Paticik için DNS

[sharky]

Yakında atak almaya başlarsın :) Public DNS ler tam dert şu sıralar.

Bazı atak tiplerini algılayıp kesen bişey yazdım, çalışıyor bizde sürekli. Onu göndereyim başına gelirse, aklında olsun.

[Editor]

ahaha tabe dns servisini yüklüosun hop DNS provider oluyorsun anında Hahaha adama rootun nere derler ? sonuçta sana gelen direkt bi dns bilgisi yok bu yüzden sen çekiyorsun biyerden bridge olarak...

full phising olur deli gibi hackletirsin milleti hashler havada kapılır filan ohooo bizde cVPN olarak açabilirdik DNS ama açmadık ekibimiz olduğu halde sırf network üzerine eğitimi ve tecrubei olan insanlar dahilinde... Kontrolü zor bir durum dns işi, birde ücretli yapacağımız halde girişmedik.

Günde yüzlerce tarama geliyor attack geliyor bizim serverlara adamlar mass IP block tarıyorlar bulduklarına çakıyorlar hatta mass exploiter yazdımı ye kafayı

Gidin kendi işinizle ilgilenin yada private olarak yapın bu işi millete maal olmayın!

ha bak proxy açtım Paticik için desen neyse ama dns sakat iş.

[BabacumMostors]

Nosfe said:

hamstera giriyo mu?

AHAHAHAHAHAH aynısını soracaktım şimdi

[GERGE]

Root name server'lardan baslayarak ariyor iste, ya ne olacakti? Bu dosyayi aliyor: ftp://ftp.internic.net/domain/named.cache

Server-side olarak yeterince guvenli. DNS Spoofing icin yapabilecegim her seyi yaptim, DDoS yerim, o ayri.

Sunucu da guvenli, acik bir yeri yok.

[di]

GERGE said:

Sunucu da guvenli, acik bir yeri yok.

Su da tam "olmeden once son sozler" repligi gibi olmus. ahahah

[GERGE]

Barebones baslayip yapabilecegimi yaptim abi. Disardan gelip root access alinmasi icin bir yol biraktigimi sanmiyorum.

Yeni acik cikarsa bilmiyorum.

[Remus]

Daha önemli hiç bir soruyu cevaplamamış Gerge :)

[GERGE]

IP ban yok mu oglum onlarda? Yoksa aciliyordur.

[Remus]

Tabi birde şikayet konusu var, malum formda adın çıkmış durumda :)

[Jeeztro]

Arkadaş adam ücretsiz hizmet sunmuş, millet deli gibi flamelemiş. Nedir yaw kullanmayın işte güvenli değilse, şurda DNS ayarlarını değiştiren kişi ne kadar güvenli / güvensiz az çok kendi kararını verir diye düşünüyorum. Yeteri kadar yazmışsınız, sakin hele.

[miyaw33]

Hürriyet ve donanimhaberde denedim şimdilik reklamları engelleme Yetersiz adblocka gore

[GERGE]

Alan adi tabanli olarak engelleme yapabilir cunku sadece. Mesela reklam bumerangshowsites.hurriyet.com.tr diye bir yerden geliyorsa engeller ama hurriyet.com.tr/reklam'dan geliyorsa engelleyemez.

AdBlock kadar estetik ve versatile olmadigini soyledim zaten.

[Gladmir]

Gerge su forum da troll free ve immune olan bir kac kullanicidan biri, tebrik ediyor basarilarinin devamini diliyorum. DNS i kullanmaya basladim, saolasin.

[GERGE]

DDos gibi seylerden korumam zor ama. Arastirdim biraz, kurcaladim filan, korumanin tek yontemi var bulabildigim. Log tutmam lazim, sonra fail2ban gibi bir seye o loglari okutup normal kullanip sinirlari disinda kalan sorgulamari yapanlari bir sure banlatmak (saniyede 100 tane sorgu yollayani 10 saniye banla ya da ayni adres icin saniyede 10 sorgu yollayani 10 saniye banla gibi).

Ben baska yol bulamadim, yapmiyorum bunu da.

O nedenle sunucuyu sadece Turkiye'nin ip block'larina actim ama calisiyor mu bilmiyorum. Baglanabiliyor musunuz?

[sharky]

DDoS 'u sunucu üzerinde engelleyemezsin, başka bir konu o. ISP olman lazım biraz onun için, BGP le trafiği DDoS cihazının üzerine alıp mitigate ettirecen falan filan, pek ISP değilsen yapılacak iş değil.

Onun dışında sunucu üzerinde başına en çok gelecek şey subdomain ya da amplification attack. Şu ara çok popüler. Onu da az çok önleyecek şeyi yazdım ben diyorum, göndereyim kurtul.

