Saldırı konusunda bilgi isteği?

ZIPPKIN · 11 Nisan 2007

herkese merhaba,
ticari bir sitem var ve benzer ürünü satanlar tarafından devamlı saldırıya uğruyor, dc dc server gezdiriyorum diyebilirim fakat her defasında yaklaşık 120 mbit trafik oluşturacak kadar saldırı yapılıyor. tabii ondan sonra ethernet kartı dc tarafından çekiliyor. şimdi benim merak ettiğim bu denli saldırabilecek TR de kaç kişi vardır? böyle bir saldırıyı yapmanın kolaylığı veya zorluğu nedir? yüzlerce farklı ip den geliyor saldırılar, yurt içindeki zombiler yetmiyor bir de yurtdışından saldırıyorlar ve bunu iki farklı aşamada yapıyorlar. tr den gelen saldırılar 20 - 30 mbit le bandı dolduramayınca bu sefer yurtdışından gelmeye başladılar. düşünüyorum taşınıyorum bu şahıslar hakkında oldukça etkili fantaziler kuruyorum ama elimden bi şery gelmiyor şu anda çünkü saldıranın kim olduğu konusunda net bir bilgim yok. sorum ise arkadaşlar şu :
böyle bir kuvvetle saldıracak kadar elinde botu ıvırı zıvırı olan kaç kişi vardır TR de. çünkü bu şahıs birilerinden para yiyor bu belli.
ikincisi bu durumda yapılabilecek en mantıklı şey nedir? (windows sunucu, dual core 1,86 ghz, 2 mb ram )

atay · 11 Nisan 2007

eğer sitenize giren müşterileriniz türkiyeden giriyorsa bence hemen dc üzerinden sizin servera türk ipleri dışındaki ipleri bloklatın. bu sayede 30mbit doldurunca takviye destek getiremeyeceklerdir... eğer saldırı olurken hatla beraber cpuda tavan yapıyorsa, amd işlemciye yapılabilecek en güzel kıyak ekstra ram takmak

Senol · 11 Nisan 2007

atay bu konuda haklı madem müşterilerin turkiyede o zaman sunucunu yutdışı iplere kapat + olarak fiziksel fireval ve + ram taktırmanı tavsiye ederim sunucuna fiziksel firewal e gelince sor araştır terim ama fiyatları el yakıyor denebilir

ZIPPKIN · 11 Nisan 2007

teşekkürler atay, şu an server teklan da ve dediğin gibi yurtdışı iplerin tamamı bugün engellenmiş olacak inş. fakat çözüm olacak mı merakla bekliyorum. yeri gelmişken şöyle söyleyeyim, müşteri memnuniyeti olarak Teklan gerçekten çok müthiş bir firma. devamlı arayıp bilgi veriyorlar ve de hiç bir zaman anlamsız, aç gözlüce masraf çıkartmıyorlar. fırsatını bulmuşken sezarın hakkını sezara teslim etmek istedim.
diğer konulardaki cevaplarınızıda bekliyorum arkadaşlar. böyle bir saldırı rahatlıkla yapılabilen bir saldırımıdır, değilse bunu yapabilecek kaç kişi vardır, kaynağı yani yapan kişiyi bulmama ve saldırıyı durdurmama yardım edecek kişiye 1000 dolar öneriyorum. olay artık site ve satış olayını geçti, onun gibi 5 tane daha site açtım ve tekrar aynı satış rakamlarımı fazlasıyla yakaladım ama bu şerefsizlerin yakasını bırakmıcam.

TrDownload' Alıntı:
atay bu konuda haklı madem müşterilerin turkiyede o zaman sunucunu yutdışı iplere kapat + olarak fiziksel fireval ve + ram taktırmanı tavsiye ederim sunucuna fiziksel firewal e gelince sor araştır terim ama fiyatları el yakıyor denebilir

mesajını yeni gördüm. makinadan ve de maddiyattan yana bi sıkıntımız yok çok şükür, Teklan şu anda yapılabileceklerin en iyisini yapıyor zaten. ilgine teşekkürler yinede.

