Sürekli Gelen Ref Saldırısı
16
●755
- 06-11-2019, 02:34:45
Merhabalar,
Son günlerde bizlerde bazı büyük web sitelerine yoğun saldırılar alıyor kendi servislerimiz ile bunları başarıyla engelliyor. Web sitelerine gelecek Layer 7 HTTP flood saldırılarının temel amacı ve mantığı CPU yu şişirmek ve apache gibi çalışan servisleri kapatmaktır web sitelerine saldırı böyle yapılır. Mevcut sunucu üzerinde kurallar ile engelleme yapmanızı pek tavsiye etmiyoruz, bunu yaptığınızda bir nebze faydalı olabilir fakat sonuç olarak istekler aynı sunucuya geliyor ve aynı CPU yu kullanıyor yani saldırı gene içeriye giriyor. Öncelikle profesyonel nginx bilginiz var ise cpu su güçlü olan bir sunucuya ubuntu + nginx kurarak ters proxy üzerinden sitenizi geçirebilir ve bu nginx üzerinde belli regexler kullanarak gelen istekleri filtreleyebilirsiniz. Eğer bunu yapamıyorsanız bir aracı firma üzerinden koruma almanızı tavsiye ederim. Örneğin ücretsiz olarak cloudflare kullanabilirsiniz. Cloudflare free paketinde under attack modu maalesef bir işe yaramıyor çok kolay bypass edilebiliyor fakat free pakette filter rules alanını kullanabilirsiniz. Örneğin saldırılar yurt dışından ise Türkiye hariç ip lere google doğrulama koyabilir veya farklı rate limitler uygulayabilirsiniz. Burada dikkat etmeniz bir nokta var. Sunucunuzda örneğin 50 domain var ise mümkünse hepsinde ana sunucu ip adresi gizli olmalı. Eğer IP adresiniz açıkta ise buraya direkt gelecek Layer 7 saldırılarında mecburen sunucu içerisinde çözmeniz gerekecektir. Sunucu IP adresine gelecek istekleri engelleyebilir ve sadece proxy üzerinden geleceklere izin verebilirsiniz. Fakat yorumun ilk başında belirttiğimiz gibi sunucunuz ne kadar güçlü olursa olsun çok büyük bir saldırı geldiğinde milyon istek aldığınızda direkt sunucu içerisinde bir koruma yazmak, yine aynı CPU yu kullandığınız için sıkıntı yaratabilir. Bu durumda biz koruma hizmeti verirken ilk olarak IP adresinin açık edilip edilmediğini kontrol ediyoruz. Ayrıca IP adresi açık edildiğinde Layer 7 haricinde Layer 3 saldırısı alarak network tabanlı bir sorun yaşamanızda muhtemel. Eğer IP adresine direkt bir saldırı gelmiyor ve cloudflare üzerinde google doğrulama gibi şeyler yaparak engellemek istemiyor veya zahmetli geliyorsa bir alternatif olarak blazingfast önerebilirim. Blazing fast üzerinden alacağınız 1 korumalı IP üzerine istediğiniz kadar domain yönlendirip filtreden geçirebilirsiniz fakat şahsen bununda bypass edildiğini çok gördük. Bazen çok komplike saldırılar gelebiliyor biz dahil, cloudflare son çare google dogrulaması açmak zorunda kalabiliyor. En son gelen saldırıda saldırgan gerçek bir Türkiye botnet ağı kullanıyor. Saldırdığı IP adresleri Türkiye ve hepsi gerçek birer kullanıcı. Bu sistemi toplamak çok zor fakat bunlarıda bazen görüyoruz. Böyle durumlarda gerçek kullanıcı oldukları için son çare mecburen google doğrulama açılıyor. CloudFlare üzerinde bile bunu gördük 200 dolarlık paket alınmasına rağmen gerçek kullanıcı oldukları için google doğrulama sayfası koyarak çözüm sağladıklarını gördük. Sizlere belirttiğimiz yolları adım adım inceleyebilirsiniz. Cloudflare free modunda eğer işiniz çözülürse korumaya ücret vermeden bundan kurtulabilirsiniz, fakat işinizi görmez ise biraz masraf etmeniz gerekecektir.
Eğer bu konuda yardıma ihtiyacınız olursa sizlere yardımcı olabiliriz kendi firewall hizmetimiz üzerinden sizlere altyapı ve sitelerinize göre servisler sunabiliriz.
Saygılarımızla,
SiberDC - 06-11-2019, 09:41:56wp-login.php ataklarının %99'unu engellemekteyiz. Bunun dışında başka şekilde ref istekleri geliyorsa destek bileti göndermenizi rica ederiz. Sunucu kaynaklı bir durum olmamakla birlikte, en sık rastladığımız durum daha önce zararlı dosya bulaşmış Wordpress sitelere bu isteklerin gelmesidir. Çözüm önerisi access loglarınız incelendikten sonra yapılabilir.CanerGok adlı üyeden alıntı: mesajı görüntüle
- 06-11-2019, 10:04:28
