Salay Telekom ve Radore Hakkında !

Sektöre yön veren verimerkezi işletmecilerin bu konuda daha hassas olmaları gerekiyor.
Abuse ile biryere kadar ilerleniyor X sunucu kapatılırsa Y sunucudan ataklar gelmeye devam ediyor.
Ki spoof olarak gelen atağı kime nasıl şikayet edicez , kaynak tam olarak belli değil ama çıkışı yapabilecek yerler belli. Çözüm spoofu kökünden engellemek.

Benim anlayamadığım bir konu var. Spoofing aktif veya pasif şeklinde bir netlik göremiyorum. Spoofing aktif ise gerçek IP nasıl yakalandı? Spoofing aktif değilse tekil IP'den paket saldırısını engelleyecek sistem mevcut değil ancak fark edecek sistem mevcut.

5651 sayılı kanunun 5. maddesinde tartışmaya yer vermeyecek şekilde yer sağlayıcı kesin olarak koruma altına alınmıştır. bkz.

MADDE 5- (1) Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup
olmadığını araştırmakla yükümlü değildir

Kısacası yasal olarak bile bu yükümlülük yer sağlayıcılara bildirilmemişken network alt yapısında saldırıyı farkedecek sistemler kurmak yada bunlara gerek iş gücü gerekse donanımsal masraflar yapmak tamamen yer sağlayıcının tercihi ve hizmet anlayışına kalmaktadır. Burada firmaların yükümlülüğü ise resmi makamlardan gelecek uyarılara göre müşteri bilgilerini resmi makamlarla paylaşmak veya resmi makamlar tarafından talep edilmesi durumunda içeriği yürürlükten kaldırma zorunluluğu taşımaktadır.

Kısacası burada firmaların spoofing'i açık tutması veya kapalı tutması eleştirilecek bir konu değildir. Sizin saldırı yapan IP'yi görmeniz spoofing değil aksine paket saldırısı yapıldığını göstermekte. Ayrıca spoofing scriptlerinde IP manuel olarak belirlenebildiği için herhangi bir IP adresi tekil olarak saldırı yapıyor gibi bile gösterilebilmektedir. Bu sebeple yapılması gereken işlemler ;

1-) Saldırı yapıyor olarak görünen IP adresi whois kayıtlarındaki abuse reportlara veya firma yetkililerine iletilmeli,
2-) Firma tarafından inceleme sonrasında müşteri kusurlu ise etik olarak hizmet sonlandırılmalı
3-) Firmaların 2. maddeye uyması veya uymaması durumunda savcılık aracılığı ile elinizdeki loglarla birlikte şikayetci olarak işlem yapabilirsiniz.


Şahsen saldırı yapılan bir network'ün en çok yine kendine zarar vereceğini düşünerek (gerek maliyet gerekse routerdeki yük) hiçbir firma sahibinin saldırı yapan kişi doğru bir şekilde iletildiğinde ve düzgün bir üslup kullanarak iletildiğinde kendini gerek adli makamlarca gerekse network sorunlarıyla karşı karşıya getirmek istemez diye düşünüyorum. Düzgün bir şekilde iletmenize rağmen işlem yapılmıyorsa da direk adli makamlara başvurarak işlem yaptırmanız durumunda gereken yapılacaktır.


NOT : Tamamen tarafsız olarak yalnızca bu konudaki eksikliklerin giderilebilmesi için haklı haksız aramaksızın bildiklerimi paylaştım.

Kendi adımıza spoof çıkışımız kapalı ve belirtilen makinede 1Gbit port bile yok. Atak ile ilgilide zaten kimse bildirmeden biz tedbiri almışız ama bugüne kadar bu gözler çok şey gördü. Bizim sitemizin ip si ile saldırıp kişiyi bize düşman eden bile gördük dialoglardan biri :

İyi günler firmanız da X ip den atak geliyor
kontrol ediyoruz X ip kullanımda bile değil Y müşteride aynı sektörde

Biz bunu karşı tarafa 2 saat anlatıyoruz tatmin olmuyor bize ve müşteriye düşman oluyor konu uzuyor da uzuyor. Burada en önemli tedbir yurt içinde spoof'a herkesin trafiği kesiyor olması. Bunun ötesinde Tekil ip den gidebilecek ya da yurtdışından gelebilecek taklit edilmiş trafikler için ise herkes Firewall uzmanı olması gerekmiyor zaten bilgi bir yere kadar donanım ve hat gücü olmadan bilgi tek başına bir işe yaramaz.
Bu yüzden bu işi bilenlere bırakmalı
Herkes üzerine düşeni yapmalı
Yurtdışı koruma ve prof. destekten de atak alan kişiler çekinmemeli

Diğer türlü iki kişi yanyana olsun ikiside cam kenarı olsun olmuyor gerçek hayatta maalesef arkadaşa geçmiş olsun ama en nihayetinde hepimiz burada bir iş yapıyoruz. kendisi bizim ile iletişimede geçmeden karalama yazısı çıkarsa bizde iyi niyetli bakışımızı ister istemez yitiririz. Bize daha bildirmeden tedbir bile almışız ama vurgu çok hoş değil.

sorununuz inşallah çözülmüştür.

Konu üzerinde ki yorumlarda radore veya sayfanet sunucularında spoof neden açık gibi sorular dönmesine rağmen hala net bir cevap alınamadı. Biz açıkçası radore 'deki spoof un aktifliğinin sebebini merak ederek konuyu takip ediyoruz. Umarım bu konu da netliğe kavuşur.

Selamlar,

Verimerkezlerinin bu tür olaylara izin verip vermediğini tartışmak yerine, sistemleriniz üzerinde spoof'u engellemeye yönelik çalışma yapmanız sizler için daha sağlıklı olacaktır.

Bugün "X" firmasından saldırı geliyorken, yarın "Y" sonraki gün "Z" firmasından gelecek, sayfanet'e buradan ulaşabiliyorken kendisine yüklenmeniz anlamsız, yarın ulaşamadığınız kişi ile ilgili felaket senaryolarına hazırlıklı olmalı ve bu alanda geliştirmeler yapmalısınız.

Kendi donanımlarınız ile çözümlenemiyor ise, DGN tarafından bu alanda hizmet aldığınızda zaten çözümlenebiliyor.

Rekabet piyasası bir hayli canlanmış durumda ve bu konular artık hayatımızın bir köşesine yerleşti, firmanın size yapabileceği tek işlem kontrol sonucunda ip adresini discard etmek olacaktır.

@abacus;'un de belirttiği gibi firmanın Network Policy'lerine kimse müdahele edemez.

Şahsi düşüncem ılımlı olunmalı ve konuyu yapıcı olarak çözmeye gidilmelidir.

Teşekkürler.

Sunucularımıza gelen spoof saldırıların kaynağı belli oldu

Merhaba ;

Dünden beri gelen yoğun mesaj üzerine yorum yazmak istiyorum.Burada bazı firma sahipleri demiş abuse mail üzerinden iletin.Bunları biz zaten yaptık kendi firewall korumamızıda zaten sağlıyoruz vox olsun yazılımsal olsun.Biz zaten engellemişiz saldırıyı önemli olan hala 10-15 yaşındaki çocukların TR(İstanbul) konumlu saldırı çıkışlı makine satmaları.Görüntüleri aşşağıya eklediğimde ne demek istediğimi anlayacaksınız.Burada saldırı gelmesi konu değil bu gibi 10 -15 yaşındaki çocuklar eline makine alamazsa saldırılar %75 %80 düşeceğini garanti bile ediyorum.

Bu ekran görüntüleri biraz önce karşıma geldi facebook üzerinde.

http://prntscr.com/do26wd
http://prnt.sc/do1pui
http://prntscr.com/do25dc

Bu konuyu da kimse yanlış anlamasın.Biz burada ekmek parası için 5 10 müşteri kazanmak için gecemizi gündüzümüze katarak çalışıyorsak ve gelip 2 3 çocuk TR içi spoof saldırı ile sisteme zarar verebiliyorsa hiç çalışmayalım daha iyi.

Saygılarımla

çok basit sorular soruyorum bakın
1-radore de neden ip spoofing izni var?
2-radore den çıkan saldırılara (5-10gbit) neden müdahale edilmiyor?

salay telekomu başlıktan silebiliriz bence zan altında kalmasın boşyere.

edit: saat 20:15 den 20:25 e kadar 6gbit aralıksız yurtiçi ddos geliyor saldırı tipi portlar herşey aynı.