Botnet manyağı olduk!

Juniperla her saldırıyı engellerseniz diye birşey yok 160 mbit istek eni sonunda mars dc hattına erişecek ondan sonra juniper'a ulaşacak (Saldırıya göre ve firewall konfigurasyonuna göre değişebilir) Juniper ise hatta gelen 160 mbit isteği filtrelemekle görevlidir hat sorunu olmasaydı juniper zaten görevini yapardı ancak sürekli 160 mbit hat kullanımda olurdu buda networkde loss yaşanmasına neden olurdu

Binbir çeşit saldırı tipi var ancak öyle saldırılar varki juniperı aşıp hatta ulaşabiliyor bu saldırıda olduğu gibi Maalesef Türkiyedeki servis sağlayıcılarında bola dök hat çıkışı olmadığından tabiki 160 mbit hat kullanan bir makinaya izin verilmeyecektir (Mars dc yi kötülemek için söylemiyorum kendileri oldukça profesyonel) Mars dc nin lokasyonu yurtdışnıda olsaydı ve saldırı alan makina ethernet kartı gelen paket sayısını karşılayabilseydi emin olun 160 mbit istek sorun oluşturmayacaktı ama Türkiye şartlarında 160 mbit gücünde saldırı alan bir makina nullroute olmaya mahkum maalesef

not: Hatam varsa düzeltebilrisiniz tabiki selçuk bey bu konuda hepimizden donanımlıdır. Ama dediklerimin tümünede yanlış diyecek olduğunu sanmıyorum

Uplink 1 in ulaşabileceği en son nokta 160 Mbit olduğu için saldırının ne kadar geldiğini Bizim network dan deyilide MARS tarafındaki network dan görebiliriz. Ancak normalde 150K PPS den daha büyük paket görmemiştim bugüne kadar 450 ilk kes gördüm hatta ve bu saldırı karşısında diğer sunucularda ping ms değerlerinde 1ms bile oynama olmaması hoşuma gitti doğrusu Nixcon zamanında 150K pps paket gelince network down olurdu Veya LOSS dan kullanılamaz hale gelirdi.

Juniper konusunda giriÅŸ seviyesinde kullanılan bir cihaz o MARS telekom u ziyaret edenler arka taraftaki network odasını görmüşlerdir Büyük müşterilerine Uplinkler oradan gelir ancak biz kendi Routingimizi kendimiz yapıyoruz Mars yapmıyor sadece belirli iplerde bu iÅŸi MARS yapıyor.. Juniper EX-series Web Device Manager gibi Yinede Networkun bu denli saÄŸlam olmasında MARS’ın rolü büyük tabi ki.. Zaten ayarlamaları yapan Selçuk bey

Konunun farklı şeylere çekilmesini istemiyorum arkadaşlar bir saldırı yapıldı ve bu durumdan herhangi bir zarar görmedik. Yapan kişinin onu çok rahat bulabileceğimizi gösterebilmek amacı ile yazdığım bir konu bu umarım tekrar yaşanmaz hiç bu tür işlerin arkasından koşturacak zamanım yok

Herkese teşekkür ediyorum ama geçmiş olsun dileği iletilecek bir durumda yok hiçbir şekilde bir zarar verilemedi.

Konu içinde gelen botnet boyutunu küçük bulan arkadaşlarımız lütfen PPS yi biraz araştırın bugün Türkiye de birçok veri merkezi 100K PPS de cacık olur yani network deki tüm sunucular 1 sunucuya gelen saldırı yüzünden loss ve lag a girer. Örnek: 5$ ye Ethernet kartı satılır 1Gbps lik.. ve yine 1050$ ye Ethernet kartı satılır oda 1Gbps lik üzerinden ikisi de 1gbps hızında veri geçirir birinin daha pahalı olmasındaki sebep üzerinden çok daha fazla paket geçiriyor olmasıdır.

Normal Türkiye de piyasada dedicated satan arkadaşlarımız misal sunuculara 3$ lik Ethernet arktı takar yada onboard olan Ethernet kartlarını kullanırlar.. 5K PPS de Linux ise bu Ethernet kartlarında PTLINK hatası gelmeye başlar load düzgündür netstat da ip yoktur her şey doğal görünür ama internet e çıkamaz.. Ptlink hatası nedeni o kadar fazla paket geliyordur ki onları kabul edemiyordur ethernet

Şimdi bu mavi çizgi size gelen saldırıyı mı gösteriyor? Gelen istekleri yani. Eğer öyleyse, harika iş başarmışsınız ya (: Tebrikler.

Bir ara gene saldırı olmuştu.. herhalde..
Sürekli takip ediyorum zaten monitor'u

ilerde sizinle calısacagıma emın olabılırsınız boyle bı fırmada sırtım yere gelmez

juniper ve procurve hp switchler çözüyor botnet olayını ama tam değil

sizin dc de ne var ÅŸu an

hangi dcde ? söylermisin söyliyeyim istanbuldakimi marmaristekimi ?

bizde diğer ip'ye saldıralım o zaman
Taktım kafayı ni.net.tr'yi yok edeceğim