IPv4 Hijacking (Kaçırma) Nedir?
IPv4 kaçırma (BGP hijacking veya IP prefiks kaçırma olarak da bilinir), birinin IP adres alanınızı yetkisiz olarak kendi ağından duyurmasıdır. Bu, trafiğinizi yönlendirebilir, phishing saldırılarına olanak tanıyabilir veya spam kampanyaları için kullanılabilir.
Kaçırma Türleri
- BGP Prefiks Kaçırma: Saldırgan, sizin prefiksinizi kendi AS numarasından duyurur
- Alt Prefiks Kaçırma: Saldırgan, bloğunuz içinde daha spesifik bir prefiks duyurur (örn. /24'ünüz içinde /25). BGP'de daha spesifik rotalar her zaman tercih edilir
- Atıl Adres Alanı Kaçırma: Duyurulmamış veya pasif IP blokları özellikle savunmasızdır
Kaçırma Nasıl Tespit Edilir?
- BGP izleme: Prefikslerinizin duyurularını takip etmek için BGPStream veya RIPEstat kullanın
- RPKI izleme: Prefikslerinizin RPKI geçerlilik durumunu izleyin
- Kara liste izleme: Sürekli izleme, kaçırıcı suistimali nedeniyle IP'leriniz kara listelere girerse sizi uyarabilir
Kaçırmaya Karşı Nasıl Korunulur?
1. RPKI ROA'ları Oluşturun
En etkili korunma yöntemidir. ROA, hangi AS'nin prefiksinizi duyurmaya yetkili olduğunu kriptografik olarak onaylar.
2. Prefikslerinizi İzleyin
Adres alanınızı içeren herhangi bir BGP etkinliği için uyarılar kurun.
3. RIR Kayıtlarınızı Güncel Tutun
RIPE/ARIN/APNIC kayıtlarınızın sahipliğinizi ve iletişim bilgilerinizi doğru yansıttığından emin olun.
4. Alanınızı Duyurun (Kullanılmıyor Olsa Bile)
Aktif olarak kullanılmayan IP bloklarınız varsa, uygun ROA'larla bunları duyurmayı düşünün. Duyurulmamış alan, kaçırıcılar için en kolay hedeftir.
Kaçırılırsa Ne Yapılmalı?
- BGP looking glass araçlarıyla kaçırmayı doğrulayın
- RPKI ROA'nızı hemen oluşturun veya doğrulayın
- Yetkisiz duyuruyu bildirmek için RIR'ınızla iletişime geçin
- Kaçırmanın kaynaklandığı ağla iletişime geçin (abuse iletişimi)
- Upstream sağlayıcılarınızı bilgilendirin
- Potansiyel hukuki işlem için her şeyi belgeleyin
IPv4 yatırımınızı uygun güvenlikle koruyun. İzleme kurun ve RPKI ROA'larınızın doğru yapılandırıldığından emin olun.