Bilişim ve Hukuk!

28 Şub 2017

CloudFlare Nedir ve CloudFlare Bypass Yöntemleri

CloudFlare Nedir?


CloudFlare, milyonlarca web sitesini, API'leri, SaaS hizmetlerini ve İnternet'e bağlı diğer özellikleri hızlandırır ve korur.”

Cloudflare, kullanıcısına;  CDN ve Web Optimizasyonu gibi performans iyileştirmeleri, WAF, DDOS ve SSL tehditlerine karşı güvenlik koruması, piyasadaki %35 Pazar payı ile dünyadaki en büyük, hızlı ve güvenilir yönetilen DNS hizmetleri ile güvenilirlik ve geleneksel analitik teknolojilerin erişemeyeceği ziyaretçi ve bot davranışlarını sezgisel ayrıştırma imkânı sağlar. CloudFlare, aynı zamanda sitenizin DNS Server görevini de üstlenerek hız, güvenlik ve performans odaklı iyileştirmeler sağlar.



CDN (Content Delivery Network) yani İçerik Dağıtım Ağı, dünyanın çeşitli yerlerine dağıtılmış sunucuların oluşturduğu bir altyapıdır. CDN’nin amacı, site ziyaretçilerine sitenin içeriğini en hızlı şekilde ulaştırmaktır. Yani, siteye giren ziyaretçi site içeriğini, ona en yakın olan sunucudan alır. Böylelikle sitede yüksek oranda hız performansı artışı meydana gelmektedir.



                Herhangi bir DDOS Koruması (DDOS Protection) teknolojisi kullanmayan sitelerde saldırganlar, doğrudan sitenin barındığı sunucuyu hedef alarak aşırı yüklenme (DDOS) saldırısı yapabilirler. (DDos Nedir?) Ancak CloudFlare gibi bir DDOS Koruması kullanan web sitelerde bu saldırının hedefi bulma ihtimali oldukça düşük seviyelere inmektedir. Bunun nedeni yapılan DDOS saldırısının doğrudan sitenin barındığı sunucuya değil bulut ağa yapılmasındandır. Çünkü saldırıyı gerçekleştirecek olan saldırgan, sitenin barındığı sunucunun kullandığı gerçek IP adresine erişemediğinden dolayı, sitenin üzerinde bulunan bulut katman olarak nitelendirebileceğimiz CloudFlare sunucularının IP adresine yönelmektedir. Böylelikle sitenin barındığı sunucu korunmaktadır.
                CloudFlare, kullanıcıya aynı zamanda, Cache (Önbellek) servisiyle sitenizde oluşacak herhangi bir aksaklık durumunda ziyaretçiye bu sorunu yansıtmadan içerik göstermeye devam eder. Bunun yanında trafik analizi, içerik koruması, spam koruması gibi özellikleri de barındırmaktadır.

Saldırılarda Kullanılan CloudFlare Atlatma Yöntemleri (CloudFlare Bypass Methods)


                Dünya genelinde son zamanlarda artış gösteren DDos saldırıları nedeniyle DDos korumaları oldukça artış göstermiştir. Bu refleksin sonucunda oluşan koruma teknolojilerinden biri de CloudFlare’dir. Ne var ki saldırganlar da bu korumayı aşmak amacıyla bazı metotlar geliştirmiştir.

1-DNS Kayıtlarını İnceleme

Hedef site her ne kadar DDos koruması amaçlı olarak CloudFlare DNS’lerini kullansa da bazı DNS kayıtları (DNS Records) sitenin gerçek IP adresini saldırgana verebilmektedir. Bu ele veren kayıtlardan en yaygını MX yani Mail Server kayıtlarıdır. Hedef sitenin DNS kayıtları hakkında nslookup, DIG vs. gibi DNS Information Gathering (Bilgi Toplama) araçlarıyla bilgi sahibi olunabileceği gibi whois araçlarıyla da DNS dökümü alınabilir. Böylelikle NS kayıtları CloudFlare sunucusuna yönlendirilmiş olsa dahi MX kayıtlarında sitenin barındığı gerçek sunucunun IP adresi ortaya çıkacaktır. Saldırgan bu gerçek IP adresini kullanarak saldırı yapabilecektir.






