Botnet - Firewall hakkında

[Mike]

Oyun portundan inanılmaz şekilde botnet saldırısı alıyorum, oyuna yaklaşık binlerce farklı ipden hızlıca bağlanıp, çıkıyolar. 3-4 gündür bu saldırı devam ediyor. Herhangi bir firewall ile portuma sadece Türk iplerinden giriş izni yaptirabilirmiyim veya engelleyebilirmiyim?

Windows sunucu

[di]

Daha spesifik bilgi vermelisin.

Baglanilan bu port ne ustunde ? Kisisel, ADSL baglantisi olan bilgisayarin ustunde mi yoksa harici bir sunucu ustunde mi ?

Korumaya almak istedigin sistemin isletim sistemi nedir ?

[Rotweiler]

di'ye sor demeye geldiydim adam gelmiş bile lol.

[Mike]

2593 Portu, Ultima Online server için kullanılıyor. Dedicated server, Windows kurulu sunucuda, teşekkürler bu arada her zaman yetişiyosun imdadıma =P

[di]

Vindoz icin ne tip yazilim kullanirsin bir fikrim yok ama micros~1'un ucretsiz tool'lari olmasi lazim. Onlarla engelleyebilirsin.

Ama agir saldirilarda cozum olmayacaktir. Yine de senin hattini harcayip makinana yuk bindirecektir. O yuzden istedigin TR harici IP engellenmesi isini hizmet aldigin datacenter'dan kendi IP araligin icin istemen daha faydali olacaktir. Kendi router'larindan engellerlerse sana hic ulasmadan drop edilir. Boylece senin sunucuna yuk olmaz.

[Mike]

IP aralıklarını engelleme şansımız yok

Router üzerinde çok fazla atraksiyon yapamıyoruz anlıkta 2gbps aktif bağlantı geçiyor üzerinden herhangi bir acsess list ile cihazı yormamak adına bu konuda hiçbir müşterimize normalde böyle bir şey yapamıyoruz

----------------------

böyle bir cevap geldi. Botnet saldırılarını engellemenın bı yolunu sağlayan dedicated alabilceğim bi yer varmı? işletim sistemi önemli değil linuxde kullanabilirim.

[Seceba]

Bu konuda en iyi Ciscodur. Ancak Cisco bile syn saldırılarını karşılayamıyor.

Sizin yapmanız gereken, saldırı geçene kadar gelen saldırıları null'lemek. Aksi taktirde datacenter şutlar yakında.

daha fazla bilgi için r10.net girersen yardımcı olurlar sana.
Ancak saldırıyı yurtdışından yiyorsan, geçmiş olsun.

genelde bu tür sunucu saldırılarında önden 5-10k zombie ile saldırı yapıyorlar. Baktın düşmedi, Sunucular üzerinden saldırıya geçiyolar zaten onda da datacenter fln kalmıyor.

Birde aklıma şu geldi, Serverda oynayan playerların iplreidnen başka ip, sunucuya bağlanamasın. Sorucaksın bana serverda oynayan adamların iplerini nasıl devamlı bulucam.

Sitede php ile ufak bir sayfa yazarsın. Kullanıcı adı ile giriş yapan, servera girebilir. Böylece siteden giriş yapmayanlar sunucuya bağlanamazlar sunucu kapalı gibi gözükür. Saldırılarda boşa çıkartılmış olur.

Tabi bunu ne kadara kime yazdırırsınız bilemiyorum.

[sharky]

Cisco SYN saldirilarini karsilamiyor ? Naptin hocam :) Koca sirkete camur attin. Adam DDoS saldiri altinda, sen hala SYN Flood diorsun :) Birak Cisco'yu "herhangi bir firewall" SYN saldirilari problemsiz onler -- taa ki yeterli bandwith iniz varsa. Sonucta SYN paketlerini, DROP etseniz de ( ve boylelikle elin alakasiz IP lerine SYN+ACK gondermeseniz de ), bandwith saturation yasandigi surece, o IP'ye ( ya da networke ) erisemiyorsaniz, saldiri basarili demektir.

Her neyse ...

