Bir garip hat problemi

[Murat.Ozcan]

Merhaba,

Herşey internete ve dmz'e giremiyoruz mesajının gelmesiyle başladı. Checkpoint çalışıyordu ama ekrana görüntü gelmiyordu, firewall yöneticileri loglarda sorun gözükmediğini donanımsal arıza olabileceğini söylediler ve donanım değiştirildi. 1 hafta içerisinde aynı sorunu 2 kere daha yaşadıktan sonra yönetici arkadaşlar DDoS saldırısına maruz kaldığımızı söylediler.

Akabinde TT den IPS hizmeti almaya başladık (Tipping Point) ve TT deki arkadaşlar DDoS olmadığı yönünde çok kesin konuştular. Ancak akamai sunucularına çok fazla trafik olduğunun bilgisini verdiler.

Proxy serverdaki trafiği inceleyince Adobe Reader'ın kendini update etmeye çalıştığı tespit edildi. Kullanıcılar bilgisayarlarında admin yetkisine sahip olmadıklarından bu güncellemeyi yapamadıklarından sürekli bir trafik oluşuyor. (Böyle düşünüyorum)

DNS'e ardownload.adobe.com ve swupmf.adobe.com subdomainlerine sahte kayıt girdikten sonra problemim biraz düzelir gibi oldu. Biraz diyorum çünkü data hattında arada sırada da olsa hattın kullanımı 8-9 Mbps ye vuruyor.

Şekil-1 Sahte DNS kayıtları girilmeden önceki metromrtg deki grafik
Şekil-2 Sahte DNS kayıtları girilmeden sonraki metromrtg deki grafik

Not: İnternet için 10 Mbps metro ethernet kullanıyorum.

[Murat]

İyi bir olay yakalamışsın ama bunun cp üzerinden yakalamak 1-2 dakikalık işti...
Bozuk diyenler saçmalamışlar..
Adobe'un böyle bir sorunu var 9.1.1 update edecem diye saçmalıyor...

Update programı download adreslerine hiç erişemezse otomaitk olarak kapanıyor. Fakat erişip download ettikten sonra kurulumu yapamazsa bu durumda 3 seçenek çıkıyor ekrana, 1. seçecek (default olarak işaretli geliyor), tekrar çek ve tekrar kurmayı dene anlamında.. Kullanıcılarda direk enterlıyorlar...
9.1.1 update'inde güvenlikle ilgili güncelleme var mutlaka çekip kurmak lazım...

[Murat.Ozcan]

Firewall yöneticileri saçmalamışlar mı bilemiyorum, çünkü firewall a erişimimiz yok Adamlar Checkpoint'in bilmemne versiyonunu (ISP ler kullanıyormuş sanırım) kullandıkları için bu şekilde lisans maliyeti çok düşük oluyor diye bunu kullanıyoruz ve bu durumda firewall yöneticilerine güvenmekten başka şansımız da kalmıyor.

Sizin 1-2 dakikalık işi yapmak benim yaklaşık 1 ayımı aldı

[Murat]

Firewall yöneticileri saçmalamışlar mı bilemiyorum, çünkü firewall a erişimimiz yok Adamlar Checkpoint'in bilmemne versiyonunu (ISP ler kullanıyormuş sanırım) kullandıkları için bu şekilde lisans maliyeti çok düşük oluyor diye bunu kullanıyoruz ve bu durumda firewall yöneticilerine güvenmekten başka şansımız da kalmıyor.

Sizin 1-2 dakikalık işi yapmak benim yaklaşık 1 ayımı aldı

firewall yöneticileri sux.. bilmeden iş yapmamak lazım.

[shadow]

Check Point ürünlerinde konu ile ilgili olabilecek bazı önlemler vardır... Modele kullanılan ürüne göre bu özellikler ve uygulanabilirlikleri değişebilir. Değerlendirmek gerekir...

Bir iki örnek vereyim fikir vermesi açısından:

1. network Quota: Entegre IPS modülü üzerinde network Quota tanımı yapabilirsiniz. Bu herbir kaynak adresin belirli bir zaman aralığında açabileceği bağlantı sayısını size kısıtlama şansı verir. Bu sayede istemcilerin bilinçli veya bilinçsiz internet hattını meşgul etmesi, yada sunucuları yorması servis veremez hale getirmesi engellenir.

2. Aggresive Aging:Yine entegre IPS üzerinde aktif hale getirir.Temel de yapılan iş bağlantıların etiketlenmesidir. Normal durumlarda kullanılan tcp session değerlerinin (açılma, kapama vs gibi) sistemin yükü artmaya başladığında azaltılması ve idle gibi görünmeye başlayan bağlantıların kapatılmasıdır. Özellikle DoS ataklarını engellemek için devreye alınabilir.

vs. vs. vs...

