DDos ve Flood Ataklarına karşı önlem (Test edildi)

mesaj dropby23 tarafından yazılmıştır:
arkadaşım yazının başında ne demişiz get post tarzı saldırılar yani bilindik adıyla http floodlar demişiz sen gelmiş icmp syn den bahsediyorsun öncelikle icmp isteklerini nasıl yasaklayacağını bilmiyorsan anlatabilirim

cd /proc/sys/net/ipv4

echo 1 > icmp_echo_ignore_all

ya bu şekilde ayaparsın yada bunun kalıcı olması ni istiyorsan sysctl.conf a koyarsın bu konuda yazdığım bir makale var onu okumanı tavsiye ederim
http://www.forum.linux-sevenler.org/index.php/topic,309.0.html

2. syn flood içinde buna benzer bir script yaptım istersen kendi serverında deniyelim burda olay iplerin spoof yada normal olup olmaması değil
syn flood için mantık biraz daha farklı çok fazla syn isteği olduğu zaman bütün istekleri dropluyor
bunun için 8 satırlık bir kural zinciri oluşturdum son satırını göstereyim belli bir saniyede şu kadar istekten fazlası gelirse hepsini droplar
/sbin/iptables -A syn-flood -j DROP bilmiyorum iptables ipchains bilgin ne kadar ama başlangıç düzeyine göre açıklamaya çalışıyorum sana


ayrıca icmp isteklerini yasaklamadan sadece verilen süreyi azaltarak o tür saldırılarınında önüne geçebilrisin
bu syn flood için yazdığım scriptten bir örnek

bunun gibi yaklaşık 300 kuralı içermektedir

echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog

senin saldırdığın anda büyük olasılıkal fireslayer devreye grimiş bizim bir şey yapmamıza gerek kalmadı zaten yazıdada belirtiliyor
http diye sen gidip icmp saldırısı yapmışsın bilmiyorum bir çekememe var herhalde burada

YOUR SERVER IS UNDER ATTACK AND HAS BEEN FILTERED BY OUR FIRESLAYER FILTERING SYSTEM. WE ARE AWARE OF THE ISSUE AND THE FILTER WILL BE LIFTED WHEN THE ATTACK IS OVER. PLEASE DO NOT RESPOND TO THIS TICKET, IT IS INFORMATIONAL ONLY. PLEASE OPEN AN ADDITIONAL TICKET IF YOU HAVE FURTHER QUESTIONS

0.0037 seconds ellapsed in capture
5405 inbound PPS to 67.15.94.28
31892 outbound PPS from 67.15.94.28
2.57 inbound Mbps to 67.15.94.28
14.48 outbound Mbps from 67.15.94.28


The attack has ended and the Fireslayer filter has been removed from your IP. Thank you for choosing EV1 Servers.
http://slayer2.ev1servers.net/png/67_15_94_28_1117479822.htm

ehhe

neyse bu http flood için yazdığım olaya geelim birde çıktı alabiliyorsunuz demiştim buda çıktısı



konu hakkında detaylı bilgi almak isteyenler ile msn den görüşebiliriz [email protected]

DarXis genel server yönetiim hakkında pek bilgin yok sanırım burada hazırladığım makaleleri okuyabilirsin


http://www.forum.linux-sevenler.org/index.php/board,9.0.html

Artık çoğu dc lisanssızroute olayı yerine kendi dizaynları firewall ları kullanıyor örnek ev1 fireslayer
servermatrix cisco nunkileri kullanıyordu sanırım

ddos'u engelleyecek bir teknoloji yok zaten demişsin valla genelde Türkiye de sunucu satan kişiler böyle diyor en güzel
kestirip atma yolu sanırım o yüzden buradaki sunucu satan kişiler ile atıyorum abd dekiler arasında server yönetimi ve güvenlik
açısından dağlar kadar fark var biz araştırmak yerine kestirip atmaya meğilli bir milletiz.

