DNS Server event

Emin olmamak ile birlikte istediğinizi yapabilmek için dns sunucunuzunda recursive sorgu tipi açık olmalı ve kullanıcılarınız sizin dns sunucunuzu kullanmalı. Aksi halde sorgular yine iterative tipinde olacak ve yine kullanıcının recursive olarak kullandığı dns sunucusunun ip adresini göreceksiniz.

@SayfaNet;
mikrotik ile işin engelleme tarafını yapmayı düşünüyordum,DNS sunucusuna belirttiğim dnslere gelen talepleri yakalayıp, nodejs veya php ile mikrotik aracılığı ile izinverilenler adındaki listeye ekleyeceğim geriside zaten mikrotikin işi. Ancak saldırı anında yükü bölme amaçlı dns sunucusunu farklı bir konumda tutmayı düşünüyordum.
Ek olarak siz bu konuda tecrübelisinizdir. Subnet şeklinde veya ip bazlı,ek olarak direk protokol kapatabileceğim(sanırım bunu çoğunda yapabilirim) 2-3gbit atak altında(UDP) sorun cıkartmayacak bir layer3 switch tavsiye edebilirmisiniz. Api sistemide olursa tadından yenmez , firewall gibi kullanacağım ancak sadece ip engelleme için, paket boyutuna vs göre filtreleme olmayacak

@PROOYUN; cliente kendi dns sunucumuzu kullandırmak ölüm olabilir pek çok kişininde buna yanaşacağını sanmıyorum,öneri için teşekkürler

2-3 gbit dns saldırısını önlemek amacıyla sormuşsanız,

routerdan sflow çıktısını alıp
ayıklayıp
routerda ACL - erişim kuralı oluşturup güncellemeniz gerek.

diğer yöntem ise, security gateway olarak adlandırılan juniper srx tarzı ürünler kullanmak. mikrotik'in şişebileceği "şu kadar saniyede şu kadar bağlantıdan fazlasına izin verme" gibi görevleri yerine getirir.

size saldıran 300 bin tane ip adresi varsa, bunları tek tek engellemeniz mümkün değil. genel bir kural üzerinde çalışmanız gerek. sadece belli udp portlarına izin vermek, adsl iplerinden dns sorgusu kabul etmemek, spamhausdaki kara listeleri kullanmak, rdns kaydı olmayan ipleri reddetmek gibi.

@SayfaNet;
elimdeki kural yapısı zaten atak yapanları tek tek engelleme amaçlı üzerine degil

mantığı ile gidiyor
İzinverilenler adres listesini de DNS üzerinden istek yapan clientlerin ip adresini alıp güncelleme .

Switch tavsiyesi isteme sebebim , yukarıdaki işlemleri mikrotikden daha stabil (saldırı anında mikrotikin load %70lere cikabiliyor) yapabilir belki diye düşünmemden dolayı.
Ürün örneği vermek gerekise,firewall olmadan juniper ex 3300 ile yukarıdaki işlemler, mikrotikden daha sağlıklı bir şekilde yapılabilinir mi?

asic, yani işe göre tasarlanmış entegreler içeren donanım kullanmanız gerek.

switch üzerinde kural oluşturmak size kısıtlı hareket alanı sağlar. 10g uplink olan bir routerda ortalama 2 bin tane subnete onay verebilirsiniz. bu router ile firewall arasında fark, yazılımdan kaynaklı şekilde paket limitleme özelliğinin olmaması.

yola çıkacaksanız cisco asa 5510 ile başlayın. ortalama 300mbit trafiği filtreleyin. ardından daha üst modellerle geniş kapsamlı çalışma yapın.

ddos mitigation hizmeti veren şirketler sadece 1 tane cihaz kullanmıyor. bir tarafdan gelen trafiğin istatistiğini çıkarıp ona göre filtreyi periyodik güncelleme yapmanız da faydalı olur.

laboratuvar ortamı: sflow çıktısı verebilen router, mikrotik CCR1036-8G-2S+EM, cisco asa5510, centos fiziksel sunucu, mysql, perl ile ayıklama ve cihazlara erişim işlemleri

Engin Bey, DDOS ile alakali degil ama benzeri bir filtreleme (CC Fraud analizi ve engellenmesi) icin RDNS kaydi olmayan IP'ler ile alakali biraz daha bilgi verebilir misiniz? Bir IP nin RDNS kaydi yoksa ne zarari yada faydasi olabilir?

konuyu "sahte ipleri ayıklama" açısından ele alıyorum.

amaç, gelen 300 bin çeşit ip adresinin filtrelenmesi. farzedelim 42.220.0.0/18 ip bloğunun sahibi olan veri merkezi, bu ipleri henüz müşterilere kullandırmamış. dolayısıyla rdns kayıtları da yok.

şimdi 300 bin ipden 2 bin tanesi bu /18deki ip adreslerini içeriyorsa, biz bunu önceden tespit etmişsek (ya da ilk bize ulaştığında log alıp test edip kara listeye eklemişsek) bir daha bize zarar veremez hale getirebiliriz.

rdns konusundaki filtre önerim böyle. daha çok öneri var. örneğin hedef kitlenin dışında kalan ülkelerin ipleri analiz edildiğinde, o networkler için de bağlantı kuralı tanımlanabilir.

örnek: 218.66.118.154 ip adresinden dns paketi gelmiş. AS4134 yani China Telecom'a bağlı. Rdns kaydında 154.118.66.218.broad.xm.fj.dynamic.163data.com.cn var.

şimdi firewalla girilebilecek ilk kural, 218.66.0.0/17 den saniyede 50 bağlantı kabul et, devamını reddet.

ikinci kural, farzedelim oyun sunucusu varsa 27015 e erişimi reddet, (veya teamspeak). sadece 53 nolu porta sorgusuna izin ver.

perl ile her ip adresinin asn, rdns ve ülkesini hızlıca çözümleten script yazılabilir.