Arkadaşlar siteme ağır ddos ve flood saldırı alıyorum kendim de denedim saldırılar sonucunda site erişime kapanıyor.
Cloudflare kurdum bunun sonucunda biraz engellense de yine de üst düzey saldırılarda veya bir VPS üzerinden yapılan saldırıda site erişime kapanıyor.
Bir çözümü var mı bunun?
Bir de buna çözüm yaparken flood saldırı ile google arasındaki farkı nasıl anlayabilirim :S
Ek Olarak: Ya arkadaşlar konu çok ciddi bu şekilde bile ilgilenmiyorsunuz ya helal olsun yemin ederim.
Forum dediğin dayanışmayla olur, sizin yaptığınıza bakın.
Site hata verip duruyor bir yardım eden yok.
DDOS Ve Diğer Flood Saldırılardan Nasıl Korunurum? |
17 Mesajlar | 7.968 Okunma | ||
- Üyelik 27.05.2012
- Yaş/Cinsiyet 30 / E
- Meslek Hosting Görevlisi
- Konum Ankara
- Ad Soyad ** **
- Mesajlar 818
- Beğeniler 141 / 178
- Ticaret 3, (%100)
- Üyelik 04.04.2012
- Yaş/Cinsiyet - / E
- Meslek
- Konum
- Ad Soyad ** **
- Mesajlar 36
- Beğeniler 0 / 15
- Ticaret 0, (%0)
Ddos'u engelleyemezsin. Sadece binlerce dolar harcayarak daha sağlam bir donanım ve yazılım sahip olarak belli bir seviyeye kadar daha iyi korunursun. Ama %100 engelleme diye bişey malesef yok.
- Üyelik 01.07.2011
- Yaş/Cinsiyet 30 / E
- Meslek öğrenci
- Konum Ankara
- Ad Soyad ** **
- Mesajlar 320
- Beğeniler 224 / 53
- Ticaret 0, (%0)
Etik olmayan bir saldırı çeşidi olarak DDos ataklar uzun zamandır sistem ve ağ yöneticilerini zor durumda bırakmaktadır. Teknik olarak bu saldırılar network üzerinde gereksiz trafik oluşturmaktan öte bir şey değildir.
Aslında Aktif cihaz (Router, switch, modem vs.) üreticileri bu sorunu kökünden çözebilir. Paketlerin çıkış ve varış noktaları geriye doğru teyit edilerek bir saldırı paketi daha çıkış noktasında iken engellenebilir. Ancak uygulamada bu döngü ters çalışıyor. Bir saldırının kağnağından çıkışının engellenmesi yerine varış noktasında sisteme girişinin engellenmesine çalışılıyor.
Ortada ciddi bir ürün pazarı oluşmuş olduğu için şuan bile bu durumu düzeltmeye yönelik adımlar atılmıyor. Firewall cihazlarının Routerlardan çok daha pahalı olması bunun göstergesidir.
Bu saldırıların gündemde olmasının bir sebebi de; Birçok firma Botnet ağları ile rakiplerinin site ve network sistemlerine, ticari rekabet amaçlı zarar vermek istediği için bu saldırılar artık illegal bir sektör olma yolunda hızla ilerlemektedir. Günümüzde Botnet ağları artık alınıp satılan ya da belli süreliğine kiralanan sistemler haline geldi.
Küçük ve orta ölçekli saldırılar
Küçük ve orta ölçekli saldırılar hariç genel kural olarak soft bazlı çözümler DDos saldırılarında etkili olmaz.
Zombi bilgisayar (juno için server) sayısı ve bu bilgisayarların bağlantılarının hızları çok önemlidir. Saldırıların toplamı sizin sunucunun/datacenter ’ın çıkış kapasitesini aştığı anda ziyaretçiler siteye erişemez hale gelir.
Küçük ve Orta ölçekli saldırılarda Soft bazlı çözümler işe yarar.
