https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/ On Dec 25, 2015 12:07 AM, "Özgür KOCA" <[email protected]> wrote:
> Nedir applification dns attack? > > Özgür Koca > [tankado.com][raspberry-pi.tankado.com] > > > <http://www.facebook.com/zerostoheroes/> > > 2015-12-24 19:46 GMT+02:00 hasan akgöz <[email protected]>: > >> Merhaba Murat bey, >> Saldırı türü amplification attack . >> https://blog.radware.com/security/2015/12/turkey-dns-servers-under-attack/ >> >> 23 Aralık 2015 19:01 tarihinde Murat Üstüntaş <[email protected]> yazdı: >> >>> Merhaba, >>> >>> Uzun zamandan beri listeyi takip ediyorum. En azından yazılan tüm >>> konular hakkında fikir elde etmeye çalışıyorum. >>> .tr uzantılı alan adlarının çözümlenmesini ve bu sayede ilgili alan >>> adlarına erişimin baskılanması konusunda DDoS >>> saldırısı yapıldığı kaydediliyor. >>> >>> Peki DDoS un hangi çeşidi ile saldırıldığı ve DDoS saldırılarının >>> karakteristik analizi konusunda herhangi bir yerde >>> bir açıklama göremedim. Aşağı yukarı 20~25 adet DDoS saldırı türü >>> olduğunu biliyorum. Ayrıntılı olarak bilen var mı? >>> Bu özel saldırılarda DDoS' un hangi türü kullanılmış? >>> >>> Birden fazla kaynaktan, devlet destekli bu saldırıların çok iyi analiz >>> edilerek, bundan sonra olacak daha ciddi >>> ve top yekün saldırıların bertaraf edilmesi için analizlerin >>> kullanılması çok etkin olacaktır. Aksi taktirde, kendi >>> kuyruğunu ısırmaya çalışan yılan gibi bu sarmal içerisinde vakit >>> kaybetmiş oluruz kanısındayım. >>> >>> Murat Üstüntaş >>> >>> 2015-12-23 13:15 GMT+02:00 Gokay Gokcay <[email protected]>: >>> >>>> Selamlar, >>>> >>>> Bende ilk günden 10:24 itibari ile ilk nic.tr cevap veremeyince o >>>> zamandan bu zamana alınmış bir dns trace silsilesi var. Bunların içinden >>>> eski iplerle kıyasladım. herhalde yapıyı değiştirdikten sonra yeni yapıdan >>>> bahsediyor birazda verdikleri cevap.(Genede 5 ayrı lokasyon olduğunu >>>> düşünmüyorum) Çünkü ilk patlıyan haliyle, internet yedekliliğinede >>>> baktığımızda tek internetleri olduğu görülüyor, çoğununda aynı datacenterda >>>> bulunduğunu düşünüyordum taki siz doğrulayana kadar. >>>> >>>> Eski Hali: >>>> Received referral response - DNS servers for "tr": >>>> NS1.NIC.TR (144.122.95.252) (AS8517 Middle East Technical >>>> University(METU)) >>>> NS2.NIC.TR (144.122.95.253) (AS8517 Middle East Technical >>>> University(METU)) >>>> NS3.NIC.TR (213.248.162.131) (AS19905 NeuStar, Inc.) >>>> NS4.NIC.TR (193.140.100.200) (AS8517 National Academic Network and >>>> Information Center) >>>> NS5.NIC.TR (178.251.42.18) (AS6823 3C1B Telekomunikasyon ve Internet >>>> Hiz. San. ve Tic. Ltd. Sti) >>>> >>>> >>>> Yeni hali: >>>> Received referral response - DNS servers for "tr": >>>> ns1.nic.tr (144.122.95.252) (AS8517 - Middle East Technical >>>> University(METU)) >>>> ns3.nic.tr (213.248.162.131) (AS19905 NeuStar, Inc.) >>>> ns7.nic.tr (212.156.63.51) (AS9121 - Turk Telekom TTnet national >>>> backbone) >>>> ns8.nic.tr (212.156.64.91) (AS9121 - Turk Telekom TTnet national >>>> backbone) >>>> ns21.nic.tr (213.14.246.2) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) >>>> ns22.nic.tr (213.14.246.6) (AS34984 - TELLCOM ILETISIM HIZMETLERI A.S.) >>>> ns31.nic.tr (31.210.155.2) (AS43260 - DGN TEKNOLOJI BILISIM YAYINCILIK >>>> SANAYI VE LIMITED SIRKETI) >>>> >>>> >>>> METU nun BGP topolojisi: >>>> [image: Inline image] >>>> >>>> >>>> Sonuçta ülkenin domainlerinin bel kemiği, nic.tr nin bence kolay kolay >>>> patlamıyacak bir yapısının olması gerekir. >>>> >>>> ------------------------------ >>>> *From:* Levent YILDIRIM <[email protected]> >>>> *To:* [email protected] >>>> *Sent:* Tuesday, 22 December 2015, 22:18 >>>> *Subject:* Re: [NetSec] Nic.tr DDoS Saldırısı >>>> >>>> Merhaba >>>> Saldırıyı nerede ise ilk dakikasından beri takip ediyorum ve ODTU >>>> tarafından yapılan açıklamanın pek doğruyu yansıtmadığını düşünüyorum. Gün >>>> içinde zaten 36 - 38 Gbit düzeyinde gezen ve bu trafiğe rağmen 2 Gbit gibi >>>> boşluğa sahip bir trafik karakterine sahipler. Şimdi 100 Gbit atak geldi >>>> yada farklı 5 noktada sunucumuz var gibi pek doğruyu yansıtmadığını >>>> düşündüğüm bir açıklama suç bastırma gibi geldi bana. >>>> Yıllardır bu sunucuların tek ağ ve noktada barındırılması sakıncalı >>>> diye uyarılar yapıp duruyoruz ama bu durum görmezlikten geliniyor. >>>> İyi günler >>>> Levent YILDIRIM >>>> 22 Ara 2015 03:57 tarihinde "Kayra Otaner | BilgiO" < >>>> [email protected]> yazdı: >>>> >>>> Rus ucagi 24 Kasım 2015 Sali gunu dusuruldu, bu tarih senenin 48. >>>> haftasina denk geliyor. Blogunda kullandigin Ulakbim grafiklerinde ise 47. >>>> haftadan beri trafigin 30-40Gbit/sec seviyelerinde oldugu goruluyor. >>>> ( >>>> http://alperbasaran.com/wp-content/uploads/2015/12/Screen-Shot-2015-12-20-at-3.37.26-AM-300x109.png >>>> ) >>>> >>>> Ucagin dusurulmesinden oncesine denk gelen bu miktar trafik ve 'mesai >>>> saatlerine denk gelen', hafta sonlari duran bu zaten tuhaf gozuken saldiri >>>> throughput'lari sence biraz daha farkli aciklamaya muhtac degil mi? Ayrica >>>> ucak dustukten 3 hafta kadar sonra .tr de sikayetler bas gosterdi. >>>> >>>> Iyi calismalar >>>> >>>> >>>> 2015-12-21 16:42 GMT+02:00 Alper Basaran <[email protected]>: >>>> >>>> Merhaba, >>>> >>>> Konuyla ilgili Anonymous videosundan önce şöyşe bir yazı >>>> yazmıştım,yorumlarınızı merak ediyorum. >>>> >>>> http://alperbasaran.com/dusununce/ >>>> >>>> Saygılarımla, >>>> Alper Başaran >>>> >>>> >>>> On Monday, December 21, 2015, Baris Guney YILMAZ < >>>> [email protected]> wrote: >>>> >>>> Konuyla ilgili anonymous yayınladığı linki yolluyorum. >>>> >>>> https://www.hackread.com/anonymous-40-gbps-ddos-attack-on-turkish-servers/ >>>> Kolay Gelsin >>>> >>>> 2015-12-14 17:41 GMT+02:00 Çağrı Polat <[email protected]>: >>>> >>>> 1 saat önce bir hosting firmasından gelen bilgilendirme mailinde gelen >>>> bilgi aşağıdadır. >>>> >>>> Şu anda hiçbir ns1, ns2, ns3, ns4 ve ns5.nic.tr sunucularına erişim >>>> yok, mailde iletildiği gibi. Ciddi bir DDoS saldırısı var gibi görünüyor. >>>> >>>> Konu ile alakalı bir ekstra bilgisi olan var mı? >>>> >>>> ----------------------------------------------------- >>>> >>>> Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim >>>> problemleri bildirilmeye başlandı. >>>> Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) >>>> kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor. >>>> .tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem >>>> nedeniyle hiçbir .tr alan adına ulaşılamıyor. >>>> Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache >>>> nedeniyle kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni >>>> .tr uzaktılı bir isim açılmak istendiğinde erişim sağlanamıyor. >>>> *Güncelleme 16:20* >>>> Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir >>>> DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. >>>> DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin >>>> kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı >>>> görülüyor. >>>> *144.122.95.51/32* *[BGP/170] 00:30:36, localpref 100, from >>>> 213.248.64.225 >>>> AS path: 9121 ?, validation-state: unverified >>>> *to Discard* >>>> *Güncelleme 16:28* >>>> DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor. >>>> >>>> ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 >>>> milliseconds) >>>> ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 >>>> milliseconds) >>>> ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 >>>> milliseconds) >>>> ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 >>>> milliseconds) >>>> ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 >>>> milliseconds) >>>> tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms >>>> *Güncelleme 16:40* >>>> Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan >>>> adı sunucularına doğru DDOS saldırısı yapıldığı yönünde ihbarın kendilerine >>>> ulaştığı bilgisi verildi. >>>> ----------------------------------------------------- >>>> >>>> ------------------- >>>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>>> >>>> 28-29 Aralık 2015 >>>> >>>> ------------------- >>>> >>>> >>>> >>>> ------------------- >>>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>>> >>>> 28-29 Aralık 2015 >>>> >>>> ------------------- >>>> >>>> >>>> >>>> >>>> -- >>>> Kayra Otaner >>>> BilgiO A.S. - SecOps Experts >>>> PGP KeyID : A945251E | Manager, Enterprise Linux Solutions >>>> www.bilgio.com | TR +90 (532) 111-7240 x 1001 | US +1 (201) 206-2592 >>>> >>>> ------------------- >>>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>>> >>>> 28-29 Aralık 2015 >>>> >>>> ------------------- >>>> >>>> >>>> ------------------- >>>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>>> >>>> 28-29 Aralık 2015 >>>> >>>> ------------------- >>>> >>>> >>>> ------------------- >>>> Siber Suçlar ve Analiz Yöntemleri Eğitimi - İstanbul >>>> >>>> 28-29 Aralık 2015 >>>> >>>> ------------------- >>>> >>> >>> >>> >>> -- >>> Murat Üstüntaş >>> >>> ------------------- >>> Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL >>> >>> 15-17 Ocak 2016 >>> >>> ------------------- >>> >> >> >> >> -- >> //selametle >> >> Hasan AKGÖZ >> >> http://www.hasanakgoz.com >> >> ------------------- >> Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL >> >> 15-17 Ocak 2016 >> >> ------------------- >> > > > ------------------- > Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL > > 15-17 Ocak 2016 > > ------------------- >
------------------- Ağ ve Güvenlik Yöneticileri İçin Linux Eğitimi - İSTANBUL 15-17 Ocak 2016 -------------------