Loi · 11 Nisan 2007

ZIPPKIN isine yararmi bilmem ama ben bu isler icin cok guzel bir cozum biliyorum. p.m. ile msn adresini yazarsan gorusebiliriz.

abacus · 11 Nisan 2007

Ozel mesaj gonderildi.

atay · 12 Nisan 2007

durum nasıl yurt dışını blokladıktan sonra?

ZIPPKIN · 12 Nisan 2007

atay' Alıntı:
durum nasıl yurt dışını blokladıktan sonra?

slm atay, yurtdışını bloklamaları için c class bir ip blogu tahsis etmeleri gerekiyormuş, sonra bu bloke nin TT tarafından konulması gerekiyormuş. bi günlük iş olmadığı için daha tamamlanmadı, yarın sanırım bitmiş olacak hepsi. bilgi veririm .

Unutmam · 12 Nisan 2007

taki arkadaşındı o bu işlerle içli dışlı o daha iyi bilir

osahin · 12 Nisan 2007

Ziyaretçilerin seni nereden buluyor? Arama motorlarından buluyorsa yurt dışı çıkışlarını bloklaman bence mantıklı değil... Sorunla birebir mücadele etmeli, bu konuda profesyonel destek almalı bence...

atay · 12 Nisan 2007

son durumu yazarsan sevinirim, çok merak ediyorum açıkcası

osahin: binlerce farklı ipden gelen, botnet saldırısından bahsediyoruz. profesyonel destekle falan çözülebilecek bir iş değil bu. tek çaresi çok büyük bütçe, aylık 5bin ytl ayırabilirsen, 3-5 farklı dc den makina alırsın 1 makinayı sql serveri yapıp diğerlerini apache'ye ayırırsın. 1 server patlasa bile diğerleri açık kalır. botnete başka çözüm yok ne yazık ki.

osahin · 13 Nisan 2007

Anlıyorum sadece benim mantığıma yatmıyor bu : ) yani eğer ziyaretçimi kaybedeceksem zaten kapatırım siteyi anlamı yok benim mantığıma göre, tabi herkesin pazarlama ve yönetim stratejileri farklı... : )
Eskiden hep küçümserdim ben irc için kodlama yapanları şimdi korkunç seviyelere geldiklerini görüyorum, aslında buna sitenize bilmem kaçbin hit sağlayanların çoğu ortaktır...
Botnet konusunda araştırması olan var ise paylaşsın buradaki hepimiz bilelim, mesela referer olarak nereden geldiği falan belli olmuyormu bu zımbırtılarda? Eğer hangi sunucuda yönetildiği bulunursa botnet mağdurlarının o halde suçlularada ulaşmak çok kolay olacaktır,
ps: şimdi baktığımda mircden gelen refereler görünmüyor, mirc indirip bir sunucuya bağlanayım dedim ama sürekli "too many bots" şeklinde banlama mesajı vererek beni sunucuya almadı, buda bizim gençlerin ne durumda olduğunu gösteriyor herhalde...
peki bu durumda ne yapılabilir? mahkemeye başvurulup sonuçta bir bilgisayara ulaşılıp o bilgisayarın incelenmesi ile faillere ulaşılamazmı? yani tamamen eli kolu bağlımı kalıyor bu durumda insanların eli ayağı?

ZIPPKIN · 13 Nisan 2007

arkadaşlar bugün serverın bulunduğu datacenterdaydım, bu yurt dışı blokesi bir günde sonuçlanacak bir olay değişmiş malesef. firma yetkilisi ve satış yöneticisi sizi etkilyecek kadar ilgililer ve bir o kadar da güzeller ( forumu okurlar falan