üstte syn flood için olan tek halka bir anlam ifade etmiyor sanırım o dizi 40 kuraldan oluşan bir halka fonksiyonal 3 kuralını verirsem mantıığını anlarsınız sanırım

/sbin/iptables -N syn-flood
/sbin/iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
/sbin/iptables -A syn-flood -j LOG --log-prefix "SYN saldirisi: "
/sbin/iptables -A syn-flood -j DROP

dropby abim valla yine döktürmüşsün evet kesinlikle türkiyede bu işi bilen cok az tanıdığım bir sensin bir özkan abi var başka varsa bilmiyorum ama biz bu topic i açtıktan sonra servera yüzlerce saldırı oldu server hiç düşmedi sanırım bu yeterli bir kanıttır benim burada bu konuyu açmamın sebebi ise bir çok server yöneticisinin şikayet ettiği bir duruma biraz da olsa çözüm getirmek darxis arkadaşım diyorsun ddos a önlem yok ddos a önlem yoksa bizim server a niye bişey olmadı ?? sen kendi serverın açısına konuşuyorsan dropby abimin de dediği gibi araştırmadığın için bilemezsin sanırım yukardaki mesajda yeter ve artar bile önce biraz server yönetmeyi öğrenin...

>senin saldırdığın...
ben saldırmadım arkadaşım ping attım gördüğün üzere. ayrıca orda ip'ler de benle alakasız fireslayer kendini korumuş ancak eje ev1 de element uydurmayı sever uzullarından

neyse sizinle tartışma gereği duymuyorum size bol satışlar

ilk olarak bence basit şeylerin önlemini alınız

ben saldırmadım arkadaşım ping attım gördüğün üzere
dropby23:
ping i yasaklaırm benim için sorun değil müşteriler için trace route da sorun oluyor
birde darXis parametreleri pek bilmiyor sanırım
ping -f parametresi sadece root kullanıcı kullanabilir makinanın full efor sarfederek gönderebileceği kadar paketi göndermesini sağlar
yani ping flood için kullanılan parametredir

kosasnet' Alıntı:

ilk olarak bence basit şeylerin önlemini alınız

Genişletmek için tıkla ...

,

evet sanırım bunların önlemini de bir bir alıyoruz yani şunu söyleyebilirimki 3 gündür müthiş bir saldırı geliyor ve server ayakta

Bir yazilimci program yazip pazarlayacagi zaman, ddos ve flooda cozum bulduk ilgilenen MSN'e yurusun yazmamalidir. Programin yazildigi dil, destekledigi platform, beklenen bilesenler, isletim sistemleri ve potansiyel ozellikleri yazilmalidir. Yangindan mal kacirir gibi detaylandirmadan haydi ddos cekin bana, serverime birsey olmazsa da msn'e gelin size mal satiyim demek hos bir davranis degildir. Insanin aklina baska sorular getirir, nitekim bu sorular geldiginde de kardesim sen bilmiyorsun aha bak iptables boyle yapilir, su soyle yapilir, ben 250 tane makale yazdim demekle de olmuyor bu isler. Malin potansiyel alicisi zaten teknik konulara hakim degildir, boyle bir reklam topiginde teknik konularda birseyler yaristirmanin manasi yoktur.

Elestirimin sinirlari sanirim belli, ilk iki cumlemde yazdim. Teknik olarak soylemek istediklerim ise basit Get/Post request oldu korunacak sey simdi, Distributed Denial Of Service olmuyor sanirim basit Get/Post, kaldi ki mod_security, apf, mod_dossevasive 3 lusunu yukledigimizde herhangi bir sunucuya (ki bunlar ucretsiz moduller ve yazilimlardir) bu soylediklerinizden daha fazlasini da yapabiliyoruz.Teknik bilgisi olmayan bir insanin sunucusuna bunlari yukleseniz (ilk mesajinizda detay belirtmediginiz icin) akila soru isareti gelebilir, nasil program bu, nereye yuklendi, nasil calisir, nedir..

Server saticilarini, Amerika'yla kiyaslamadan once birseyler satacaksak biraz daha ciddi tanitim yapalim, detaylari verelim, ondan sonra baskasinin isine karisalim. DDOS dediginiz olaya yazilim ve isletim sistemi bazinda bir cozum getirmezsiniz, bunun Amerikan olmakla Turk olmakla bir alakasi yok, tecrubeyle sabit bir dogru yonergedir bu. Turkiye'nin hat cikisindan fazla uplinki olan veri merkezleri dahi ddoslarda bazen caresiz kalabiliyor iken, gelip de ddos'a cozum 50 dolara demek, ultra komik bir harekettir, ustune baskasina, saga sola teknik bilgi satmaya calismak, komiklige tuz ekmektedir.

