[Owasp-turkey] [netsec] Re: Under DDos Attack

zafer sunger zafersnger at yahoo.com
Tue Nov 4 08:47:48 EST 2008


Evet katılıyorum, dns updatelerin tamamlanması  bir kac dakika ile 48 saat arasında surebilir. BU sure zarfında update olmamıs dnsler uzerinden yapılan queryler calısmayan bir IP adresine yonlendirmeye neden olacaktır. Ancak ozellikle bir serverınız boyle bir saldırıya maruz kaldıysa bu saldırılar degisik zamanalarda, daha sık olarak aynı IP uzerine devam ediyor. DNS update, boyle bir durum icin eger tabi elinizde available baska bir IP adresi varsa daha orta vadede bir cozum olabiliyor (Uzun vadede yine aynı saldırılara maruz kalınma ihtimali her zaman mevcuttur tabiki.). Onun otesinde MS ISA 2006 server bircok dos atagını servera ulasmadan kesebiliyor. Dos atak izlenimi veren bir cok durumda birden cok fazla connection acılmaya calısıldıgında da request IPsini bloklayabiliyor. Bu durumda ayrı bir cozum olabilir dıye dusunuyorum. 

--- On Tue, 11/4/08, Huzeyfe ONAL <huzeyfe at lifeoverip.net> wrote:

From: Huzeyfe ONAL <huzeyfe at lifeoverip.net>
Subject: Re: [Owasp-turkey] [netsec] Re: Under DDos Attack
To: owasp-turkey at lists.owasp.org
Date: Tuesday, November 4, 2008, 1:02 PM








Merhabalar,
Bu tip bir yontemin cesitli sakincalari olacaktir;
 
Mesela dns guncellenmesi zamaninda bazi kullanicilar da eski ip adresine ulasmaya calisacagindan hizmet alamayacaklardir. Yeni ip adresine gelecek saldirilar icin vs de tekrar dns degistirme islemi yapacak olursaniz kendi kendinizi ulasilamaz kilmis olursunuz.
 

From: owasp-turkey-bounces at lists.owasp.org [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of zafer sunger
Sent: Tuesday, November 04, 2008 12:43 PM
To: musaulker at gmail.com
Cc: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] [netsec] Re: Under DDos Attack
 





Merhabalar,

 

Eger DNS'i yonetebiliyorsaniz, DNS uzerinden web server oldugunu dusundugum bilgisayarin IPsini DNS uzerinde ve server uzerinde degistirebilirsiniz. Bu sayede eger saldirilar domainname uzerine degil de IP uzerine yapiliyorsa ataklarin calismayan bir IPye yonlendirilmeleri saglanmis olur.

 

Zafer Sunger 

 



--- On Tue, 11/4/08, Nedim.KAYA at halkbank.com.tr <Nedim.KAYA at halkbank.com.tr> wrote:

From: Nedim.KAYA at halkbank.com.tr <Nedim.KAYA at halkbank.com.tr>
Subject: Re: [Owasp-turkey] [netsec] Re: Under DDos Attack
To: netsec at lifeoverip.net, musaulker at gmail.com
Cc: owasp-turkey at lists.owasp.org
Date: Tuesday, November 4, 2008, 12:11 PM

Zombie makinalardan geldi»ine emin misiniz?
spoof ip adreslerinden syn paketleri geliyor olabilir mi?
bu durumda sunucu taraf¹nda yada fw üzerinde syn cookie-syn cache protectionlar¹ enable etmeniz
yararl¹ olabilir.
 
 
 



From: Bahtiyar Bircan [mailto:bahtiyarb at gmail.com] 
Sent: Tuesday, November 04, 2008 11:56 AM
To: Musa Ulker
Cc: netsec at lifeoverip.net; owasp-turkey at lists.owasp.org
Subject: [netsec] Re: [Owasp-turkey] Under DDos Attack
Sald¹r¹lar  nerelerden yap¹l¹yor ? 
- En çok sald¹r¹  gelen IP adresleri baz¹nda bir  filtreleme yap¹labilir belki. kesin bir çözüm olmaz ama en az¹ndan bir süreli»ine  hafifletebilir.  
- Sunucunun konuldu»u servis sa»lay¹c¹dan yard¹m istenebilir , 
- En çok sald¹r¹  gelen ülkelerin  yasal birimlerine/Cert lerine (varsa) bildirebilirsiniz.

Bahtiyar 



On Tue, Nov 4, 2008 at 2:43 AM, Musa Ulker <musaulker at gmail.com> wrote:
Merhabalar,

Dedicated bir sunucuya bir çok koldan DDos sald¹r¹s¹
gerçekleºtiriliyor. En çok yük Apache üzerinde. Apache CPU load'¹ %30u
geçebiliyor farkl¹ apache processleri çal¹º¹yor. Türlü çal¹ºmalar
yapt¹m; firewallar (salt iptables, apf, csf vs) denedim, ddos
protectionlar¹ test ettim ama sald¹r¹y¹ tam olarak kesemedim. Birazc¹k
yükü hafifletebildim. Zombie makinalar üzerinden sald¹r¹ halen devam
ediyor.

Bu konuda nas¹l bir yol izlemem gerekiyor?

Teºekkürler

--
M.Musa Ülker
_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey
 




 






 



*** Bu mail zararli icerige karsi, HALKBANK Antivirus ve e-posta Tarama Sistemleri tarafindan taranmistir. *** 


Bu elektronik posta ve ekleri sadece adreste belirtilen kisi veya kurulusun kullanimi icin gonderilmektedir. Bu mesaj tarafiniza yanlislikla ulasirsa, lutfen gonderen kisiyi bilgilendiriniz ve mesaji sisteminizden siliniz. Mesajda ve eklerinde yer alan bilgilerin her ne sekilde olursa olsun ucuncu kisiler ile paylasilmasi hukuki ve cezai sorumluluk dogurabilir. T. Halk Bankasi A.S.'nin, bu mesaj ve eklerinin icerigi ve yayimi ile ilgili hicbir sorumlulugu bulunmamaktadir. 


This email and the attachments are sent to the individual or entity defined in the address field only. If you are not the intended recipient or have received the message in error, please notify the sender and remove the message from your system immediately. Sharing the information in the message or the attachments with the 3rd parties may cause legal rules and penalties to apply. T. Halkbankasi A.S. has no responsibility on the submission of this message and the attachments. _______________________________________________Owasp-turkey mailing listOwasp-turkey at lists.owasp.orghttps://lists.owasp.org/mailman/listinfo/owasp-turkey
 _______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey



      
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081104/140c6da6/attachment.html 


More information about the Owasp-turkey mailing list