Botnet / DDos Konuları Hk.

Tebrik ederim hocam , 1500 Mbps (1,5 Gbps) ile 1 saat boyunca http flood saldırısı yaptım , sisteminiz gayet iyi

Çok teşekkürler.

firmasına saldırı alıpda teşekkür eden tek firma olarak tarihe geçtin Meğer biz bir dahi ile çalışıyormuşuz haberimiz yokmuş.
Gerçekten hizmet aldığım süre zarfı boyunca çok kalite, hızlı ve kesintisiz hizmet alıyorum.
Tek ricam üstadımdan ufak bir maruzatım var özeldende ilettim o hususta yardımını istiyorum.
ALLAH işlerinde yardımcın olsun.

Şu anda bir blog hazırlıyoruz tüm bu sistemde yapılanları anlatacağımız örnek bir konu buradaki bir çok arkadaşın üst düzey bilgisini göz önünde bulundurarak özetlemek gerekirse

DNS Amplification Tarzında Ataklar

Atak yapan kişinin -----> DNS recursion açığı olan sunucular ------> Hedef sunucu

olarak atakçının hedef sunucu ip adresini taklit ederek DNS sunucularına ufak bir paket ile gönderdiği sorguya 10-15 katı boyutta min cevap alması ile 10 Mbit gönderilen trafiğin hedefe 100-200Mbit boyutunda geri dönmesinden kaynaklı ataklar.

Peki nasıl çözülür ?

Örnek bir centos sunucuda ;
-A Forward_Trust_UDP -p udp --dport 53 -j SET --add-set dns_req src,srcport,dst

Şeklinde gönderdiği talebi

ipset create dns_req hash:ip,port,ip timeout 360
(6 dakika giriş bileti)

şeklinde açılmış bir hash tablosuna source ip , source port , destination ip olarak kayıt etmesini sağladıktan sonra


Inbound trafiğinde

-A DNS_Control -p udp -m udp --sport 53 -m set --match-set dns_req dst,dstport,src -m comment --comment "Request edilen DNS adresleri" -j RETURN


Request etmediği DNS çağrılarını direk drop ederek ve ters yonde bu sıralamayı kendine gelen cevabı istediği porttan alarak dökmesi kendini gelen bu AMP tarzındaki atakdan kolayca koruyacaktır. Bu sayede içeriden açılmamış hiç bir çağrı sunucuda gereksiz yere bir trafik yoğunluğu yaratarak şişirmez. Centos sunucular çoğu zaman Conntrack ve IRQ dengesizliğinden koparlar bu basit işlemin preroute kısmına uygulanması ile %100+ DNS AMP / NTP AMP gibi ataklarda korunma da performans artışı yaratır.


Tabii ki yapmış olduğumuz sistemde bunun gibi 400+ algoritma mevcut. Ama yakında blog linkini paylaşacağım ve cihazları demo olarak talep eden makine adeti yüksek herkes ile paylaşımımızı artıracağız.


Yazılımlarımızı C++ ve perl ile geliştiriyoruz. bu sebep ile modüller halinde de tüm işletim sistemlerine uygun şekilde blog linkimizden detaylı anlatımları ile paylaşacağız. Tek isteğimiz , R10 gibi bir forum daha dünyada hiç bir yerde yok webhostingtalk bile R10 kadar hareketli ve güzel değil bence. Bu kadar sektöre gönül veren insanın olduğu bir ülkede bir şeylerin daha güzel olması


Peki bir Vox hizmetini dünyaya TR olarak neden biz sağlamayalım ?

Yeni sunucu kiralamalarında bu hizmeti dahil ediyor musunuz?

Çok müsait değildim bende farkettim ama gelen ataklardan cok farklı bir atak değildi sürekli geliştiriyoruz ilk kez layer 7 de etkilendi sebebini inceleyeceğim en son google bot ile ilgili bir exception yazmıştık sanırım orada bir hata var. doğru söylüyorsunuz

Teşekkür ederim

Şimdi benim anlamadığım tek birşey var;

Konuya en son yorum yapan arkadaşı da konuyu açan arkadaşını da tanımam etmem.

Ama sadece dikkatimi çeken bir şey oldu;

16.09.2016 tarihinde sitenize yapılan sadırıya çözüm bulamayıp hem de ddos da uzman olup,konu sahibinin sitesini kapatmanız benim biraz ilgincime çekti.Paylaşayım dedim sadece

Yapan arkadaş o değilmiş çok çok prof. herkesin bildiği bir isim şimdi skype dan yazdı konuya kendi dahil olmadığı için ben not düşeyim , zaten kendisinde ki botnet ağı sanırım kimsede yoktur. Biz de de bir bug vardı farkettik düzelttik.

Arkadaşın mesajına noldu ?

İade-i Ziyaret mi var