Bugün sabah 05 itirabiyle Netsec listesi, Bilgi Güvenliği Akademisi ve Lifeoverip.net sunucuları(+aynı ağda bulunan kapı komşumuz ÇözümPark) ulaşılamaz durumdaydı. Önceleri yine kendini agresif bir yolla ispat etmeye çalışan birileri sandım ve pek önemsemeden kahvaltıya devam ettim sonra aynı ağdaki diğer müşterilerden de şikayet gelmeye başlayınca biraz inceleyeyim dedim ve 7 saat 7 dakika süren o tatsız süreç başlamış oldu:)
İnceleme sonuçları:
Her bir site farklı makinede olunca ve hepsi birden ulaşılamaz olunca öncelikle fiziksel bir sorun vardır diye ISP ile iletişime geçildi. Sonra ISP’den DDoS saldırısı yapıldığı bilgisi gelince bu bilgiyi teyit edecek bazı denemeler yapıldı(hping ile bazı portlara SYN paketleri gönderip cevap gelmesini beklemek gibi) ve fiziksel bir erişim problemi olmadığı onaylandı.
Bir sonraki adımda sistemin bantgenişliği arttırmak için için ISP ile tekrar iletişime geçildi. Biz bantgenişliğini arttırdıkça saldırının şiddeti de artıyordu. Bant genişliği arttırımı esnasında ben sırasıyla tüm sunucularımıza bağlanarak saldırının bize gelip gelmediğini kontrol etttim. Saldırı bizim IP adreslerine yönelik değildi.
Sırasıyla diğer sistemler de kontrol edildi ama ortaya bilinen bir sistem çıkmadı…
Uzun uğraşlarımız sonrası hangi sisteme DDoS yapıldığını bulamadık(20-30 civarı IP adresinden bahsediyorum) ve son çare olarak Çözümpark’tan Hakan’la taksiye atlayıp ISP’e geldik. Kısa bir sürede saldırının hangi IP adresine yapıldığını bularak o IP adresini sanal dünyadan sildik ve DNS’de yeni IPler tanımladık.
Sıra geldi saldırı esnasında kaydettiğim trafik dosyasının incelenmesine. Trafik dosyasını incelediğimde hayal kırıklığına uğradım! Topu topu iki tane IP adresi UDP 80 portuna(sanırım saldırgan web sunucuya SYN flood yapmak istiyordu ama yanlışlıkla UDP 80’e göndermeye başladı trafiği) yüklü miktarda paket göndermeye çalışıyordu… Önce routerlardan ACL ile udp 80 e giden paketleri kapatalım dedim bunu yapamayacaklarını söylediklerinde ise ilgili ip adresini sanal dünyadan sildirdik ve sistemler tekrar ayağa kalktı…
Alınacak dersler
- ISP seçiminde daha dikkatli olunacak:)
- Tüm sistemler DDoS engelleme sisteminin arkasına alınacak yoksa aynı ağdaki bir makineye gelen trafik diğerlerinin de ulaşılmaz olmasına neden oluyor
- ISP’deki bu darboğaz neden oluştu detaylı incelenerek tekrar oluşmasını engelleme
- En kötü durum senaryosu için DNS’lerin yedeği yurtdışında tutulacak(bizim dnsler zaten bu şekilde ama çoğunluk müşteri tek bir yerde tutuyordu) ve TTL değerleri düşürülecek.
- Saldırı basittir birazdan kesilir diye rahat davranılmayacak
Sonuç
7 saat 7 dakika süren bu sıkıntı sonrası şunu tekrar net olarak söyleyebilirim ki ne X, Y, Z ürünü ne de başka birşey, temel TCP/IP bilgisi ve bu bilgiyi pratiğe dökecek basit araçların bilinmesi herşeye bedeldir.
7 saat sonra artık saldırının kendi kendine kesilmeyeceğini düşünerek ISP’e gittiğimizde, Laptop’da Linux’u açıp incelemeye başlamamla birlikte 7 dakika içerisinde hangi sisteme saldırı yapıldığını bulundu ve sistem ayağa kaldırıldı.
