chat eczaonline.com yazılım uzmanı gaziantep web tasarım

Saldırı konusunda bilgi isteği?

ZIPPKIN

Müptela
Katılım
30 Eki 2005
Mesajlar
2,294
Beğeniler
1
Konum
Dream Island : Moore
#1
herkese merhaba,
ticari bir sitem var ve benzer ürünü satanlar tarafından devamlı saldırıya uğruyor, dc dc server gezdiriyorum diyebilirim fakat her defasında yaklaşık 120 mbit trafik oluşturacak kadar saldırı yapılıyor. tabii ondan sonra ethernet kartı dc tarafından çekiliyor. şimdi benim merak ettiğim bu denli saldırabilecek TR de kaç kişi vardır? böyle bir saldırıyı yapmanın kolaylığı veya zorluğu nedir? yüzlerce farklı ip den geliyor saldırılar, yurt içindeki zombiler yetmiyor bir de yurtdışından saldırıyorlar ve bunu iki farklı aşamada yapıyorlar. tr den gelen saldırılar 20 - 30 mbit le bandı dolduramayınca bu sefer yurtdışından gelmeye başladılar. düşünüyorum taşınıyorum bu şahıslar hakkında oldukça etkili fantaziler kuruyorum ama elimden bi şery gelmiyor şu anda çünkü saldıranın kim olduğu konusunda net bir bilgim yok. sorum ise arkadaşlar şu :
böyle bir kuvvetle saldıracak kadar elinde botu ıvırı zıvırı olan kaç kişi vardır TR de. çünkü bu şahıs birilerinden para yiyor bu belli.
ikincisi bu durumda yapılabilecek en mantıklı şey nedir? (windows sunucu, dual core 1,86 ghz, 2 mb ram )
 

atay

Müptela
Katılım
29 Eki 2005
Mesajlar
3,592
Beğeniler
37
#2
eğer sitenize giren müşterileriniz türkiyeden giriyorsa bence hemen dc üzerinden sizin servera türk ipleri dışındaki ipleri bloklatın. bu sayede 30mbit doldurunca takviye destek getiremeyeceklerdir... eğer saldırı olurken hatla beraber cpuda tavan yapıyorsa, amd işlemciye yapılabilecek en güzel kıyak ekstra ram takmak :)
 

Senol

Onursal Üye
Onaylı Üye
Katılım
25 Haz 2005
Mesajlar
4,856
Beğeniler
1
Konum
Bursa
#3
atay bu konuda haklı madem müşterilerin turkiyede o zaman sunucunu yutdışı iplere kapat + olarak fiziksel fireval ve + ram taktırmanı tavsiye ederim sunucuna fiziksel firewal e gelince sor araştır terim ama fiyatları el yakıyor denebilir
 

ZIPPKIN

Müptela
Katılım
30 Eki 2005
Mesajlar
2,294
Beğeniler
1
Konum
Dream Island : Moore
#4
teşekkürler atay, şu an server teklan da ve dediğin gibi yurtdışı iplerin tamamı bugün engellenmiş olacak inş. fakat çözüm olacak mı merakla bekliyorum. yeri gelmişken şöyle söyleyeyim, müşteri memnuniyeti olarak Teklan gerçekten çok müthiş bir firma. devamlı arayıp bilgi veriyorlar ve de hiç bir zaman anlamsız, aç gözlüce masraf çıkartmıyorlar. fırsatını bulmuşken sezarın hakkını sezara teslim etmek istedim.
diğer konulardaki cevaplarınızıda bekliyorum arkadaşlar. böyle bir saldırı rahatlıkla yapılabilen bir saldırımıdır, değilse bunu yapabilecek kaç kişi vardır, kaynağı yani yapan kişiyi bulmama ve saldırıyı durdurmama yardım edecek kişiye 1000 dolar öneriyorum. olay artık site ve satış olayını geçti, onun gibi 5 tane daha site açtım ve tekrar aynı satış rakamlarımı fazlasıyla yakaladım ama bu şerefsizlerin yakasını bırakmıcam.

atay bu konuda haklı madem müşterilerin turkiyede o zaman sunucunu yutdışı iplere kapat + olarak fiziksel fireval ve + ram taktırmanı tavsiye ederim sunucuna fiziksel firewal e gelince sor araştır terim ama fiyatları el yakıyor denebilir
mesajını yeni gördüm. makinadan ve de maddiyattan yana bi sıkıntımız yok çok şükür, Teklan şu anda yapılabileceklerin en iyisini yapıyor zaten. ilgine teşekkürler yinede.
 

