyla bazı metotlar geliştirmiştir.
1-DNS Kayıtlarını İnceleme
Hedef site her ne kadar DDos
koruması amaçlı olarak CloudFlare DNS’lerini kullansa da bazı DNS kayıtları
(DNS Records) sitenin gerçek IP adresini saldırgana verebilmektedir. Bu ele
veren kayıtlardan en yaygını MX yani Mail Server kayıtlarıdır. Hedef sitenin
DNS kayıtları hakkında nslookup, DIG vs.
gibi DNS Information Gathering
(Bilgi Toplama) araçlarıyla bilgi sahibi olunabileceği gibi whois araçlarıyla
da DNS dökümü alınabilir. Böylelikle NS kayıtları CloudFlare sunucusuna
yönlendirilmiş olsa dahi MX kayıtlarında sitenin barındığı gerçek sunucunun IP
adresi ortaya çıkacaktır. Saldırgan bu gerçek IP adresini kullanarak saldırı
yapabilecektir.
Bütün
bunlarla beraber, hedef siteden gelen bir mailin başlıklarında (mail headers)
araştırma yapılarak sitenin gerçek IP adresi bulunabilmektedir. Bunun için
hedef sitedeki abonelik, üyelik, iletişim formları kullanılabilir. Bununla
birlikte sitede barınmayan ancak hedef sitenin domain uzantısı kullanılarak
gönderilen bir maile (Mail à
boylebirmailyok@hedefsite.com)
24 saat içinde sunucudan cevap olarak gelen [550] (No
such user!) hata kodlu mailin kaynak kodunda ve başlıklarında araştırma
yapılarak mx kayıtlarına ulaşılabilir.
2-Subdomain (Alt Alan Adı) IP Analizi
CloudFlare,
bazı durumlarda yalnızca ana alan adını (domain) kapsamaktadır. Ancak sitede
bulunan diğer alt alan adları gerçek sunucuyla doğrudan ilişki içerisindedir.
Bu zafiyet sonucunda saldırgan, alt alan adlarına ping atarak gerçek sunucunun
IP adresini elde edebilmektedir. Sıkça kullanılan alt alan adlarından bazıları
şunlardır:
ping ftp.site.com
ping webmail.site.com
ping blog.site.com
ping forum.site.com
ping driect-connect.site.com
ping vb.site.com
ping cpanel.site.com
ping forums.site.com
ping home.site.com
ping shop.site.com
ping blogs.site.com
ping direct-connect.site.com
ping direct.site.com
ping ftp.site.com
ping cpanel.site.com
ping mail.site.com
ping webmail.site.com
ping blog.site.com
ping forum.site.com
ping driect-connect.site.com
ping vb.site.com
ping cpanel.site.com
ping forums.site.com
ping home.site.com
ping shop.site.com
ping blogs.site.com
ping direct-connect.site.com
ping direct.site.com
ping ftp.site.com
ping cpanel.site.com
ping mail.site.com
3-Sızdırılmış CloudFlare Veritabanlarını Araştırma (CloudFlare DB Leaks)
CloudFlare, zaman zaman
saldırılara maruz kalmış ve kullanıcılarının gerçek sunucularının IP adresleri
sızdırılmıştır. Saldırganlar, sızdırılan bu veritabanlarında hedef sitelerinin
IP adreslerini araştırarak sitenin gerçek IP adresine erişebilmektedir. Öyle
ki, bu veritabanları internette kolaylıkla bulunabileceği gibi veritabanlarının
içerisinde arama yapmak için özel yazılımlar (script) geliştirilmiştir.
4- DNS, IP, HOST Kayıtlarını Geçmişe Yönelik İnceleme
Çoğu
CloudFlare kullanıcısı, işletmesinin veya kişisel web sitesinin kullanıma
açılmasından belirli bir süre sonra CloudFlare sistemine geçiş yapmaktadır.
Ancak CloudFlare sistemine geçiş yaptıktan sonra dahi sitesini aynı sunucuda
barındırmaya devam etmektedir. Bazı domain ve whois araçlarının geçmişe yönelik
kayıt tutması nedeniyle, bu durum zafiyete yol açmaktadır. Hedef sitenin
geçmişte kullandığı DNS, IP veya HOST bilgilerini gösteren araçlar
kullanılarak, hedef sitenin gerçek IP adresine erişmek mümkün olmaktadır. DNSTrails ve ViewDNS
bu araçlardan bazılarıdır.
5- Hedef Site Sahibinin Diğer Sitelerinin Bulunduğu Sunucuyu Araştırma (Reverse IP Domain Lookup)
Bazı
webmasterlar birden fazla web sitesine sahip olabilmektedir. Bu web
sitelerinden bazıları CloudFlare gibi DDos koruma teknolojisiyle korunmalarına
rağmen diğer siteler korunmasızdır. Aynı zamanda bir şirket sitesinin sahibi,
kişisel sitesini de aynı sunucuda barındırabilmektedir. Saldırganlar, hedef
sitenin sahibine ait olduğunu bildiği sitelerin bulunduğu sunucuyu araştırarak
hedefteki sitenin de aynı sunucuda barındığı durumlarda hedef sitenin IP
adresine de ulaşmış olurlar.
Hiç yorum yok:
Yorum Gönder