lostyazilim
tr.link

İnanılmaz Boyutlarda DDoS saldırısı Alıyoruz

48 Mesajlar 11.876 Okunma
lstbozum
tr.link

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)

sworks adlı üyeden alıntı

Cloudflare her türlü DDoS saldırısını büyüklüğü fark etmeksiniz sınırsız bir şekilde engelleyebilir. Sanırım söylemek istediğiniz şey, ücretsiz sürümünde otomatik koruma olmaması. Ücretsiz veya $20'lık pro paket kullananlar manuel olarak DDoS korumasını aktif etmek zorundadır.

---

Konu ile alakalı olarak, saldırı boyutune göre değişkenlik gösterse de yapılabilecek en iyi çözümlerden birisi Cloudflare olur (Veya ücretli olarak Sucuri vs.) Cloudflare saldırı modunu açmış mıydınız?


Saldırı modunuda bypass edebiliyorum bilginize
 

 

wmaraci
reklam

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)
şöyle hocam sworks

https://prnt.sc/ruucav
 

 

sworks sworks WordPress Kullanıcı
  • Üyelik 28.02.2018
  • Yaş/Cinsiyet 29 / E
  • Meslek Freelancer
  • Konum Diğer
  • Ad Soyad A** K**
  • Mesajlar 3292
  • Beğeniler 1797 / 1799
  • Ticaret 20, (%100)
ismkdc Bunun belirttiğimiz durum ile bir alakası yok. Cloudflare kendiliğinden koruma sunmaz. Mesela burada ufak bile olsa bir saldırıda bulunmuşsunuz, bana da bildirim geldi.



Ki saldırdığınız sitede henüz cache atif edilmedi henüz geliştirilmeye devam ediyor. Sadece PHP üzerinden servis edilen bir site.

Normal şartlarda yukarıdaki bildirimden sonra ben Cloudflare üzerinden ilgili korumaları (saldırıya ve url'ye göre) açmam gerekir. Şu an ortada gerçek bir saldırı olmadığı için açmadım. İşte bu seviyede şimdiye kadar aşıldığını da görmedim duymadım. Böyle ufak saldırılarda değil 400 milyon üzerinde istek gelen saldırılarda bile...

Özellikle denemek isterseniz bana saldıracağınız bir url adresini söyleyin, ben Cloudflare+Nginx taraflı önlem alayım buyrun deneyelim. :)

Bu arada deneme sebebiyle bile olsa bu şekilde izinsiz saldırılarda bulunmamanızı öneririm. Başınız ciddi derecede ağrıyabilir.
ismkdc

kişi bu mesajı beğendi.

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)
o hostta aktif edin deneyelim hocam sworks imgbu.com
 

 

wmaraci
wmaraci

sworks sworks WordPress Kullanıcı
  • Üyelik 28.02.2018
  • Yaş/Cinsiyet 29 / E
  • Meslek Freelancer
  • Konum Diğer
  • Ad Soyad A** K**
  • Mesajlar 3292
  • Beğeniler 1797 / 1799
  • Ticaret 20, (%100)
ismkdc Aktif kullanılan bir site üzerinde test etmek uygun olmaz. serdarwork.com üzerinde saldıracağınız sayfayı söyleyin örneğin anasayfa, wp-login.php veya REST API fark etmez korumayı açıp haber vereyim. Böylece Cloudflare'ın ne derecede aşılıp aşılamayacağını test etmiş oluruz, eğer aşabildiğinizi iddia ediyorsanız. :)
 

 

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)
anasayfaya gönderiyorum serdarwork.com
 

 

sworks sworks WordPress Kullanıcı
  • Üyelik 28.02.2018
  • Yaş/Cinsiyet 29 / E
  • Meslek Freelancer
  • Konum Diğer
  • Ad Soyad A** K**
  • Mesajlar 3292
  • Beğeniler 1797 / 1799
  • Ticaret 20, (%100)
Sadece anasayfaya gönderecekseniz korumayı açmayacağım bile. Sınırı da yok istediğiniz kadar gönderebilirsiniz. Farklı sayfalara da gönderecekseniz belirtirseniz sevinirim ona göre kural eklerim. ismkdc

Dipnot: Bulunduğu sunucu 1GB RAM - 1CPU gücündedir.
ismkdc

kişi bu mesajı beğendi.

