Tüm dünyanın en yakın arkadaşınıza kötüye kullanım bildirimi göndermesini sağlamanın yolu

 (delroth.net)
1 puan yazan GN⁺ 2024-10-30 | 1 yorum | WhatsApp'ta paylaş

Giriş

  • Bu yazı, güvenlik, ağ iletişimi ve kötüye kullanım bildirimleriyle ilgili kişisel bir deneyimi ele alıyor.
  • Yazar, kendi sunucusunun kötü amaçlı yazılımla enfekte olduğuna dair bir bildirim aldı, ancak yaptığı inceleme sonucunda bir sorun olmadığını doğruladı.

Olayın başlangıcı

  • Yazar, Hetzner'den kendi IP adresi hakkında bir kötüye kullanım bildirimi alındığını belirten bir e-posta aldı.
  • Sunucuda anormal SSH bağlantı girişimleri tespit edildi, ancak gerçekte sunucudan dışarıya giden bağlantılar değil, dışarıdan sunucuya doğru TCP reset paketleri gönderiliyordu.

IP spoofing

  • İnternette IP spoofing, kaynak IP adresini sahteleyerek paket göndermektir.
  • BCP38, ağlar arasında IP paketleri iletilirken yalnızca beklenen IP adreslerine izin verilmesini önerir, ancak tüm ağlar buna uymuyor.

Motivasyon tahmini

  • Saldırgan, kaynak IP'yi sahteleyerek 22 numaralı porta bağlantı isteği gönderiyor ve bunun sonucunda otomatik kötüye kullanım bildirimleri tetikleniyor.
  • Bunun, Tor ağındaki bazı düğümleri hedef alan bir saldırı olabileceği düşünülüyor.

Tor bağlantısı

  • Tor relay'leri anonimleştirilmiş trafiği iletme görevi görür ve dış internetle doğrudan bağlantı kurmaz.
  • Ancak bazı internet kullanıcıları Tor'dan hoşlanmaz ve onu devre dışı bırakmaya yönelik girişimlerde bulunabilir.

Sonuç

  • İnternet 25 yıl önce de sorunluydu, bugün de öyle.
  • IP spoofing hâlâ bir sorun ve BCP38 gibi güvenlik kuralları gerektiği gibi uygulanmıyor.
  • Bu tür kötüye kullanım bildirimleri alırsanız, sunucunun mağdur olduğunu barındırma sağlayıcınıza nasıl açıklayabileceğinizi öğrenmiş olursunuz.

# GN⁺ Özeti

  • Bu yazı, IP spoofing ile ilgili bir güvenlik sorununu ele alıyor ve bunun Tor ağıyla bağlantısını açıklıyor.
  • İnternet güvenliğinin önemini ve BCP38'in gerekliliğini vurguluyor.
  • Benzer işlevlere sahip projeler olarak çeşitli güvenlik ağı araçları önerilebilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-10-30
Hacker News görüşleri

  • IP spoofing sorunu, kötü niyetli aktörler ile masum kullanıcıların aynı bahaneyi kullanabilmesi nedeniyle çözülmesi zor bir mesele

    • İnternette bu sorun 25 yıl önce de vardı ve hâlâ çözülmüş değil
    • Spoof edilmiş IP adresi sorunu 2024'te de hâlâ mevcut ve internet topluluğu bunu çözmek için güvenlik kurallarını zorunlu kılmıyor

  • Geçmişte temel güvenlik duvarı kuralları uygulanmıştı, ancak spoof edilmiş paketler nedeniyle sorun yaşandı

    • Belirli bir IP'den spoof edilmiş paketler alındı ve bunu çözmek için güvenlik duvarı kuralları ayarlandı
    • Birden fazla IP adresi işletmek önemlidir; ISP kaynak tabanlı filtreleme yaparsa başka bir ISP'ye geçilir

  • BCP38 filtrelemesi yapmayan bir transit sağlayıcı bulursanız, istediğiniz kaynak IP ile paket gönderebilirsiniz

    • BCP38'in kökeni 1998'e kadar uzanıyor, ancak hâlâ bunu uygulamayan ağ sağlayıcıları var
    • Spoofing'i önlemek için BCP38 uygulamayan tüm AS'lerin trafiğini reddetmek gerekir

  • Tor relay'lerinden hoşlanmayan birinin teorisi pek değerli görünmüyor

    • Bu, kötü niyetli relay çalıştırırken meşru relay'leri ortadan kaldırma girişimi olabilir

  • Bu, swatting'e benzer bir sorun; doğrulanmamış bir sorunun kaynağına karşı yetkililerin ciddi adımlar atmasına dayanıyor

    • Farkı, şikâyetin ilgisiz taraflar üzerinden yapılması

  • Geçmişte DrDoS reflector'leri tarandı ve cloud sağlayıcı çok sayıda şikâyet aldı

    • Spoof edilmiş tarama paketleri gönderen sunucu tespit edilmez ve interneti tekrar tekrar tarayabilir
    • Spoof edilmiş paketlerin kaynağını izlemek mümkündür, ancak transit sağlayıcıyla iş birliği gerekir

  • Sistem, tek bir paket için otomatik olarak abuse bildirimi göndermemeli; yalnızca hizmet reddi seviyesinde trafik varsa bildirmeli

    • SSH için handshake gerçekleşene kadar geçerli bir bağlantı girişimi sayılmaz

  • IP spoofing, swatting, patent trollüğü ve masum insanlara iftira atmaya benzer bir sorundur

    • Kötüye kullanım koruma mekanizmalarını silah gibi kullanarak hoşlanılmayan hedeflere saldırma yöntemidir
    • Yetkililer zayıf halka hâline gelerek kötü niyetli aktörler tarafından araçsallaştırılabilir

  • Saldırıyı ele geçirip herkese paket gönderirseniz, sağlayıcıların abuse e-postaları altında ezilmesini sağlayarak saldırının çalışmamasına yol açabilirsiniz

    • Honeypot abuse e-postası göndermeyebilir veya sağlayıcı bunları filtreleyebilir