[Owasp-turkey] [netsec] Under DDos Attack

Musa Ulker musaulker at gmail.com
Tue Nov 4 06:03:21 EST 2008


Merhabalar,

Tüm gelen cevaplar için teşekkür ediyorum.

> Bahtiyar Bircan <bahtiyarb at gmail.com>
> Saldırılar  nerelerden yapılıyor ?

Saldırı ipleri Rusya'dan. Pharmacy ile ilgili bir site olduğu için
saldırının muhtemelen Leo Kuvayev (
http://www.spamhaus.org/statistics/spammers.lasso ) taraflarından
gelmesi yüksek ihtimal..

> - En çok saldırı  gelen IP adresleri bazında bir  filtreleme yapılabilir belki. kesin bir çözüm olmaz ama en azından bir süreliğine  hafifletebilir.

IP adresleri değişiyor sık sık, topluca bir Rusya IP blockuna mı engel
koymak lazım bilemiyorum.

> - Sunucunun konulduğu servis sağlayıcıdan yardım istenebilir ,

Onu hiç sormayın, içler açısı.. HW firewalları var ama ne derseniz onu
yapıyorlar kendileri birşey bilmiyorlar. Teknik destek çok yetersiz.
Sunucu lokasyonu değiştirilecek ama geçiçi olarak saldırıyı bertaraf
etmenin yollarını araştırıyorum..

> - En çok saldırı  gelen ülkelerin  yasal birimlerine/Cert lerine (varsa) bildirebilirsiniz.

Rusya'yayla ilgili benzer bir durum yaşayanlar var mı? Malum bu tarz
saldırılarda sık sık isimleri geçiyor. İrtibata geçmem durumunda ne
kadar sürede geri dönüş olur, bilginiz var mı?

>
> Bahtiyar

--------

> Nedim.KAYA at halkbank.com.tr:
> Zombie makinalardan geldiğine emin misiniz?
> spoof ip adreslerinden syn paketleri geliyor olabilir mi?
> bu durumda sunucu tarafında yada fw üzerinde syn cookie-syn cache protectionları enable etmeniz
> yararlı olabilir.

Zombie makinalar olmayabilir tabii, ben öyle tahmin yürüttüm. Ama ip
adreslerini blockladıkça yeni iplerden saldırı geldiğini görünce öyle
bir varsayımda bulundum.
Sunucu üzerindeki software firewall üzerinden syn protectionları aktif
ettim. Mevcut connectionlara baktığımda synla ilgili bir durum
göremiyorum.

----

> Burak Dayıoğlu (Pro-G) <burak.dayioglu at pro-g.com.tr>
> Musa selam,
> Gelen paketleri türlerine/niteliklerine göre sınıflamaya çalış, ne gördüğünü paylaş bizimle. Eğer daha önce de yazıldığı gibi SYN flood ise firewall'lar üzerinde Syn > > Defender, Sync-Cookies vb. özelliği ile kontrolü ele almaya çalışabilirsin.
>
> Trafik tüm bantgenişliğini dolduruyor mu?
>
> Selamlar.
> -bd

Gördüğüm attack signature ı http connection gerçekleştirip mysqli too
many connections ile devre dışı bırakmak. SSH üzerinden de bruteforce
denemeleri yapılıyor ama onları blokladıktan sonra kesildi, iplerini
şu anda hatırlamıyorum bakmam lazım belki de başka bir automated
saldırı olabilir ama şu anda esas yük 80 portunda..


> Serhat Uslay <serhat.uslay at zurich.com.au>
> Musa,
> en kolay cozum internet saglayicisi ile temasa gecip onlarin trafigi durdurmasini saglamak.
>
> Serhat

Bende böyle düşünüyorum, sonuçta bir web hizmeti sunmak için bulunan
bir makinadan belli bazı önlemler alınabilir ama bir saldırı varsa
buna müdahale edilmesi gereken yer bu sunucu olmadığını düşünüyorum.


