IP adresi, ağa bağlı herhangi bir cihazı tanımlamak için kullanılır. Bu cihazlar masaüstü bilgisayarlardan sunuculara ve hatta güvenlik kameralarına kadar uzanır.
Acı Piramidi’nin (Pyramid of Pain) bir parçası olarak, IP adreslerinin bir gösterge (indicator) olarak nasıl kullanıldığını değerlendirelim.
Acı Piramidi’nde IP adresleri yeşil renk ile gösterilir.
Savunma açısından, bir saldırganın kullandığı IP adreslerini bilmek değerli olabilir. Yaygın bir savunma taktiği, belirtilen IP adreslerinden gelen gelen istekleri sınırınızda veya dış firewall’da engellemek/düşürmek/ret etmektir. Bu taktik genellikle kusursuz değildir çünkü deneyimli bir saldırganın yeni bir genel IP adresi kullanarak kolayca toparlanması (yeniden başlaması) çok da zor değildir.
Kötü amaçlı IP bağlantıları (app.any.run):
Bir saldırganın IP adreslerini engellemeyi zorlaştırmak için kullandığı yöntemlerden biri Fast Flux’tur.
Basitçe ne yapıyor?
Fast Flux, kötü niyetli kişiler (ör. botnet sahipleri) bir web sitesinin arkasına sürekli değişen, çok sayıda bilgisayarın IP adreslerini koyar. Bu bilgisayarlar çoğunlukla başkalarının ele geçirilmiş (hacklenmiş) makineleridir ve geçici olarak vekil (proxy) gibi davranırlar.
Neden yapıyorlar?
Amaç, kötü yazılımın (malware) veya sahte sitenin gerçek sunucusunu gizlemek ve güvenlik ekiplerinin bu bağlantıyı bulup kapatmasını zorlaştırmaktır. Yani savunma yapanlar “şu IP’yi engelle” deseler bile, saldırgan hemen farklı bir IP kullanır — bu yüzden engelleme işe yaramayabilir.
Kısaca örnek:
Normalde bir kötü site tek bir IP kullanır. O IP’yi engellersin, siteye erişim kesilir.
Fast Flux’ta aynı site binlerce farklı IP ile eşleştirilir ve bu IP’ler sık sık değişir. Engellesen bile hemen başka IP’den devam eder.
Sonuç: Fast Flux, saldırganların altyapısını daha dayanıklı (sökülmesi zor) hale getirir; güvenlik ekipleri için tespit ve müdahale zorlaşır.