Tekil Mesaj gösterimi - Botnet / DDos Konuları Hk.

Konu Botnet / DDos Konuları Hk.

05-10-2016, 03:07:27

#76

spdnet

Şu anda bir blog hazırlıyoruz tüm bu sistemde yapılanları anlatacağımız örnek bir konu buradaki bir çok arkadaşın üst düzey bilgisini göz önünde bulundurarak özetlemek gerekirse

DNS Amplification Tarzında Ataklar

Atak yapan kişinin -----> DNS recursion açığı olan sunucular ------> Hedef sunucu

olarak atakçının hedef sunucu ip adresini taklit ederek DNS sunucularına ufak bir paket ile gönderdiği sorguya 10-15 katı boyutta min cevap alması ile 10 Mbit gönderilen trafiğin hedefe 100-200Mbit boyutunda geri dönmesinden kaynaklı ataklar.

Peki nasıl çözülür ?

Örnek bir centos sunucuda ;
-A Forward_Trust_UDP -p udp --dport 53 -j SET --add-set dns_req src,srcport,dst

Şeklinde gönderdiği talebi

ipset create dns_req hash:ip,port,ip timeout 360
(6 dakika giriş bileti)

şeklinde açılmış bir hash tablosuna source ip , source port , destination ip olarak kayıt etmesini sağladıktan sonra

Inbound trafiğinde

-A DNS_Control -p udp -m udp --sport 53 -m set --match-set dns_req dst,dstport,src -m comment --comment "Request edilen DNS adresleri" -j RETURN

Request etmediği DNS çağrılarını direk drop ederek ve ters yonde bu sıralamayı kendine gelen cevabı istediği porttan alarak dökmesi kendini gelen bu AMP tarzındaki atakdan kolayca koruyacaktır. Bu sayede içeriden açılmamış hiç bir çağrı sunucuda gereksiz yere bir trafik yoğunluğu yaratarak şişirmez. Centos sunucular çoğu zaman Conntrack ve IRQ dengesizliğinden koparlar bu basit işlemin preroute kısmına uygulanması ile %100+ DNS AMP / NTP AMP gibi ataklarda korunma da performans artışı yaratır.

Tabii ki yapmış olduğumuz sistemde bunun gibi 400+ algoritma mevcut. Ama yakında blog linkini paylaşacağım ve cihazları demo olarak talep eden makine adeti yüksek herkes ile paylaşımımızı artıracağız.

Yazılımlarımızı C++ ve perl ile geliştiriyoruz. bu sebep ile modüller halinde de tüm işletim sistemlerine uygun şekilde blog linkimizden detaylı anlatımları ile paylaşacağız. Tek isteğimiz , R10 gibi bir forum daha dünyada hiç bir yerde yok webhostingtalk bile R10 kadar hareketli ve güzel değil bence. Bu kadar sektöre gönül veren insanın olduğu bir ülkede bir şeylerin daha güzel olması

Peki bir Vox hizmetini dünyaya TR olarak neden biz sağlamayalım ?