[Owasp-turkey] Under DDos Attack

Bedirhan Urgun bedirhanurgun at gmail.com
Wed Nov 5 11:20:07 EST 2008


Merhaba Musa,
Ilgili Apache modulunu
http://people.apache.org/~trawick/mod_backdoor.txt bulabilirsin.
(Apache 2.2.x versiyonu ile denemedim)

...
The main purpose of mod_backdoor is to provide a relatively fail-safe way to
send requests to the web server when overall there are serious web server
problems.  It is "Plan B" for when something is wrong with the web server
but a request for mod_status or any test request is not being processed.
..

Layer 7 filtering derken neyi kastediyorsun Musa, ayrit edici belli bir
signature mu yakaladiniz saldiri isteklerinde (belli bir HTTP basligi veya
URL) ve onu mu kestiniz?



05 Kasım 2008 Çarşamba 01:12 tarihinde Musa Ulker <musaulker at gmail.com>yazdı:

> Tekrar merhabalar,
>
> Ferruh; Çok ilginçtir denediğim modlar kaldıramadı apachede ciddi yük
> durmaya devam etti.  Buradaki bottleneck software firewall atakları
> durdurmadı yeterli olmadı. Yüklenen ip sayısı başta 1 5 10 diye değil
> de aynı anda 100+ şeklinde olunca ve iplerde değiştiği için çok kısa
> aralıklarla (1dkdan az süre için) yeni ipleri yakalayamadı ve
> apacheyi, apachede çalışan uygulama da mysql i kilitledi..
>
> Benim örnek verdiğim %30 sadece bir tane apache forku için. Maksimum
> olanı içindi. Firewall çalışmadan sistem kitleniyordu, ssha bile
> erişilmiyordu. Firewallla CPU kullanımı %80-85 civarında seyretmeye
> başladı. Aynı anda mevcut 80 portuna connection sayısı 200+
> civarındaydı..
>
> Saldırı detayı: Connect flood. Sürekli GET isteği. Saldırı çalışan
> uygulama üzerinden mysql i devre dışı bırakmaya yönelik olduğunu
> düşünüyorum. Daha önceden benzer bir saldırrıyla karşılaşmıştım..
> Gelen paketler gayet normal gözüküyor. Arada malformed requestlerde
> geliyordu ama başka bir kaynaktan olabilir.
>
> Kubilay; Rusya IP blokları konusunda araştırma yaparken şöyle bir
> siteyle karşılaştım, incelemenizi tavsiye ederim:
> http://www.countryipblocks.net/
>
> Bedirhan; Apache KeepAlive konfigurasyonda kapalıydı. Apache backdoor
> module gibi birşeyler buldum ama bulduğum apache üzerinden backdoor
> açan bir moduledu. Senin bahsettiğin modülü paylaşır mısın?
>
> DNS güncellemsi aklıma geldi ama zararlarını kıyaslayınca çözümler
> arasından çıkardım..
>
> Aklın yolu bir: HW firewallarla çözüldü olay. Reverse proxy ile başka
> bir sunucuya yönlendirildi istekler ve o sunucu önünde Layer 7
> filtering yapıldı. (Juniper üzerinden custom filterlarla)
>
> Herkese gösterdiği açılımlar ve verdiği cevaplardan dolayı teşekkür
> ediyorum..
>
> Selamlar,
>
> M.Musa Ülker
>
>
> 2008/11/4 Ferruh Mavituna <ferruh at mavituna.com>:
> > Merhabalar Musa,
> >
> > Benim merak ettigim esas kilit noktasi neresi? (gavurlarin tabiri ile
> > bottleneck). Yani application da mi is kitleniyor, ondeki firewall mu
> > sapitmaya basliyor, load balancer mi vs. ?
> >
> > Apache process' i %30 ise , uygulamada veya Apache de bir sorun  yok diye
> > varsayiyorum. Database server ne alemde onda da ciddi bir yuklenme yok
> mu?
> >
> > Bir de saldirinin detaylari ne? Syn-flood, connect-flood, yogun
> application
> > istekleri (HTTP vs.)?  veya baska bir port acikta onun uzerinden mi bir
> sey
> > yapiliyor? gelen paketlerin tum degerleri normal mi? Mesela tuhaf window
> > size lari var mi vs.
> >
> > Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu bilgileri
> > verirsen daha detayli yardimci olunabilir sanirim.
> >
> > Iyi Calismalar,
> >
> > 2008/11/4 Musa Ulker <musaulker at gmail.com>
> >>
> >> Merhabalar,
> >>
> >> Dedicated bir sunucuya bir çok koldan DDos saldırısı
> >> gerçekleştiriliyor. En çok yük Apache üzerinde. Apache CPU load'ı %30u
> >> geçebiliyor farklı apache processleri çalışıyor. Türlü çalışmalar
> >> yaptım; firewallar (salt iptables, apf, csf vs) denedim, ddos
> >> protectionları test ettim ama saldırıyı tam olarak kesemedim. Birazcık
> >> yükü hafifletebildim. Zombie makinalar üzerinden saldırı halen devam
> >> ediyor.
> >>
> >> Bu konuda nasıl bir yol izlemem gerekiyor?
> >>
> >> Teşekkürler
> >>
> >> --
> >> M.Musa Ülker
> >> _______________________________________________
> >> Owasp-turkey mailing list
> >> Owasp-turkey at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> > --
> > Ferruh Mavituna
> > http://ferruh.mavituna.com
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20081105/3c4a2104/attachment.html 


More information about the Owasp-turkey mailing list