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)
https://prnt.sc/ruvdfn buyrun
 

 

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)
şuan under attack mode'a almışsınız üst yorumdada belirttilğim gibi "ücretsiz" olan cloudflare underattack moda aşılabiliyor ama bu ücretsiz olan değil underattack kapalıyken sitenin nasıl aşağı indiği ss'de mevcut.
 

 

sworks sworks WordPress Kullanıcı
  • Üyelik 28.02.2018
  • Yaş/Cinsiyet 29 / E
  • Meslek Freelancer
  • Konum Diğer
  • Ad Soyad A** K**
  • Mesajlar 3292
  • Beğeniler 1797 / 1799
  • Ticaret 20, (%100)
ismkdc Anasayfaya saldırmıyorsunuz yalnız. Doğrudan ana dizine saldıracağınızı düşündüm.

13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?BBRPTOEYJP=WTY HTTP/1.1" 200 13290 "http://serdarwork.com/OULHF" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=5.997 ua="unix:/var/run/php/php7.4-fpm.sock" us="200" ut="6.000" ul="51966" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?IXCMH=ULULQK HTTP/1.1" 200 13291 "http://www.usatoday.com/search/results?q=GYFMJ" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=5.873 ua="unix:/var/run/php/php7.4-fpm.sock" us="200" ut="5.876" ul="51966" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?ISUCVDCEN=BNGUTLYDEX HTTP/1.1" 200 13289 "http://www.google.com/?q=GGJXVZFYC" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=5.879 ua="unix:/var/run/php/php7.4-fpm.sock" us="200" ut="5.880" ul="51966" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?GSTNCIQG=BJBGSLZ HTTP/1.1" 502 150 "http://serdarwork.com/XYRDXT" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?EEOGAEB=AYU HTTP/1.1" 502 150 "http://serdarwork.com/NFEXPPD" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?VAO=XPX HTTP/1.1" 502 150 "http://serdarwork.com/FULIPSBT" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?YLMOLEVJL=PFAUFJAH HTTP/1.1" 502 150 "http://serdarwork.com/AQJZSEKEUM" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?GKSOBPJNDF=JVOWTILNZY HTTP/1.1" 502 552 "http://engadget.search.aol.com/search?q=AXYMJGL" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?KBTX=JZVYZOZ HTTP/1.1" 502 552 "http://www.usatoday.com/search/results?q=XATSR" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?ULKJKF=PCBGYG HTTP/1.1" 502 150 "http://www.google.com/?q=NWHNLVJOUF" "Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?IEUUIBIZ=UPCDOOI HTTP/1.1" 502 552 "http://engadget.search.aol.com/search?q=QHNCYS" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-


Aynı saldırıyı devam ettirin, saldırıyı durdurmayın lütfen :) Böylece gerçek bir deneme yapmış oluruz.

Yukarıdaki loglara göre direk "/" şeklinde anasayfaya değil farklı sorgularla saldırıyorsunuz. Bende ? işareti bulunan sorguları blockladım buyrun atak anında durduruldu tüm istekler durduruldu:



Tespit edip durdurma sürecinde evet maalesef site kapalı kalabilir. Siz aynı saldırıyı değiştirmeden devam ettirdiğiniz sürece blocklanmaya devam eder.

Dediğim gibi "/" şeklinde ana dizine saldırsaydınız koruma bile eklemeyecektirm. Şu an ?samdams gibi sorgular olduğu için koruma eklemek zorundayım.
ismkdc

kişi bu mesajı beğendi.

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al