Soft bazlı çözümler : IDS, IPS, Firewall yazılımları ve web sunucu (IIS, Apache vb.) üzerinde yapılan konfigürasyonlar ve işletim sistemi ayarlarından (Network yapılandırması, Registry ayarları vb.) ibarettir.
Windows sunucular için sayısız IPS programı var bu konuda herhangi bir öneride bulunmak ve yönlendirme yapmak istemiyorum. Üzerinde kural yazabileceğiniz piyasadaki birçok IPS programı işinizi görür. Linux sistemler için ise genelde Snort tercih edilir.
Saldırı loglarını ve saldırı anındaki trafiği analiz ederek bunu IPS programıza imzalatmanız yeterli olacaktır.
Saldırı paketlerini tanır hale gelen IPS hepsini otomatik olarak banlayacaktır.
Saldırı paketlerini yakalamak ve trafiği analiz edip saldırıyı imzalamak için (IDS yani) Wincap ve Ethereal ikilisini önerebilirim.
Wincap paketleri yakalamak için gerekli olan network sürücüsünü kurar. Ethereal ile paketleri yakalayıp analiz edebilirsiniz. Alternatif başka birçok yazılım mevcuttur (Microsoft Network Monitor vb.)
Büyük Saldırılar
Büyük ölçekli saldırılarda saldırı paketleri sizin makinenize ulaştıktan sonra soft bazlı yapacak bir şey yoktur. Gelen paketlerin tamamını engelleseniz bile paket zaten kapınıza kadar gelmiştir, Firewall’ınız gelenlere git derken zaten kendisi sistemi kilitleyecektir.
Saldırı paketleri engellenmiş olsa ve sunucu ayakta kalsa bile asıl siteye girmesi gereken gerçek ziyaretçilerde ulaşamayacağı için saldırı amacına ulaşmış olacaktır.
Büyük saldırılar için Host bazlı çözümler gerekir. Yani Networkun girişine Fiziksel Firewall cihazları kurulmalı, bunlar hali hazırda varsa konfigürasyonlarının çok düzgün yapılması gerekir. Routerlar’da benzer şekilde yapılandırılmalıdır.
Ayarları yapılmamış bir Firewall hiçbir işe yaramaz.
Bu çözümler sunucu yöneticisinin alacağı önlemler değildir. Bunlar hizmet aldığınız datacenter tarafından yapılır. Artık yurtdışındaki birçok datacenter Ddos Protect Network kurmakta ve bunları daha özel fiyatlarla satışa sunmaktadır.
Sunucunuz Türkiye’de ise şansınız yok denecek kadar azdır, Çünkü Türkiye’de yüksek bant genişliği almanız çok büyük maliyetlerdir.
Çok Büyük Ölçekli Saldırılar
Datacenterların dahi etkilendiği çok büyük saldırılarda olabilir. Bunlar için yapacak pek birşey yoktur. Datacenter yetkilileri zaten kısa bir süre içinde hangi makineye saldırıldığını tespit edecek ve Null Route saldırı geliyor diyerek o sunucunun ip adresini networkten silecektir.
Bu nisbeten etkili bir yöntemdir, Datacenter çalışmaya devam edecek ancak sizin sunucunuza erişim olmayacaktır.
Böyle durumlarda mutlaka ikinci, üçüncü ip adresleriniz olsun. Artık DNS değişiklikleri 2 saat içinde tüm dünyada yayılabiliyor, Saldırıya uğrayan ip adresini Ağ Ayarlarından makinizden silerek yerine ikincil ip adresinizi primay olarak ayarlayın. Ancak bu ip adresi daha önce NS bilgilerinizde kullanmadığınız bir ip adresi olmalı.