YAZAN Dropby21
teknik detay konusuna katılıyorum progrramın tanıtılması yanlış şekilde oldu burda tekrar tekrar belirtiyorum yazılna şey http flood u engelliyor kaldıki demişsin mod_security apf mod_dosesiviase
burda security ddos içib değildir ip banlamaz dosevasive ilede ip banlayamazsın onun için özel bir suid program yazmalısınki apache nin iptables ile ban atabilmesini sağlayabilesin
apf de firewalldır tek başına etkisi yok o dediklerinin hepsini bir servera standart olarak kuruyorum bunlar etkili olmadığı için geliştirme gereği duydum bunu burdaki host firmalarındada yada wbhostingtalk gibi paylaşım platformlarındada aratırsan ne apf ne basit firewall kartları ne mod cart curt bu tür http floodlara engel olamıyor burda DDoS diye anlatılmak istenilen şey çok geniş olmuş ben http flood kısmını ele alıyorum

kardeş biz bir program yazdık ve bu programı tanıtmak istiyoruz şimdi ben bu programı desem böyle böyle kullanıcı test etmek istiyicek bende diyorumki arkadaşım gir kendi siteme saldır test et ama sen olayı çarpıtıyorsun burada teknik detay yazmak zorunda değilim ama isteyenede yazarız bizim hedefimiz bu tür saldırılardan mağdur olan arkadaşlarımıza yardım etmek

ayrıca o söylediğin modüllerin hepsini kurduk hepsini çalıştırdık sonuç 0 hiçbirişe yaramıyor

peki ben sana sorayım bu işler 250 makale yazmakla olmuyorsa araştırmakla olmuyorsa geliştirmekle olmuyorsa sen söylesene yolunu ? sen uğraş sen emek ver gel yaz buraya ben saygı duyarım ama insanların emeklerini hice sayarak elinde hiçbirşey olmadan araştırmadan etmeden gelip burada yazarsan ozaman dur!!!

ayrıca biz kimseye zorla mal satmıyoruz isteyen alır isteyen almaz.

teknik konuşmalara gelince bazı arkadaşlar bişeyler yaptığını iddia etmiş onlara karşı en güzel cevap olayı teknik ayrıntılarla anlatmaktır.sadece eleştiri yapmak değildir

Ddos a çözüm getiremezsiniz demişsin arkadaşım tamam biz demiyoruzki %100 önlem ama %95 önlem en azından hekerların kullandığı saldırılara karşı önlem olarak alıyoruz yoksa saldırı tekniği hiçbir zaman bitmez bu gün ddos yarın mdos ama biz bugüne bakalım en azından biz eğer burada yazıyorsak birşeye güvenip yazıyoruz yoksa deneyin bakın test edin beğenirseniz alın

ayrıca şunu söylemek isterim amacım burada mal pazarlamak değil biz bunu aslında satmayı veya biyere vermeyi düşünmüyorduk ve dropby abimde public etmeyi düşünüyordu ama o kadar emek verdi uğraştı onundamı hakkı olmasın yani ?

lütfen biraz emeğe saygılı olalım kardeşler

iyi günler

Rhifat sen ilk mesaji attigindan 3 arpa boy yol ilerde degilsin. Sanirim modulu gelistiren kisi, bir ustteki mesajda ne dedigimi anlamis ve cevabini yazmis, sen hala emege saygidan bahsediyorsun, bir kere senin veya buradaki baska birinin "kardesi" degilim, hosuma gitmiyor bu sekilde hitap edilmek. Ben insana/tuketiciye saygidan bahsediyorum, sen hala ne diyorsun, 250 makale yazsan da urununu bu sekilde ortaya koyuyorsan bir anlami yok diyorum, sen nasil gelisecegiz diyorsun, Turkce yaziyorum. Isteyen alir, isteyen almaz diyeceksen arkadasin Amerika'yla Turkiye'yi karsilastirmasin, aradaki celiski beni rahatsiz eden, ben bu sekilde bir karsilastirma yapilana dek birsey yazmadim dikkat edersen. Bana ne isterseniz 250 dolara satin, senin boyle bir gereksiz mesaj yazacagini bildigimden, "elestirimin siniri ilk iki cumlem" demistim. Gerisi anlamayanlar icin zor tabi. Saldir bak, olayi carpitma diyorsun, boyle bir mantik var mi yahu, herkes ne bilecek bu serverin arkasinda ne var, icinde ne var. Olayi carpitmak mi bu..

