Forum

Modem Loglarında G&...
 
Bildirimler
Hepsini Temizle

Modem Loglarında Gözüken Attacklar

18 Yazılar
6 Üyeler
0 Reactions
4,753 Görüntüleme
(@AkinGUL)
Gönderiler: 8
Active Member
Konu başlatıcı
 

Zyxell P600 serisi modem kullanmaktayım. Sistemimde sürekli internet kesintileri meydana gelmekteydi. Adsl sağlayıcımla yaptığım görüşmelerde sürekli hat değerlerinin sağlıklı olduğunu belirttiler. Modemden şüphelenerek modemin loglarını aktif ettim. Sistemimin kesintiye uğradığı zamanlarda modemin log tuttuğunu tespit ettim. Bu Loglar attack şeklinde gözüküyordu. Bunun üstüne sabit ıp mi değiştirdim. Sistemim şimdilik düzeldi. Ancak şimdide ttnet dns lerinden modemime attack geliyormuş gibi log tutuyor modemim. Bir de loglar arasında benim firewall ımdan da 203.51.103.212 nolu ıp ye attack olmuş gibi gözüküyor. Benim asıl merak ettiğim ıp değitirmeden önce gelen attack ların hangi amaçla geldiğini öğrenmek için ne yapabilirim. Eğer kasti olarak ve sistemime zarar vermek için yapılma ihtimali varsa yasal olarak yapılabilecek işlemleri başlatmak istiyorum. