Botnet / DDos Konuları Hk.

Türkiyenin gelişmemesindeki en büyük sebeb budur işte. Tebrik etme huyu hiçbir zaman olmadı. Bu kadar test sonrası bir iki yerden fire vermenin nesi kötü anlamış değilim. Bulunan her eksik tamamlanır ve sorunsuz olarak verilir. Şuan için bir iki tane geçiş olmuşsa gerçekten başarıdır. ve sorunun gerçekten çözüleceğinin bilgisi paylaşılmış. Ayrıca konunun amacı zaten test edilmesidir. Geçebiliyorsan , at ss i paylaş bilgini , kontrol edilsin sorun çözülsün. Ordan burdan bilmeyen herkes yorum yazıyor. Yok şöyle yok böyle. Bir kaç eksiği görüp saçma yorumlar geleceğine , bir çok yönetimin engellendiğini görerek tebrik etmek bence her zaman daha mantıklıdır. Kimse ufacık bir dosyayı bile test etmeden çıkarmıyor satışa. Başkalarının başarısını kıskanıp , bu kıskançlıklar veya egolar ile konuya girmenin bir mantığı yok. Herkesin egosu kendinedir..

Biz genede teşekkür ederiz IP paketinin 32. layer'ı 000ffff maskında bir bug'ımız vardı düzelttik şimdi test ediyoruz . Güzel bir syn topology idi.

IPTABLES tabanına birşeyler yapmaya çalışıyorsunuz ama seni bi konuda uyarayım interrupt konusunda iptables ile hiçbir şey yapamazsın yani adam sana saniyede 2M Pps'den sonra işlemcini şişirir ve lag olmaya başlar 5-10 dakika içersinde tüm rulelerin birbirine girer ve makinen down olur Birde ürün geliştirdim diyorsun biz tabikide %100 birşey yapsanız tebrik ederiz eleştirinin sebebi voxility'den hizmet alıp test edin diyorsunuz.

Onurkan Bey, Merhabalar Bu arkadaşlar voxility'den hizmet alıp biz bu işi biliyoruz gibi birşeyler demeye çalışıyor sanırsam, arkadaşlara daha sağlam bir firma önerelim isterseniz, Cloudflare diyelim o halde ? Son olarak herkes kendi işini yaparsa sorun olmaz diye düşünüyorum

Birde diyorsun ki tüm türkiye trafiği direk bize geliyor bak sana atıyorum türkiye Fiber'den çekilen bir tracert çıktısı.. Voxility'nin frankfurt lokasyonundan geçiyor herşeyiniz.

Tracing route to redayhost.com [185.118.140.205]
over a maximum of 30 hops:

1 34 ms 10 ms 9 ms 192.168.1.1
2 10 ms 3 ms * host-92-45-0-111.reverse.superonline.net [92.45.5.143]
3 4 ms 8 ms * 10.36.5.85
4 5 ms 4 ms * 10.36.6.213
5 4 ms 4 ms * 10.36.8.126
6 5 ms 4 ms * 10.36.83.82
7 3 ms 3 ms * ix-ae-10-0.tcore1.IT5-Istanbul.as6453.net [5.23.0.37]
8 44 ms 47 ms 45 ms if-ae-8-2.tcore1.FNM-Frankfurt.as6453.net [195.219.156.21]
9 40 ms 39 ms 39 ms if-ae-12-2.tcore2.FNM-Frankfurt.as6453.net [195.219.87.1]
10 51 ms 51 ms 45 ms ffm-b1-link.telia.net [62.115.57.29]
11 95 ms 70 ms 75 ms voxility-ic-304822-ffm-b11.c.telia.net [62.115.38.210]
12 43 ms 43 ms 46 ms fra-eq5-01c.voxility.net [109.163.237.18]
13 69 ms 51 ms 43 ms lh29200.voxility.net [5.254.122.138]
14 88 ms 92 ms 84 ms 10.60.0.36
15 100 ms 98 ms 101 ms 10.60.0.1
16 51 ms 60 ms 51 ms 10.19.38.57
17 51 ms 60 ms 51 ms 10.32.35.6

Superonline direk erişim olsada bazı ipleri voxa veriyor . Bu bizim düzenlediğimiz bir rota değil. Superonline'a mail atıyoruz düzeltiyor. Genel olarak sol rotaları ucuz olduğu için yurtdışına veriyor. Ancak tüm TR dc ler direk erişimde bunu göremeyecek kadar bilgisiz olmadığınızı düşünüyorum.

Soft ve hard interruptlar konusunda kerneli aylardır editliyoruz zaten. Bugün kernel tabanı olmayan kaç cihaz biliyorsunuz isim paylaşırmısınız ?

Bir zahmet bir dc den trace atabilir misiniz ya da türk telekom üzerinde adsl kullanan birinden karalamak yerien az yapıcı bi kaç cümle kurmayı deneyin bakın mutlu olacaksınız. Bu cihaz bir arge cihazıdır ve tüm sektöre dağıtacağımız bir bir cihazdır. karşılığında maddi bir beklentimiz de yok ama gayenize anlam veremedim. Biriniz superonline'ın hatalı rota gönderimini bütün trafiği voxa veriyor iddasına sürüyor.
Biriniz test edilen bir cihazın limitleri ile sorguluyor ?
Önemli olan TR den gelebilen trafikler ile henüz 2 tip atak da down log'umuz var

Daha iyisini siz yapın onu konuşalım biz bunu burada herkese servis edecek şekilde plan yapıyoruz. Galiba zorunuza giden tarafı bu


Testinizi yapın TR sunuculardan bakın vox'a gidiyor mu gitmiyor mu ? Siz yurtdışından ddos deneyip voxu mu test ediyoruz derseniz bu bilgi ile komik olursunuz .

