Salay Telekom ve Radore Hakkında !

sabır testi is loading..

Şöyle birşey söyleyeyim.

Radoreden direk alınan cloud sunucu yada dedicated hizmetlerinde 100 mbit port veriliyor. 100 mbit port verilen bir sunucudan 5-10 gbit saldırı çıkarılamaz. Ha reflection ile yapılma ihtimali var, 100 mbit sunucudan karşı tarafta 4-5 gbit trafik yaratabilirsiniz fakat bu tür bir trafikte saldırı alan sunucu sahte iplerden trafik almaz, reflection'a cevap veren enfekte olmuş binlerce sunucu istek yapar, bu ipler gerçektir. Yani radore olayında bu ihtimali eleyebiliriz.

Peki geriye ne kalıyor, radorede kendi özel hattı olan bayiler. En büyük engin bey var sanırım, sunucuları gigabit portlu veriyor fakat yüksek hat çıkışında ip adresleri otomatik kapatılıyor diye biliyorum, kendisiyle çalışan çok sayıda müşterim var, bu şekilde bir sistem olduğunu görmüştüm. Ki siz 5-10 gbit saldırıdan bahsediyorsunuz, gigabit bir sunucudan 5-10 gbit saldırı çıkması mümkün değil, 5-10 sunucu alınıp yapılıyor desek, yurtiçinde 5-10 gbit çok yüksek bir rakam, engin bey'in networkü 10 gbit desek, engin bey tüm hattını saldırı yapanlara mı tahsis etmiş yani? Pek mantıklı değil.

Engin bey üzerinden örnek veriyorum olayı, bu a bayisi, b bayisi, c bayiside olabilir. 5-10 gbit saldırı geliyor yurtiçinden denildiği için bu kadar detaylı yazıyorum. 5-10 gbit bir olağan dışı trafik çıkışı Türkiyede hangi dc de olursa olsun dikkat çeker. Ha gidipte parasını bastırıp 10 gbit paylaşımsız hat alıp oraya buraya saldıran bir piskopat varsa Allah herkese kolaylıklar versin.

Bunların dışında radore'nin sorumluluklarını konuşursak, radore kendi networkü için spoof trafik çıkışına izin vermemelidir, bazı arkadaşlar radore'nin kararıdır network policylerine kimse karışamaz demiş, hayır öyle birşey yok. Başka networkleri tehdit eden bir durum varsa karışılmalıdır, radore networkü potansiyel risk grubundadır. Özel uygulamalar için özel ayrıcalıklar, ruleler tanımlanabilir, özel uygulamalar kullanan tek dc radore değil. Ovh, softlayer, online.net, heztner özel uygulamalar çalıştırmıyor mu?

radore atackları devam ediyor.. sanırsam doping diye bi yere ait buda...


22:59:55.028369 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028376 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028389 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028429 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028430 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028436 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028446 IP 185.132.125.86.45112 > 46.x: UDP, length 100
22:59:55.028448 IP 185.132.125.86.45112 > 46.x: UDP, length 100


ayrıca arkadaşlar sürekli olarak spoof yada yansıma saldırılarının kurbanı olduklarını ima etmeye çalışıyorlar. Bu yansıma yada fake ip saldırılarının yapılabilmesi içinde o networkde Spoofun açık olması gerekiyor benim bildiğim. Yine burda işin ucu spoof kaynaklı bir networke dayanıyor...

bizim müşterilerin %80i yurtdışı vpn. diğer %20nin de böyle şeylerle uğraşacak vakti yok. tüm müşteri sunucuları 1gbit ve ana çıkış aylardır aynı seviyede.

185.132.125.86 adresi bize ait değil.

bir çözüm elde etmek istiyorsanız elinizde loglarla radore ofisine uğrayın, İbrahim Bey konuyla ilgilenecektir.

Merhaba,

Konu içlerinde belirtilen ipler bizim firmamıza aittir. Şuanda başka bir firmanının hizmetine sunulduğu görünmektedir. Biz firma olarak bu tarz gereksiz saldırı olaylarına asla taviz vermiyoruz. Konuyla ilgili gerekli yasal yerlere başvurulduğunda faturularıyla beraber işlemi yapanın bizdeki kayıtlı bilgilerini sunabiliriz.

Mevcut iplerle ilgili kullanımında olan kişi/firma'lara gerekli bilgilendirme yapılmıştır.

Saygılarımızla

Bence buradan çıkacak tek sonuç iyi bir koruma almanız gerisinde işinize bakmanız.
Boş zamanınız çok ise de aldığınız loglar ile doğruluğunu teyit edebiliyorsanız savcılığa gitmeniz

o aşama başlamak üzere hocam. Şu an logları topluyorum networkden. Koruma var zaten sıkıntı yok ama belirli kapasite üstü onuda sıkıntıya sokuyor burda yırtınmamız ondan.

Konunun daha fazla uzamasına gerek olduğunu düşünmüyorum.Çünkü hem SPD hemde Sayfanet Oldukça büyük Datacenter.İki firmanında eminim bir çok müşterisi vardır, hatları takip edicek monitörcü personellerinin var olduğunu düşünüyorum.Hizmette trafik limiti olduğu için firmanın hatlarda kısma gibi bir olayı olamaz çünkü kullanıcı kullandığı trafiği ay sonu ödemek zorunda kalıcak yada limite yaklaştıgında hızı yavaşlayacak ve ek ücretini ödeyecek firmasına.
Şimdi nasıl olurda 1 tane kullanıcı hatlardan gönderme yapıyor diye Datacenter hatları sürekli kısma işlemini uygulayabilir ki ?
Kullanıcı kullanır limit dolduğunda hızı yavaşlar ek ücrete tabi tutulur.Sorun oluştuğunda da savcılığa gerekli kayıtlarınızı ulaştırırsınız firma servis sağlayıcısıda doğrudan savcının önüne o an da o ip adresini kim kullanıyorsa onu atar ,işin içinden çekilir.Çünkü her sözleşmede de geçerli olan madde "Kullanıcı sanal ortamda aldığı her hizmetten hizmet sonuna kadar kendi sorumluluğundadır." gibi ufak bi maddeyi herkez kabul etmiş sayılıyor.Firmanın kafası rahat oluyor bu madde sayesinde.

Firma spoofing olayını kapatması demek kullanıcıların erişimini kesmesi anlamına gelir.Firma spofing sistemini ip adreslerinden kaldıramaz.Bunun ile ilgili okuyucu olursa burada paylaşışıyor spofing nedir ?, ip hizmetinde yeri görevi nasıldır ? Sadece hat çıkarmada mı kullanılır ? diye ufak bi makale var (https://tr.wikipedia.org/wiki/IP_spoofing) incelemek isteyen linkten okursa bir datacenter'ın spofingleri kapatamayacağını ve spofing olayının sadece saldırıdan ibaret olmadığını anlayabiliceğini düşünüyorum.

Demek ki neymiş olayın aslını bilmeden bu işlere yıllarını vermiş insanları suçlamamak gerekiyormuş...