Norse Hakkında soru

Question

Merhaba,

http://map.norsecorp.com/ Bu dandik sitede göründüğü üzere bizim ip adresimizden Hayali bir yüksek bir çıkış var. 

 
Buda 185.85.74.227 ip adresli sunucunun bulunduğu Kabinin ana hat grafiği ve Böyle bir çıkış yok. 

Bu konu hakkında teknik bilgisi olan arkadaşlar bunun nasıl olduğuna dair fikir verebilirmisiniz?

leonitef · Answer

Şimdi gördüm bende sizin profilinize bakıyordum konuyu açmışsınız. Onu sorucaktım bende size nedir bu olayın aslı

Omur AKGUN · Answer

leonitef adlı üyeden alıntı:						mesajı görüntüle									Şimdi gördüm bende sizin profilinize bakıyordum konuyu açmışsınız. Onu sorucaktım bende size nedir bu olayın aslı  		Sunucudan herhangi bir çıkış yok, Norsenin dandikliği

Elazığlı168 · Answer

C ile raw üzerinden sizin ip adresini göstererek spoof kaynak üreterek, norsecrop veya norsecopun kullandığı apiye saldırı yapılıyordur, böylece siz saldırı yapıyor gibi görünürsünüz. Tcp ack türevi bir paket üretimi oldu ise, saldırgan sizin ipiniz üzerinden kaynağı oluşturduğundan, norsecopa giden paketlerin ack cevapları sizin ip adresinize geri dönmüştür. Veya daha farklı reflector saldırısı olabilir.

Bunu yapanın amacı nedir, orasını bilmek zor. Muhtemelen ip adresini normal yollarla kapatamayınca, bu tür birşey denedi.

Omur AKGUN · Answer

Elazığlı168 adlı üyeden alıntı:						mesajı görüntüle									C ile raw üzerinden sizin ip adresini göstererek spoof ile, norsecrop veya norsecopun apisini kullanan servislere saldırı yapılıyordur, böylece siz saldırı yapıyor gibi görünürsünüz. 

Bunu yapanın amacı nedir, orasını bilmek zor. 		İlgili ip adresinde hizmet alan web sitesi yüksek ataklara maruz kaldı, Bu şekilde bir atak yaparak müşteriyi göndermemi istiyorlar anlaşılan. Norse ile iletişime geçtik, net bir cevap alamadık.

CtrlInformatics · Answer

Bir şekilde Norse honeypotlarına bir DNS isteği gidiyor sizden ya da daha önce gitmiş. Sistemleri honeypot olarak kullandıkları cihazların sensörlerine bağlı çalışıyor dediklerine göre. Bu istek belirli bir limitin üzerindeyse saldırı sayıyor. Bu limit sunucunun hat genişliğine bağlı yani 1 gbit hatlı sunucuyla karşı taraftan download yapmaya başlarsanız  (HTTP, DNS, NTP response verileri buna dahil) ve o ağda norse markalı honeypot varsa karşı sunucuyada bağlı olarak yaklaşık 600-800 Mbit arası bir hızla veri akacağından sensör bunu saldırı sayıyor. Düzgün çalışan bir sistem değil. Hatta efsanelere göre topladığı random bilgileri saldırı olarak gösteriyor ama bunu doğrulayamadık hiç. DNS amplifikasyon saldırısı aldıysanız sonuç olarak yüksek oranda bir veri paketi göndereceğinizden sensör sizi saldıran olarak gösteriyorda olabilir.

Ha unutmadan ekleyeyim analizini yapıyorum dediği TOR relaylarının neredeyse yarısından saldırı paketi çıktım hiçbirini göremedi. Böyle bir şeyin yapılamayacağınıda biliyorlar, aksi halde direk flag verilir o exite. Garip bir firma, garip bir ürün yelpazsi ve şişirilmiş bir balon bana göre.

Kısaca sizin durum şu: istek yaptığınız bir yerde norsenin bir ürünü vardı ve sizin ipyi aldı. Artık kafasına göre mi kullanıyor yoksa yanlış analizmi yapıyor orasını norse sır gibi saklıyor. İş makinesi izleme gibi bir hastalığı olan bizim millette gerçek siber savaş sanıp izliyor. Bırakın eğlensinler diyeceğimde telefonunuza kadar ulaştılar diye biliyorum. Ne diyeyim geçmiş olsun, daha başınız çok ağırır.

Metin2Dizayn · Answer

Sorununuz en yakın sürede çözülür umarım.

Net olan birşey var  Halk Kahramanı oldunuz

KadikoyAJANS · Answer

185.85.74.227

https://*******.com/sunucu-tarama dan taratına 39tane ad*lt site çıkıyor

Omur AKGUN · Answer

Metin2Dizayn adlı üyeden alıntı:						mesajı görüntüle									Sorununuz en yakın sürede çözülür umarım.

Net olan birşey var  Halk Kahramanı oldunuz  		İnşallah  Gereksiz bir kahmaranlık

						KadikoyAJANS adlı üyeden alıntı:						mesajı görüntüle									185.85.74.227

https://*******.com/sunucu-tarama dan taratına 39tane ad*lt site çıkıyor 		Evet