Ayrıca henuz layer 7 konusunda da düşüş yaşamadık.



Tekrar ve tekrar belirtiyorum SUPERONLINE ev kullanıcılarında rota'yı yurt içi yurtdışı verme hakkını kesinlikle saklı tutuyor ancak genelde bağlantı olduğu için rapor edince düzeltiyorlar. TR dc lerin hepsinde traceroutelarınız direk erişecektir. Vox'u ya da kapasiteyi değil ataklar karşısındaki durumu test ediyoruz.
İsteyen imkanı yoksa buradan da bakabilir traceroute 'a itirazıda varsa superonline'a yazabilir. Bu bizim tercihimiz değil kaldıki TR de her DC den bize TT hattı ile ulaşırsınız. Layer 7 konusunda da vox zaten alakasız bir dayanak
http://lg.turktelekom.com.tr/lg/index.php

Cahit Bey siz superonline ile direk mi çalışıyorsunuz ?
Kendi datacenteriniz vardı bildiğim kadarıyla.Ayrıca eğer @oNuRkAn tanıdığım kişi ise geveze gibi büyük bir oluşumun güvenliğini sağlayan kişi.Dolayısı ile çok bilgili bir arkadaş.

Merhabalar : Durum su ;

Onurkan 'nin uzerinde durdugu konu : Siz zaten yurtdisi trafiginizin tamamini VOX'dan geciriyorsunuz.Burada is yukunu ve ana korumayi saglayan Voxility. Voxility layer 3/4 katmaninda %90 civarinda zaten basarili bir sirket.Bu durumda SPD.net.tr 'nin urettigi ddos mitigator sadece Turkiyeden gelebilecek kisitli bir trafikle mucadele etmis oluyor buda cihazin HANDLE kapasitesini olcmek icin yeterli degil diyor ki / tespit dogru.

Burada saldiri yapanlarin cogunun kullandigi UDP - NTP - DNSAMP - CHARGEN - SPOOF TCP SYN/ACK ve turevleri icin yurtdisi spoofing izni olan sunucular kullaniliyor.SPD.net.tr konuya biz bir ddos mitigator gelistiriyoruz sadece "yurtici"'nden gelecek saldirilar icin belirli bir kapasitede saldirilari engellemek icin , "yurtdisi" icinse Voxility kullaniyoruz diye ilk mesajinda detay vermis olsaydi bence bu kisir dongu tartisma olmayacakti.

Sonuc : Yurticinden gelebilecek saldirilar icin "eksikleri" gozuksede basarisiz diyemeyiz yurtici icin 5G/3M PPS suan icin yeterli, ama uzun vadede hem kapasitesinin hemde false-positive trafik ayriminin en dogru sekilde gelistirilmesi SPD musterileri icin uzun vade de cok daha guzel olacaktir.

Kendi yerimizde şu anda çok fazla bir sunucumuz yok TT hattı var
https://www.flickr.com/photos/spdnet/
Büyük bir bölüm network'umuz netdirekt ve yurtdışında da var bir çok peering ve transit bağlantımız da mevcut normalde bu son kullanıcı erişimini SOL'un yurtdışına değil bize iletmesi gerekir bir gariplik var onu not edecem. Ama TR de sol ile atak yapmayı planlamıyordur sanırım zaten arkadaş ve kendi evi dışında herhangi bir DC den vs denerse büyük olasılık SOL trafiğide direk erişecektir. TR deki DC lerin hepsinden bize zaten direk TT hattı ile erişiliyor hattı kendimiz bilinçli komple yurtdışına çevirmedik bu SOL de yaşanan bir sorun ucuz olduğu için son kullanıcı trafiğini kendi ağından tespit edemezse erişimi yurtdışına veriyor. Bu atak noktasında herkesin testine açık olmamızı engellemez TR lokasyon isteyen herkes Layer 3 ve 4 yapabilir 7 noktasında da zaten henüz bir itiraz gelmedi.

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 17:57:08 -->-> Daha önceki mesaj 17:54:11 --

Değerli yorumunuz için teşekkürler amaç zaten atak tipleri karşısında 1Mbit / 1000Mbit tespit etmek cihazdaki aksiyonları reel yaşamda neler geliyor bunu görmek cihazı patlatmak değil. Cihaz cloud dizayn edildi. Uygun bir transit noktası ile anlaşıp bir kabin cloud olarak dizebilirsek o zaman elbette voxu kaldırırız.Hat burada büyük sıkıntı bu yüzden bizde yapıyı hattımıza uygun seçtik ki TR koşullarında gelen ataklar da amaç etkilenmemek. Yurt dışını açık 100G gönderelim görün gününüzü değil konu.

Hattı olan arkadaş varsa açsın cihazlarımızı bir kabin kuralım oraya ondan sonra hat limitsizde deneyelim. Önemli olan bu testte aynı atakları minimize de olsa ederek TR içinden bypass edebilmek cihazı
Öte yandan layer 7 de böyle bir engel yok isteyen istediği kadar gönderebilir.