Loi

Müptela
Katılım
13 Kas 2006
Mesajlar
6,194
Beğeniler
44
Konum
localhost
#5
ZIPPKIN isine yararmi bilmem ama ben bu isler icin cok guzel bir cozum biliyorum. p.m. ile msn adresini yazarsan gorusebiliriz.
 

osahin

Müptela
Katılım
8 Eki 2006
Mesajlar
4,978
Beğeniler
34
Konum
kalbinizden :p
#10
Ziyaretçilerin seni nereden buluyor? Arama motorlarından buluyorsa yurt dışı çıkışlarını bloklaman bence mantıklı değil... Sorunla birebir mücadele etmeli, bu konuda profesyonel destek almalı bence...
 

atay

Müptela
Katılım
29 Eki 2005
Mesajlar
3,592
Beğeniler
37
#11
son durumu yazarsan sevinirim, çok merak ediyorum açıkcası :)

osahin: binlerce farklı ipden gelen, botnet saldırısından bahsediyoruz. profesyonel destekle falan çözülebilecek bir iş değil bu. tek çaresi çok büyük bütçe, aylık 5bin ytl ayırabilirsen, 3-5 farklı dc den makina alırsın 1 makinayı sql serveri yapıp diğerlerini apache'ye ayırırsın. 1 server patlasa bile diğerleri açık kalır. botnete başka çözüm yok ne yazık ki.
 

osahin

Müptela
Katılım
8 Eki 2006
Mesajlar
4,978
Beğeniler
34
Konum
kalbinizden :p
#12
Anlıyorum sadece benim mantığıma yatmıyor bu : ) yani eğer ziyaretçimi kaybedeceksem zaten kapatırım siteyi anlamı yok benim mantığıma göre, tabi herkesin pazarlama ve yönetim stratejileri farklı... : )
Eskiden hep küçümserdim ben irc için kodlama yapanları şimdi korkunç seviyelere geldiklerini görüyorum, aslında buna sitenize bilmem kaçbin hit sağlayanların çoğu ortaktır...
Botnet konusunda araştırması olan var ise paylaşsın buradaki hepimiz bilelim, mesela referer olarak nereden geldiği falan belli olmuyormu bu zımbırtılarda? Eğer hangi sunucuda yönetildiği bulunursa botnet mağdurlarının o halde suçlularada ulaşmak çok kolay olacaktır,
ps: şimdi baktığımda mircden gelen refereler görünmüyor, mirc indirip bir sunucuya bağlanayım dedim ama sürekli "too many bots" şeklinde banlama mesajı vererek beni sunucuya almadı, buda bizim gençlerin ne durumda olduğunu gösteriyor herhalde...
peki bu durumda ne yapılabilir? mahkemeye başvurulup sonuçta bir bilgisayara ulaşılıp o bilgisayarın incelenmesi ile faillere ulaşılamazmı? yani tamamen eli kolu bağlımı kalıyor bu durumda insanların eli ayağı?
 

