Merhaba, Uzun zamandan beri listeyi takip ediyorum. En azından yazılan tüm konular hakkında fikir elde etmeye çalışıyorum. .tr uzantılı alan adlarının çözümlenmesini ve bu sayede ilgili alan adlarına erişimin baskılanması konusunda DDoS saldırısı yapıldığı kaydediliyor.
Peki DDoS un hangi çeşidi ile saldırıldığı ve DDoS saldırılarının karakteristik analizi konusunda herhangi bir yerde bir açıklama göremedim. Aşağı yukarı 20~25 adet DDoS saldırı türü olduğunu biliyorum. Ayrıntılı olarak bilen var mı? Bu özel saldırılarda DDoS' un hangi türü kullanılmış? Birden fazla kaynaktan, devlet destekli bu saldırıların çok iyi analiz edilerek, bundan sonra olacak daha ciddi ve top yekün saldırıların bertaraf edilmesi için analizlerin kullanılması çok etkin olacaktır. Aksi taktirde, kendi kuyruğunu ısırmaya çalışan yılan gibi bu sarmal içerisinde vakit kaybetmiş oluruz kanısındayım. Murat Üstüntaş 2015-12-23 13:15 GMT+02:00 Gokay Gokcay <peng...@yahoo.com.hk>: > Selamlar, > > Bende ilk günden 10:24 itibari ile ilk nic.tr cevap veremeyince o > zamandan bu zamana alınmış bir dns trace silsilesi var. Bunların içinden > eski iplerle kıyasladım. herhalde yapıyı değiştirdikten sonra yeni yapıdan > bahsediyor birazda verdikleri cevap.(Genede 5 ayrı lokasyon olduğunu > düşünmüyorum) Çünkü ilk patlıyan haliyle, internet yedekliliğinede > baktığımızda tek internetleri olduğu görülüyor, çoğununda aynı datacenterda > bulunduğunu düşünüyordum taki siz doğrulayana kadar. > > Eski Hali: > Received referral response - DNS servers for "tr": > NS1.NIC.TR (144.122.95.252) (AS8517 Middle East Technical > University(METU)) > NS2.NIC.TR (144.122.95.253) (AS8517 Middle East Technical > University(METU)) > NS3.NIC.TR (213.248.162.131) (AS19905 NeuStar, Inc.) > NS4.NIC.TR (193.140.100.200) (AS8517 National Academic Network and > Information Center) > NS5.NIC.TR (178.251.42.18) (AS6823 3C1B Telekomunikasyon ve Internet Hiz. > San. ve Tic. Ltd. Sti) > > > Yeni hali: > Received referral response - DNS servers for "tr": > ns1.nic.tr (144.122.95.252) (AS8517 - Middle East Technical > University(METU)) > ns3.nic.tr (213.248.162.131) (AS19905 NeuStar, Inc.) > ns7.nic.tr (212.156.63.51) (AS9121 - Turk Telekom TTnet national backbone) > ns8.nic.tr (212.156.64.91) (AS9121 - Turk Telekom TTnet national backbone) > ns21.nic.tr (213.14.246.2) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) > ns22.nic.tr (213.14.246.6) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) > ns31.nic.tr (31.210.155.2) (AS43260 - DGN TEKNOLOJI BILISIM YAYINCILIK > SANAYI VE LIMITED SIRKETI) > > > METU nun BGP topolojisi: > [image: Inline image] > > > Sonuçta ülkenin domainlerinin bel kemiği, nic.tr nin bence kolay kolay > patlamıyacak bir yapısının olması gerekir. > > ------------------------------ > *From:* Levent YILDIRIM <leventy...@gmail.com> > *To:* liste@netsectr.org > *Sent:* Tuesday, 22 December 2015, 22:18 > *Subject:* Re: [NetSec] Nic.tr DDoS Saldırısı > > Merhaba > Saldırıyı nerede ise ilk dakikasından beri takip ediyorum ve ODTU > tarafından yapılan açıklamanın pek doğruyu yansıtmadığını düşünüyorum. Gün > içinde zaten 36 - 38 Gbit düzeyinde gezen ve bu trafiğe rağmen 2 Gbit gibi > boşluğa sahip bir trafik karakterine sahipler. Şimdi 100 Gbit atak geldi > yada farklı 5 noktada sunucumuz var gibi pek doğruyu yansıtmadığını > düşündüğüm bir açıklama suç bastırma gibi geldi bana. > Yıllardır bu sunucuların tek ağ ve noktada barındırılması sakıncalı diye > uyarılar yapıp duruyoruz ama bu durum görmezlikten geliniyor. > İyi günler > Levent YILDIRIM > 22 Ara 2015 03:57 tarihinde "Kayra Otaner | BilgiO" < > kayra.ota...