Botnet / DDos Konuları Hk.

tebrikler

yok tanıdığımız biri zaten bug da şu uzantısız ziyaretleri direk sunucuya route edilmiş kural yazlmamış

/panel/abcde gibi ancak tüm php html .... uzantılar ve directory girişleri / gibi kontrol altında güzel bir tespit yapmış

Benim anladığım,nihai olarak ortaya konacak olan şey, biraz bilgi karmaşası olmuş gibi sanki ama, herkesin kullanabileceği bir sucuri kıvamında layer 7 koruma sistemi çıkartıp ticari ürün olarak sunabilmek sanıyorum.

Başarılar diliyorum,

Tebrik ederim.

Aslında hedef bunu ticari olarak sektör arkadaşlarımıza vermek değil cloud bir firewall sistemi kurmak , sektördeki arkadaşlarımız ile bilgimizi paylaşmak.
Diğer sektörlere geliştirdiğimiz alternatif projeler içinde elimizde veri toplamak diyebiliriz özetle.

"Elin Gevuru" OVH üstünden makinalar alıp, nginx kurup site başı 20$ alıyorsa,tutuyorsa.

Bence siz bu işi daha iyi,daha hakkıyla yaparsınız,dünya markası çıkabilir

Bugünde güzel bir bilgi paylaşalım ;



Nedir bu MTU - MSS gibi değerler


Örnek bir syn paketlerinin tcp dump çıktısı var :
tcpdump -i p2p1 -nn "dst port 80 and tcp[tcpflags] & (tcp-syn) != 0"

Peki burada ne sunuyor bize bunlar ,
Atak yapan kişiler genelde SYN paketlerine daha fazla bilgi girebilmek için MSS değerlerini yüksek tutarlar ve MTU yu şişirler. Bu durumda trafik 100.000 SYN ile tam anlamıyla roketlenir.

Ancak ;
-A PREROUTING -i p2p1 -p tcp --syn -m tcpmss ! --mss 536:2000 -j DROP

Gibi bir kural ile standart dışı syn paketleri dökmek size %90 oranında hazır SYN scriptlerden kolayca korunmanızı sağlar .

Bunu dünkü ziyaret set tablosu ile ilk ziyaret syn sinin boyutunu daraltırsanı %99 oranına ulaşacaktır bu korunma

SYN ataklarda SYN proxy ve çift taraflı aynı ethernet kartından trafik yapmak makinelerdeki en büyük problemdir.

Ancak bunun bir adım ötesini blogumuzda yazacağız . C++ ile yazdığımız algoritmalar
Timespan / ECR / MSS / SEQ ....v.s. gibi paket içerisinde ki bir çok kuralı inceleyip oto kurallar oluşturuyor örnek :

1475708151000---->iptables -t raw -I PREROUTING -p tcp -m tcpmss --mss 1452 -m length --length 60 -d 178.20.231.251 -m u32 --u32 '32&0x0000FFFF=0x16B0' -j DROP

1475708212000---->iptables -t raw -D PREROUTING -p tcp -m tcpmss --mss 1452 -m length --length 60 -d 178.20.231.251 -m u32 --u32 '32&0x0000FFFF=0x16B0' -j DROP
Kaldırıldı


1475707582000---->iptables -t raw -I PREROUTING -p tcp -m tcpmss --mss 1452 -m length --length 52 -d 178.20.231.251 -m u32 --u32 '32&0x0000FFFF=0x2000' -j DROP

1475707643000---->iptables -t raw -D PREROUTING -p tcp -m tcpmss --mss 1452 -m length --length 52 -d 178.20.231.251 -m u32 --u32 '32&0x0000FFFF=0x2000' -j DROP
Kaldırıldı



1 er dk sonunda da bunu devre dışı bırakıyor. ve bunu tüm işletim sistemlerinde uyguluyor . Freebsd / Ubuntu / Centos ....v.s.

Bunu layer 2 nasıl yaptığımıza ise bir kaç ay sonra muhtemelen geliriz

Bu yakalanan atakda biz mss ye 16B0 yani 5808 değerini bloklatmışız sanırım SYN de saldıran arkadaş ansiklopedi gönderiyordu


Paket algoritmasına müdahelemi ?



Güzel adresleme ile her işletim sisteminde mümkün

Meslea NTP AMP atakların çoğunun bıraktığı iz :

-p udp --dport 123 -m u32 --u32 "0x1C=0x1700032a && 0x20=0x00000000" -m comment --comment "NTP amplification" -j DROP

Critical Error
Could not connect to the database. sence çöktümü site yoksa başka bişimi.

Şu ana kadar gelen en yüksek atak biraz önce ulaştı bunu vuran arkadaş bana yazabilir mi nasıl vox'u deldiğini merak ediyorum ama en azından kesmişiz