Ddos Korumalı Sunucu Arıyorum

Sorf.org veya sunucular.com.tr ile görüşmeni tavsiye ederim.

@abacus
@sunucular

teşekkürler sorf.org a ulaşamıyorum sanırım pazar olduğundan dolayı ulaşabilecek biri olsa da oraya geçsem hemen.

Sunucular.com.tr yi de öneririm. Gerçekten çok iyiler. Ddos guard ın Türkiye partneri kendileri.

Sunucular.com.tr yi bilmiyorum ancak. DDOSGuard cok iyi bir servis değil. Biz test ettik karşılaştığımız problemler :

1. UDP ataklarda çok başarılı değiller
2. TCP MSS problemleri var
3. Fragmanted packetlerde Paypal apiler , cpanel lisans vs gibi işlemlerde sorun yaşanıyor
4. Çıkış trafiğinin TT den yurtdışına spoof olarak dönmesine müsade etmiyorlardı şu an nasıl bilmiyorum.

Bunun dışında voxility de de tunnel sebebi ile yurtdışı DNS lerde problem yaşanıyordu ancak en son First Colo ile çalışmaya başladık. Pahalı ama kaliteli bir servisleri var. Yurtdışından L3 ve L4 seviyede hiç bir atak görmedik.

Öte yandan TTNet Aktif DDOS korumasını artık veri merkezlerine sağlamıyorlaar ya da yurtdışı portlarının qos seviyesini düşürüyor ya da LAG üzerinden değil de tek linkden hattınızın girişini limitliyorlar. bu sebeple TT DDOS serviside artık pek efektif değil.

Geriye sadece koruma konusunda hat problemi olmayan yatırım yapmış firmalar kalıyor. Bu durumda tercihi düzgün yapmanızı tavsiye ederim en azından benim bildiğim bu tip yatırım yapan firma adeti bu forumda 2-3 adet var.

Biz de şu anda DDOS koruma satışlarını durdurduk
Juniper SRX 3600 serisi cihazlar aldık ve cok ciddi yatırımları tamamladık tek başına ufak çaplı bir datacenter fiyatına mal oldu ancak juniper'in SRX dizaynında yaptığı bir hata var. SPC denen cpu ları olan bu cihazlarda 1. SPC işletim sistemi ile ortak çalışıyor. NPC denen network dağıtım kartları var birde.
NPC ler yüksek yük altındayken (UDP flood gibi. küçük paketler ile) normalde 7-8G TCP SYN , TCP spoof gibi akları 2+ spc ile tutabilirken 4SPC miz oldugu halde 300K pps de cihazlar takılıyor . NPC ler boş SPC lere trafiği göndermek yerine Combo SPC ye yani performansı düşük ortak kullanımlı spcye gönderiyor trafiği.
Juniper hatayı her ne kdar bug olarak kabul etsede bizim türk insanındaki direk firma suçlu düşüncesi bir kenara Ben bunun için bedel ödemelimiyim yani sorusuna EVET support contract olmadan biz bu hataya istinaden cihazınıza bağlanamayız diyor ve maalesef türkiyedeki juniper partnerlerinin yetersiz iş anlayışından yurtdışından bu destek paketlerini satın aldık ve Expanded SPU license gönderilip (ki sadece bu lisans 36.225$ dır Expanded Performance and Capacity License for SRX 3000 http://www.networkscreen.com/SRX3600.asp
) Bunların işlemlerinin bitmesini bekliyoruz.

Bir de bunun diğer bir boyutta. atağ taşıyan Router'lar , Switchler , bağlantıdaki kullanılan Fiber XPF cihazları gibi çoook uzun bir yolu olduğunu düşünürseniz rakamları kendiniz düşünebilirsiniz. Bununda ötesinde bir de tabii ki hat yeterliliği var ki hiç o konuya değinmeye gerek yok sanırım.

Sonuca gelecek olursak . Iyi bir koruma sistemi sadece bir çalışma değil yüksek maliyet, iyi partnerler gibi bir çok şeyi gerektiriyor.

Bir diğer hususda firewallar bir çok atağı kendi algılayamaz.
Örnek olarak : DNS Amplification, udp den gelen bu atak hedef portu TS ya da DNS portu oldugunda atağa manuel müdahele gerekir .

xxx bir server binlerce recrusive açığı olan sunucuya belirli bir alan adının dig cıktısı gibi cıktısını talep ederek 300-500 mbit cagrı atar anca bunu hedef server'ın ip sini taklit ederek yapar ve diğer serverlar bu cagrılara cevabı hedefteki servera gonderirki bu atağın dönüşü 10-15G mertebesinde olur çünkü yaklaşık 35x büyür . Bu durumda datacenter'ın o ip ye gelen trafikde IDP olarak Layer 7 seviyesinde policy olusturup pattern'e göre regex yazark custom signature kurgulaması ve kesmesi gerekir. bu süreç 5-10 dk sürse ardından başka bir alan adı ile saldırı yeniden başladımı sorun devam eder. Paket boyutları çözüm değildir. DNS headerlar duurma göre kesilebilir vs vs vs .

Bunun gibi NTP Amplification, zero packet, UDP flood , SYN &!ACK gibi sistmei çıldırtan otomatik kesilemeyen bir çok atak tipi mevcut.

Ancak ARBOR seviyesinde cihazlarda bunlar oto olarak sürekli güncellenerek signaturelar ataklar büyük oranda kesilebiliyor ancak Arbor maliyeti ve Yenilenen lisans ücretlerine bakack olursanız muhtemelen sunucu kiranızı 25-30 kat olarak planlamanız gerekeceğini göreceksiniz ki bildiğim kadarı ile TR de şu anda zaten yok

konuya çok uzun yazdım kusura bakmayın ama özet bir açıklamanın da belki binde birlik özeti olarak bunu göz önünde bulundurmanızda fayda var


yani özet olarak ben koruma aldım arkadaşım ayda da 200 tl ateşlerim halletsin datacenter gibi bir düşünce değil atak çok karışık ve büyük bir konu çalışacağınız yerin de konuda prof ve güçlü olması ayrıca sizinde konuda standart bir bilginin üzerinde bilgiye sahip olmanız gerekirki karşılaşılabilecek durumlarda datacenter'a yöne verebilmeniz için . Ancak o zaman başarılı bir çalışma sonuçlanırki bunu da çok büyük heyecanlar içinde 1 dk kesinti oldu napıyorsunuz siz müşterisine vermek bu pazarda çok kolay değil onuda eklemek isterim

Destan yazmışsınız Cahit bey resmen okuya okuya yoruldum.
Ben sadece öneri dw bulundum. Sunucular.com.tr den test amaçlı vds aldığımız zaman gayet başarılı olduğu için önerdim. Aslında bende sizin şu firewall ın bitmesini bekliyorum. Bitsin de sizle iş birliği yapalım artık