[Owasp-turkey] [netsec] Under DDos Attack

kubilay.onder at teknoloji.com kubilay.onder at teknoloji.com
Tue Nov 4 07:16:16 EST 2008


Herkese selam..

Eğer Rusyadan geldiğini gelen kullanıcılara servis vermemek sorun oluşturmuyorsa şanslı bir Ddos kurbanısın :)
Rusya'dan gelen trafiği (firewall konusunda ISP'den yeterli destek alamadığını varsayarak) ISP border router'ında blackhole'a göndermek basit ve etkili çözüm olur..
Bunun için size bakan router'larında bir null interface oluşturup Rusyadan gelen trafiği bu interface'e yönlendirebilirler.. (Source Based Routing.)

Rusya IP Bloklarını -eğer maillist bloklamıyorsa-  ekteki xml dosyasında bulabilirsin.. 

Not: Bu xml'i Thor(Hammer of God) isa server için oluşturmuş.. detaylar aşağıdaki linkte, konuyla ilgili yazışmalarda securityfocus'ta var.. 
http://www.hammerofgod.com/download.html
 


-----Original Message-----
From: owasp-turkey-bounces at lists.owasp.org [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Musa Ulker
Sent: Tuesday, November 04, 2008 1:03 PM
To: netsec at lifeoverip.net
Cc: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] [netsec] Under DDos Attack

Merhabalar,

Tüm gelen cevaplar için teşekkür ediyorum.

> Bahtiyar Bircan <bahtiyarb at gmail.com>
> Saldırılar  nerelerden yapılıyor ?

Saldırı ipleri Rusya'dan. Pharmacy ile ilgili bir site olduğu için saldırının muhtemelen Leo Kuvayev ( http://www.spamhaus.org/statistics/spammers.lasso ) taraflarından gelmesi yüksek ihtimal..

> - En çok saldırı  gelen IP adresleri bazında bir  filtreleme yapılabilir belki. kesin bir çözüm olmaz ama en azından bir süreliğine  hafifletebilir.

IP adresleri değişiyor sık sık, topluca bir Rusya IP blockuna mı engel koymak lazım bilemiyorum.

> - Sunucunun konulduğu servis sağlayıcıdan yardım istenebilir ,

Onu hiç sormayın, içler açısı.. HW firewalları var ama ne derseniz onu yapıyorlar kendileri birşey bilmiyorlar. Teknik destek çok yetersiz.
Sunucu lokasyonu değiştirilecek ama geçiçi olarak saldırıyı bertaraf etmenin yollarını araştırıyorum..

> - En çok saldırı  gelen ülkelerin  yasal birimlerine/Cert lerine (varsa) bildirebilirsiniz.

Rusya'yayla ilgili benzer bir durum yaşayanlar var mı? Malum bu tarz saldırılarda sık sık isimleri geçiyor. İrtibata geçmem durumunda ne kadar sürede geri dönüş olur, bilginiz var mı?

>
> Bahtiyar

--------

> Nedim.KAYA at halkbank.com.tr:
> Zombie makinalardan geldiğine emin misiniz?
> spoof ip adreslerinden syn paketleri geliyor olabilir mi?
> bu durumda sunucu tarafında yada fw üzerinde syn cookie-syn cache 
> protectionları enable etmeniz yararlı olabilir.

Zombie makinalar olmayabilir tabii, ben öyle tahmin yürüttüm. Ama ip adreslerini blockladıkça yeni iplerden saldırı geldiğini görünce öyle bir varsayımda bulundum.
Sunucu üzerindeki software firewall üzerinden syn protectionları aktif ettim. Mevcut connectionlara baktığımda synla ilgili bir durum göremiyorum.

----

> Burak Dayıoğlu (Pro-G) <burak.dayioglu at pro-g.com.tr> Musa selam, Gelen 
> paketleri türlerine/niteliklerine göre sınıflamaya çalış, ne gördüğünü paylaş bizimle. Eğer daha önce de yazıldığı gibi SYN flood ise firewall'lar üzerinde Syn > > Defender, Sync-Cookies vb. özelliği ile kontrolü ele almaya çalışabilirsin.
>
> Trafik tüm bantgenişliğini dolduruyor mu?
>
> Selamlar.
> -bd

Gördüğüm attack signature ı http connection gerçekleştirip mysqli too many connections ile devre dışı bırakmak. SSH üzerinden de bruteforce denemeleri yapılıyor ama onları blokladıktan sonra kesildi, iplerini şu anda hatırlamıyorum bakmam lazım belki de başka bir automated saldırı olabilir ama şu anda esas yük 80 portunda..


> Serhat Uslay <serhat.uslay at zurich.com.au> Musa, en kolay cozum 
> internet saglayicisi ile temasa gecip onlarin trafigi durdurmasini saglamak.
>
> Serhat

Bende böyle düşünüyorum, sonuçta bir web hizmeti sunmak için bulunan bir makinadan belli bazı önlemler alınabilir ama bir saldırı varsa buna müdahale edilmesi gereken yer bu sunucu olmadığını düşünüyorum.


> Huzeyfe ONAL <huzeyfe at lifeoverip.net>
>Anladigim kadari ile application seviyesinde bir dos yiyorsunuz. Bu sekilde yogun trafik alan ve zaman zaman ddos'a maruz kalan sistemlerde sunu yapiyorum.
>
>       .basit bir script araciligi ile anlik baglanti bilgisini control ettirerek ayni ip adresinden 100(bu rakamla oynayabilirsiniz)'den fazla baglanti varsa o ip adresini 6 >saatligine Firewalla bloklattiriyorum. Sonra her 2 dakikada bir bu scripti calistiracak sekilde bir cron ayari giriyorum. Sizin sunucu yogunlugunuza gore degerlerle >oynayabilirsiniz.
>
>Buna ek olarak ServerLimit ve MaxClient degerlerinizi sunucunun gucune ve ortalama trafik bilginize gore degistirmenizi oneririm.