Hala TCP/IP nedir ki, neden bu kadar önem veriyorsunuz diyenlere güzel bir cevap oldu:). TCP/IP herşeydir, iletişimin temelidir! Alfabeyi ne kadar iyi bilirseniz anlamanız, sorunları çözmeniz o kadar kolay olur.
TCP/IP bilmeden hacer(heçkır yani (hacker)) olduğunu sananlar, PE dosya sistemini bilmeden hazır kodlarla crypter/packer yazanlar gibiler. İkiside neyi neden yaptığını bilmez. Olay ezberden ibarettir.
Merhaba
Bende başıma gelen birşeyi anlatmak istiyorum. Olay şu şekilde gelişti. İç networkde ciddi bir şekilde internet yavaşlığı oldu. İç networkumden firewall uma bağlanmaya çalıştığımda makina bir cevap veriyor bir cevap vermiyordu. belli bi süre sonrada hiç cevap vermemeye başladı ( Atılan ping ve webden bağlanma isteğime ) Sonra Firewall uma dış IP den başka bir networkden rahatlıkla bağlanabildim. Firewall umun loglarını kontrol ettiğimde SSH bağlantısı yapmaya çalışıldığı ve bunun başarız olduğunun devamlı logu düşüyordu. Sonra firewalldan iç ağı TCPDUMP ile dinlediğimde 33.X.X.X nolu IP den bana devamlı bir şekilde istekte bulunulduğunu ve firewallumun buna cevap vermeye kalktığından iç networkden firewall uma ulaşamıyordum. Dedimki bu IP den gelen istekleri BLOCK layım kurtulurum dedim bir baktim. Bunu yapmaktada işe yaramıyor. Allah allah dedim sonra firewall üzerinde açılmış olan bağlantılara bakıyım dedim birde ne goruyum iç ağda bulunan bir makina üzerinden 33.X.X.X nolu IP kullanılarak benim firewall uma atakta bulunuluyordu. O makinanın ethernet kablosunu çektiğimde herşey normale donmüştü. Bu olayı çözmem 45 dakkamı aldı. Bu olayı sizinle paylaşmak istedim
Güzel macera oldu Huzeyfe.. ben bir ara bunu yapanı bulsam bacağımı sokacağım diyordum ama bize değilmiş atak sevindim 🙂
IP adresleri Fransa gözüküyor bakalım oradan bir cevap gelecek mi. Spoofed olmadığına eminiz başka bağlantılarda yapılmış o ip adreslerinden:)
7 saat süren saldırının mantıklı bir sebebi olmalı diye düşünüyorum.
Bu işlerde mantık aramayı bırakalı çok oldu… Yosak hangi Allah’ın kulu İstanbul kara kaplandığı bir günün gecesi saat 2 gibi Türkiye’den saldırı yapar:)
Öncellikle çok geçmiş olsun…
Hüzefe detaylı analiz için çok teşekkürler… Böyle durumlarda rahmetli Tigin’i anmadan edemiyorum.
Aynı saldırı şeklini, Bursa Uludağ Üni. Merkez Laboratuvarı üzerinde bende yemiştim. İç ağdan birisi Sun Solaris üzerinde bulunan Laboratuvar Bilgi Sistemlerine saldırıyordu… Yukarıda da belirtiğin gibi basit TCP bilgisi ve neyi izlediğini bilmek sorunu çözüyor.
Kolay gele
Ferruh Mavituna’nında sitesine erişemiyorum 3 gündür. Siz erişebiliyor musunuz? Ferruh abi de bir DDOS saldirisina maruz kalmış olabilir mi?
Sanırım online poker, casino ve bahis siteleri ddos saldırılarından korunmak için çok fazla alt yapı yatırımı yapıyolar. Ya da çok fazla fidye veriyolar (:
Ferruh Türkiye’ye gelirken sunucuyu kapatip gelmis olabilir:).
siz ip adresini verin eğer ovhda ise bulabilirim makinenin kime ait olduğunu 😛
Ilgili yerlere bilgilendirme gönderdik. Yazıda örnek iki ip adresi yer alıyor(91.x.x.x )
Bu ne yaa? 2 saat oldu sitenizden çıkamadım. Oku oku bitmiyor.
Afiyet olsun:)