1 cozumde apache yerine lighttpd falan kullanırsanız cok daha yuksek sayıda bot icin calısabilir durumda kalırsınız. Trabzonlu imam arkadas nerden ogrenmis bilemiyorum ama uzun zamandır uyguladıgım bir yontem.
Egemen -----Original Message----- From: [email protected] [mailto:[email protected]] On Behalf Of VEDAT ELÇİGİL Sent: Saturday, February 28, 2009 7:02 PM To: 'Linux Güvenlik' Subject: [Linux-guvenlik] Re: syn attack Merhaba Mustafa bey, Bot net saldırılarını dediğiniz gibi önlemek baya zor,, ne Checkpoint, ne juniper,, tamamen çözüm değil.. Ama benim bir tecrubem var onu sizinle paylaşmak istedim. Botnet saldırısı olan web sitesi ana sayfası ( index.hml ) bembeyaz bir sayfa içinde tekbir satır oluşturulur " siteye girmek için tıklayınız " linki verilir. Bu sayfa çok basit oldugu için apache server çok çabuk cevap verebiliyor ve server tamamen devredışı kalmıyor. Eger sayfa da agır SQL sorgulamaları varsa mysql isteklere cevap veremediği için bot net saldırılarında server tamamen devredışı kalıyor.. ( bu olayı çok ilginçtir ama trabzonlu bir imam ! dan ögrendim. Deneyim işte... :) ) 2. çözüm APF firewall.. bu firewall rule ları ayarlandığında,, aynı IP den gelen aşırı istekler bloklanabiliyor. Farklı deneyim ve fikirleri olan arkadaşların düşüncelerini ögrenmek isterim.. Saygılarımla Vedat ELÇİGİL -----Original Message----- From: [email protected] [mailto:[email protected]] On Behalf Of Mustafa Kahraman Sent: Saturday, February 28, 2009 2:48 PM To: [email protected] Subject: [Linux-guvenlik] syn attack Bence botnet ile saldirilari makinanizdan yapacaginiz yazilimsal ya da donanimsal cozumlerle durduramazsiniz. Botnet ile 10.000 - 20.000 makinadan dogal istekler yapiliyor. Ben network konusunda cok bilgili degilim. Ama bir arkadasin soyledigi gibi cookie verilebiliyor ise network onunde bir makina ile isteklerin hepsi etiketlenebilir etiketlenen ip ler gerekli recetelere tabi tutulabilir. HoneyPot diye bir proje var bu proje acik kaynak bir proje bu proje de hedef botnet, spam gibi saldirilari engellemeye calisiyorlar. Tek bildigim ekibin cok klas oldugu securityfocus.com kurucusu v.s bu ekipte ama henuz kurup deneme firsatim olmadi. Honeypot anladigim kadariyla bir linux isletim sisteminin uzerine yazilmis bir sistem sanirim network onune yerlestiriliyor. Bundan haric bir cok datacenter mikrotik kullaniyor. trafigi yonetek icin on da da iptables kullanilarak drop yapabiliyorsunuz ama botnet te su ana kadar karsi basarili olamadi. Tanidigim bir sunucu kiralayan arkadasim var kendisi sunucu kurulum ve guvenligi konusunda iyidir. Kucuk saldirilari cok kolay ( 250 ip cok kucuk ) bloklayabiliyor. Ama botnet saldiri geldiginde hangi makinaya saldiri geliyor ise o makinanin iplerini telekomdan bloklatiyoruz su an icin baska bir kurtulus yolu bulamadik. Saygilarimla, _______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik _______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik _______________________________________________ Linux-guvenlik mailing list [email protected] http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
