TT-DDOS Türk Telekom Problemi

Merhaba arkadaşlar. Bir süredir kullanmakta olduğumuz tt-ddos firewall tanımlı sistemimizle sorunsuzca kullanım yapıyorduk. Ancak dün akşam 22.00 saatleri civarında kullanmakta olduğum bir çok port'a super online kullanıcıları erişim yapabilirken turktelekom kullanıcıları erişemez hale geldi. Dünden bugüne firmamızın turk telekoma mail atmasına ragmen herhangi bir değişim meydana gelmedi. Şuanda son durum portlara localden ve superonline üzerinden erişim mevcut ancak Turk telekom IP leri üzerinden erişim olmamakta yada olsa bile connection lost olmaktadır. Problem bir kaç port haricinde tüm portlarda mevcut.

Dün geceden itibaren bu problemle karşılaşan yada hala problemi yaşayan kimseler var mı? Telekomdan bu konu ile ilgili olarak mail alan dc sahiplerininde bilgisi varsa bizleride aydınlatmalarını rica ederiz.



09.06.2014 Tarihi itibariyle yeni mesajım (GÜNCEL )

Arkadaşlar problem tekerrür etti ve ortalama 1 haftadır devam ediyor. Şuandaki problem istisna portların dışında olan portlardan online oyun açıldıgında oyundayken kullanıcılar paket alışverişi yaptıgında kullanıcıları blockluyor. Özellikle şuanda teamspeak bayilerimizde bu problem mevcut. Sizden ricam özellikle tt-ddos hizmeti verebilecek firmalar varsa onlarında sunucularında bir deneme yapmak isteriz. En azından 1-2 dedicatedi deneme yapabileceğim ddos hizmeti veren bir firmaya taşıyabilirim.

www.salay.com.tr arkasında duruyor ama hiç bir problem gözükmüyor.

Bize şuan telekom yetkililerinden bir kişi bazı küçük boyutlu trafigin firewallda engellendiğini söyledi. Bizde online oyun sektöründe olan datalarımızı tt-ddos olmayan bir sunucuya taşıdık ve şuan için tt-ddos olmayan sunucuda herşey yolunda görünüyor. Sanırım küçük boyutlu paketler engelleniyor bu sebeple sorun yaşıyoruz. Ancak bazı portlar istisna olarak tanımlandıgı için her portta aynı şey olmuyor (örn : 80 portu) Umarım kısa sürede çözerler oldukça saldırı alan bir firmayız. Teşekkürler Cahit bey ilginiz için.

Genel sorun olmuyor bu tür durumlar, telekom verimerkezine trafiği göndermeden filtreliyor ve bu filtrelemeyi ip bazlı yapıyor, 1.1.1.1 ve 1.1.1.2 ipleri sunucunuza eklidir, 1.1.1.1 ipine herhangi bir saldırı yokken sorunsuz şekilde erişim sağlanırken 1.1.1.2 ip adresinize bir atak geliyorsa bu ip üzerinde gelen saldırıya göre filtreleme yapılıyor nadirende olsa yanlış ip bloklaması veya layer 7 trafiğinin yavaş akması, bazı portlara erişim sorunu veya ağırlık sorunları yaşanabiliyor.

Bu hizmeti 1 sene önce kullanmaya başlayan bazı müşterilerimiz ilk etapta daha çok sıkıntı yaşamıştı, networkün izlenip gelen saldırılar için analiz yapıldıkça stabil hale geliyor.

Maşallah ne güzelde dane dane anlattı dadlım gıymadlım, aaazını yirim senin Bi tane de Like atayım ayıp olmasın arifime

Verdiğiniz bilgiler için teşekkür ederiz. Aslında şuanda bir adet dedicated'e bağlı 6 adet VDS ve toplam 22 adet IP'de bu problem birden bire meydana geldi. IP bazlı engellenme olduğunu sanmıyorum. Belki komple blogumuza uygulanan birşey olabilir ancak 26 saat sonra problemi çözüme kavuşturamadığımız için mecburen firewallsız bir IP'den yayına devam ediyoruz. Artık hayırlısı yarın olunca tekrar telekomla iletişimde olacağız.

Tabi bu verimerkezinizin telekom ile yaptığı özel değişikliklerle ilgili, standart hali benim anlattığım gibidir, bir ip adresine gelen atak için verimerkezinin tüm ip bloklarının trafiği etkilenmez, sizin ip aralığınızı kapsayan bir şey vardı demekki.

Özellikle çok kullanılan portlar istisna olarak tanımlanmış görünmekte şuan. 80,22,16,9987,10011 gibi bazı portlarda erişim mevcut digerleri engelli görünüyor. İşin en enteresan kısmı ise superonlineden her porta giriş varken türk telekom kullanan kullanıcılar erişemiyor. İşte bu durumu daha da karmaşık hale getiriyor. İşin içinden nasıl çıkacağız bakalım Problem çözüme kavuşabilirse buradan yine yazacağım tam olarak sorunun ne olduğunu. Aynı şeyi yaşamasın kimse kulak çınlaması nedir bugün yeterince öğrendim

Telekom'un DDOS servisi altındaki subnetler için ayrı ayrı threshold değerleri tanımlanıyor . Bu subnet'lerde en küçük /24 'lere bölünerek set ediliyor. Bu nedenle de bir subnet içindeki bir IP adresine gelen olağandışı bir trafik yüzünden firewall triggerları çalışmış olur. O nedenle de bir 1.1.1.1 IP adresine saldırı geliyorsa , 1.1.1.2 IP adresinde de false positive olma olasılığı yükselir. Yani sizin söyleminiz sadece sizin gözleminizdir , realite öyle değil .

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 00:31:58 -->-> Daha önceki mesaj 00:30:40 --

Çalıştığınız veri merkezi IP adreslerini hem SOL hemde TT networküne anons ediyorsa , SOL kullanıcıları firewall üzerinden geçmiyordur. Bu nedenle de karışık bir durum yok