Merhaba Murat bey, Saldırı türü amplification attack . https://blog.radware.com/security/2015/12/turkey-dns-servers-under-attack/
23 Aralık 2015 19:01 tarihinde Murat Üstüntaş <[email protected]> yazdı: > Merhaba, > > Uzun zamandan beri listeyi takip ediyorum. En azından yazılan tüm konular > hakkında fikir elde etmeye çalışıyorum. > .tr uzantılı alan adlarının çözümlenmesini ve bu sayede ilgili alan > adlarına erişimin baskılanması konusunda DDoS > saldırısı yapıldığı kaydediliyor. > > Peki DDoS un hangi çeşidi ile saldırıldığı ve DDoS saldırılarının > karakteristik analizi konusunda herhangi bir yerde > bir açıklama göremedim. Aşağı yukarı 20~25 adet DDoS saldırı türü olduğunu > biliyorum. Ayrıntılı olarak bilen var mı? > Bu özel saldırılarda DDoS' un hangi türü kullanılmış? > > Birden fazla kaynaktan, devlet destekli bu saldırıların çok iyi analiz > edilerek, bundan sonra olacak daha ciddi > ve top yekün saldırıların bertaraf edilmesi için analizlerin kullanılması > çok etkin olacaktır. Aksi taktirde, kendi > kuyruğunu ısırmaya çalışan yılan gibi bu sarmal içerisinde vakit kaybetmiş > oluruz kanısındayım. > > Murat Üstüntaş > > 2015-12-23 13:15 GMT+02:00 Gokay Gokcay <[email protected]>: > >> Selamlar, >> >> Bende ilk günden 10:24 itibari ile ilk nic.tr cevap veremeyince o >> zamandan bu zamana alınmış bir dns trace silsilesi var. Bunların içinden >> eski iplerle kıyasladım. herhalde yapıyı değiştirdikten sonra yeni yapıdan >> bahsediyor birazda verdikleri cevap.(Genede 5 ayrı lokasyon olduğunu >> düşünmüyorum) Çünkü ilk patlıyan haliyle, internet yedekliliğinede >> baktığımızda tek internetleri olduğu görülüyor, çoğununda aynı datacenterda >> bulunduğunu düşünüyordum taki siz doğrulayana kadar. >> >> Eski Hali: >> Received referral response - DNS servers for "tr": >> NS1.NIC.TR (144.122.95.252) (AS8517 Middle East Technical >> University(METU)) >> NS2.NIC.TR (144.122.95.253) (AS8517 Middle East Technical >> University(METU)) >> NS3.NIC.TR (213.248.162.131) (AS19905 NeuStar, Inc.) >> NS4.NIC.TR (193.140.100.200) (AS8517 National Academic Network and >> Information Center) >> NS5.NIC.TR (178.251.42.18) (AS6823 3C1B Telekomunikasyon ve Internet >> Hiz. San. ve Tic. Ltd. Sti) >> >> >> Yeni hali: >> Received referral response - DNS servers for "tr": >> ns1.nic.tr (144.122.95.252) (AS8517 - Middle East Technical >> University(METU)) >> ns3.nic.tr (213.248.162.131) (AS19905 NeuStar, Inc.) >> ns7.nic.tr (212.156.63.51) (AS9121 - Turk Telekom TTnet national >> backbone) >> ns8.nic.tr (212.156.64.91) (AS9121 - Turk Telekom TTnet national >> backbone) >> ns21.nic.tr (213.14.246.2) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) >> ns22.nic.tr (213.14.246.6) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) >> ns31.nic.tr (31.210.155.2) (AS43260 - DGN TEKNOLOJI BILISIM YAYINCILIK >> SANAYI VE LIMITED SIRKETI) >> >> >> METU nun BGP topolojisi: >> [image: Inline image] >> >> >> Sonuçta ülkenin domainlerinin bel kemiği, nic.tr nin bence kolay kolay >> patlamıyacak bir yapısının olması gerekir. >> >> ------------------------------ >> *From:* Levent YILDIRIM <[email protected]> >> *To:* [email protected] >> *Sent:* Tuesday, 22 December 2015, 22:18 >> *Subject:* Re: [NetSec] Nic.tr DDoS Saldırısı >> >> Merhaba >> Saldırıyı nerede ise ilk dakikasından beri takip ediyorum ve ODTU >> tarafından yapılan açıklamanın pek doğruyu yansıtmadığını düşünüyorum. Gün >> içinde zaten 36 - 38 Gbit düzeyinde gezen ve bu trafiğe rağmen 2 Gbit gibi >> boşluğa sahip bir trafik karakterine sahipler. Şimdi 100 Gbit atak geldi >> yada farklı 5 noktada sunucumuz var gibi pek doğruyu yansıtmadığını >> düşündüğüm bir açıklama suç bastırma gibi geldi bana. >> Yıllardır bu sunucuların tek ağ ve noktada barındırılması sakıncalı diye >> uyarılar yapıp duruyoruz ama bu durum görmezlikten geliniyor. >> İyi günler >> Levent YILDIRIM >> 22 Ara 2015 03:57 tarihinde "Kayra Otaner | BilgiO" < >> [email protected]> yazdı: >> >> Rus ucagi 24 Kasım 2015 Sali gunu dusuruldu, bu tarih senenin 48. >> haftasina denk geliyor. Blogunda kullandigin Ulakbim grafiklerinde ise 47. >> haftadan beri trafigin 30-40Gbit/sec seviyelerinde oldugu