APF'nin dos modulu var ve mod_dosevasive ile entegresi cok zor degil, bunu kastetmistim dropby. Yoksa firewall kurallarini tanimlayip apf yi baslatinca bir halta yaramaz dogrudur.

dropby:

valla çok uzadı tartışma benim amacım modülü satmak değildi aslında yayınlamakta istemiyordum sonra böyle bir fikir çıktı ve şimdi de vazgeçmiş bulunmaktayım yapıcı ve yıkıcı eleştiriler gelsede maviduslerin söylediklerine kısmende olsa katılıyorum programın tanıtımı yanlış oldu ama oraa belirtilen teknik açıklamaları darxis in tavrı nedeniyle verdim işte ping e bile dayanmadı yok flood umu engelliyecek vs. sonuç olarak bu başlığı kilitleyebilirsiniz

mod_dosevasive olayına gelince kendi readme sinde iptables yada apf ile entegre edilmek için şu komut verilmiş
DOSSystemCommand "su /usr/local/sbin/apf -d %s" bu komutu çalıştırabilen olduğunu zannetmiyorum onada bir çözüm geliştirdim zamanında hatta 2 özüm çünkü bu komutu icra edebilmesi için apache root olmalı 1. çözümde apf ye suid biti verdim sudoers dosyasına nobody yi ekledim ve komutu DOSSystemCommand "sudo /usr/local/sbin/apf -d %s"
olarak değiştirdim

2. çözüm cat /var/log/messages | grep Blacklisting | awk {'print "ALL:" $8 "\n"'} >> /etc/hosts.deny bir bash scripti root olarak çalıştırılan suid yada sgid vererek güvenliğinizi tehlikeye düşürmüyorsunuz
mod_dosevasive bir daemon gibi çallıştığı için Jun 7 14:18:45 root mod_dosevasive[4630]: Blacklisting address 85.97.126.214: possible DoS attack.

bu tür mesajları var/log/messages dan okuyabilirsin bu script ister bash scripti olarak tamamlayın ister init scripti bilgisayar başlaığında başlasın ipleri alıphost.deny ye yerleştiriyor

ama mod_dosevasive nin bu şekilde kullanılması çok kötü olur talihsiz bir çok ip yi banlayacaktır + frontpage extensionslarıda bozuyor dediğim gibi bu tür saldırıları engellemek için bir sürü şey denedim doseviase apf antidos mod_throotle mod_tsunami mod_bandwitch ama çoğu saldırı esnasında server load un çok yüksek olması nedeniyle logları bile okuyup analiz etmekten geri kaldılar bende 10 saniye intervallarla gelen istekleri değerlendiren bir modül yazdım bunada snorttaki analiz sistemini ekledim belki ileride daha çok özellik eklersem gpl altında dağıtırım şu anda satmaktanda vermektende vazgeçmiş bulunmaktayım

mod_dosevasive ile illaki log a yazılan şeyleri okuman gerekmiyor, o module ile zaten doğrudan kural ihlali yapılan ipler üzerinde istediğin işlemi yaptırabilirsin.

ama yinede mod_dosevasive bence etkili bir module değil, kendi yaptığım testlerde, 100 civarı farklı dedicated kalitesinde request yollanınca sisteme mod_dosevasive tam olarak olayı idrak edip işlem yapmadan sistem zaten kitlenme noktasına geliyor. o nedenle tek başına pek işe yaramaz.

ama böyle satıyorum demekle cidden olmaz bu iş, ne satıyorsun ? karpuz bile satsan insanlar önce sorarlar nasıl kabak mı diye, ama bu konuda çok fazla bilgi sahibi kişi olmadığı için doğrusu sadece güvenliklerini korumaya çalışıyorlar.

merak ediyorum bu program veya script tam olarak ne yapıyor? neye göre gelen requestleri alıyor ? apacheye eklenen bir module mü yoksa bir sniffer tarzı birşey mi veya çok daha alakasız birşeymi, biraz tanıtım yazarsanız mutlu olurum. belkide benim özel yaptığım bir programla çakışacak değilmi bilmem lazım ne nasıl çalışacak, opensource olarak verilmeside gerektiğinide hatırlatmama gerek yok sanırım.