[GERGE]

Hobi derecesinde biliyorum bu isi ama suradan yola cikmistim kurcalamaya: https://www.debian-administration.org/article/623/Blocking_a_DNS_DDOS_using_the_fail2ban_package

Sunu sorayim o zaman sana: TCP kapali bir kere sunucuda, bu nedenle UDP'den cevap veriyorum. UDP response size'i 1024kb yapsam bir cozum olur mu amplification icin? Bunu nasil yapacagimi biliyorum. 4096'da su anda.

Subdomain icin ne yaparim bilmiyorum ama.

[Skyfire]

Bu DNS le GTA 5 e giremedim

[sharky]

Hiç alakası yok UDP bufferinin amplification ile. Konuyu application level da çözmen lazım.

Google 'in bir dökümanı var public dns security adında. O güzel açıklıyor aslında genel yapılması gerekenleri, ama oturup ya dns koduna müdahale edeceksin, ya da arada bir çalışıp, atakları algılayan bir şey yapacaksın.

Sadece sunucu tarafından bakıldığında DNS güvenliği bir yere kadar :(

[GERGE]

Bu arada bazi oyunlar DNSSEC kapatinca calismaya basliyor, o acikken sunuculara baglanmiyor. Niye bir fikrim yok. DNSSEC kapatmam ama.

[Bone]

sharky said:

Yakında atak almaya başlarsın :) Public DNS ler tam dert şu sıralar.

Bazı atak tiplerini algılayıp kesen bişey yazdım, çalışıyor bizde sürekli. Onu göndereyim başına gelirse, aklında olsun.

(tu)

sharky'i bana gönderdiği anime cd'lerinden beri severim. çok iyi ya.

[GERGE]

Aksamdan aksama statlara bakip resetliyorum sorun var mi, yok mu diye. Cevap veremedigi cok sorgu varsa ya da response time cok artarsa gormek icin. Simdi aksami beklemeden bakip sonucu yazayim dedim.

Dun aksamdan beri hali bu:

	total.num.queries=28130

	total.num.cachehits=5127

	total.num.cachemiss=23003

	total.num.prefetch=283

	total.num.recursivereplies=23002

	total.requestlist.avg=10.8778

	total.requestlist.max=175

	total.requestlist.overwritten=0

	total.requestlist.exceeded=0

	total.requestlist.current.all=0

	total.requestlist.current.user=0

	total.recursion.time.avg=0.268658

	total.recursion.time.median=0.0269319

	

Gorebildigim tek sey bu liste DNS'den. Arada sirada koyacagim burada. Dun aksamdan beri 28130 sorgu gelmis, cache'den cevap verilenleri cikartirsam bir sorguya cevap verememis. Timeout olabilir site tarafinda, exceeded=0 cunku. Saniyede ortalama 11 sorgu geliyor su anda, 175'e kadar cikmis.

Recursion Time onemli ama. Sorgularin %50'sindan fazlasina 0.027ms'den hizli cevap vermis (median), ortalama 0.27ms almis demek. Geri kalani sizin sunucuya baglanma hizinizdan ibaret.

Bu arada basta dedigim cache temizlenmesi olayini kapattim. Her guncellendiginde sunucu hosts dosyasi ve DNSSEC bilgileri ile once cache'yi yedekliyor, sonra tekrar yukluyor. Bu sayede cache hitler surekli artacaktir. Normalde cache'de belli bir ure durur sadece cevaplar ama Prefetch ozelligini actim onun icin de, bu ozellik ile cache'de suresi bitmek uzere olan seyi kendisi yeniyor tekrar kontrol edip. Request olarak sayilmiyor bu ama tabii. Yeni ayarladim bunu, biraz zaman alacaktir cache'nin dolmasi.

Cache'yi daha aktiflestirdigim icin de dns-0x20 ozelligini de actim. Standart bir ozellik degil bu, Google Public DNS'de filan bulunacagini sanmiyorum cunku az bir cok eski sunucu uyumlu degilmis. Bunun sayesinde www.google.com dediginizde mesela WWW.GoOGLe.cOm diye yolluyor sorguyu ve ayni sekilde geri bekliyor. Bu da sunucu ve authoritative sunucu arasina birinin girmesini buyuk oranda engelliyor. Ayni zamanda cache poisoning yapmak isteyen biri de (en buyuk risk sizin icin) bunu da gecmek zorunda kaliyor. Cache'de de WWW.GoOGLe.cOm diye yaziyor Google cunku.

Elimden geleni yapiyorum iste, kullanim kaplumbaga misali artiyor =)

[sharky]

Sen bunu localde çalıştırmıyor muydun ? 28130 sorguyu senin laptop mu yapmış yani ? Anlayamadım.

[GERGE]

Local degil abi, acik herkese. Iki konuyu karistirdin.

[sharky]

Hee evet öyle olmuş :) Pardon.

28k çok az sorgu. Senin benim scripte ihtiyacın yok :)

[GERGE]

Ne olacak abi, Kendime Pati'den isteyene sadece =)