Zombi Ağının Çökertilmesi ve Saldırganın Tespiti
Saldırı süresince saldırganların vazgeçmesini beklemek oldukça can sıkıcı gelebilir. Bu sıkıcı süreci verimli hale getirebiliriz. Ben böyle durumlarda zombi bilgisayarlardan birine herhangi bir yolla ulaşma yoluna gidiyorum. Uğraşırsanız çok büyük olasılıkla sonuç alabilirsiniz.
Zombi bilgisayar yada sunuculara ulaşma için birçok yöntem izlenebilir;
Makinede açık olabilir öncelikle buna bakılır, Port Scan yapılarak makine isminden, ev kullanıcısı değilse Active Directory üyesi bir makine olabilir, bu durumda login olduğu domain yani Firma/kurum bilgisine ulaşılabilir.
İp adresi adsl dışında bir aralığa ait olabilir, bunlara da bakılmalı buradan bir bilgiye ulaşılabilir. C$ paylaşımları Administrator accont ile denemek gibi başka birçok yöntemler denenmelidir..
Hiç birinden bir şey çıkmazsa başka zombi ip adreslerini deneyin, Nasılsa bilinçsizce size saldırıda bulunan elinizde yüzlerce ip adresi var. Mutlaka birinde açık bir nokta, gözden kaçırılan bir husus önünüze çıkacaktır.
Unutmayın bu bilgisayarların sahipleri bilgisiz cahil kullanıcılardır, öyle olmasalardı zombi durumuna düşmezlerdi. Bu bilgisayarlarında bir açık olabileceği ihtimalini çok güçlendirir.
Zombi bilgisayarlardan birine girdikten sonra saldırı emirlerini hangi siteden aldığını tespit edeceğiz.
Bu executable bir program olabilir, Script kodu vs. olabilir. Sonuçta zombi haline gelen bilgisayar saldıracağı hedef sitenin ip adresini almak için mutlaka bağlandığı bir site adresi olmalı.
İşte O adresi Abusement bildirimleri kapattırabilirsiniz. Bu çok kolay bir işlemdir, düzgün bir İngilizce ile maile ekleyeceğiz herhangi bir log kaydı ile bunu kolayca yapabilirsiniz. Free site bile olsa hiçbir hosting sağlayıcı kendi sistemleri kullanılarak bir yere saldırılmasına izin vermez, Uyardığınız anda o adresi derhal kapatacaktır.
Bu aşamadan sonra zombiler artık hiçbir işe yaramaz.
Hedeflerin alındığı adres free bir site ise düzgün bir yazışma ile siteyi açan kişinin bilgilerini de talep edebilirsiniz. Kurumsal bir sağlayıcı ise zaten her türlü alırsınız.
Çoğunlukla free bir site üzerinden hedefler alınır, ve bu adresler birden fazla olabilir, Botnet ağını kuran kişi herhangi bir sebepten hedefleri verdiği adres kapanırsa zombilere ikinci adrese yönlenmelerini söyler. Bu sebeple işin başında iken kodun içine 2-3 tane farklı adres yazacaktır. İşte burada çok büyük hata yapabilir ve ona ulaşmamızı kolaylaştırabilir.
İlk 2 adresi freehost alabilir üçüncü adres ona ulaşabileceğimiz kişisel host yada erişiminin olduğu firma sitesi vs. olabilir. Yada zombi yazılımına update özelliği ekleyebilir ve belirlediği bir adrese bağlanarak kendini güncellemesini sağlayabilir.
Örnek bir saldırıda hedeflerin alındığı 3 tane adres tespit etmiştik.
http://bnet34.somee.com/target.txt
http://target.co.tv
http://yenermakina.com/Bot/victim.txt
Bunlardan ilk ikisi freehost, Bu adresler bir şekilde kapanırsa üçüncü adresten hedefleri almak üzere zombi kodunun içine yazılmış. (Adresler örnektir)
İlk iki adresi 3-4 saat içinde abusement bildirimi ile kapattık. Üçüncü adres saldırganı ele veren adresti, Bu site saldırgan tarafından web tasarımı yapılmış, FTP şifreleri elinde olan bir siteydi.