üstteki mesajdada belirttiğim gibi mod_doseviase ya gelince onunla suid olarak programı ayarlamazsan mod_doseviase herhangi bir firewall ile sunucudan uzaklaştıramaz permisssion denied hatası alırsın loglarda çünkü gene üstte belirttiğim gibi apf de ban atma yetkisi yada iptables da root a aittir dosevasive ise apache adına çalışan bir modüldür.

modül ilk önce netstat çıktısını alıyor ip kaç bağlantı açmış ona belli bir değer veriyorsunuz serverın yük yoğunluğuna bakıyor aynı zamanda ve bu yaptıkları istekleri gene egrep komutu ile access loglardan kendi log dosyasına kaydediyor netstat taki belli değeri aşmıi ip ye bakıyor arka arkaya aynı istekleri yapıyorsa banlıyor tabi birde cpu load değerimiz var serverın rahat çalışabielceği değer atıyorum benim sunucum için 2 scripte bu değeride yazarsam eğer netstat çıktsında diyelim bir ip 100 bağlantı açmış ve log dosyasında arka arkaya 100 istek yapmış ama sunucuyu yormuyorsa atmıyor bu size kalmış özellikte kapatılabilir.Atılan bir kişi ayarlanabilen bir süre sonunda banı açılabiliyor.Atılan bir kişini ip numarası ne zaman atıldığı kaç bağlantı açtığı size mail olarak gönderiliyor atıldığı sırada.Ayrıca belirli bir limiti aşan log dosyasını otomatik temzileme özelliği koydum diğer programa bakıldığında çoğu cron a yerleşiyor ve her atıyorum 2 dakikada bir loglara bakıyor ama çoğu sistemde server yükü kritik değeri aştığında log tutulmaz log tutmak daha yavaşlatır ağır saldırılarda çünkü bunu güzelliği ise devamlı çalışan bir uygulama ve 10 saniyede bir kontrol ediyor daha cpu değeri artmaya başlamadan önce sunucudan uzaklaştırıyor.Ve istatisliksel olarak çıktısını aktif php sayfaları ile sitenizde gösterebiliyorsunuz opensource olayına gelince bu bana kalmış bir şey öyle bir kurla yada gereklilik yok programın çalışması için 2.4.x kernelden sonra ipchainsin yerini alan iptables ın olması gerekli zaten oda bütün sistemlerde kernele gömülü artık

Bakın arkadaşlar,
DDOs Sunucu'dan çok network'ün giriş'ine yapılan bir saldırıdır! Flood gibi saldırıları ise, kullanmış olduğunuz yazılım (site yazılımı, forum ve portal)'larının gerekli patch'leri ile sorunu kaldırır!

Ddos icin sunu yapin; index.htm yada index.html koyun ve bunu javascript ile /tr gibi bir dizine yonlendirin bakalım oluyor mu

yamalarla dediğin şeyin alakasını pek kuramadım ben burda olay serverın overload olması gene aktif bir sayfaya yönlendirsen ne olucakki istek engellenmiyecek

icmp yide kapadım ilgilenenlere
net.ipv4.icmp_echo_ignore_all = 1
/sbin/sysctl -p;sysctl -w net.ipv4.route.flush=1

bedava ya bu olay satmak nerden çıkıyo.. ben kurdum kendime..

arkadaşlar satmayı düşünmüyoruz artık.

kardes bende hosting satiyorum. kendi siteni söylemissin deneyin diye. ev1 de barindiriyorsun. bende ev1 de barindiriyorum bugune kadar 1 tane program kurmadim uptime im 130 gun. load im : 0.2. civari. sunu diyeyim ev1 members login olursan yandaki menuden monitor e tikla. sonra ip blocked packets e tikla. sonra ordanda ipni sec ok de. gordugun gibi karsinda blocklanan script saldirilari. yani bunu ben onluyorum die bir sey one suremessin cunku barindirdigin firma zaten bu hizmeti sana sunuyor. senin load in mysql kullanimindan dolayi ucuyordur. baska bir firma uzerinde sistemini test et ondan sonra burda biseyler yaz. kolaygelsin.

cat /var/log/messages | grep Blacklisting | awk {'print "ALL:" $8 "\n"'} >> /etc/hosts.deny

Bu komutu

cat /var/log/messages | grep Blacklisting | awk {'iptables -A INPUT -s $8 -j DROP'}

Buna çevirdim ama çalışmıyor. Hatam nerde aceba. Iptables la attırmaya çalışıyorum.
Bir de listede yazan ip lerin sonunda : var. Iptables a yazarken : olmaması lazım. Teşekkürler.

Bugün cisco, fortigate gibi firmalar bile bünyelerinde ddos ataklarına karşı araştırmalar yapacak birimler kurmuştur.

20.000$ değeri olan Fortigate 1000 firewall bile Ddos ataklarını tamamiyle engelleyemez, kaldıki unix sistemlerde babalar gibi IPTABLES vardır başka yazılımlar vardır, açık kaynak ve ücretsiz muadilleri vardır.

yinede başarılı bir çalışma, çalışmalarınızın devamını dilerim.