Evet application seviyesinde bir saldırı. IP başına connection'ı 10 a kadar çektim yeteri kadar azalmadığını farkettim. Kullandıkları scriptle de alakası olabilir diye düşünüyorum (OsCommerce).
Maile başladığım sırada apache servisini tekrar başlatmıştım 80 civarında başladı ve şu anda 200 ü geçmiş durumda.

Tasks: 244 total,  36 running, 208 sleeping,   0 stopped,   0 zombie
Cpu(s): 85.0% us, 14.8% sy,  0.0% ni,  0.0% id,  0.0% wa,  0.2% hi,  0.0% si


> zafer sunger <zafersnger at yahoo.com>
> Merhabalar,
>
> Eger DNS'i yonetebiliyorsaniz, DNS uzerinden web server oldugunu dusundugum bilgisayarin IPsini DNS uzerinde ve server uzerinde degistirebilirsiniz. Bu sayede > eger saldirilar domainname uzerine degil de IP uzerine yapiliyorsa ataklarin calismayan bir IPye yonlendirilmeleri saglanmis olur.
>
> Zafer Sunger

DNS yönetimi de bu sunucu üzerinde. Toplam 6-7 tane site hizmet veriyor (daha doğrusu şu anda veremiyor). Saldırının direkt domain name olduğunu düşünüyorum (pharmacy ile ilgili olduğu için)

Herkese ayırdığı vakit ve verdiği cevaplar için çok teşekkür ediyorum..

Selamlar

Mustafa Musa Ülker

2008/11/4 Burak Dayıoğlu (Pro-G) <burak.dayioglu at pro-g.com.tr>:
> Musa selam,
> Gelen paketleri türlerine/niteliklerine göre sınıflamaya çalış, ne gördüğünü paylaş bizimle. Eğer daha önce de yazıldığı gibi SYN flood ise firewall'lar üzerinde Syn Defender, Sync-Cookies vb. özelliği ile kontrolü ele almaya çalışabilirsin.
>
> Trafik tüm bantgenişliğini dolduruyor mu?
>
> Selamlar.
> -bd
>
> -----Original Message-----
> From: Musa Ulker [mailto:musaulker at gmail.com]
> Sent: Tuesday, November 04, 2008 2:43 AM
> To: netsec at lifeoverip.net; owasp-turkey at lists.owasp.org
> Subject: [netsec] Under DDos Attack
>
> Merhabalar,
>
> Dedicated bir sunucuya bir çok koldan DDos saldırısı 
> gerçekleştiriliyor. En çok yük Apache üzerinde. Apache CPU load'ı %30u 
> geçebiliyor farklı apache processleri çalışıyor. Türlü çalışmalar 
> yaptım; firewallar (salt iptables, apf, csf vs) denedim, ddos 
> protectionları test ettim ama saldırıyı tam olarak kesemedim. Birazcık 
> yükü hafifletebildim. Zombie makinalar üzerinden saldırı halen devam 
> ediyor.
>
> Bu konuda nasıl bir yol izlemem gerekiyor?
>
> Teşekkürler
>
> --
> M.Musa Ülker
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: netsec-unsubscribe at lifeoverip.net For 
> additional commands, e-mail: netsec-help at lifeoverip.net
>
>
_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey

*************************************************************************************
Bu e-posta ve ekleri e-postada gonderildigi belirtilen kisi/kisilere ozeldir ve gizlidir. Bu e-postanin muhatabi olmamaniza ragmen tarafiniza ulasmis olmasi halinde e-posta iceriginin gizliligi ve bu gizlilik yukumlulugune uyulmasi zorunlulugu tarafiniz icin de gecerlidir. Bu yukumlulukle birlikte bu e-posta ve ekleri kullanilamaz, kopyalanamaz baska kisilere gonderilemez ve aciklanamaz. E-posta ve eklerinde yer alan bilgilerin dogrulugu ve guncelligi konusunda Teknoloji Holding Sirketler Grubu'nun ve Gruba bagli sirketin herhangi bir hukuksal sorumlulugu bulunmamaktadir. E-posta ve iceriginde bulunan fikir ve yorumlar sadece gondericiye aittir. Bu e-posta mesaji viruslere karsi anti-virus sistemleri tarafindan taranmistir. Grup sirketimiz, bu e-posta mesajinin virus koruma sistemleri ile kontrol ediliyor olsa bile virus icermedigini garanti etmez ve meydana gelebilecek zararlardan  dogacak hicbir  sorumlulugu kabul etmez.                                                                                      This e-mail and attachments are confidential and intended solely for the individual(s) stated in this e-mail. If you received this e-mail although you are not the addressee, you are responsible to keep its contents confidential. The sender notifies all recipients that any further dissemination, distribution or copying of this information is strictly prohibited except for the intended recipient. Teknoloji Holding and its group companies have no responsibility for the accuracy or correctness of the information in the e-mail and its attachments. The opinions expressed in this e-mail belong to the sender alone. This e-mail message has been swept by anti-virus systems for the presence of computer viruses. In doing so, however, Teknoloji Holding and its group companies cannot warrant that virus or other forms of data corruption are not present and do not take any responsibility for any such occurrence.

-------------- sonraki bölüm --------------
Yaz? olmayan bir eklenti temizlendi...
?sim: ThorSet_Russian Federation.xml
T?r: text/xml
Boyut: 703888 bayt
Tan?m: ThorSet_Russian Federation.xml
Url: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081104/5514aa75/attachment-0001.xml 


More information about the Owasp-turkey mailing list