Firma sahibinin tabiki durumdan haberi yoktu.
Sonu saldırganın savcılıkta velisinin sızlanması ile biten bir süreçti…
Hukuki ve Etik Değerlendirmeler
Bir sisteme DDos, Flood, Botnet türü saldırılar yapmak Etik olarak asla kabul görmez. Bu durum Teknik olarak bu dünyanın içindeki insanlar tarafından acizlik olarak görülür.
Çünkü asıl olan sisteme girmektir. Bu tip saldırılar son zamanlarda “hacker saldırıları” olarak anılmaya başlandı oysa Hacking tanımında böyle bir ibare yoktur.
Verileri yok etmemek kaydıyla;
Bilişim sisteme girmenin cezası 1 yıl hapistir. (TCK 243
Bilişim sisteminin işleyişini engellemenin cezası ise 5 yıl hapistir (TCK 244)
Görüldüğü gibi sisteme erişimi engellemenin suçu o sisteme girmekten daha fazladır. Mevcut durum kanuna uygun olduğu gibi aynı zamanda hukukidir.
Bu durum stadyuma girmeye izni olmayan bir taraftarın dışarıdakileri içeri sokmamak için olay çıkarmasına ve girmek isteyenleri engellemesine benzer. İllegal bir şekilde içeri girmiş olsa suç bireyseldir ve cezası en fazla kapı dışarı edilmek yada cüzi bir şekilde cezalandırılmaktır. Oysa İllegal olarak içeriye girmeyi beceremeyip dışarıdakileri engellemesi çok kişiyi etkileyen bir hak mağduriyeti doğurur. Bu sebeple cezasının daha yüksek olması hukuka uygundur .
Botnet ağı kuran çoğu kişi yakalanmam zor diye düşünmektedir, Çünkü saldırıları kendisi değil zombi bilgisayarlar yapıyor diye düşünür. Yukarda açıkladığım yöntemler ile çoğu zaman bu tespit edilebilir. Ancak tespit edilmese dahi kim tarafından yapıldığı biliniyorsa ve hukuki süreç başlatılmışsa sonuç alınması muhtemeldir. Bu hırsızlıktan yakalanmış birinin benzer bir olay olduğunda sürekli yakalanmasına benzer.
Çoğunlukla bilişim sistemine girme suçunda somut delil aranırken, DDos, Botnet saldırılarında Emniyetin operasyon yapması için irade beyanı dahi yeterli olmaktadır.
Konuda Adı Geçen Bazı Yazılımlar
http://www.snort.org/snort-downloads
http://www.ethereal.com/download.html
http://www.winpcap.org/install/default.htm
Nerden aldığımı bilmiyorum fakat ddos üzerine bir makale.
yakında...
- Üyelik 01.12.2010
- Yaş/Cinsiyet 39 / E
- Meslek Öğrenci
- Konum İzmir
- Ad Soyad ** **
- Mesajlar 735
- Beğeniler 110 / 318
- Ticaret 1, (%100)
Metin2Turkey Forumu adlı üyeden alıntı
Arkadaşlar siteme ağır ddos ve flood saldırı alıyorum kendim de denedim saldırılar sonucunda site erişime kapanıyor.Cloudflare kurdum bunun sonucunda biraz engellense de yine de üst düzey saldırılarda veya bir VPS üzerinden yapılan saldırıda site erişime kapanıyor.
Bir çözümü var mı bunun?
Bir de buna çözüm yaparken flood saldırı ile google arasındaki farkı nasıl anlayabilirim :S
Ek Olarak: Ya arkadaşlar konu çok ciddi bu şekilde bile ilgilenmiyorsunuz ya helal olsun yemin ederim.
Forum dediğin dayanışmayla olur, sizin yaptığınıza bakın.
Site hata verip duruyor bir yardım eden yok.