) aynı hatta bir sunucu daha kiraladığımdan ve de bu ikinci sunucuyu y.dışına da açık olması gereken bir site için kullanacağımdan dolayı bloke olayından vazgeçebileceğimi belirttim, ama ek hiç bir masraf çıkartmadıkları halde siteyi çalışır bir şekilde teslim etme konusunda ısrar ettiler ve de diğer sunucunun y.dışı blokesinden etkilenmeyeceğini belirttiler. Teknik den ilgili arkadaş gelip bilgi verdi, sanırım bugün bloke olayı hallolmuş olacak. işin bir ucuda Türk Telekoma bağlı olduğu için işlem zaman alabiliyor.
işin yasal boyutuyla ilgili olarak da bana kendi avukatlarını bu iş için görevlendirmeyi bile teklif ettiler. (bahsedilan firma Teklan )
şimdi sorduğunuz sorular biraz farklı benim verdiğim cevaplar biraz farklı oldu biliyorum. edindiğim bilgiler ve de bloke olayı ile ilgili gelişmeleri burada yazarım, zaten bende artık o sitenin peşinde değilim, benim istediğim yarın öbürgün daha ciddi sitelerimin başına bir şey geldiğinde napabileceğim konusunda tecrübe edinmek. amma velakin Teklan gerçekten çok müthiş bir firma, büyük olmanın sorumluluğunu gayet iyi taşıyorlar ve de Akbank ın reklamındaki gibi kendinizi oranın tek müşterisiymişsiniz gibi hissettirmeyi başarıyorlar. yaptıkları diğer güzellikleri, istismar edilebilir diye daha yazamadım. bunu da söylemeden geçmek istemedim.

saldırı esnasında ben Du Meter ile 16,2 MB upload gördüğüm oldu, yani 16,2*8=129,6 mbs, yine download da 18 mb larda geziniyordu. server da 3-5 saat içersinde 300 mb log dosyası oluşuyor. loglara baktığınızda en çok gördüğünüz şey sitedeki en ağır image dosyalarını devamlı olarak request edildiği ya da direk asp, htm veya php dosyasının değişik yüzlerce ip tarafından devamlı olarak çağrıdığıdır. nedense log dosyalarından en çok gördüğüm iki site adresi bsalsa.com ve www.turk-tv.com/bilmemneklasörü/ idi. ne anlama geldiğini tam anlayamadım.

atay · 13 Nisan 2007

osahin' Alıntı:
Anlıyorum sadece benim mantığıma yatmıyor bu : ) yani eğer ziyaretçimi kaybedeceksem zaten kapatırım siteyi anlamı yok benim mantığıma göre, tabi herkesin pazarlama ve yönetim stratejileri farklı... : )
Eskiden hep küçümserdim ben irc için kodlama yapanları şimdi korkunç seviyelere geldiklerini görüyorum, aslında buna sitenize bilmem kaçbin hit sağlayanların çoğu ortaktır...
Botnet konusunda araştırması olan var ise paylaşsın buradaki hepimiz bilelim, mesela referer olarak nereden geldiği falan belli olmuyormu bu zımbırtılarda? Eğer hangi sunucuda yönetildiği bulunursa botnet mağdurlarının o halde suçlularada ulaşmak çok kolay olacaktır,
ps: şimdi baktığımda mircden gelen refereler görünmüyor, mirc indirip bir sunucuya bağlanayım dedim ama sürekli "too many bots" şeklinde banlama mesajı vererek beni sunucuya almadı, buda bizim gençlerin ne durumda olduğunu gösteriyor herhalde...
peki bu durumda ne yapılabilir? mahkemeye başvurulup sonuçta bir bilgisayara ulaşılıp o bilgisayarın incelenmesi ile faillere ulaşılamazmı? yani tamamen eli kolu bağlımı kalıyor bu durumda insanların eli ayağı?

daha öncede yazdığım gibi botnete ne yazık ki çok sağlam bir bütçe dışında karşı koyulamaz. çünkü dediğiniz gibi ref vb. herhangi birşey bırakmıyor. binlerce makinada, makinanın sahibinin bilgisi olmadan yüklü olan trojanlar aracılığı ile o makinaları kontrol ediyorlar. herşeyi geçelim, yapılabilecek en basit saldırıyı anlatıyım size. botnet sahibinin elinde, 1000 tane makina var online. her makinaya bir siteyi 500 kere açtıyıro. yani server 1-2 dakika gibi kısa bir sürede 500.000 yanıt veriyor. heleki o sitede mysql bağlantısı falanda varsa, server haşat oluyor.

