28.03.2013

Bugüne kadar görülmüş en büyük siber saldırının hedefi: Spamhaus

Çeşitli kaynakların [123] bildirdiğine göre son 10 günlük dönemde gerçekleşen DDoS saldırılarılarının ölçeği şimdiye kadar görülenlerden çok büyük. Saldırının hedefinde Spamhaus var. Spamhaus, şu yazımda bahsettiğim gibi, spam olarak adlandırılan ve istenmeyen mesajların alıcı tarafından engellenmesini sağlayan bir organizasyonun ismi.

Saldırı o kadar büyük ki, spamhaus gibi bir sürekli saldırıların hedefinde olan bir organizasyon böyle bir trafik karşısında çaresiz kalıp bu konuda uzman olan CloudFlare firmasından yardım istemiş. Saldırının büyüklüğü hakkında telaffuz edilen rakamlar saniyede 300 gigabit!

BBC'nin haberine göre Spamhaus, Cyberbunker adlı sitenin ayağına basmış. Cyberbunker da bu duruma bozulup tüm silahlarını Spamhaus'a çevirmiş. Spamhaus'un CloudFlare'den yardım istemesinin ardından siteye yönlenmiş DDoS saldırıları defedilmiş. Ancak bundan sonra taktik değiştiren saldırganlar CloudFlare'in hizmet aldığı diğer hizmet sağlayıcıları hedef almaya başlamışlar. Bu durum sonunda Tier-1 bağlantıları sağlayıcıları ağlarındaki trafiği engelleyememişler. CloudFlare'in blog'unda bahsettiğine göre bu noktadan sonra saldırı artık sadece Spamhaus'u etkilemekten çıkıp Avrupa başta olmak üzere tüm dünyanın internet trafiğini etkiler hale gelmiş.

Başlangıçta yansıtılmış DNS saldırısı denen bir yöntemle Spamhaus hedef alınmış. Kaynağı değiştirilmiş (spoofed) çok sayıda DNS sorguları kullanılmış. Hedef sunucular küçük boyutlu gelen DNS sorgu isteklerine çok büyük cevaplar vermek zorunda kalınca ortaya katlanarak büyüyen bir trafik çıkmış. Ayrıca saldırıyı yapan sunucular, DNS sorguların sonuçlarıyla ilgilenmedikleri için sorguyu başka gerçek sunucular yapmış gibi göstermişler. Doğal olarak cevap da bu sunuculara dönülmüş. Bu durumda bazı servis sağlayıcı saldırıların kaynağının Spamhaus olduğunu düşünmüş :)

Uzmanlar, çok daha büyük benzer saldırıların yakın gelecekte muhtemel olduğunu söylüyor. DDoS gibi saldırıları engellemenin kolay bir yolu olmadığı, internet sağlayıcıların bu konuda bir girişimde bulunması gerektiği söyleniyor.

Son birkaç gündür çok yaygın olarak internette sebepsiz bir yavaşlamadan şikayetçiyseniz sebebi buymuş işte.

27.03.2013

WSUS download hızını sınırlama

Yerel ağımızdaki WSUS (Windows Server Update Services) sunucumu tekrar kurmam gerekti. Bu da yüklü tüm güncellemeleri Microsoft sunucularından tekrar indirmek demekti. Bu durumda WSUS sunucu, internet bağlantımızın tamamını kullanarak, hatta tam anlamıyla "sömürerek" download'larını tamamlamak için fazla mesai yaptı. E bu durumda internete bağlanmaya çalışan herkes inanılmaz bir yavaşlıktan şikayet etmeye başladı. WSUS'un download'lar için kullandığı bantgenişliğine bir üst sınır getmenin mümkün olup olmadığını araştırırken buldum ki BITS'i (Background Intelligent Transfer Service) kullanarak bunu yapabilirim. Peki hiçbir ayar arayüzünü bilmediğim BITS'i nereden yapılandıracağım? Group Policy!

