lostyazilim
tr.link

İnanılmaz Boyutlarda DDoS saldırısı Alıyoruz

48 Mesajlar 11.902 Okunma
lstbozum
tr.link

ismkdc ismkdc WM Aracı Kullanıcı
  • Üyelik 29.03.2020
  • Yaş/Cinsiyet 27 / E
  • Meslek yazılım uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad B** K**
  • Mesajlar 16
  • Beğeniler 9 / 0
  • Ticaret 0, (%0)

sworks adlı üyeden alıntı

ismkdc Anasayfaya saldırmıyorsunuz yalnız. Doğrudan ana dizine saldıracağınızı düşündüm.

13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?BBRPTOEYJP=WTY HTTP/1.1" 200 13290 "http://serdarwork.com/OULHF" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=5.997 ua="unix:/var/run/php/php7.4-fpm.sock" us="200" ut="6.000" ul="51966" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?IXCMH=ULULQK HTTP/1.1" 200 13291 "http://www.usatoday.com/search/results?q=GYFMJ" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=5.873 ua="unix:/var/run/php/php7.4-fpm.sock" us="200" ut="5.876" ul="51966" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?ISUCVDCEN=BNGUTLYDEX HTTP/1.1" 200 13289 "http://www.google.com/?q=GGJXVZFYC" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=5.879 ua="unix:/var/run/php/php7.4-fpm.sock" us="200" ut="5.880" ul="51966" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?GSTNCIQG=BJBGSLZ HTTP/1.1" 502 150 "http://serdarwork.com/XYRDXT" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?EEOGAEB=AYU HTTP/1.1" 502 150 "http://serdarwork.com/NFEXPPD" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?VAO=XPX HTTP/1.1" 502 150 "http://serdarwork.com/FULIPSBT" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?YLMOLEVJL=PFAUFJAH HTTP/1.1" 502 150 "http://serdarwork.com/AQJZSEKEUM" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.3) Gecko/20090913 Firefox/3.5.3" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?GKSOBPJNDF=JVOWTILNZY HTTP/1.1" 502 552 "http://engadget.search.aol.com/search?q=AXYMJGL" "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?KBTX=JZVYZOZ HTTP/1.1" 502 552 "http://www.usatoday.com/search/results?q=XATSR" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SV1; .NET CLR 2.0.50727; InfoPath.2)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?ULKJKF=PCBGYG HTTP/1.1" 502 150 "http://www.google.com/?q=NWHNLVJOUF" "Opera/9.80 (Windows NT 5.2; U; ru) Presto/2.5.22 Version/10.51" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-
13.82.80.22 - - [07/Apr/2020:17:01:09 +0000] "POST /?IEUUIBIZ=UPCDOOI HTTP/1.1" 502 552 "http://engadget.search.aol.com/search?q=QHNCYS" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.5.30729; .NET CLR 3.0.30729)" "13.82.80.22" "serdarwork.com" sn="serdarwork.com" rt=0.000 ua="unix:/var/run/php/php7.4-fpm.sock" us="502" ut="0.000" ul="0" cs=-


Aynı saldırıyı devam ettirin, saldırıyı durdurmayın lütfen :) Böylece gerçek bir deneme yapmış oluruz.

Yukarıdaki loglara göre direk "/" şeklinde anasayfaya değil farklı sorgularla saldırıyorsunuz. Bende ? işareti bulunan sorguları blockladım buyrun atak anında durduruldu tüm istekler durduruldu:



Tespit edip durdurma sürecinde evet maalesef site kapalı kalabilir. Siz aynı saldırıyı değiştirmeden devam ettirdiğiniz sürece blocklanmaya devam eder.

Dediğim gibi "/" şeklinde ana dizine saldırsaydınız koruma bile eklemeyecektirm. Şu an ?samdams gibi sorgular olduğu için koruma eklemek zorundayım.


kullandığın kural bütün siteye uygulanamyormu?
 

 

wmaraci
reklam

sworks sworks WordPress Kullanıcı
  • Üyelik 28.02.2018
  • Yaş/Cinsiyet 29 / E
  • Meslek Freelancer
  • Konum Diğer
  • Ad Soyad A** K**
  • Mesajlar 3292
  • Beğeniler 1797 / 1799
  • Ticaret 20, (%100)

ismkdc adlı üyeden alıntı

şuan under attack mode'a almışsınız üst yorumdada belirttilğim gibi "ücretsiz" olan cloudflare underattack moda aşılabiliyor ama bu ücretsiz olan değil underattack kapalıyken sitenin nasıl aşağı indiği ss'de mevcut.