                Bütün bunlarla beraber, hedef siteden gelen bir mailin başlıklarında (mail headers) araştırma yapılarak sitenin gerçek IP adresi bulunabilmektedir. Bunun için hedef sitedeki abonelik, üyelik, iletişim formları kullanılabilir. Bununla birlikte sitede barınmayan ancak hedef sitenin domain uzantısı kullanılarak gönderilen bir maile (Mail à boylebirmailyok@hedefsite.com) 24 saat içinde sunucudan cevap olarak gelen [550] (No such user!) hata kodlu mailin kaynak kodunda ve başlıklarında araştırma yapılarak mx kayıtlarına ulaşılabilir.

2-Subdomain (Alt Alan Adı) IP Analizi

                CloudFlare, bazı durumlarda yalnızca ana alan adını (domain) kapsamaktadır. Ancak sitede bulunan diğer alt alan adları gerçek sunucuyla doğrudan ilişki içerisindedir. Bu zafiyet sonucunda saldırgan, alt alan adlarına ping atarak gerçek sunucunun IP adresini elde edebilmektedir. Sıkça kullanılan alt alan adlarından bazıları şunlardır:
ping ftp.site.com
ping webmail.site.com
ping blog.site.com
ping forum.site.com
ping driect-connect.site.com
ping vb.site.com
ping cpanel.site.com
ping forums.site.com
ping home.site.com
ping shop.site.com
ping blogs.site.com
ping direct-connect.site.com
ping direct.site.com
ping ftp.site.com
ping cpanel.site.com
ping mail.site.com

3-Sızdırılmış CloudFlare Veritabanlarını Araştırma (CloudFlare DB Leaks)

CloudFlare, zaman zaman saldırılara maruz kalmış ve kullanıcılarının gerçek sunucularının IP adresleri sızdırılmıştır. Saldırganlar, sızdırılan bu veritabanlarında hedef sitelerinin IP adreslerini araştırarak sitenin gerçek IP adresine erişebilmektedir. Öyle ki, bu veritabanları internette kolaylıkla bulunabileceği gibi veritabanlarının içerisinde arama yapmak için özel yazılımlar (script) geliştirilmiştir.





4- DNS, IP, HOST Kayıtlarını Geçmişe Yönelik İnceleme

                Çoğu CloudFlare kullanıcısı, işletmesinin veya kişisel web sitesinin kullanıma açılmasından belirli bir süre sonra CloudFlare sistemine geçiş yapmaktadır. Ancak CloudFlare sistemine geçiş yaptıktan sonra dahi sitesini aynı sunucuda barındırmaya devam etmektedir. Bazı domain ve whois araçlarının geçmişe yönelik kayıt tutması nedeniyle, bu durum zafiyete yol açmaktadır. Hedef sitenin geçmişte kullandığı DNS, IP veya HOST bilgilerini gösteren araçlar kullanılarak, hedef sitenin gerçek IP adresine erişmek mümkün olmaktadır. DNSTrails ve ViewDNS bu araçlardan bazılarıdır.





5- Hedef Site Sahibinin Diğer Sitelerinin Bulunduğu Sunucuyu Araştırma (Reverse IP Domain Lookup)

                Bazı webmasterlar birden fazla web sitesine sahip olabilmektedir. Bu web sitelerinden bazıları CloudFlare gibi DDos koruma teknolojisiyle korunmalarına rağmen diğer siteler korunmasızdır. Aynı zamanda bir şirket sitesinin sahibi, kişisel sitesini de aynı sunucuda barındırabilmektedir. Saldırganlar, hedef sitenin sahibine ait olduğunu bildiği sitelerin bulunduğu sunucuyu araştırarak hedefteki sitenin de aynı sunucuda barındığı durumlarda hedef sitenin IP adresine de ulaşmış olurlar.



Hiç yorum yok:

Yorum Gönder