Bu konuda şöyle fikir yürütmek doğru olur sanırım. Ddos 'un 2tipi problem.
1. SYN, bu syn saldırısını sadece botnet networkünden yaparsalar her zombi bilgisayarın 1-2 mbit civarında çıkış gücü olur. 50 bin bot olsa, 50 bin farklı ip den RFP ile source sadece gerçek olan ip lerden saldırı gelse en fazla 15-45 dakika içerisinde bu source leri bulur engeller ve sorunu çözersiniz, üstelik bunu firewall vs için devasa paralara cihazlar almadan yaparsınız. Fakat bu saldırılar büyük trafik sahibi datacenterlardan yapılırsa ve source kontrolü olmazsa tek bir sunucudan 600 bin PPS ile 300-400 mbit trafik gelecektir. 10 sunucu olsa 3-4 gbit ki ülkemizde şuan 30 dan fazla datacenter var, bu datacenterlardan sadece 6 tanesi 4 gbit ve üzerinde kapasiteye sahipler tüm datacenterdan fazla kaynağı belirlenemeyen bir saldırı alırsınız. 2. http_get flood türü, bu türde ise yine source sabit olsa bunları droplamak çocuk oyuncağı yine. Fakat source yine spoof geldiğinde ciddi sorun. Saygılarımla; Selçuk SARAÇ [email protected] Hosting Internet Hizmetleri San. Tic. Ltd. Şti. Otakçılar Cad. No: 78, Kat:4, Flat Ofis, Eyüp/ İstanbul/ Türkiye 7/24 Destek Hattı : +90 (212) 437 87 87 (pbx) Kurumsal Erişim(Satış, İdari) : +90 (212) 437 85 50 (pbx) Fax : +90 (212) 437 85 60 Müşteri Kontrol Paneli : http://my.sadecehosting.com WebMail : http://webmail.sadecehosting.com -----Original Message----- From: [email protected] [mailto:[email protected]] On Behalf Of selam Sent: Thursday, September 08, 2011 10:36 PM To: Linux Güvenlik Subject: [Linux-guvenlik] Re: ddos Merhaba, Sadece merak ettim: RPF, botnet'lerden gelen saldırıları nasıl engelleyebilecek? ttnet ADLS abonelerine gönderilmiş botlardan gelen saldırılar için, servis sağlayıcı kendi networküne ait bu paketleri engellemeyecektir dolayısı ile saldırı yine başarıya ulaşacaktır? (en azından yeterince korunmayan bir yapıda) Eğer spoof ederek saldırı yapılmak isteniyor ise; bağlı olunan isp'ye ait ip bloklarını kullanarak yapılabilir? adsl üzerinden yapmak için yapılacak tek şey modemi bridge olarak ayarlamak olacaktır (İyi bir ddos saldırısı için birden fazla modeme ihtiyacım olacak ama şimdilik bunu es geçin), olmadı godaddy yada başka bir network üzerinden (amazon? Gae?) alınacak 40/50 makine üzerinden yine yapılabilir? (amazon'un geniş bir ip aralığına sahip olduğu ön görüsü ile konuşuyorum elbette) saldırı sonucu yakalanma olasılığı yüksek, ancak saldırgan bunun alt yapısını da hazırlamış olacaktır, ( çalıntı kimlik, çalıntı kredi kartı bilgileri vs.) bu durumda bu saldırıların isp tarafında bile engellenmesi yetersiz bir süre sonra ise gereksiz olmayacak mı? Bütün bu çabalar sadece bir süre için (diyelim ki 2 yıl) botnet kurulmasını, saldırı yapılmasını biraz zorlaştıracak ve bu işleri yapan kişilerin ücretleri biraz daha arttıracaktır, durum bu olunca daha fazla kişi bu pastadan pay isteyecek ve botnet işine girecek, bir süre sonra ise fiyatlar düşecektir ve al başa tekrar edelim. Yukarıdaki senaryolarda yanıldığım bir nokta var ise öğrenmek isterim. Not: ağ yönetimi konusunda tecrübeli ve bilgili biri değilim. 2011/9/8 Selçuk SARAÇ(Sh) <[email protected]> > > Yok Atıf beyin çözümü aslında gerçek çözüm. Bu konuda RPF diye bir kontrol > standartı var. Tüm isp ler RPF kontrolü yani sadece kendi iç ip lerinden > dışarı paket çıkması için gerekli engellemeyi uygulasa spoof derdi kalmayacak. > > > > Fakat bu durumda farklı saldırı tipleri devam edecektir. Biri 1 çözüm > üretirse sonuçta başka biri 2 sorun yaratmayı dener. > > > > IPV6 da sanırım bu dertleri büyük oranda çözmüş duurmdalar. %100 ipv6 ya > geçtiğimizde rahatlarız muhtemelen. > > > > > > Saygılarımla; > > Selçuk SARAÇ > [email protected] > > Hosting Internet Hizmetleri San. Tic. Ltd. Şti. > > Otakçılar Cad. No: 78, Kat:4, Flat