Nedir applification dns attack? Özgür Koca [tankado.com][raspberry-pi.tankado.com]
<http://www.facebook.com/zerostoheroes/> 2015-12-24 19:46 GMT+02:00 hasan akgöz <[email protected]>: > Merhaba Murat bey, > Saldırı türü amplification attack . > https://blog.radware.com/security/2015/12/turkey-dns-servers-under-attack/ > > 23 Aralık 2015 19:01 tarihinde Murat Üstüntaş <[email protected]> yazdı: > >> Merhaba, >> >> Uzun zamandan beri listeyi takip ediyorum. En azından yazılan tüm konular >> hakkında fikir elde etmeye çalışıyorum. >> .tr uzantılı alan adlarının çözümlenmesini ve bu sayede ilgili alan >> adlarına erişimin baskılanması konusunda DDoS >> saldırısı yapıldığı kaydediliyor. >> >> Peki DDoS un hangi çeşidi ile saldırıldığı ve DDoS saldırılarının >> karakteristik analizi konusunda herhangi bir yerde >> bir açıklama göremedim. Aşağı yukarı 20~25 adet DDoS saldırı türü >> olduğunu biliyorum. Ayrıntılı olarak bilen var mı? >> Bu özel saldırılarda DDoS' un hangi türü kullanılmış? >> >> Birden fazla kaynaktan, devlet destekli bu saldırıların çok iyi analiz >> edilerek, bundan sonra olacak daha ciddi >> ve top yekün saldırıların bertaraf edilmesi için analizlerin kullanılması >> çok etkin olacaktır. Aksi taktirde, kendi >> kuyruğunu ısırmaya çalışan yılan gibi bu sarmal içerisinde vakit >> kaybetmiş oluruz kanısındayım. >> >> Murat Üstüntaş >> >> 2015-12-23 13:15 GMT+02:00 Gokay Gokcay <[email protected]>: >> >>> Selamlar, >>> >>> Bende ilk günden 10:24 itibari ile ilk nic.tr cevap veremeyince o >>> zamandan bu zamana alınmış bir dns trace silsilesi var. Bunların içinden >>> eski iplerle kıyasladım. herhalde yapıyı değiştirdikten sonra yeni yapıdan >>> bahsediyor birazda verdikleri cevap.(Genede 5 ayrı lokasyon olduğunu >>> düşünmüyorum) Çünkü ilk patlıyan haliyle, internet yedekliliğinede >>> baktığımızda tek internetleri olduğu görülüyor, çoğununda aynı datacenterda >>> bulunduğunu düşünüyordum taki siz doğrulayana kadar. >>> >>> Eski Hali: >>> Received referral response - DNS servers for "tr": >>> NS1.NIC.TR (144.122.95.252) (AS8517 Middle East Technical >>> University(METU)) >>> NS2.NIC.TR (144.122.95.253) (AS8517 Middle East Technical >>> University(METU)) >>> NS3.NIC.TR (213.248.162.131) (AS19905 NeuStar, Inc.) >>> NS4.NIC.TR (193.140.100.200) (AS8517 National Academic Network and >>> Information Center) >>> NS5.NIC.TR (178.251.42.18) (AS6823 3C1B Telekomunikasyon ve Internet >>> Hiz. San. ve Tic. Ltd. Sti) >>> >>> >>> Yeni hali: >>> Received referral response - DNS servers for "tr": >>> ns1.nic.tr (144.122.95.252) (AS8517 - Middle East Technical >>> University(METU)) >>> ns3.nic.tr (213.248.162.131) (AS19905 NeuStar, Inc.) >>> ns7.nic.tr (212.156.63.51) (AS9121 - Turk Telekom TTnet national >>> backbone) >>> ns8.nic.tr (212.156.64.91) (AS9121 - Turk Telekom TTnet national >>> backbone) >>> ns21.nic.tr (213.14.246.2) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) >>> ns22.nic.tr (213.14.246.6) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) >>> ns31.nic.tr (31.210.155.2) (AS43260 - DGN TEKNOLOJI BILISIM YAYINCILIK >>> SANAYI VE LIMITED SIRKETI) >>> >>> >>> METU nun BGP topolojisi: >>> [image: Inline image] >>> >>> >>> Sonuçta ülkenin domainlerinin bel kemiği, nic.tr nin bence kolay kolay >>> patlamıyacak bir yapısının olması gerekir. >>> >>> ------------------------------ >>> *From:* Levent YILDIRIM <[email protected]> >>> *To:* [email protected] >>> *Sent:* Tuesday, 22 December 2015, 22:18 >>> *Subject:* Re: [NetSec] Nic.tr DDoS Saldırısı >>> >>> Merhaba >>> Saldırıyı nerede ise ilk dakikasından beri takip ediyorum ve ODTU >>> tarafından yapılan açıklamanın pek doğruyu yansıtmadığını düşünüyorum. Gün >>> içinde zaten 36 - 38 Gbit düzeyinde gezen ve bu trafiğe rağmen 2 Gbit gibi >>> boşluğa sahip bir trafik karakterine sahipler. Şimdi 100 Gbit atak geldi >>> yada farklı 5 noktada sunucumuz var gibi pek doğruyu yansıtmadığını >>> düşündüğüm bir açıklama suç bastırma gibi geldi bana. >>> Yıllardır bu sunucuların tek ağ ve noktada barındırılması sakıncalı diye >>> uyarılar yapıp duruyoruz ama bu durum görmezlikten geliniyor. >>> İyi günler >>> Levent YILDIRIM >>> 22 Ara 2015 03:57 tarihinde "Kayra Otaner | BilgiO" < >>> [email protected]> yazdı: >>> >>> Rus ucagi 24 Kasım 2015 Sali gunu dusuruldu, bu tarih senenin 48. >>> haftasina denk geliyor. Blogunda kullandigin Ulakbim grafiklerinde ise 47. >>> haftadan beri trafigin 30-40Gbit/sec seviyelerinde oldugu