0
Kayıt Ol

OVH Ddos olayı

12

3.344

  • 16-10-2014, 01:29:06
    #1
    CihanAksoy
    CihanAksoy
    Selamlar. Şimdi iplerimden birtanesi ddos saldırısı gelmiş. OVH'de IP'de şöyle bir uyarı veriyor.

    http://prntscr.com/4wjwva

    Anti-Ddos pro kullanıyorum ve şuanda bu sunucuya ulaşamıyorum. Ddos geldiğinde hep böyle kapatıcak mı kendi kendine sunucuyu ?
  • 16-10-2014, 11:31:17
    #2
    Serverfield_Sezer
    Serverfield_Sezer
    Herhangi bir mail bildirimi gelmedi mi?
  • 16-10-2014, 12:44:23
    #3
    CihanAksoy
    CihanAksoy
    Hayır sadece saldırı kesildikten sonra "End of Attack" diye bir email geldi.
  • 16-10-2014, 13:56:22
    #4
    Turklokasyon
    Turklokasyon
    CihanAksoy adlı üyeden alıntı: mesajı görüntüle
    Selamlar. Şimdi iplerimden birtanesi ddos saldırısı gelmiş. OVH'de IP'de şöyle bir uyarı veriyor.

    http://prntscr.com/4wjwva

    Anti-Ddos pro kullanıyorum ve şuanda bu sunucuya ulaşamıyorum. Ddos geldiğinde hep böyle kapatıcak mı kendi kendine sunucuyu ?


    Proaktif ddos korumasına sahip OVH sistemleri normalde engelledigi ddos sırasında sunucu erişimini kesmezler. Ancak sadece OVH sistemlerin bu proaktif ddos'u için geliştirilmiş bir saldırı scripti mevcut. Piyasada bulunmasada bazı kişilerin elinde mevcut ve her türlü ovh sisteme minimum 1gbps hatlı uplink'li bir makina ile rahatça saldırı yapılıp sunucu down ettirilebiliyor. Malesef ovh bu sistem için henüz tam olarak bir koruma geliştirebilmiş değil. Bu sebeple bizde yakın zaman önce ovh'ı bırakmıştık.

    Bildiğim kadarıyla proaktif ddos korumasında da kişilere 40 adet civarında rule tanımlama hakkı veriliyormuş. Biz kullanmamıştık ancak gelen saldırı trafiği analiz edilerek bu tanımlanacak ruleler ile belki saldırı boyutu düşürülebilir yada engellenebilir. 3-4 aydır OVH'ı takip etmiyorum belki bu scriptle ilgili çalışma yapılarak saldırıyı engellemek için bazı kurallar geliştirmiş olabilirler.
  • 16-10-2014, 14:34:02
    #5
    CihanAksoy
    CihanAksoy
    conquer adlı üyeden alıntı: mesajı görüntüle
    Proaktif ddos korumasına sahip OVH sistemleri normalde engelledigi ddos sırasında sunucu erişimini kesmezler. Ancak sadece OVH sistemlerin bu proaktif ddos'u için geliştirilmiş bir saldırı scripti mevcut. Piyasada bulunmasada bazı kişilerin elinde mevcut ve her türlü ovh sisteme minimum 1gbps hatlı uplink'li bir makina ile rahatça saldırı yapılıp sunucu down ettirilebiliyor. Malesef ovh bu sistem için henüz tam olarak bir koruma geliştirebilmiş değil. Bu sebeple bizde yakın zaman önce ovh'ı bırakmıştık.

    Bildiğim kadarıyla proaktif ddos korumasında da kişilere 40 adet civarında rule tanımlama hakkı veriliyormuş. Biz kullanmamıştık ancak gelen saldırı trafiği analiz edilerek bu tanımlanacak ruleler ile belki saldırı boyutu düşürülebilir yada engellenebilir. 3-4 aydır OVH'ı takip etmiyorum belki bu scriptle ilgili çalışma yapılarak saldırıyı engellemek için bazı kurallar geliştirmiş olabilirler.
    Bu saldıran kişilerin öyle profesyonel olduklarını sanmıyorum. Çünkü önce websiteme saldırdılar ve onda sorun olmadan saldırıyı engelleyebildi.

    @HostPaket sağolsun tracert'ı aklıma getirdi ve firewall panelden aktif ve permanent modunda görünsede aslında aktif değilmiş. Sanırım bundan dolayı kesinti yaşandı.

    Firewall'u deaktif ettim birkaç internette gördüğüm kuralı aktif etmiştim. Şimdi kuralları sildim ve tekrar permanent moduna aldım. Tracert'de şuanda firewall aktif görünüyor.
  • 16-10-2014, 16:52:43
    #6
    Turklokasyon
    Turklokasyon
    CihanAksoy adlı üyeden alıntı: mesajı görüntüle
    Bu saldıran kişilerin öyle profesyonel olduklarını sanmıyorum. Çünkü önce websiteme saldırdılar ve onda sorun olmadan saldırıyı engelleyebildi.

    @HostPaket sağolsun tracert'ı aklıma getirdi ve firewall panelden aktif ve permanent modunda görünsede aslında aktif değilmiş. Sanırım bundan dolayı kesinti yaşandı.

    Firewall'u deaktif ettim birkaç internette gördüğüm kuralı aktif etmiştim. Şimdi kuralları sildim ve tekrar permanent moduna aldım. Tracert'de şuanda firewall aktif görünüyor.


    Anladım. Firewall aktif olupda işe yaramadıgı durumlarda da tcpdump cıktısı gonderebilirseniz saldırıyı engelleyebilecek manuel komut girmenizide sağlayabiliriz. Sorununuzun çözülmesine sevindim. Geçmiş olsun diyelim
  • 16-10-2014, 22:06:52
    #7
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    Syn ack türündeki bazı özel exploitler ovh nin cihazlarından geçip sunucuya ulaşabiliyor, hatta bazen mitigation cihazlarının saldırıyı algılayamamasına neden oluyorlar.

    Tcpdump logları incelenerek gelen istekler tespit edilerek manuel kural belirlenebilir.
  • 16-10-2014, 23:42:43
    #8
    CihanAksoy
    CihanAksoy
    conquer adlı üyeden alıntı: mesajı görüntüle
    Anladım. Firewall aktif olupda işe yaramadıgı durumlarda da tcpdump cıktısı gonderebilirseniz saldırıyı engelleyebilecek manuel komut girmenizide sağlayabiliriz. Sorununuzun çözülmesine sevindim. Geçmiş olsun diyelim
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    Syn ack türündeki bazı özel exploitler ovh nin cihazlarından geçip sunucuya ulaşabiliyor, hatta bazen mitigation cihazlarının saldırıyı algılayamamasına neden oluyorlar.

    Tcpdump logları incelenerek gelen istekler tespit edilerek manuel kural belirlenebilir.
    Windows Server 2008 kullanıyorum yalnız. Özel kural oluşturulabilir mi yinede ?
  • 17-10-2014, 00:05:54
    #9
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    CihanAksoy adlı üyeden alıntı: mesajı görüntüle
    Windows Server 2008 kullanıyorum yalnız. Özel kural oluşturulabilir mi yinede ?
    Kuralı ovh panelden oluşturuyorsunuz.

    Windows içinden gelen trafiğin tipini detaylı nasıl incelersiniz bilemiyorum.