Benim kafama takılan konu özellikle dışarıdan size doğru gelen DoS, DDoS saldırıları gibi, aynı zamanda sizin parasını ödediğiniz hattın canına okuyabilecek ataklardır. Bir şekilde FW ile IPS ile artık o çözüm ne ise kesersiniz, ayrı konu... Ama band genişliğiniz hapı yutmuştur. Bu yüzden bu tür atakların ISP seviyesinde engellenmesi sanki daha şık olur gibi gelmiştir bana. Ne kadar dikkat edilen bir konudur anlatmaya gerek yok sanırım. Tabii ki daha kapsamlı bir servisten bahsediliyor olabilir ama bunu parayla satmak ise cabası...

haydi eyvallah...

[Murat.Ozcan]

Benim kafama takılan konu özellikle dışarıdan size doğru gelen DoS, DDoS saldırıları gibi, aynı zamanda sizin parasını ödediğiniz hattın canına okuyabilecek ataklardır. Bir şekilde FW ile IPS ile artık o çözüm ne ise kesersiniz, ayrı konu... Ama band genişliğiniz hapı yutmuştur. Bu yüzden bu tür atakların ISP seviyesinde engellenmesi sanki daha şık olur gibi gelmiştir bana. Ne kadar dikkat edilen bir konudur anlatmaya gerek yok sanırım. Tabii ki daha kapsamlı bir servisten bahsediliyor olabilir ama bunu parayla satmak ise cabası...
haydi eyvallah...

Neyseki ucuza satıyorlar

[Murat]

Neyseki ucuza satıyorlar

Ucuz etin yahnisi bol olurmuş...
DDos yiyipte ayakta kalan bir yer olmadı bunca yıllık internet tarihinde. Bu bakımdan, servis sağlayıcı tarafından engellesin/engellenmesin DDoS yendiğinde "servis sağlayıcıda uçacağından" bir önemi kalmamakta..

[shadow]

Ucuz etin yahnisi bol olurmuş...
DDos yiyipte ayakta kalan bir yer olmadı bunca yıllık internet tarihinde. Bu bakımdan, servis sağlayıcı tarafından engellesin/engellenmesin DDoS yendiğinde "servis sağlayıcıda uçacağından" bir önemi kalmamakta..

ok katılıyorum DDoS un ne kadar bela bişi olduğuna... Fakat ISP nin bundan etkilenme kısmı ise bence göreceli...

DDoS u niye yaparsın, temel de hedef belli, bir sistemi cevap/servis veremez hale getirmek. Bunu yaparken ISP nin etkileneceği tek şey parasını aldığı servisi sana veremez hale gelmesidir. Sorun da burada zaten, aslında sen etkileniyorsun yine... Sen DDoS yediğinde ISP ne dönsen ne cevap alırsın.... Belki sana daha geniş hat satma eğilimine bile girebilirler...

Sen gıcık olup direkt ISP yi hedef alırsan eyvalah o zaman onlarında canı sıkılabilir ama bu da bizi ilgilendirmez...

Bu noktada şu anda akademik tarafta yapılan fakat pratiğe yansıdığını (en azından benim) görmediğim bazı çözümler var... Nasıl:

Temel de çözüm, atağın tespitinin ardığından hedef alınan sistemin kenar bağlantı cihazları aracılığı ile ISP tarafını aktif olarak bilgilendirip, atak trafiğini farklı bir yere (örneğin honeypot sistemlerine) yönlendirmesi esasında çalışmakta...

Birçok uygulama sorununu barındırabilecek bu çözüm, aslında kulağa hoş geliyor... Bu sayede adamın ISP yi yorması beni ilgilendirmiyor... Ben sonuçta parasını ödediğim hattın karşılığını almış ve kullanabilmiş oluyorum...

Alternatif ise daha önce de belirttiğim gibi ISP nin aktif olarak bu korumayı kendi yapılanması içerisinde bir yerde atak bana gelmeyecek şekilde varsayılan olarak bizlere sağlaması...

Burada da farklı sorunlar olacaktır... ISP nin bir ihtimal Alice Harikalar diyarındayım duygu ve düşüncesi içerisinde sağladığı bu çözüm nasıl çalışacak, nasıl karar verecek, olması gereken trafiği de kesecek mi gibi bir çok soru işareti doğabilir ve bizde kendimizi hattım temiz olsun derken, cehennem azabı içerisinde bulabiliriz....

Hadi sizlere kolay gele....

[Murat]

Shadow'un bahsettiği olay sadece amatör ddos'lar da olur...
Bu bakımdan yarı amatör veya profesyonel bir atakta geçersiz ve etkisizdir.
Bunuda bilmek lazım.

[shadow]

iştee bilgiyi paylaşma zamanı...
ben girişi yaptım artık top sende