Buraya tıklayarak mesajıma giderseniz zaten manuel koruma dışında korumadığını söylemiştim.

----

Diğer sorunuz ile ilgili olarak, tüm siteye de uygulanabilir ama tek bir saldırı tipi geliyorsa siteye sadece o saldırı engellemek daha iyi olur. Böylece normal ziyaretçiler challenge görmek zorunda kalmaz. Ama sitenin farklı url adreslerine saldırılıyorsa eğer tüm sitede captcha veya challenge açmak gerekir.

Bu arada siz saldırıda bulununca en azından anlatmaya çalıştım ki konuyu amacından saptırdık biraz. :) Daha da amacından saptırmamak adına burada bırakırsak iyi olur farklı bir deneme yapacaksanız en azından özelden veya farklı bir konu üzerinden devam edebiliriz. Cloudflare'ın aşıldığını pek görmedim ama varsa böyle bir yöntem görmek isterim.

İyi forumlar.
ismkdc

kişi bu mesajı beğendi.

dreamfancy dreamfancy WM Aracı Kullanıcı
  • Üyelik 30.10.2013
  • Yaş/Cinsiyet 30 / E
  • Meslek WebMaster
  • Konum Rusya
  • Ad Soyad Ö** Ç**
  • Mesajlar 339
  • Beğeniler 154 / 71
  • Ticaret 3, (%100)

nepix adlı üyeden alıntı

merhaba yazılım ve ağ güvenliği ile uğraşıyorum şöyle anlatıyım size yazılımsal hiç bir şekilde firewall sağlanmaz, sağlansa bile yüksek pps'den dolayı cpu şişer erişim kesilir
güzel hattınız var ise oem mikrotikOS kurarak tr içi l3 l4 kural girerek güzel koruma yapabilirsiniz reverse proxy ilede aynı durum
reverse vs load olsa dahi ana anonsu bulup rahatlıkla erişimi kesebilirler, l7 konusuna gelir isek
cloudflare tam koruma sağlamaz biliyorsunuzki cloudflare javascript üzerinden kontrol sağlatıyor js üzerinden header agent vs botları oluşturarak cloudflareyi kolaylıkla bypasslıyabilirsiniz underattack modunuda aşabilirsiniz her neyse pcap logu alın kendiniz tespit edip stringleri engelleyin
hex vs payload önemlidir not (amplification = amp dediğimiz yansıtma saldırıları asla engellenmez)


Evet, yazdığınızı sonuna kadar okudum. Yaşadığım sorunu anlatıyorsunuz. Saldırıları bloklasak bile belli bir kapasitede ziyaretçi yollayıp site cpu'sunu şişiriyorlar. Cloudflare + vds bir sunucuyla neler yapabilirim?
 

 

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)
sworks

0-day hariç CloudFlare'yi geçebilecek tavis ormandy dışında birisi varsa ulaşsın işe alalım boşa harcanmasın.

---

CloudFlare'nin işe yaramadığını söyleyenler bunu neye dayanarak söylüyor, detaylandırsın 9 yıldır kullanıyoruz adamları partneriz adamlarla birde
sworks

kişi bu mesajı beğendi.

wmaraci
wmaraci

mrhasan mrhasan 1337 Software Kullanıcı
  • Üyelik 12.11.2018
  • Yaş/Cinsiyet 25 / E
  • Meslek Hemşire & Yazılım
  • Konum İstanbul Avrupa
  • Ad Soyad H** A**
  • Mesajlar 123
  • Beğeniler 79 / 51
  • Ticaret 9, (%100)
dreamfancy cloudflare + vds ile pek bilginiz yok ise yapamazsınız,
siz ana ip'deki saldırıyı fixleseniz bile alt iplerinize vurmaya devam ederler class'a kompile vuran olur illaki, yazılımsal koruma yapılsa dahi en basiti limitleme yapılsa dahi cpu daha cok şişer pps girdiği için, ve cloudflare konusuna gelir isek cloudflare ddos olarak layer 7 aşılıyor ip bulmanıza bile gerek yok method kodlayarak karşıya belirli bir paket yollayarak sizde düştüğünü görebilirsiniz, benden size tavsiye dedicated alın, kendi korumanızı yapın daha mantıklı, çünkü vds'de sunucunuzda fixleseniz bile alt iplere veya üst iplere kısacası aynı networktaki tüm iplere vursalar bile sunucu yine düşer dedicated alın tr içi mikrotikOS kurun l3 ve l4 saldırılarını engellemiş olursunuz tabiki kural girerek ve ayriyetten yurt dışı içinse fiziki bir cihazınız yok ise vox veya serverius bağlatabilirsiniz