Kendisi de etki alanımızın bir üyesi olan WSUS sunucunun üzerindeki Group Policy Object Editor ile nedense gerekli policy ayarlarına ulaşamadım. Ben de kendi bilgisayarımı kullanarak mmc.exe'yi çalıştırdım, ona Group Policy Object Editor snap-in'ini ekleyerek uzak sunucuyu yapılandıracak şekilde ayarlamayı denediğimde ise gerekli ayarlara uzaktan erişmeyi başardım.


Yapılması gereken

Computer Configuration>Administrative Templates>Network>Background Intelligent Transfer Service

altındaki "Limit the maximum network bandwidth for BITS background transfers" değerini çift tıklayarak açılan pencereye aşağıdaki gibi ayarlarlamak.


Burada ben sabah 08:00 ile akşam 18:00 arasında 400 Kbps hızında download yapmasını, geri kalan zamanlarda da 1000 Kbps hızında download yapmasını söylemiş oldum. Eğer "Use all availabile unused bandwidth" checkbox'ını işaretlerseniz bu saatler dışında tüm kullanılabilir bağlantı hızını kullanmayı seçmiş olursunuz. Bu değeri "Disabled" yaparsanız veya "Not Configured" olarak bırakırsanız BITS her zaman mümkün olan en yüksek hızda download yapmaya çalışacaktır.

5.03.2013

Sabit diskler için sağlık kontrolü : SMART


Bütün verilerini yalnız bir sabit diskte tutup da bu diski kaybeden herkes gibi ben de diskin bozulmasının işaretinin önceden nasıl alınacağını araştırmıştım bir aralar. Sanki hiç bozulmayacakmış gibi güvendiğimiz sabit disk, bir gün bozuluverir. Yılların eskitemediği bir disk, ya da yeni alınmış bir disk, hiç farketmez.

Bu durumda kalmamak için geliştirilmiş bir teknoloji var: S.M.A.R.T. O noktalara dikkat, neden bilmem, illa ki noktalarla yazılacak.

Büyük verilerle çalışan firmaların yıllarca çalışarak geliştirdikleri bir yöntem. Ama standartlaşma aşamasında biraz cılız kalmış. Bunun sonucunda da tasarım amacı erken uyarı olan bir sistemin, bozulduktan sonra uyarı vermesi gibi bir durum söz konusu olmuş.

Eldeki tek yöntem bu olunca güvenmek lazım, kullanmak lazım. Uzun yıllardır her seferinde bir S.M.A.R.T. değerlerini okuyabilen bir program bulur, o programın "disk bozuluyor" demesini bekledim dururum. Okunan değerler karışıktır. Değerlerin açıklamalarının karışıklığı bir yana, bir de listelenen değerler Current, Worst, Threshold, Raw falan gibi alanlara sahiptir. Hangisine bakıcaz, hangisi önemlidir, bilemezdim bi türlü.

Öncelikle söylemek gerekir ki her üretici her disk için aynı standart verileri sunmuyor. Örneğin üreticinin biri "0x06 Read Channel Margin" verisini sunarken diğer üretici sunmayabiliyor. Hatta aynı üretici farklı model iki diskinde bile aynı veriyi sunmayabiliyor. Standartlaşma aşamasındaki cılızlıktan kastettiğim iki noktadan birisi bu.

Örneğin şu anda kullanmakta olduğum bilgisayarın disklerinin Acronis Drive Monitor ile okunan verileri şöyle:


Görüleceği gibi "Reallocated Sectors Count" alanı "Fail" olarak işaretlenmiş. Yanlız bu değer ile ilgili listelenen 3 tane veri var:
Raw Value = 4
Value = 100
Threshold = 36
Diskin üzerindeki sensörlerden okunan ham veri Raw Value olarak gösteriliyor. Bu ham veri daha sonra normalize edilerek 1 ile 253 arasında bir değere çevriliyor (1 en kötü, 253 en iyi değer). Bu normalize edilmiş değer yukarıdaki resimde Value olarak listelenmiş. Acronis Drive Monitor göstermemiş, ama başka programlarda bir de Worst alanı var ki o da normalize edilmiş veriler içinde şimdiye kadar okunan en düşük değer olarak tanımlanıyor. Threshold olarak gösterilen değer ise eşik değeri: bu değer sağlıklı bir disk için olabilecek en düşük değer. Bu değerin altına düşmeden diskinizin değiştirilmesi öneriliyor.

