Botnet / DDos Konuları Hk.

elinize sağlık

Stresser sahibi getirdik,BotNet denedik 5Gi kadar çıkışlar attık çıkan paket sadece 5

Herkese Merhaba,

Konuyu az önce farkettim ..

Arkadaşın paylaştığı IP'leri internet dünyasından incelediğimde kendisinin UDP koruması için önerdiği IP adresi hem türkiyeden hemde yurtdışından gelen trafik önce BGP ile voxility firmasına anons edildiğini daha sonra GRE Tunneling ile temiz trafiğin kendisine gönderildiğini gördüm. Web olarak verdiği sistemde aynı şekilde Voxility firmasına anons ediliyor.. Ben burda ürünü anlayamadım ? DDoS engelleme olarak Voxility firmasının reklamınımı yapıyorsunuz ? Voxility firmasını bilmeyen arkadaşlar var ise şuanda türkiyede bir çok datacenter sahibi arkadaşın kullandığı yurtdışından gelen DNS ve NTP atakları hafifletmek için aldıkları DDoS hafifletme şirketidir. Ama bunun dışında vermiş olduğu iki ip adresine ufak çaplı 1-2 deneme yapıldı ortalama 300-500Mbps Sonuç aşağıda.






C:\>tracert 185.118.140.205

Tracing route to redayhost.com [185.118.140.205]
over a maximum of 30 hops:

1 34 ms 10 ms 9 ms 192.168.1.1
3 4 ms 8 ms * 10.36.5.85
4 5 ms 4 ms * 10.36.6.213
5 4 ms 4 ms * 10.36.8.126
6 5 ms 4 ms * 10.36.83.82
7 3 ms 3 ms * ix-ae-10-0.tcore1.IT5-Istanbul.as6453.net [5.23.0.37]
8 44 ms 47 ms 45 ms if-ae-8-2.tcore1.FNM-Frankfurt.as6453.net [195.219.156.21]
9 40 ms 39 ms 39 ms if-ae-12-2.tcore2.FNM-Frankfurt.as6453.net [195.219.87.1]
10 51 ms 51 ms 45 ms ffm-b1-link.telia.net [62.115.57.29]
11 95 ms 70 ms 75 ms voxility-ic-304822-ffm-b11.c.telia.net [62.115.38.210]
12 43 ms 43 ms 46 ms fra-eq5-01c.voxility.net [109.163.237.18]
13 69 ms 51 ms 43 ms lh29200.voxility.net [5.254.122.138]
14 88 ms 92 ms 84 ms 10.60.0.36
15 100 ms 98 ms 101 ms 10.60.0.1
16 51 ms 60 ms 51 ms 10.19.38.57
17 51 ms 60 ms 51 ms 10.32.35.6

Onur bey yurtdışı bacağı sadece voxility'e anons ediliyor.Bu paylaşılan atak grafiklerini görmediniz sanırım ?

Siteyi biraz once ben logları silerken resetledim sanırım o sırada girdiniz.
Yurt içi trafik vox dan dönmüyor hangi operatörden bu testi yaptınız ?

Ayrıca vox. layer 7 atak konusunda bir aktviasyonu yok diye biliyorum.

Grafiklere baktım ben tcpdump çıktısı ile istekleri göstermişsiniz. Botnet saldırısı yapan arkdaşların trafiği genelde yurtdışı olur yada makineden exploit ile deneme yapanların makineleride yurtdışı olur türkiye trafiği ile ve arkasında voxility olmayan bir IP verirseniz daha faydalı olur? Sizin IP'lerin infosu'da SALAY çıkıyor bu IP'ler daha öncede Telekom tarafında DDoS koruma hizmeti alıyordu bir ürün piyasaya çıkartacaksanız şayet önce ürünü insanlara tanıtmanız gerekiyor interface'si ile beraber ama siz başka firmaları tanıtıyorsunuz şuan zaten r10'daki kullanıcılar bunun farkına baktığında anlarlar.

Layer 7 ataklar tüm dünyadan geliyor ve vox kesmiyor
SALAY bizim eski firmamız
Vox hariç tr den onlarca 1-2G bandında zaten atak geldi voxu kapatıp 100'lerce G ile karşılaşmanın bir manası var mı gerçekten ?
Ürünün lansman ve tanıtımı yakında olacak zaten taktir edersiniz ki ticari bir ürün olacak hattınız varsa 100G gelin sözleşmeyle size satalım ürünü vox'u kapatıp deneyin
Burada amaç Layer 3-4 ve 7 ataklar karşısında durup duramadığını ölçmek boyuytlarını test etmek değil ve 3-4 ataklar TR den yeterince geliyor dünden beri. Bu logları alabildiğimize göre zaten bu ataklar bizde sonlanıyor


Layer 7 de ise voxun bir müdahelesi olmuyor ve sitemiz hala up

Ben az önce bazı çıktılar gönderdim. Siz IP adreslerinizi voxility'den anons ettirip burda biz kesiyoruz derseniz bu insanları salak yerine koyduğunuz anlamına gelir.. Bu yüzden sisteminizi incelemeden yorum yapmadım zaten. Siz şayet voxility olmayan yada türkiyede IP'lerinizi önce telekom yada superonline'dan filtreden geçirtip sonra kendinize anons ettirmeden bir sistem yapar iseniz o zaman sağlıklı test yapabiliriz

traceroute to 178.20.231.251 (178.20.231.251), 30 hops max, 60 byte packets
1 r1zlz1.core.init7.net (77.109.136.233) [AS13030] 46.122 ms 46.175 ms 46.209 ms
2 r1zrh1.core.init7.net (77.109.128.209) [AS13030] 0.175 ms 0.208 ms 0.223 ms
3 r1fra3.core.init7.net (77.109.128.250) [AS13030] 5.802 ms 5.828 ms 5.822 ms
4 * * *
5 fra-eq5-02gw.voxility.net (5.254.68.145) [AS3223] 53.576 ms 53.679 ms fra-eq5-01gw.voxility.net (5.254.104.21) [AS3223] 59.942 ms
6 fra-eq5-01c.voxility.net (109.163.237.18) [AS3223] 19.694 ms fra-eq5-01c.voxility.net (109.163.237.26) [AS3223] 19.982 ms fra-eq5-01c.voxility.net (109.163.237.18) [AS3223] 19.857 ms
7 lh29200.voxility.net (5.254.122.138) [AS3223] 19.597 ms 19.601 ms 19.976 ms
8 * * *
9 * * *
10 10.19.38.57 (10.19.38.57)[*] 73.851 ms 70.938 ms 70.922 ms
11 10.32.35.42 (10.32.35.42)[*] 70.722 ms 10.32.35.2 (10.32.35.2)[*] 70.765 ms 71.179 ms
12 10.32.35.14 (10.32.35.14)[*] 71.912 ms 71.872 ms 71.862 ms
13 spd.net.tr (178.20.231.251) [AS57844] 70.969 ms 71.123 ms 59.868 ms