@bilgio.com> yazdı: > > Rus ucagi 24 Kasım 2015 Sali gunu dusuruldu, bu tarih senenin 48. > haftasina denk geliyor. Blogunda kullandigin Ulakbim grafiklerinde ise 47. > haftadan beri trafigin 30-40Gbit/sec seviyelerinde oldugu goruluyor. > ( > http://alperbasaran.com/wp-content/uploads/2015/12/Screen-Shot-2015-12-20-at-3.37.26-AM-300x109.png > ) > > Ucagin dusurulmesinden oncesine denk gelen bu miktar trafik ve 'mesai > saatlerine denk gelen', hafta sonlari duran bu zaten tuhaf gozuken saldiri > throughput'lari sence biraz daha farkli aciklamaya muhtac degil mi? Ayrica > ucak dustukten 3 hafta kadar sonra .tr de sikayetler bas gosterdi. > > Iyi calismalar > > > 2015-12-21 16:42 GMT+02:00 Alper Basaran <basaranal...@gmail.com>: > > Merhaba, > > Konuyla ilgili Anonymous videosundan önce şöyşe bir yazı > yazmıştım,yorumlarınızı merak ediyorum. > > http://alperbasaran.com/dusununce/ > > Saygılarımla, > Alper Başaran > > > On Monday, December 21, 2015, Baris Guney YILMAZ <guney.yil...@gmail.com> > wrote: > > Konuyla ilgili anonymous yayınladığı linki yolluyorum. > https://www.hackread.com/anonymous-40-gbps-ddos-attack-on-turkish-servers/ > Kolay Gelsin > > 2015-12-14 17:41 GMT+02:00 Çağrı Polat <cagripo...@gmail.com>: > > 1 saat önce bir hosting firmasından gelen bilgilendirme mailinde gelen > bilgi aşağıdadır. > > Şu anda hiçbir ns1, ns2, ns3, ns4 ve ns5.nic.tr sunucularına erişim yok, > mailde iletildiği gibi. Ciddi bir DDoS saldırısı var gibi görünüyor. > > Konu ile alakalı bir ekstra bilgisi olan var mı? > > ----------------------------------------------------- > > Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim > problemleri bildirilmeye başlandı. > Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) > kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor. > .tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem > nedeniyle hiçbir .tr alan adına ulaşılamıyor. > Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache nedeniyle > kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni .tr uzaktılı > bir isim açılmak istendiğinde erişim sağlanamıyor. > *Güncelleme 16:20* > Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir > DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. > DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin > kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı > görülüyor. > *144.122.95.51/32* *[BGP/170] 00:30:36, localpref 100, from 213.248.64.225 > AS path: 9121 ?, validation-state: unverified > *to Discard* > *Güncelleme 16:28* > DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor. > > ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 > milliseconds) > ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 > milliseconds) > ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 > milliseconds) > ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 > milliseconds) > ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 > milliseconds) > tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms > *Güncelleme 16:40* > Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan adı > sunucularına doğru DDOS saldırısı yapıldığı yönünde ihbarın kendilerine > ulaştığı bilgisi verildi. > ----------------------------------------------------- > > ------------------- > Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul > > 28-29 Aralık 2015 > > ------------------- > > > > ------------------- > Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul > > 28-29 Aralık 2015 > > ------------------- > > > > > -- > Kayra Otaner > BilgiO A.S. - SecOps Experts > PGP KeyID : A945251E | Manager, Enterprise Linux Solutions > www.bilgio.com | TR +90 (532) 111-7240 x 1001 | US +1 (201) 206-2592 > > ------------------- > Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul > > 28-29 Aralık 2015 > > ------------------- > > > ------------------- > Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul > > 28-29 Aralık 2015 > > ------------------- > > > ------------------- > Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul > > 28-29 Aralık 2015 > > ------------------- > -- Murat Üstüntaş
------------------- Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL 15-17 Ocak 2016 -------------------