Bir disk üreticisinin isteyeceği en son şey ürettiği disklerin çabucak bozulmasıdır. Bunun sonucunda da disk üreticileri SMART verilerinin "diskiniz bozuluyor" şeklinde uyarı vermesini istemezler. Bu aşamada standart da onları zorlamadığı için bazı durumlarda disk çok geç uyarı verebilir, veya uyarı vermeden bozulabilir. Dahası bir üretici "SMART uyumlu" olarak ürettiği disk onlarca sağlık parametrelerinden sadece birini sunuyor olabilir. Bunun da standart açısından hiç bir sakıncası yok.

Evet, eksiklikleri var ama yine de bu sistemin sağladığı verileri kullanmak gerek.

Aynı bilgisayarda aynı diskleri için HDD Tune yazılımının sunduğu ekran da şöyle:


Bu araç ise Acronis'in aksine Reallocated Sector Count'un durumunu OK olarak listelemiş, ama onu ve başka iki değeri sarı ile işaretlemiş. Şu sayfada sarı değeri için "Kritik değere çok yakın" açıklaması yapılmış. Aslında örneğin Spin Retry Count için mevcut normalize değer 100, şimdiye kadar okunan en kötü değer de 100, okunan ham veri 0, ama yine de sarı işaretlenmiş. Tamam, 97 eşik değerine çok yakınız, ama disk alındığı günden bu yana 99 bile olmamış ki! Okuyan programların da bu konuda farklı yorumlarının olduğu da aşikar.

Wikipedia'nın SMART ile sayfasında, dikkat edilmesi gereken önemli veriler şöyle listelenmiş:

IDDeğer AdıAçıklaması
0x05Reallocated Sector CountManyetik disk plakasının üzerinde okuma/yazma hatasına sahip alan sayısı (ham veri). Buradaki veriler sağlam başka bir noktaya taşındıkları için kullanıcı birşey hissetmez, ama bu sayıların çoğalması da bir sorun belirtisidir.
0x0ASpin Retry CountDisk plakasını döndüren motorun, çalışma durumuna geçiş için yaptığı başarısız girişim sayısı.
0xB8End-to-End Error / IOEDCDiskin cache belleğinden manyetik belleğine kadarki yolda oluşabilecek parity hataları.
0xBCCommand TimeoutDiske gönderilen ve zaman aşımına uğrayan komut sayısı. Sıfırdan farklı olması bir sorunun işareti.
0xC4Reallocation Event CountBozuk alanlardaki verilerin sağlam alanlara kopyalama sayısı. "Reallocated Sector Count" verisinden farklı olarak bu veri başarılı ve başarısız taşıma işlemlerinin toplamıdır.
0xC5Current Pending Sector CountOkunamayan ve başka bir yere taşınmak için bekleyen (okunamadığı için taşımak da mümkün değil, ama disk yazılımı bozuk yeri işaretler ve bu verinin üzerine yeni bir veri yazılacağı zaman bunu sağlam başka bir alana yazar) alan sayısı.
0xC6Uncorrectable Sector CountDisk üzerinde düzeltilemeyecek okuma/yazma hatalarına sahip alanların sayısı.
0xCASoft Read Error RateECC hatalarının sayısı.
0xE6Drive Life Protection StatusDiskin "Hayat Eğrisi'ne (Life Curve)" göre çalışma durumu. 

Bunun dışında elimizdeki bir diskin ne kadar uzun süredir çalıştığını gösteren "0x09 Power-on Hours" alanı da var, bunlara dikkat etmek gerek.