eğer daha önce bahsettiğim, siteyi üç beş farklı serverda çalışma mantığı uygulanırsa bunun gibi saldırılarda bazı ufak tefek aksamalar ve yavaşlıklar oluyor fakat site kapanmıyor. şu anda internette ciddi manada iş yapan sitelerde bu taktiği uyguluyor, çünkü başka çıkar yolu yok.

ZIPPKIN' Alıntı:
arkadaşlar bugün serverın bulunduğu datacenterdaydım, bu yurt dışı blokesi bir günde sonuçlanacak bir olay değişmiş malesef. firma yetkilisi ve satış yöneticisi sizi etkilyecek kadar ilgililer ve bir o kadar da güzeller ( forumu okurlar falan ) aynı hatta bir sunucu daha kiraladığımdan ve de bu ikinci sunucuyu y.dışına da açık olması gereken bir site için kullanacağımdan dolayı bloke olayından vazgeçebileceğimi belirttim, ama ek hiç bir masraf çıkartmadıkları halde siteyi çalışır bir şekilde teslim etme konusunda ısrar ettiler ve de diğer sunucunun y.dışı blokesinden etkilenmeyeceğini belirttiler. Teknik den ilgili arkadaş gelip bilgi verdi, sanırım bugün bloke olayı hallolmuş olacak. işin bir ucuda Türk Telekoma bağlı olduğu için işlem zaman alabiliyor.
işin yasal boyutuyla ilgili olarak da bana kendi avukatlarını bu iş için görevlendirmeyi bile teklif ettiler. (bahsedilan firma Teklan )
şimdi sorduğunuz sorular biraz farklı benim verdiğim cevaplar biraz farklı oldu biliyorum. edindiğim bilgiler ve de bloke olayı ile ilgili gelişmeleri burada yazarım, zaten bende artık o sitenin peşinde değilim, benim istediğim yarın öbürgün daha ciddi sitelerimin başına bir şey geldiğinde napabileceğim konusunda tecrübe edinmek. amma velakin Teklan gerçekten çok müthiş bir firma, büyük olmanın sorumluluğunu gayet iyi taşıyorlar ve de Akbank ın reklamındaki gibi kendinizi oranın tek müşterisiymişsiniz gibi hissettirmeyi başarıyorlar. yaptıkları diğer güzellikleri, istismar edilebilir diye daha yazamadım. bunu da söylemeden geçmek istemedim.

saldırı esnasında ben Du Meter ile 16,2 MB upload gördüğüm oldu, yani 16,2*8=129,6 mbs, yine download da 18 mb larda geziniyordu. server da 3-5 saat içersinde 300 mb log dosyası oluşuyor. loglara baktığınızda en çok gördüğünüz şey sitedeki en ağır image dosyalarını devamlı olarak request edildiği ya da direk asp, htm veya php dosyasının değişik yüzlerce ip tarafından devamlı olarak çağrıdığıdır. nedense log dosyalarından en çok gördüğüm iki site adresi bsalsa.com ve www.turk-tv.com/bilmemneklasörü/ idi. ne anlama geldiğini tam anlayamadım.

teklan hakkında son zamanlarda bende bol bol iyi yorum duydum, gerçekten dediğiniz gibiymiş. siz şanslısınız ki, saldırı yapan iplerin büyük çoğunluğu yurt dışından. yurt dışını bloke ettiğinizde sorundan büyük ölçüde kurtulacaksınız gibi. gerçekten merakla bekliyorum. yalnız bi arkadaşında dediği gibi google durumuda var. eğer siteniz google dan hit alan bir siteyse, çok kötü etkiler bu durum sizi.

Senol · 13 Nisan 2007

google ipleri bellidir zaden bu ipler e izin verilerek botların siteyi indexlenmesine izin verilebilir