Bugün sabah 05 itirabiyle Netsec listesi, Bilgi Güvenliği Akademisi ve Lifeoverip.net sunucuları(+aynı ağda bulunan kapı komşumuz ÇözümPark) ulaşılamaz durumdaydı. Önceleri yine kendini agresif bir yolla ispat etmeye çalışan birileri sandım ve pek önemsemeden kahvaltıya devam ettim sonra aynı ağdaki diğer müşterilerden de şikayet gelmeye başlayınca biraz inceleyeyim dedim ve 7 saat 7 dakika süren o tatsız süreç başlamış oldu:)
İnceleme sonuçları:
Her bir site farklı makinede olunca ve hepsi birden ulaşılamaz olunca öncelikle fiziksel bir sorun vardır diye ISP ile iletişime geçildi. Sonra ISP’den DDoS saldırısı yapıldığı bilgisi gelince bu bilgiyi teyit edecek bazı denemeler yapıldı(hping ile bazı portlara SYN paketleri gönderip cevap gelmesini beklemek gibi) ve fiziksel bir erişim problemi olmadığı onaylandı.
Bir sonraki adımda sistemin bantgenişliği arttırmak için için ISP ile tekrar iletişime geçildi. Biz bantgenişliğini arttırdıkça saldırının şiddeti de artıyordu. Bant genişliği arttırımı esnasında ben sırasıyla tüm sunucularımıza bağlanarak saldırının bize gelip gelmediğini kontrol etttim. Saldırı bizim IP adreslerine yönelik değildi.
Sırasıyla diğer sistemler de kontrol edildi ama ortaya bilinen bir sistem çıkmadı…
Uzun uğraşlarımız sonrası hangi sisteme DDoS yapıldığını bulamadık(20-30 civarı IP adresinden bahsediyorum) ve son çare olarak Çözümpark’tan Hakan’la taksiye atlayıp ISP’e geldik. Kısa bir sürede saldırının hangi IP adresine yapıldığını bularak o IP adresini sanal dünyadan sildik ve DNS’de yeni IPler tanımladık.
Sıra geldi saldırı esnasında kaydettiğim trafik dosyasının incelenmesine. Trafik dosyasını incelediğimde hayal kırıklığına uğradım! Topu topu iki tane IP adresi UDP 80 portuna(sanırım saldırgan web sunucuya SYN flood yapmak istiyordu ama yanlışlıkla UDP 80′e göndermeye başladı trafiği) yüklü miktarda paket göndermeye çalışıyordu… Önce routerlardan ACL ile udp 80 e giden paketleri kapatalım dedim bunu yapamayacaklarını söylediklerinde ise ilgili ip adresini sanal dünyadan sildirdik ve sistemler tekrar ayağa kalktı…
Alınacak dersler
- ISP seçiminde daha dikkatli olunacak:)
- Tüm sistemler DDoS engelleme sisteminin arkasına alınacak yoksa aynı ağdaki bir makineye gelen trafik diğerlerinin de ulaşılmaz olmasına neden oluyor
- ISP’deki bu darboğaz neden oluştu detaylı incelenerek tekrar oluşmasını engelleme
- En kötü durum senaryosu için DNS’lerin yedeği yurtdışında tutulacak(bizim dnsler zaten bu şekilde ama çoğunluk müşteri tek bir yerde tutuyordu) ve TTL değerleri düşürülecek.
- Saldırı basittir birazdan kesilir diye rahat davranılmayacak
Sonuç
7 saat 7 dakika süren bu sıkıntı sonrası şunu tekrar net olarak söyleyebilirim ki ne X, Y, Z ürünü ne de başka birşey, temel TCP/IP bilgisi ve bu bilgiyi pratiğe dökecek basit araçların bilinmesi herşeye bedeldir.
7 saat sonra artık saldırının kendi kendine kesilmeyeceğini düşünerek ISP’e gittiğimizde, Laptop’da Linux’u açıp incelemeye başlamamla birlikte 7 dakika içerisinde hangi sisteme saldırı yapıldığını bulundu ve sistem ayağa kaldırıldı.
Hala TCP/IP nedir ki, neden bu kadar önem veriyorsunuz diyenlere güzel bir cevap oldu:). TCP/IP herşeydir, iletişimin temelidir! Alfabeyi ne kadar iyi bilirseniz anlamanız, sorunları çözmeniz o kadar kolay olur.
root@seclabs:~# more 2….2097867256364 91.121.135.187307419089761 91.121.192.6091.121.192.6091.121.135.187netname: OVHdescr: OVH SASdescr: Dedicated Serversdescr: https://www.ovh.comcountry: FR