Probleminiz varsa önce Google'da arama yaparak çözüme ulaşmaya çalışın. Eğer bu forumdan yardım almak istiyorsanız neden forumdaki Arama kısmını kullanmadığınızı anlamış değilim. Arama kısmına ddos yazsaydınız karşınıza bununla ilgili açılmış bazı konular olduğunu görecektiniz.
Yardım isterken de açtığınız konuya yorum gelmiyorsa biraz sabırlı olmasını öğrenin. Herkesin işi gücü olabilir. Konunuzu görmemiş olabilirler. Bu konuda bilgileri olmadığı için yanıt vermemiş de olabilirler. Durduk yere buradaki insanları yardım etmemekle suçlamanız hoş olmamış.
- Üyelik 04.04.2012
- Yaş/Cinsiyet 39 / E
- Meslek
- Konum
- Ad Soyad ** **
- Mesajlar 31
- Beğeniler 0 / 1
- Ticaret 0, (%0)
Netinternet ve kriweb i öneririm bu konuda çok sağlamlar ben de aynı şekilde saldırı alıyordum bu firma ile tanıştım firmaya taşıdım sitelerimi kendim saldırdım 300k botnet ile tık demedi.
- Üyelik 24.03.2012
- Yaş/Cinsiyet - / E
- Meslek unknown
- Konum
- Ad Soyad ** **
- Mesajlar 107
- Beğeniler 1 / 14
- Ticaret 0, (%0)
Netinternet ve kriweb i öneririm bu konuda çok sağlamlar ben de aynı şekilde saldırı alıyordum bu firma ile tanıştım firmaya taşıdım sitelerimi kendim saldırdım 300k botnet ile tık demedi.
300k botnet? ve kapanmadı?
- Üyelik 27.05.2012
- Yaş/Cinsiyet 30 / E
- Meslek Hosting Görevlisi
- Konum Ankara
- Ad Soyad ** **
- Mesajlar 818
- Beğeniler 141 / 178
- Ticaret 3, (%100)
Probleminiz varsa önce Google'da arama yaparak çözüme ulaşmaya çalışın. Eğer bu forumdan yardım almak istiyorsanız neden forumdaki Arama kısmını kullanmadığınızı anlamış değilim. Arama kısmına ddos yazsaydınız karşınıza bununla ilgili açılmış bazı konular olduğunu görecektiniz.
Yardım isterken de açtığınız konuya yorum gelmiyorsa biraz sabırlı olmasını öğrenin. Herkesin işi gücü olabilir. Konunuzu görmemiş olabilirler. Bu konuda bilgileri olmadığı için yanıt vermemiş de olabilirler. Durduk yere buradaki insanları yardım etmemekle suçlamanız hoş olmamış.
Yardım isterken de açtığınız konuya yorum gelmiyorsa biraz sabırlı olmasını öğrenin. Herkesin işi gücü olabilir. Konunuzu görmemiş olabilirler. Bu konuda bilgileri olmadığı için yanıt vermemiş de olabilirler. Durduk yere buradaki insanları yardım etmemekle suçlamanız hoş olmamış.
Umarım birgün saldırı almanın nasıl bir duygu olduğunu anlarsınız(Şu aralar millet saldırılara meraklı zaten).
Ayrıca dediğini yapmadığımı mı sanıyorsun?
Doğru dürüst cevap verilmiş bir konu var da ben mi bulamadım?
Veya Google'da bunun hakkında bulabileceğim tam koruma sağlayan script tarzında olmayan birşey var da ben mi göremedim?
Forum kurallarını öğretmene gerek yok moderatör değilsin benim gibi bir üyesin yani kuralları sen ne kadar biliyorsan ben de o kadar biliyorum merak etme
Netinternet ve kriweb i öneririm bu konuda çok sağlamlar ben de aynı şekilde saldırı alıyordum bu firma ile tanıştım firmaya taşıdım sitelerimi kendim saldırdım 300k botnet ile tık demedi.