goruluyor. >>> ( >>> http://alperbasaran.com/wp-content/uploads/2015/12/Screen-Shot-2015-12-20-at-3.37.26-AM-300x109.png >>> ) >>> >>> Ucagin dusurulmesinden oncesine denk gelen bu miktar trafik ve 'mesai >>> saatlerine denk gelen', hafta sonlari duran bu zaten tuhaf gozuken saldiri >>> throughput'lari sence biraz daha farkli aciklamaya muhtac degil mi? Ayrica >>> ucak dustukten 3 hafta kadar sonra .tr de sikayetler bas gosterdi. >>> >>> Iyi calismalar >>> >>> >>> 2015-12-21 16:42 GMT+02:00 Alper Basaran <[email protected]>: >>> >>> Merhaba, >>> >>> Konuyla ilgili Anonymous videosundan önce şöyşe bir yazı >>> yazmıştım,yorumlarınızı merak ediyorum. >>> >>> http://alperbasaran.com/dusununce/ >>> >>> Saygılarımla, >>> Alper Başaran >>> >>> >>> On Monday, December 21, 2015, Baris Guney YILMAZ <[email protected]> >>> wrote: >>> >>> Konuyla ilgili anonymous yayınladığı linki yolluyorum. >>> >>> https://www.hackread.com/anonymous-40-gbps-ddos-attack-on-turkish-servers/ >>> Kolay Gelsin >>> >>> 2015-12-14 17:41 GMT+02:00 Çağrı Polat <[email protected]>: >>> >>> 1 saat önce bir hosting firmasından gelen bilgilendirme mailinde gelen >>> bilgi aşağıdadır. >>> >>> Şu anda hiçbir ns1, ns2, ns3, ns4 ve ns5.nic.tr sunucularına erişim >>> yok, mailde iletildiği gibi. Ciddi bir DDoS saldırısı var gibi görünüyor. >>> >>> Konu ile alakalı bir ekstra bilgisi olan var mı? >>> >>> ----------------------------------------------------- >>> >>> Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim >>> problemleri bildirilmeye başlandı. >>> Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) >>> kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor. >>> .tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem >>> nedeniyle hiçbir .tr alan adına ulaşılamıyor. >>> Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache >>> nedeniyle kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni >>> .tr uzaktılı bir isim açılmak istendiğinde erişim sağlanamıyor. >>> *Güncelleme 16:20* >>> Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir >>> DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. >>> DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin >>> kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı >>> görülüyor. >>> *144.122.95.51/32* *[BGP/170] 00:30:36, localpref 100, from >>> 213.248.64.225 >>> AS path: 9121 ?, validation-state: unverified >>> *to Discard* >>> *Güncelleme 16:28* >>> DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor. >>> >>> ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 >>> milliseconds) >>> ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 >>> milliseconds) >>> ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 >>> milliseconds) >>> ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 >>> milliseconds) >>> ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 >>> milliseconds) >>> tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms >>> *Güncelleme 16:40* >>> Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan >>> adı sunucularına doğru DDOS saldırısı yapıldığı yönünde ihbarın kendilerine >>> ulaştığı bilgisi verildi. >>> ----------------------------------------------------- >>> >>> ------------------- >>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>> >>> 28-29 Aralık 2015 >>> >>> ------------------- >>> >>> >>> >>> ------------------- >>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>> >>> 28-29 Aralık 2015 >>> >>> ------------------- >>> >>> >>> >>> >>> -- >>> Kayra Otaner >>> BilgiO A.S. - SecOps Experts >>> PGP KeyID : A945251E | Manager, Enterprise Linux Solutions >>> www.bilgio.com | TR +90 (532) 111-7240 x 1001 | US +1 (201) 206-2592 >>> >>> ------------------- >>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>> >>> 28-29 Aralık 2015 >>> >>> ------------------- >>> >>> >>> ------------------- >>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>> >>> 28-29 Aralık 2015 >>> >>> ------------------- >>> >>> >>> ------------------- >>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>> >>> 28-29 Aralık 2015 >>> >>> ------------------- >>> >> >> >> >> -- >> Murat Üstüntaş >> >> ------------------- >> Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL >> >> 15-17 Ocak 2016 >> >> ------------------- >> > > > > -- > //selametle > > Hasan AKGÖZ > > http://www.hasanakgoz.com > > ------------------- > Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL > > 15-17 Ocak 2016 > > ------------------- >
------------------- Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL 15-17 Ocak 2016 -------------------
