0
Kayıt Ol

1000lerce IP Adresi.Bu Nasıl Ddos ?

22

3.874

  • 04-10-2006, 20:27:16
    #10
    osman
    osman
    Kimlik doğrulama veya yönetimden onay bekliyor.
    koruma yazılımını belirtirsen [eğer linux ise] banlama yazılımının çalışma aralığını kısaltabiliriz
    apache'nin mysql'in kapandığında kendi kendine düzelmesi [restart] için gerekli yazılımlar kurabiliriz.
    ddos değil zombidir

    saldırının hangi domaine olduğunu mod_scoreboard ile öğrenirsin
  • 04-10-2006, 21:03:57
    #11
    asoza
    asoza
    Kullandığınız script varsayılan 150 bağlantı sonrası banlamak üzere geliyor. Çoğu durumda 150 yetersiz kaldığı için biraz daha artırmak gerektiğini düşünüyorum. örneğin fck editor kullanıcılarını banlarsınız. Joomla adminleri gibi.
    Size gelen ban maillerinde 74, 69 gibi rakamlar var. Bu script yine varsayılan dakikada bir çalışıp şartları taşıyan ip adreslerini banlıyor. Anladığım kadarıyla sunucuya gelen ziyaretçileri banlıyorsunuz. Normal bir sayfanın yüklenmesinde bile 100 bağlantının aşıldığını düşünürsek.
    Özetle ddos sözkonusu değil... diye düşünüyorum.
  • 04-10-2006, 21:34:57
    #12
    kjunsal
    kjunsal
    Yukarıdaki arkadaşa katılıyorum..

    79 bağlantı çok yüksek bir rakam değil..
    Bana da ziyaretçileri banlıyorsun gibi geldi..
  • 04-10-2006, 22:05:06
    #13
    HostAnadolu
    HostAnadolu
    Bahsettiğiniz gibi bunlar iyi niyetli ziyaretçiler olsa eş zamanlı ilk girişte 200er robot sokan , apache yi düşüren ve aynı anda giriş yapan yaklaşık 50 ip yi banlamazdı. Ddos olduğundan hiç şüphem yok.Belirttiğim gibi Pentium D 3.4ghz sunucuyu da siteleri ziyaret eden normal ziyaretçilerin down etmesi pek düşünülemez. Ayrıca sistem şimdiye kadar kendi sitesini ziyaret eden , mesaj atan hiçbir yöneticiyi de banlamadı.
  • 05-10-2006, 01:05:20
    #14
    asoza
    asoza
    Belki saldırı oluyordur. Ancak yinede sizin ddos koruma scriptiniz, gösterdiğiniz banlanmış örneklere bakarak değerlendirince, uygun yapılandırılmamış gibi.
    150 bağlantıya kadar normal kullanıcıları, 180 bağlantıya kadar joomla adminlerini banladığı tecrübe ile sabit.

    netstat -an | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort |uniq -c | sort -nr | head -20 | grep -v -E "127.0.0.1|0.0.0.0"
    Bu durumu gözleyebilirsiniz. Talep edilen her sayfa tek bağlantı değildir. Sayfayı oluşturan her bileşen (örneğin resim) için yeni bir bağlantı oluşturulduğunu değerlendirmek lazım diye düşünüyorum.
  • 05-10-2006, 04:39:56
    #15
    HostAnadolu
    HostAnadolu
    Saldırının başladığı zaman 200+ bağlantıda banlanıyordu ki , saldırı başladığında 2defa apache düştü ve düzeltene kadar epey zorladı. sonra daha hassas ayar yapmaya mecbur etti.150bağlantıda serverin aktif kalması daha zor olacaktır.Şu anki değerler normal diye düşünüyorum.
  • 05-10-2006, 17:29:57
    #16
    usekes
    usekes
    Üyeliği durduruldu
    yabancı siten yoksa bence türk ipleri dışındaki diğer ipleri banla. belki almanya vs. yerlerden gelen ziyaretçileri engeller ama en azından saldırı miktarı azalır.
  • 05-10-2006, 17:38:32
    #17
    osman
    osman
    apf de banlarken blok blok banla

    apf -d 123.123.120_150.255
  • 11-10-2006, 21:09:17
    #18
    SidnuS
    SidnuS
    Üyeliği durduruldu
    HostAnadolu adlı üyeden alıntı: mesajı görüntüle
    3000tane pc nin saldırdığını iddaa etmiyorum zaten. Fakat 40saat boyunca hiç aralıksız ddos yapabilecek , çift çekirdekli pentium sunucuya kesinti yaşatabilecek 512kbps adsl de değildir herhalde. Ayrıca bu kadar çok ve hiç ara vermeden güncel proxy bulmak ta kolay değil. Konuyu proxy mi değil mi diye değil de önlemeye yönelik bir çalışmam olup olamayacağını öğrenmek için yazdım.
    512 bağlantı ile istediğin sure tek pc ile dediğin domaine istediğm surede kapatırım.... 512 BAĞLANTIYI HAFİFE ALMA