Netinternet'ten bir arkadaşım almış aynı şeyleri diyor önerin için teşekkürler oraya geçebilirim ama şimdilik problem CloudFlare ile çözdüm.
- Üyelik 01.12.2010
- Yaş/Cinsiyet 39 / E
- Meslek Öğrenci
- Konum İzmir
- Ad Soyad ** **
- Mesajlar 735
- Beğeniler 110 / 318
- Ticaret 1, (%100)
Metin2Turkey Forumu adlı üyeden alıntı
Umarım birgün saldırı almanın nasıl bir duygu olduğunu anlarsınız(Şu aralar millet saldırılara meraklı zaten).Ayrıca dediğini yapmadığımı mı sanıyorsun?
Doğru dürüst cevap verilmiş bir konu var da ben mi bulamadım?
Veya Google'da bunun hakkında bulabileceğim tam koruma sağlayan script tarzında olmayan birşey var da ben mi göremedim?
Forum kurallarını öğretmene gerek yok moderatör değilsin benim gibi bir üyesin yani kuralları sen ne kadar biliyorsan ben de o kadar biliyorum merak etme.
Ben siteme saldırı alsam bile başkalarına yardımcı olmuyorsunuz diye söylenip durmam. Sana söylediğim gibi kendim Google'da araştırarak çözüme ulaşmaya çalışırım. Nasıl arama yapacağını bildikten sonra Google'da her türlü sorunun cevabını bulmak mümkün.
Benim bu forumda insanlara ne kadar yardımcı olmaya çalıştığımı görmüşler ki üç gün önce moderatör olmak ister miyim diye teklifte bulundular. Ben de zaten forumda insanlara yardımcı olduğumu ve moderatör olmanın benim için çok da önemli olmadığını söyleyerek tekliflerini kabul etmedim. Demek ki moderatör olsam sözlerim daha etkili olacaktı.
Siteme saldırı yapılması ile ilgili güzel temennileriniz için de teşekkür ederim. Dediğiniz gibi umarım bir gün siteme saldırırlar. Ben sizin gibi güzel temennilerde bulunamam. Tek söyleyebileceğim şey, umarım probleminiz kısa sürede sorununuz çözülür ve saldırılar kesilir.
- Üyelik 08.05.2011
- Yaş/Cinsiyet 28 / E
- Meslek Öğrenci
- Konum Ankara
- Ad Soyad B** B**
- Mesajlar 3455
- Beğeniler 783 / 1009
- Ticaret 1, (%100)
VPS kullanıyorsan forumda arama yaparak bulduğum Serverınıza DDOS Koruması adlı yazıya bir göz at, ha sunucun yoksa o zaman hosting firman ile iletişime geç, Hosting kullanıcısı olarak DDOS koruması adIna bir şey yapamazsın.
[SIZE=1]Bu arada beklemeyi öğrenmek her zaman iyidir[/SIZE]
[SIZE=1]Bu arada beklemeyi öğrenmek her zaman iyidir[/SIZE]
- Üyelik 09.03.2012
- Yaş/Cinsiyet 36 / E
- Meslek ..
- Konum
- Ad Soyad M** E**
- Mesajlar 200
- Beğeniler 12 / 60
- Ticaret 10, (%100)
DDOS saldırısı engellenemez daha doğrusu site sahipleri engelleyemez hosting sahipleri engellemeye çalışır.
DDOS saldırısı IRC üzerine kurulu clone'dan oluşan botlardır. Komut verilip sitelere saldırtır senin sitenin ip@ saldırı düzenlendiği zaman hosting firmasının makine'si kapanır.
DDOS saldırısı IRC üzerine kurulu clone'dan oluşan botlardır. Komut verilip sitelere saldırtır senin sitenin ip@ saldırı düzenlendiği zaman hosting firmasının makine'si kapanır.
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)