Ofis, Eyüp/ İstanbul/ Türkiye > > > > > > 7/24 Destek Hattı > > : +90 (212) 437 87 87 (pbx) > > Kurumsal Erişim(Satış, İdari) > > : +90 (212) 437 85 50 (pbx) > > Fax > > : +90 (212) 437 85 60 > > > > > > Müşteri Kontrol Paneli > > : http://my.sadecehosting.com > > WebMail > > : http://webmail.sadecehosting.com > > > > > > From: [email protected] > [mailto:[email protected]] On Behalf Of Emre > Erim > Sent: Thursday, September 08, 2011 3:28 PM > > To: Linux Güvenlik > Subject: [Linux-guvenlik] Re: ddos > > > > Merhaba > > > dunyanin en buyuk ISP leri bunu cozemedi siz cozdunuz hemen. > Nasil yapilacagi konusunda bilgi verirseniz benim /20 Ripe ip blogumu spoof > ederken kullanamasinlar diye hemen gerekli tanimlari upstream providerlarima > iletmek isterim. > Heyecanla cevabinizi bekliyorum. > > Ip spoofing konusunda, DDOS konusunda hic bir sey bilmiyorsunuz degil mi? > > Aldiginizin DDOS oldugundan bile suphe ediyorum acikcasi. > En uctaki cihazinizdan gecen PPS miktari nedir mesela su anda? > > On 08.09.2011 15:19, Atıf CEYLAN wrote: > > Hocam bende bunu diyorum. Almanyadaki isp buna izin vermeyecek, turkiyedeki > isp buna izin vermeyecek o zaman tum dunya internetinin %80'ini mesgul eden > ve insanlarin basina bela olan bu durumdan buyuk olcude kurtulacaz. Gsm > sirketleri de isp'lik yapmaya basladiklari icin ornek olarak soylemistim. > > On 09/08/2011 03:06 PM, Selçuk SARAÇ(Sh) wrote: > > J > > > > Spoof un olayı zaten bu. GSM şirketleri ile ilgisi yok bu konunun. > > > > Size yapılan saldırı örnek olarak Almanyada X bir internet şirketi üzerindeki > bir sunucudan yapılıyor gerçek ip adresi 1.2.3.4 Fakat burada saldırı yapan > kişiler kullandıkları saldırı toolları üzerinde ip lerin 5.6.7.8 ile 7.8.9.10 > ip aralığından geldiğini göstererek size saldırıyor. > > > > Yani bu durumda GSM şirketlerinin konuyla hiçbir alakası ilgisi yok. Saldıran > adam Başbakanlığa ait bir ip grubundan geliyor muş gibi de gösterebilir bu > saldırıları. > > > > Bu yüzden spoof’un çözümü zor zaten. Saldıran kişiler sunucunuzun yanındaki > sunucular bile olabilir. Bu yüzden bu kadar hard networksel kontrolleri siz > değil verimerkeziniz yaparak gerçekten size gelen saldırının ne olduğunu net > bir şekilde bilmeli bulmalı ve ona göre özel çözüm üretmeli. > > > > > > Saygılarımla; > > Selçuk SARAÇ > [email protected] > > Hosting Internet Hizmetleri San. Tic. Ltd. Şti. > > > Otakçılar Cad. No: 78, Kat:4, Flat Ofis, Eyüp/ İstanbul/ Türkiye > > > > > > 7/24 Destek Hattı > > : +90 (212) 437 87 87 (pbx) > > Kurumsal Erişim(Satış, İdari) > > : +90 (212) 437 85 50 (pbx) > > Fax > > : +90 (212) 437 85 60 > > > > > > Müşteri Kontrol Paneli > > : http://my.sadecehosting.com > > WebMail > > : http://webmail.sadecehosting.com > > > > > > From: [email protected] > [mailto:[email protected]] On Behalf Of Husrev > Ozayman > Sent: Thursday, September 08, 2011 3:02 PM > To: Linux Güvenlik > Subject: [Linux-guvenlik] Re: ddos > > > > GSM şirketleri doğru yerlerde doğru önlemleri alsalar bu adamlar böyle > spoofing yapamaz. İnsanlar nasıl adsl ile spoofing yapamıyor da 3g ile yapmak > zorunda kalkıyor? Aynı önlemleri gsm şirketleri de alsalar... > > > > _______________________________________________ > > Linux-guvenlik mailing list > > [email protected] > > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > > > -- > /** > * @author Atıf CEYLAN > * Software Developer & System Admin > * http://www.atifceylan.com > */ > > > _______________________________________________ > > Linux-guvenlik mailing list > > [email protected] > > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > -- Saygılar && İyi Çalışmalar Timu EREN ( a.k.a selam ) _______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php _______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
