DDOS Saldırıs yapan IP ler ...?

Dreamhosttan 3. kez sitemin kapandıgına dair mail aldım ve DDOS saldırısı oldugu soylendi. siteye gun icinde yaklasık 15 000 civarında giriş olmus sitede boş bir dizin kurulu olmasına ragmen. ve sitem durdurulmus.

Ip ler asagıda aacaba bunların hangi bolgeden oldugunu bulmam mumkun olurmu. ilk kısım o ip den gelen Hit sayısını gosteriyor. 88.251.146.7 den 195 giriş olmus mesela. Bana "You may want to firewall those IP addresses and give it some time before renaming the domain directory back again." demişler sanırım bu IP leri engelleyebilirsiniz gibi bişe sunucu SHARED çünkü. engellesemde bi yıgın IP var. nasıl baca cıkılır bunlarla.

10 88.227.31.226
10 88.235.255.243
10 88.245.105.173
11 81.213.88.5
11 88.230.65.232
11 88.243.121.207
11 88.243.124.4
12 88.228.92.54
12 88.230.183.151
12 88.243.20.149
12 88.244.12.202
13 88.235.162.223
13 88.238.78.113
13 88.241.149.159
13 88.242.41.215
14 88.227.127.245
14 88.229.195.116
14 88.235.41.254
14 88.241.148.195
14 88.241.90.105
14 88.255.24.131
15 88.230.71.246
15 88.243.18.11
16 88.235.38.244
17 88.224.51.247
18 88.242.100.4
19 88.241.231.160
20 88.241.226.90
20 88.241.230.135
21 88.228.18.208
22 88.232.155.200
22 88.233.2.27
22 88.242.41.32
23 88.243.107.71
29 88.228.23.109
31 88.243.126.28
32 88.254.201.14
35 88.241.189.121
35 88.242.100.37
36 88.241.144.137
37 88.241.151.87
41 88.243.22.173
42 88.241.185.205
51 88.242.43.88
51 88.242.94.193
55 88.241.147.10
57 88.242.116.28
59 88.245.186.254
60 88.241.192.2
69 88.243.123.63
69 88.243.29.128
77 88.241.207.24
88 83.134.75.32
95 88.247.195.100
195 88.251.146.7

Sanırım bir toplist saldırısı çünkü bukadar Türk ip olan bir botnet yok. Bir yığın Türk ip'si var dediğine göre bir toplist saldırısı.

Bu tür saldırıları engelleyebiliyoruz. İlgilenirsen eğerki [email protected] msn adresindeki arkadaşlarla görüşebilirsin.

Saygılar.

syn bunlar ddos değil

Evet buradan bakınca syn olarak gözüküyorlar. Diğer anlamda httpd flood yapıyorlar açıklamak gerekirse. Toplist kodlarına koyulan bir çeşit http flood. Toplist kodunu kullanan site ziyaretçi o siteye girdiğinde istemeden kod senin sitene flood yapıyor.

ReksNet' Alıntı:

Sanırım bir toplist saldırısı çünkü bukadar Türk ip olan bir botnet yok. Bir yığın Türk ip'si var dediğine göre bir toplist saldırısı.

Bu tür saldırıları engelleyebiliyoruz. İlgilenirsen eğerki [email protected] msn adresindeki arkadaşlarla görüşebilirsin.

Saygılar.

Genişletmek için tıkla ...

dedicated değil shared hesapta nasıl engelliyorsun

toplist saldırısında bu kadar az IP olmaz.

IP lerde 10-15 değil 3-4 bağlantı yapar ancak dikkat edersen bağlantı sayıları fazla....

Bu botnet saldırısı olsa gerek, dedicated olsa çözülür ama bu durmda yapacak pek birşey yok..

Kaç bağlantı yapacağını ayarlarsın toplistde 3 4 yapar diye birşey yok.

toplist saldırısında bu kadar az IP olmaz.

Genişletmek için tıkla ...

Zaten arkadaş bu iplerin bir bölümü olduğunu söylemiş.

engellesemde bi yıgın IP var. nasıl baca cıkılır bunlarla.

Genişletmek için tıkla ...

Eğer bir dedicated alma durumu yoksa siten php mi bilmiyorum ama php ile bir nevi engelleyebilirsin. Kodlar ile bir ip 3 saniyede siteye bir bağlantı yapabilir gibi ayarlarsın. Buna örnek scriptler piyasada mevcut.

bunlar sunucuya geldikten sonra php ile engellenemez.

evet haklısınız engellenir ama oradaki botların sayısı 20 ve de yaptıkları bağlantı sayısı 30 u geçmezse.

Bu site toplist sitesiydi. ve pek cok sitede kodum ekli. aardvark oldugu icin su sekilde.

<a href="....."><img src="...../button.php?u=username"/>domain</a>

seklinde kod ekli pek cok sitede. Ben simdi bu button.php dosyasını iptal edebilirmiyim. Onlarca siteden img src=... olarak dosya isteniyor acaba sorun burda olabilirmi ?

ReksNet' Alıntı:

Eğer bir dedicated alma durumu yoksa siten php mi bilmiyorum ama php ile bir nevi engelleyebilirsin. Kodlar ile bir ip 3 saniyede siteye bir bağlantı yapabilir gibi ayarlarsın. Buna örnek scriptler piyasada mevcut.

Genişletmek için tıkla ...

php ile ddos/botnet/syn engellerim diyorsan daha yolun başındasın kolay gelsin

@andora, siten bir toplist ise saldırı falan yokturdur, dreamhost toplist sitelerine hiti artınca bu tarz uyarılar atar, yukarıdakiler kesin anlık mysql bağlantı sayısıdır, ama sana bağlantı yazarlar. Bu tip dreamhost ve servage gibi yerlerde toplistler hit artınca bu şekilde kapatılır.

CyberTurk' Alıntı:

php ile ddos/botnet/syn engellerim diyorsan daha yolun başındasın kolay gelsin

@andora, siten bir toplist ise saldırı falan yokturdur, dreamhost toplist sitelerine hiti artınca bu tarz uyarılar atar, yukarıdakiler kesin anlık mysql bağlantı sayısıdır, ama sana bağlantı yazarlar. Bu tip dreamhost ve servage gibi yerlerde toplistler hit artınca bu şekilde kapatılır.

Genişletmek için tıkla ...

Daha once bikaç kez uyarı aldım site kapatıldı filan ama suan aardvark kurlu değil MYSQL baglantısıda olmuyor dogal olarak. baska bir dizin scripti kurdum bombostu sqlsi farklı boş olarak yani. ona ragmenbu tarz sorunlar devam ediyor.

CyberTurk' Alıntı:

php ile ddos/botnet/syn engellerim diyorsan daha yolun başındasın kolay gelsin

Genişletmek için tıkla ...

Canım benim ddos botnet saldırılarını zaten php ile engelleyemezsin bunlar httpd flood saldırısı ise php ile bir nevi engellersin dedim iyi okuduysan. Yardımcı olmak için yazmıştım, polemik yaratmak için değil.

reksnet tartışma yapmıyoruz zaten yanlış anlama sakın

ama o http flood lar flood olup sel olup gelince senin engelleyeceğin 3-5 ip hiç bir faide getirmez

ipucu : toplist saldırılarında, refererlerden yığın hitin geldiği siteleri tespit edebilirsiniz. Ardından .htaccess ile bu siteler üzerinden gelen trafiği yasaklayabilirsiniz. Hatta ve hatta saldıran toplisti biliyorsanız oraya yönlendirirsiniz bu trafiği, kendi kazdığı kuyuya düşer.