goruluyor. >> ( >> http://alperbasaran.com/wp-content/uploads/2015/12/Screen-Shot-2015-12-20-at-3.37.26-AM-300x109.png >> ) >> >> Ucagin dusurulmesinden oncesine denk gelen bu miktar trafik ve 'mesai >> saatlerine denk gelen', hafta sonlari duran bu zaten tuhaf gozuken saldiri >> throughput'lari sence biraz daha farkli aciklamaya muhtac degil mi? Ayrica >> ucak dustukten 3 hafta kadar sonra .tr de sikayetler bas gosterdi. >> >> Iyi calismalar >> >> >> 2015-12-21 16:42 GMT+02:00 Alper Basaran <[email protected]>: >> >> Merhaba, >> >> Konuyla ilgili Anonymous videosundan önce şöyşe bir yazı >> yazmıştım,yorumlarınızı merak ediyorum. >> >> http://alperbasaran.com/dusununce/ >> >> Saygılarımla, >> Alper Başaran >> >> >> On Monday, December 21, 2015, Baris Guney YILMAZ <[email protected]> >> wrote: >> >> Konuyla ilgili anonymous yayınladığı linki yolluyorum. >> https://www.hackread.com/anonymous-40-gbps-ddos-attack-on-turkish-servers/ >> Kolay Gelsin >> >> 2015-12-14 17:41 GMT+02:00 Çağrı Polat <[email protected]>: >> >> 1 saat önce bir hosting firmasından gelen bilgilendirme mailinde gelen >> bilgi aşağıdadır. >> >> Şu anda hiçbir ns1, ns2, ns3, ns4 ve ns5.nic.tr sunucularına erişim yok, >> mailde iletildiği gibi. Ciddi bir DDoS saldırısı var gibi görünüyor. >> >> Konu ile alakalı bir ekstra bilgisi olan var mı? >> >> ----------------------------------------------------- >> >> Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim >> problemleri bildirilmeye başlandı. >> Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) >> kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor. >> .tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem >> nedeniyle hiçbir .tr alan adına ulaşılamıyor. >> Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache >> nedeniyle kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni >> .tr uzaktılı bir isim açılmak istendiğinde erişim sağlanamıyor. >> *Güncelleme 16:20* >> Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir >> DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. >> DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin >> kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı >> görülüyor. >> *144.122.95.51/32* *[BGP/170] 00:30:36, localpref 100, from >> 213.248.64.225 >> AS path: 9121 ?, validation-state: unverified >> *to Discard* >> *Güncelleme 16:28* >> DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor. >> >> ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 >> milliseconds) >> ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 >> milliseconds) >> ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 >> milliseconds) >> ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 >> milliseconds) >> ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 >> milliseconds) >> tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms >> *Güncelleme 16:40* >> Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan adı >> sunucularına doğru DDOS saldırısı yapıldığı yönünde ihbarın kendilerine >> ulaştığı bilgisi verildi. >> ----------------------------------------------------- >> >> ------------------- >> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >> >> 28-29 Aralık 2015 >> >> ------------------- >> >> >> >> ------------------- >> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >> >> 28-29 Aralık 2015 >> >> ------------------- >> >> >> >> >> -- >> Kayra Otaner >> BilgiO A.S. - SecOps Experts >> PGP KeyID : A945251E | Manager, Enterprise Linux Solutions >> www.bilgio.com | TR +90 (532) 111-7240 x 1001 | US +1 (201) 206-2592 >> >> ------------------- >> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >> >> 28-29 Aralık 2015 >> >> ------------------- >> >> >> ------------------- >> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >> >> 28-29 Aralık 2015 >> >> ------------------- >> >> >> ------------------- >> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >> >> 28-29 Aralık 2015 >> >> ------------------- >> > > > > -- > Murat Üstüntaş > > ------------------- > Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL > > 15-17 Ocak 2016 > > ------------------- > -- //selametle Hasan AKGÖZ http://www.hasanakgoz.com
------------------- Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL 15-17 Ocak 2016 -------------------