Sunucun uzerinde bir sey yaparak onleyemezsin DDoS saldirilari. Onlesen de bandwith utilization/saturation yasayacagindan dolayi, onleminin bir anlami olmaz. Ancak bir ust router'da ya da onun da ustu router 'da sana dogru giden trafikteki o port bloke edilir ve bu gayet salakca bir cozumdur.

Ya da yine senin uzerindeki bir IPS/IDS pattern matching yaparak bunu bloklar, netekim 2 Gbps ciddi bir trafik, oyle kolay kolay bloke edilecek bir durum yok.

Genellikle ISP ler bu tur saldirilarda en kolay ve en ucuz maliyetli cozumu kullanarak, o IP nin anonsunu durdururlar ve sana baska bir IP atarlar ( tabii ellerinde varsa ). Boylelikle sen de DNS kayitlarini degistirerek, islemlerine az bir kesinti ile devam edersin.

[sharky]

Seceba'nin mesaji soyle tekrar okudum da, durumun oldukca vahim oldugunu dusunerek, tekrar aciklayici bir mesaj yazayim dedim.

Saldiri DDoS ise, UDP ya da TCP olsun, buradaki amac bandwith saturation ile networkunuzun disardan erisimini engellemektir. Yani ( ornegin ) 150 Mbps bir networkunuz varsa, 2 Gpbs lik bir saldiri ile, bant genisliginiz doyuma ulasir ve yeni baglantilari kabul edemez hale gelir. ( bkz. QoS & Queueing )

Saldirinin yurt disindan ya da yurt icinden yapilmasinin teknik olarak herhangi bir farki yoktur. Her ikisi de saturation a yol acar. Netekim yurt icinde, ISP lerde tanidiklariniz varsa ( hani dil sorununuzun olmadigini varsayarak ) size gelen saldiriyi daha kisa surede bloklatabilirsiniz.

5-10k zombie ya da sunucular uzerinden saldiri yapmanin DDoS saldirilarda bir farki yoktur. O sunucular da birer zombie olarak islev yapacaktir. Cunku DDoS saldiridaki amac, kucuk ve valid paketleri farkli source lardan, valid halinde gondermektir. Ornek olarak buna 15k IP nin ayni anda sizin SMTP sunucunuza birer tane valid mail atmaya calismasi olarak verilebilir, ya da normal bir HTTP Request.

DDoS saldirilari PHP ile onlemek, bogaz koprusunden atladiginizda arkanizdan can simidi atilmasina benzer. Can simidi size ulasana kadar zaten olmus olursunuz. Dolayisi ile olay PHP engine ine gelene kadar, zaten TCP stackiniz dolmus ( bkz. 65535 TCP Session limit ), bandwithiniz sature olmus ve cok yuksek ihtimalle yukarilarda bir IPS sizin IP nizi supheli bularak IP anonsunuzun durdurulmasi icin gerekli yerlere email atmistir bile ( veya kesmis de olabilir ).. ( bkz. BGP, IPS/IDS )

Bu konular detayli ve ince konular, hani biraz fikir sahibi olunsun, bosa yorum yapilmasin diye yazayim dedim.

[nedanko]

ddos saldirisini engellemek cok zordur. Ama sharky bildigim kadari ile bunun icin routerlar/firewallar var zaten. Ama ne Turkiye'de ne Avrupa'da hic bir datacenterda bulamazsiniz tabii. IP degistirirsin dedigin gibi.

[di]

Ben buna cevap yazmayı unutmusum.

Şimdi sunucuyu sağlayan firmayı da biliyorum, onun hizmet aldığı datacenter'i da. Adamların 2gbit trafiği varsa ben adımı bilmiyorum. Bahsettikleri router ve trafik ise gelen saldırı değil, hizmet aldıkları datacenter'in sahip olduğu cihaz ve anlık trafiği.

Buyuk saldırılarda gayet telefon açıp istekte bulunuyorlar ama saldırı sadece seni etkilemiş olacakki pek kaale almamışlar =)

Gerçi böyle bir destek vermek zorunda da olmayabilirler. O yüzden yapmaları lazımdı sallamışlar da diyemiyorum.

Bir de saldırı sadece seni etkiliyorsa öyle onlarca mbitlik bir saldırı oldugundan coook supheliyim cunku öyle olsa kendi networkleri de etkilenirdi.