ZIPPKIN

Müptela
Katılım
30 Eki 2005
Mesajlar
2,294
Beğeniler
1
Konum
Dream Island : Moore
#13
arkadaşlar bugün serverın bulunduğu datacenterdaydım, bu yurt dışı blokesi bir günde sonuçlanacak bir olay değişmiş malesef. firma yetkilisi ve satış yöneticisi sizi etkilyecek kadar ilgililer ve bir o kadar da güzeller ( forumu okurlar falan :) ) aynı hatta bir sunucu daha kiraladığımdan ve de bu ikinci sunucuyu y.dışına da açık olması gereken bir site için kullanacağımdan dolayı bloke olayından vazgeçebileceğimi belirttim, ama ek hiç bir masraf çıkartmadıkları halde siteyi çalışır bir şekilde teslim etme konusunda ısrar ettiler ve de diğer sunucunun y.dışı blokesinden etkilenmeyeceğini belirttiler. Teknik den ilgili arkadaş gelip bilgi verdi, sanırım bugün bloke olayı hallolmuş olacak. işin bir ucuda Türk Telekoma bağlı olduğu için işlem zaman alabiliyor.
işin yasal boyutuyla ilgili olarak da bana kendi avukatlarını bu iş için görevlendirmeyi bile teklif ettiler. (bahsedilan firma Teklan )
şimdi sorduğunuz sorular biraz farklı benim verdiğim cevaplar biraz farklı oldu biliyorum. edindiğim bilgiler ve de bloke olayı ile ilgili gelişmeleri burada yazarım, zaten bende artık o sitenin peşinde değilim, benim istediğim yarın öbürgün daha ciddi sitelerimin başına bir şey geldiğinde napabileceğim konusunda tecrübe edinmek. amma velakin Teklan gerçekten çok müthiş bir firma, büyük olmanın sorumluluğunu gayet iyi taşıyorlar ve de Akbank ın reklamındaki gibi kendinizi oranın tek müşterisiymişsiniz gibi hissettirmeyi başarıyorlar. yaptıkları diğer güzellikleri, istismar edilebilir diye daha yazamadım. bunu da söylemeden geçmek istemedim.

saldırı esnasında ben Du Meter ile 16,2 MB upload gördüğüm oldu, yani 16,2*8=129,6 mbs, yine download da 18 mb larda geziniyordu. server da 3-5 saat içersinde 300 mb log dosyası oluşuyor. loglara baktığınızda en çok gördüğünüz şey sitedeki en ağır image dosyalarını devamlı olarak request edildiği ya da direk asp, htm veya php dosyasının değişik yüzlerce ip tarafından devamlı olarak çağrıdığıdır. nedense log dosyalarından en çok gördüğüm iki site adresi bsalsa.com ve www.turk-tv.com/bilmemneklasörü/ idi. ne anlama geldiğini tam anlayamadım.
 

atay

Müptela
Katılım
29 Eki 2005
Mesajlar
3,592
Beğeniler
37
#14
Anlıyorum sadece benim mantığıma yatmıyor bu : ) yani eğer ziyaretçimi kaybedeceksem zaten kapatırım siteyi anlamı yok benim mantığıma göre, tabi herkesin pazarlama ve yönetim stratejileri farklı... : )
Eskiden hep küçümserdim ben irc için kodlama yapanları şimdi korkunç seviyelere geldiklerini görüyorum, aslında buna sitenize bilmem kaçbin hit sağlayanların çoğu ortaktır...
Botnet konusunda araştırması olan var ise paylaşsın buradaki hepimiz bilelim, mesela referer olarak nereden geldiği falan belli olmuyormu bu zımbırtılarda? Eğer hangi sunucuda yönetildiği bulunursa botnet mağdurlarının o halde suçlularada ulaşmak çok kolay olacaktır,
ps: şimdi baktığımda mircden gelen refereler görünmüyor, mirc indirip bir sunucuya bağlanayım dedim ama sürekli "too many bots" şeklinde banlama mesajı vererek beni sunucuya almadı, buda bizim gençlerin ne durumda olduğunu gösteriyor herhalde...
peki bu durumda ne yapılabilir? mahkemeye başvurulup sonuçta bir bilgisayara ulaşılıp o bilgisayarın incelenmesi ile faillere ulaşılamazmı? yani tamamen eli kolu bağlımı kalıyor bu durumda insanların eli ayağı?
daha öncede yazdığım gibi botnete ne yazık ki çok sağlam bir bütçe dışında karşı koyulamaz. çünkü dediğiniz gibi ref vb. herhangi birşey bırakmıyor. binlerce makinada, makinanın sahibinin bilgisi olmadan yüklü olan trojanlar aracılığı ile o makinaları kontrol ediyorlar. herşeyi geçelim, yapılabilecek en basit saldırıyı anlatıyım size. botnet sahibinin elinde, 1000 tane makina var online. her makinaya bir siteyi 500 kere açtıyıro. yani server 1-2 dakika gibi kısa bir sürede 500.000 yanıt veriyor. heleki o sitede mysql bağlantısı falanda varsa, server haşat oluyor.

