0
Kayıt Ol

Garip bir saldırı

12

1.458

  • 01-09-2014, 21:09:17
    #1
    Bekir
    Bekir
    Merhabalar arkadaşlar, 2000-2500 anlık onlinesi olan bir oyun sunucusuna sahibim. Ancak son 2 gündür başıma yeni bir saldırı türedi, nedenini bulamıyorum. OVH kullanıyorum DDOS korumasını zaten veriyorlar. Saldırı başladığında CPU lar bir anda %70 - 80 - 90 ve 10 saniye sonra %100 e fırlıyor. Saldırıyı yapan kişi istediği zaman saldırıyı kesip tekrar saldırıyor. Bu sabah 2 saat sunucu bu durumdaydı, şuanda tekrar oluyor bu şey. Sunucu SSH sinde vesayre kesilme yok, sunucuya kurulu diğer şeyler etkilenmiyor, sadece 25565 portuna yapılan saldırı ney ise ona bağlı olan tüm işlemciler %100 e fırlıyor.

    konuyu yanlış yere açtıysam kusuruma bakmayın.
  • 01-09-2014, 23:25:58
    #2
    Genki
    Genki
    saldırı anında
    tcpdump -n dst port 25565 -w /home/saldiri.pcap
    bu komut ile trafiği kaydedin, çok uzun kaydetmenize gerek yok.
    Dosyayı bir yere yüklerseniz inceleyebiliriz
  • 02-09-2014, 01:08:44
    #3
    Turklokasyon
    Turklokasyon
    Bekir adlı üyeden alıntı: mesajı görüntüle
    Merhabalar arkadaşlar, 2000-2500 anlık onlinesi olan bir oyun sunucusuna sahibim. Ancak son 2 gündür başıma yeni bir saldırı türedi, nedenini bulamıyorum. OVH kullanıyorum DDOS korumasını zaten veriyorlar. Saldırı başladığında CPU lar bir anda %70 - 80 - 90 ve 10 saniye sonra %100 e fırlıyor. Saldırıyı yapan kişi istediği zaman saldırıyı kesip tekrar saldırıyor. Bu sabah 2 saat sunucu bu durumdaydı, şuanda tekrar oluyor bu şey. Sunucu SSH sinde vesayre kesilme yok, sunucuya kurulu diğer şeyler etkilenmiyor, sadece 25565 portuna yapılan saldırı ney ise ona bağlı olan tüm işlemciler %100 e fırlıyor.

    konuyu yanlış yere açtıysam kusuruma bakmayın.

    Öncelikle geçmiş olsun hocam. 25565 Portu minecraft portu sanırım. Anlattığın saldırı türü genelde ack yada syn türü saldırılarda meydana gelmektedir. Sunucuyla olan bağlantın kesilmiyorsa saldırı geldiği an yapılacak bir tcpdump ile yazılacak rule saldırıyı engelleyebilir. Skype adresinizi pm atarsanız yardımcı olabiliriz.
  • 02-09-2014, 01:12:28
    #4
    PATRON54
    PATRON54
    Şunu belirteyim tüm TR oyun serverlarına saldırı mevcut. CS GO oyununda önemli 4 oyun ip sinede saldırı var 2 haftadır sürekli saldırı mevcut.
  • 02-09-2014, 01:22:36
    #5
    PROOYUN
    PROOYUN
    Kimlik doğrulama veya yönetimden onay bekliyor.
    PATRON54 adlı üyeden alıntı: mesajı görüntüle
    Şunu belirteyim tüm TR oyun serverlarına saldırı mevcut. CS GO oyununda önemli 4 oyun ip sinede saldırı var 2 haftadır sürekli saldırı mevcut.
    Bu doğru bir bilgi değil. Ankara 'da yaşayan ve internet trafiği Ankara üzerinden geçen kullanıcıların yüksek erişim süresi görmesinin sebebi direk olarak istanbula bağlanamamasından kaynaklanıyor. Ankara 'daki ADSL kullanıcıları İstanbuldaki herhangi bir noktaya bağlanmak için ilk önce Samsun - Çarşamba daha sonra İstanbula geçiyor bu da erişim sürelerini ~13ms 'den ~35 ms 'e yükseltiyor. Ayrıca Ankara'daki bu problem sadece İstanbuldaki veri merkezleri için geçerli değil, Bursa ve Denizli konumlu veri merkezlerinde de geçerli.

    Ek olarak İstanbul - Levent POP noktasındaki bitmeyen problemler zinciri Radore 'den hizmet alan oyun sunucusu firmalarını ciddi anlamda zor durumda bırakıyor.
  • 02-09-2014, 01:42:25
    #6
    porelux
    porelux
    Üyeliği durduruldu
    Genki adlı üyeden alıntı: mesajı görüntüle
    saldırı anında
    tcpdump -n dst port 25565 -w /home/saldiri.pcap
    bu komut ile trafiği kaydedin, çok uzun kaydetmenize gerek yok.
    Dosyayı bir yere yüklerseniz inceleyebiliriz
    bizim işimize de yarıyabilir logları nasıl görüntüleyeceğiz pm atabilirmisiniz açıyorumda õT½€qK6  tarzında karakterler var tşk ederim
  • 02-09-2014, 08:24:35
    #7
    Genki
    Genki
    @porelux;
    windows ortamında wireshark isimli program ile inceleyebilirsiniz.
  • 02-09-2014, 15:01:39
    #8
    porelux
    porelux
    Üyeliği durduruldu
    @Genki; hocam anlattığınız saldiri.pcap nasıl görüntüleyebiliriz
  • 02-09-2014, 16:03:34
    #9
    Bekir
    Bekir
    Genki adlı üyeden alıntı: mesajı görüntüle
    saldırı anında
    tcpdump -n dst port 25565 -w /home/saldiri.pcap
    bu komut ile trafiği kaydedin, çok uzun kaydetmenize gerek yok.
    Dosyayı bir yere yüklerseniz inceleyebiliriz
    Bahsettiğiniz dosya;

    https://yadi.sk/d/50_kcA5EasqSG

    Bugün yine arkadaş saldırıya başladı, ve buseferki saldırıda 2-3 saniyede bir ping kesiliyor. OVH danmı kaynaklı anlayamadım. Ve birde

    netstat -an | grep :80 | wc -l

    şu komutu yazdıgımda çıkan sonuç 5 yazıyor. Halbuki benim 80 portuyla alakam yok.

    netstat -an | grep SYN_REC

    bu komutu yazdığımda Çinden bir sunucunun 22 portuna bağlanmaya çalıştığını gördüm. Kullanmadığım tüm portları kapatsam bana yararı olabilirmi ?