> Huzeyfe ONAL <huzeyfe at lifeoverip.net>
>Anladigim kadari ile application seviyesinde bir dos yiyorsunuz. Bu sekilde yogun trafik alan ve zaman zaman ddos'a maruz kalan sistemlerde sunu yapiyorum.
>
>       .basit bir script araciligi ile anlik baglanti bilgisini control ettirerek ayni ip adresinden 100(bu rakamla oynayabilirsiniz)'den fazla baglanti varsa o ip adresini 6 >saatligine Firewalla bloklattiriyorum. Sonra her 2 dakikada bir bu scripti calistiracak sekilde bir cron ayari giriyorum. Sizin sunucu yogunlugunuza gore degerlerle >oynayabilirsiniz.
>
>Buna ek olarak ServerLimit ve MaxClient degerlerinizi sunucunun gucune ve ortalama trafik bilginize gore degistirmenizi oneririm.

Evet application seviyesinde bir saldırı. IP başına connection'ı 10 a
kadar çektim yeteri kadar azalmadığını farkettim. Kullandıkları
scriptle de alakası olabilir diye düşünüyorum (OsCommerce).
Maile başladığım sırada apache servisini tekrar başlatmıştım 80
civarında başladı ve şu anda 200 ü geçmiş durumda.

Tasks: 244 total,  36 running, 208 sleeping,   0 stopped,   0 zombie
Cpu(s): 85.0% us, 14.8% sy,  0.0% ni,  0.0% id,  0.0% wa,  0.2% hi,  0.0% si


> zafer sunger <zafersnger at yahoo.com>
> Merhabalar,
>
> Eger DNS'i yonetebiliyorsaniz, DNS uzerinden web server oldugunu dusundugum bilgisayarin IPsini DNS uzerinde ve server uzerinde degistirebilirsiniz. Bu sayede > eger saldirilar domainname uzerine degil de IP uzerine yapiliyorsa ataklarin calismayan bir IPye yonlendirilmeleri saglanmis olur.
>
> Zafer Sunger

DNS yönetimi de bu sunucu üzerinde. Toplam 6-7 tane site hizmet
veriyor (daha doğrusu şu anda veremiyor). Saldırının direkt domain
name olduğunu düşünüyorum (pharmacy ile ilgili olduğu için)

Herkese ayırdığı vakit ve verdiği cevaplar için çok teşekkür ediyorum..

Selamlar

Mustafa Musa Ülker

2008/11/4 Burak Dayıoğlu (Pro-G) <burak.dayioglu at pro-g.com.tr>:
> Musa selam,
> Gelen paketleri türlerine/niteliklerine göre sınıflamaya çalış, ne gördüğünü paylaş bizimle. Eğer daha önce de yazıldığı gibi SYN flood ise firewall'lar üzerinde Syn Defender, Sync-Cookies vb. özelliği ile kontrolü ele almaya çalışabilirsin.
>
> Trafik tüm bantgenişliğini dolduruyor mu?
>
> Selamlar.
> -bd
>
> -----Original Message-----
> From: Musa Ulker [mailto:musaulker at gmail.com]
> Sent: Tuesday, November 04, 2008 2:43 AM
> To: netsec at lifeoverip.net; owasp-turkey at lists.owasp.org
> Subject: [netsec] Under DDos Attack
>
> Merhabalar,
>
> Dedicated bir sunucuya bir çok koldan DDos saldırısı
> gerçekleştiriliyor. En çok yük Apache üzerinde. Apache CPU load'ı %30u
> geçebiliyor farklı apache processleri çalışıyor. Türlü çalışmalar
> yaptım; firewallar (salt iptables, apf, csf vs) denedim, ddos
> protectionları test ettim ama saldırıyı tam olarak kesemedim. Birazcık
> yükü hafifletebildim. Zombie makinalar üzerinden saldırı halen devam
> ediyor.
>
> Bu konuda nasıl bir yol izlemem gerekiyor?
>
> Teşekkürler
>
> --
> M.Musa Ülker
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net
> For additional commands, e-mail: netsec-help at lifeoverip.net
>
>


More information about the Owasp-turkey mailing list