ek olarak cloudflare optimizasyonu yaparsanız ip bulmaları engellenır ve kolay kolay l7(http get,post,jsbypass) türlerinde ddos yemezsiniz
forum'daki coğu arkadaşlar cloudflareyi aştığını sanıyor amma velakin tam optimizasyon yaparsanız sitenizin ipv4'ü gözükmez ve l4 ve l7 ddos gelmez.
sworks

kişi bu mesajı beğendi.

Software Developer & Network Security - Telegram: @netmrhasan

ahmetozer ahmetozer WM Aracı Kullanıcı
  • Üyelik 25.09.2016
  • Yaş/Cinsiyet 26 / E
  • Meslek Sunucu Yönetimi & Geliştirici
  • Konum Muğla
  • Ad Soyad A** Ö**
  • Mesajlar 211
  • Beğeniler 12 / 51
  • Ticaret 0, (%0)
Cloudflare kaynakli bir engelleyememe durumu olmaz. Eger dogru planlanmis bir sistem varsa sorun olmaz.
 

 

Linux Server,Network(ipv4+ipv6) https://ahmetozer.org https://github.com/ahmetozer

ahmetozer ahmetozer WM Aracı Kullanıcı
  • Üyelik 25.09.2016
  • Yaş/Cinsiyet 26 / E
  • Meslek Sunucu Yönetimi & Geliştirici
  • Konum Muğla
  • Ad Soyad A** Ö**
  • Mesajlar 211
  • Beğeniler 12 / 51
  • Ticaret 0, (%0)

Mrtcn adlı üyeden alıntı

sworks

0-day hariç CloudFlare'yi geçebilecek tavis ormandy dışında birisi varsa ulaşsın işe alalım boşa harcanmasın.

---

CloudFlare'nin işe yaramadığını söyleyenler bunu neye dayanarak söylüyor, detaylandırsın 9 yıldır kullanıyoruz adamları partneriz adamlarla birde


Sende ise yaramiyor
*.*.*0.59 :) hatirladin mi ?
Sistemlerini bir gozden gecir.
 

 

Linux Server,Network(ipv4+ipv6) https://ahmetozer.org https://github.com/ahmetozer

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)

ahmetozer adlı üyeden alıntı

Sende ise yaramiyor
*.*.*0.59 :) hatirladin mi ?
Sistemlerini bir gozden gecir.


Asıl sen baktığın yeri gözden geçir bence
 

 

ahmetozer ahmetozer WM Aracı Kullanıcı
  • Üyelik 25.09.2016
  • Yaş/Cinsiyet 26 / E
  • Meslek Sunucu Yönetimi & Geliştirici
  • Konum Muğla
  • Ad Soyad A** Ö**
  • Mesajlar 211
  • Beğeniler 12 / 51
  • Ticaret 0, (%0)
Baktigim yer neresiymis :)
 

 

Linux Server,Network(ipv4+ipv6) https://ahmetozer.org https://github.com/ahmetozer

Mrtcn Mrtcn PrismaCSI Kullanıcı
  • Üyelik 06.09.2013
  • Yaş/Cinsiyet 32 / E
  • Meslek Cyber Sec & Project Manager
  • Konum Ankara
  • Ad Soyad M** G**
  • Mesajlar 3356
  • Beğeniler 481 / 1987
  • Ticaret 10, (%100)

ahmetozer adlı üyeden alıntı

Baktigim yer neresiymis :)


Artık her neyse, sonu 59 ile olan biten bir şeyler yok ortalıkta
 

 

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al