Saldırılar konusunda r10.net üzerinde 10dan fazla yazdığım yazı veya dokuman mevcuttur. Ben tekrar anlatayım yinede
ip adresiniz 10.0.0.2 ise burada 10mbit hattınız var ise size 10mbit saldırı geldiğinde sunucunuz ayakta kalacak diye bir durum yok saldırıda Paket sayısı (pps olarak ifade edeceğim bundan sonra) boyutuna göre sunucunuz kapanır.. Örnek vermek gerekirse normal bilgisayarcıdan aldığınız 2-3$ Ethernet kartı üzerinden 10K pps anca geçirir.. Sonrasında
tail -f /var/log/messages
Den loglarınızı incelerken görürsünüz bir sürü ptlink hatası vermeye başlar.. ptlink hatası tek bu nedenle vermez ama konuyu anlamanız için yazıyorum diğer nedenlerini boşverelim.. Neyse ptlink hatasını gördüğünüzde sunucu üzerinden geçen paket sayısını artık Ethernet kartı kaldıramıyor demektir.
Network ekipmanlarında da bir switch alacak adam switch üzerinden nekadar hat geçiriyormuş diye bakmaz.. üzerinden ne kadar paket geçiriyor diye bakar.. Ve bu ekipmanların fiyatıda üzerinden geçen hatta göre değil paket sayısına göre yükselir.
Bizim veri merkezimizde çalışan cihazlar 150-200Bin USD değerinde üzerinden Milyonlarca paket geçiriyor diye biliyor.. Yine biz kendimize şubat ayı içinde 3com’un bir Omurga switch cihazını alacağız 24 port switch normal piyasada 300$ ye bulunabilir (managed switch) ancak bizim almaya kalktıgımız switch 6000$ civarında nedeni üzerinden 139.6 Milyon paket geçiriyor olması.. (Bu sayı tabi hiçbir ayar yapılmamışsa veya ek özelliği çalıştırılmıyorsa geçen pakettir) paket geçirme olayı arttıkça nasıl fiyatın arttığını görüyorsunuz. Bu diğer anlatmaya çalıştığım husustu… INTEL Pro Ethernet akrtları ufak çaplı bir veri merkezini yönetebilecek kadar üzerinden paket geçirir (600-800k pps) sunucunuzda böyle bir Ethernet olsa 100-200k pps gelse de yine çözüm olmayacak.. O kadar anlattım çözüm bulacak sandınız değimli

Neden çözüm olmayacak.. bu cihazların tamamı sizi uplink boyutunuz kadar koruyacaktır. Örnek siz Proxy shled cihazı aldınız yüzbinlerce USD para harcadınız Uplink boyutunuz 500Mbit ise sadece 500Mbit saldırıyı önleyebilir..
Şimdi ise asıl konuyu anlatıyorum.. Firewall cihazları legal ve illegal trafikleri birbirinden ayırır.. Saldırı esnasında normal sunucuda 1k pps varsa bu biden 600k pps olduysa firewall buradaki 599k pps yi sunucuya gelmesin diye drop eder.. drop işlemi ise illegal paketin sadece sunucuya ulaşmaması için yapılan bir olaydır yani buradaki 599k pps network da beklemede kalır aynı zamanda hat da o şekilde bekler..
Uzun oldu biraz ama herkesin anlayacağı dilden anlatıyorum şimdi adam MRTG grafiklerinden izliyor 10Mbit hattı var 380Mbit saldırı geldiyse adam MRTG den 10Mbit görür.. (bu arada network kullanımı maks 500Mbit olsun ve kullanılan upload yolunda 100mbit kullanılan hat olsun) Firewall cihazı bu adama gelen saldırıyı kesince adam artık MRTG den 10Mbit görmez de legal olarak kullandığı kadar hattı görür.. Örnek 2-3 mbit ise saldırıdan önce 2-3mbit görmeye devam eder.. ancak bu gelen 380Mbit firewall da drop durumdadır bu adama gelmez ve adama gelmediği için sunucu rahat rahat çalışır insanlar giriş çıkış yapar.. AMA! Datacenter uplinki 500Mbit dir upload yolunun kullanımı 100Mbit den 480Mbit e fırlar… bundan datacenter içindeki diğer sunucular etkilenir ve bu hat tamamen datacenterin cebinden kaçan hat olur.. bu nedenle Nullroute eder ip yi veri merkezi…
Burada mantık şudur.. sana 380mbit saldırı geliyor ve siten kapanmasın istiyorsan 380mbit hattın parasını saldırı geldikce veri merkezine ödersin.. Hiçbir veri merkezi hat fiyatını saatlik olarak almaz. Bu tür saldırıları Türkiye cumhuriyeti sınırlarında önleyebilecek bir veri merkezi zaten yoktur. Avrupa da da nadir 1-2 kişi vardır.. Giganet, Softlayer, Staminus gibi veri merkezlerinde artık Uplink okadar abarıkdır ki (10-20-30Gbps) adamlar bu tür saldırıları firewall dan drop ettiklerinde onların zaten upload yolu dolmaz ben şahsen 30Gbps lik saldırı ne duydum ne gördüm…
Burada saldırıyı önleme adına çuvalla para döküp adam gibi bir firewall alsak bile tam çözüm olamıyor.. Uplink boyut ununda yüksek olması gerekiyor.. Ve bu iş tek firewall ile bitmiyor.. Veri merkezinin baya sağlam network alt yapısı olması gerekiyor.. Okadar paketi network da döndürebilmek için sağlam switch ve router ekipmanları gerekiyor.. Yurt dışında kesin çözüm 1000$ firewall hizmeti + sunucu kirası + saldırı yüzünden yaptıgın trafiğin parasını ödeyerek çözüm bulunabilyor.. Ve bu bulunan çözüm de %100 olmuyor yine bir yere kadar adamlar sana arka çıkıyorlar.
Geçenlerde Netinternet den Volkan beyin yanındaydım cisco Türkiye den bir temsilci vardı adam Cisco dan dayanamadım sordum adama.. Bizim botnet diye bir derdimiz var yurt dışında msn yahoo ve benzeri yerler bunu nasıl çözüyorlar dedim.. Adam açık açık dedi firewall a fazla yatırım yapmıyorlar tüm yatırımlarını Uplink’e yapıyorlar hiçbir sorunda çıkmıyor
Bu konuda bizimde yine %100 olmasada Türkiye lokasyon sunucularda yaptığımız çalışma var ancak veri merkezimizin toplam uplink’i 2.5 Gbps yani 2.5 gbps upload yolunun 500mbit i doluysa 2gbps ye kadar kesin olmamakla birlikte belki çözüm getirebileceğiz ancak Yine Mars Telekom ile çalışıyoruz biliyorsunuz yurt dışı üzerinden 40+40 Toplamda 80Gbps bir uplink gelecek o zaman bu tür konularda bir türk firması olarak size daha çok arka çıkabileceğiz yani destek verebileceğiz. Konu ile ilgili sormak istediğiniz varsa yazın birkaç saat daha buradayım cevaplamaya çalışırım.

gelde sabah sabah delirme işte. haksız yere bana uyuz oldun diye niye eksi - rap veriyosun kardeşiiiiimmm