Forum

Saldırı izleme
 
Bildirimler
Hepsini Temizle

Saldırı izleme

5 Yazılar
3 Üyeler
0 Reactions
466 Görüntüleme
(@muratkara)
Gönderiler: 50
Trusted Member
Konu başlatıcı
 

Selam

Şöyle bir sorunumuz var internete çıkışımız da NAT yaıyoruz ve internett kullanıcıların erişmek istediği bir site var fakat gün içinde site erişimimizi kaybediyoruz. biraz araştırma yaptım sabah geldiğimizde erişebiliyoruz bikaç dakika sonra erişim gidiyor. Siteye erişmek isteyen kullanıcıları o site için farklı bir NAT yatığımda siteye erişiliyo ama bikaç dakika sonra tekrar bağlanamıyoruz. Sanırım bizim çıkış IP mizden karşı tarafa bir saldırı vb. gibi şeyler alglıyo karşı tarafın firewallu IDS IPS gibi sistemleri ve bizden anormal trafik görüp kesiyo diyo düşünüyorum. 

Şöyle bişi yapmaya düşünüyorum sorunlu olan siteye erişmek isteyen kullanıcıları farklı bir İP den çıkartıp o İP yede bir loglama pprogramı IDS veya IPS gibi bişi kurup bizim normal firewall dan nasıl bir anormal trafik çıkıyo izlemek istiyorum bunun için nasıl bir sistem kurmam lazım açık kaynak yada para harcamadan kurabileceiğim bişiler varmı. NOT şu an kullandığım firewalldan bu konuda bi kayıt bilgi bulamadım zaten bu yönü çok zayıf mecburiyetten onu kullanıyoruz

 
Gönderildi : 31/10/2010 14:52

(@AfsinTaskiran)
Gönderiler: 45
Eminent Member
 

Selamlar;

Firewallunuzdan sonra bir IPS vb cihaz var mı ? Kendi tarafınızda bir noktada trafik kesiliyor olabilir mi ?

Probleminize en analitik cozumu firewall unuz uzerinden paket capture alarak bulabiliriz. Fw uzerinde karsi uctan reset mi geliyor, ack wait de mi  kaliyor, cevap geliyorsa hangi IP den ne geliyor sorularini aydinlatmak gerek.

 OpenBSD+PF, Linux+IPTables ya da Windows 🙂 ile firewall kurap kullanicilarinizi cikarabilirsiniz. Ama bana gore bu problem ozelinde vakit kaybi olur.

 Siz en iyisi anlattigim uzere firewall unuz uzerinden bir capture alin inceleyin.

 iyi calismalar

 
Gönderildi : 02/11/2010 01:39

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Site bir IP adresinden gelebilecek en fazla Reguest sayısını limitlemiş olabilir Ip bazında siteye gidişi limitleyin.

 
Gönderildi : 02/11/2010 02:18

(@muratkara)
Gönderiler: 50
Trusted Member
Konu başlatıcı
 

Önce Afsin hocama cevap veriyim.

Firewall dan sonra bizim bir IPS'imiz yok. Trafikten karşdan kesiliyo bize sadece biz SYN gönderiyoruz SYN paketi alıyoruz. sonra bize sadece FIN paketleri geliyor. 

 

Paketlerimizi drop ediyor. muhtemelen.

Ertan hocamın dediği olabilir limit koymuş olabilirler. Limit anormal sayıda trafikden olması gerekir ve bunu ben nasıl test edebilirim

 
Gönderildi : 02/11/2010 13:52

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Cihazında session limit varmı ( Source ya da destination based ). Yada bir yere gidişte kaynak ya da haedef belirterek belli bir session limiti verebiliyormusun ?

 

Birdiğer hususta bu aralar çok sık karşılaşıyorum. Domain adları için DNS kaydı yapılırken örnek olaması açısından ertanerbek.net adresine IP kaydı yapılmayıp alias yada chname olarak tanımlanması gereken www.ertanerbek.net adlarına IP kayıtları yapılıyor ve bu nedenle birçok firewall sorun yaşıyor.

 
Gönderildi : 02/11/2010 16:34

Paylaş: