Engin Bey, DDOS ile alakali degil ama benzeri bir filtreleme (CC Fraud analizi ve engellenmesi) icin RDNS kaydi olmayan IP'ler ile alakali biraz daha bilgi verebilir misiniz? Bir IP nin RDNS kaydi yoksa ne zarari yada faydasi olabilir?
konuyu "sahte ipleri ayıklama" açısından ele alıyorum.
amaç, gelen 300 bin çeşit ip adresinin filtrelenmesi. farzedelim 42.220.0.0/18 ip bloğunun sahibi olan veri merkezi, bu ipleri henüz müşterilere kullandırmamış. dolayısıyla rdns kayıtları da yok.
şimdi 300 bin ipden 2 bin tanesi bu /18deki ip adreslerini içeriyorsa, biz bunu önceden tespit etmişsek (ya da ilk bize ulaştığında log alıp test edip kara listeye eklemişsek) bir daha bize zarar veremez hale getirebiliriz.
rdns konusundaki filtre önerim böyle. daha çok öneri var. örneğin hedef kitlenin dışında kalan ülkelerin ipleri analiz edildiğinde, o networkler için de bağlantı kuralı tanımlanabilir.
örnek: 218.66.118.154 ip adresinden dns paketi gelmiş. AS4134 yani China Telecom'a bağlı. Rdns kaydında 154.118.66.218.broad.xm.fj.dynamic.163data.com.cn var.
şimdi firewalla girilebilecek ilk kural, 218.66.0.0/17 den saniyede 50 bağlantı kabul et, devamını reddet.
ikinci kural, farzedelim oyun sunucusu varsa 27015 e erişimi reddet, (veya teamspeak). sadece 53 nolu porta sorgusuna izin ver.
perl ile her ip adresinin asn, rdns ve ülkesini hızlıca çözümleten script yazılabilir.