eğer daha önce bahsettiğim, siteyi üç beş farklı serverda çalışma mantığı uygulanırsa bunun gibi saldırılarda bazı ufak tefek aksamalar ve yavaşlıklar oluyor fakat site kapanmıyor. şu anda internette ciddi manada iş yapan sitelerde bu taktiği uyguluyor, çünkü başka çıkar yolu yok.

arkadaşlar bugün serverın bulunduğu datacenterdaydım, bu yurt dışı blokesi bir günde sonuçlanacak bir olay değişmiş malesef. firma yetkilisi ve satış yöneticisi sizi etkilyecek kadar ilgililer ve bir o kadar da güzeller ( forumu okurlar falan :) ) aynı hatta bir sunucu daha kiraladığımdan ve de bu ikinci sunucuyu y.dışına da açık olması gereken bir site için kullanacağımdan dolayı bloke olayından vazgeçebileceğimi belirttim, ama ek hiç bir masraf çıkartmadıkları halde siteyi çalışır bir şekilde teslim etme konusunda ısrar ettiler ve de diğer sunucunun y.dışı blokesinden etkilenmeyeceğini belirttiler. Teknik den ilgili arkadaş gelip bilgi verdi, sanırım bugün bloke olayı hallolmuş olacak. işin bir ucuda Türk Telekoma bağlı olduğu için işlem zaman alabiliyor.
işin yasal boyutuyla ilgili olarak da bana kendi avukatlarını bu iş için görevlendirmeyi bile teklif ettiler. (bahsedilan firma Teklan )
şimdi sorduğunuz sorular biraz farklı benim verdiğim cevaplar biraz farklı oldu biliyorum. edindiğim bilgiler ve de bloke olayı ile ilgili gelişmeleri burada yazarım, zaten bende artık o sitenin peşinde değilim, benim istediğim yarın öbürgün daha ciddi sitelerimin başına bir şey geldiğinde napabileceğim konusunda tecrübe edinmek. amma velakin Teklan gerçekten çok müthiş bir firma, büyük olmanın sorumluluğunu gayet iyi taşıyorlar ve de Akbank ın reklamındaki gibi kendinizi oranın tek müşterisiymişsiniz gibi hissettirmeyi başarıyorlar. yaptıkları diğer güzellikleri, istismar edilebilir diye daha yazamadım. bunu da söylemeden geçmek istemedim.

saldırı esnasında ben Du Meter ile 16,2 MB upload gördüğüm oldu, yani 16,2*8=129,6 mbs, yine download da 18 mb larda geziniyordu. server da 3-5 saat içersinde 300 mb log dosyası oluşuyor. loglara baktığınızda en çok gördüğünüz şey sitedeki en ağır image dosyalarını devamlı olarak request edildiği ya da direk asp, htm veya php dosyasının değişik yüzlerce ip tarafından devamlı olarak çağrıdığıdır. nedense log dosyalarından en çok gördüğüm iki site adresi bsalsa.com ve www.turk-tv.com/bilmemneklasörü/ idi. ne anlama geldiğini tam anlayamadım.
teklan hakkında son zamanlarda bende bol bol iyi yorum duydum, gerçekten dediğiniz gibiymiş. siz şanslısınız ki, saldırı yapan iplerin büyük çoğunluğu yurt dışından. yurt dışını bloke ettiğinizde sorundan büyük ölçüde kurtulacaksınız gibi. gerçekten merakla bekliyorum. yalnız bi arkadaşında dediği gibi google durumuda var. eğer siteniz google dan hit alan bir siteyse, çok kötü etkiler bu durum sizi.
 

Senol

Onursal Üye
Onaylı Üye
Katılım
25 Haz 2005
Mesajlar
4,856
Beğeniler
1
Konum
Bursa
#15
google ipleri bellidir zaden bu ipler e izin verilerek botların siteyi indexlenmesine izin verilebilir
 

Bu konuyu okuyanlar (Üyeler: 1, Misafirler: 0)

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur. iyinet.com sayfalarında yer alan yazı, görsel ve linklerle ilgili hukuki şikayetleriniz için Buradan iletişime geçmeniz durumunda, ilgili kanunlar ve yönetmelikler çerçevesinde en geç 7 gün içerisinde iyinet yönetimince tarafınıza dönüş sağlanacaktır. Betcup Artemisbet Forum canlı bahis sohbet - - chat
Üst