Üniversiteye 54 Saat DDoS Saldırısı

Yeni Mirai çeşidi sayesinde saldırganlar Amerika’da bulunan bir üniversiteye 54 saat boyunca DDoS saldırısı gerçekleştirdi.

Daha önce haberlerimize konu olmuş Mirai zararlı yazılımı geri dönmüşe benziyor. Üstelik bu sefer dönen versiyonu application layer (uygulama katmanı) saldırısı konusunda çok yetenekli.

application-layer-ddos-attack

Geçtiğimiz yıl ağustos ayında Mirai adında bir zararlı yazılım keşfedilmişti. Adı verilmeyen bir Amerikan üniversitesine 54 saatlik bir DDoS saldırısı ile tekrar ortaya çıkan Mirai geri dönmüşe benziyor.

Imperva Incapsula’ya göre saldırı 28 Şubat’ta gerçekleşti fakat haberleri yeni yeni çıkıyor. Araştırmacılar ortaya çıkan bu yeni Mirai versiyonunun application layer (uygulama katmanı) konusunda ustalaştığını düşünüyor.

Saldırı sırasında ölçülen ortalama trafik akışı 30.000 RPS (saniye başına gelen istek sayısı) ve en görülen en yüksek trafik akışı ise 37.000 RPS. DDoS saldırılarını hafifletmek için hizmet veren bir şirketin açıklamasına göre bu istek sayısı bir Mirai zararlı yazılımından gelen en yüksek istek sayısı olarak biliniyor. Saldırı sırasında 2.8 milyarın üzerinde talep gönderildiğini bildirdiler.

Saldırı 54 saatlik uzun süresiyle kendi liginde birinci oldu çünkü bugüne kadar yapılan benzer saldırıların en uzunu 6 saati geçememişti.

Araştırmacılar ayrıca bu saldırıda rol oynayan oldukça geniş bir IoT cihaz havuzu olduğunu keşfettiler. Yapılan saldırının 9.793 adet IP’den geldiği fakat bu botnet trafiğinin %70’i 10 farklı ülkeden geldiği keşfedildi.

Gelen trafiğin büyük bir kısmının ABD kaynaklı olduğu ve IP’lerin %18.4’ünün ABD sınırları içinde bir yere yönlendirildiği tespit edildi. Geri kalan ülkeler ve IP botnet yüzdeleri ise şöyle:

%11.3 ile İsrail, %10.8 ile Tayvan, %8.7 ile Hindistan, %6 ile Türkiye, %3.8 ile Rusya, %3.2 ile Meksika ve İtalya, %3 ile Kolombiya ve son olarak %2.2 ile Bulgaristan.

image2

54 saatlik saldırının sona ermesinden bir gün sonra başka bir saldırı daha başlatıldı ancak bu seferki saldırı yalnızca bir buçuk saat sürdü ve ortalama trafik akışı yalnızca 15.000 RPS olarak kaldı.

Hatırlarsanız Mirai ismini ilk olarak DYN DNS’e yapılan devasa DDoS saldırısı ile duymuştuk. Bu saldırı yüzünden Twitter, PayPal ve daha birçok büyük web sitesi birkaç saatliğine hizmet verememişti. Ayrıca Mirai’yi 1Tbps ile dünyanın en büyük DDoS saldırısı olayından da hatırlayabilirsiniz. Bu saldırı da Fransa merkezli OHV Hosting’e yapılmıştı.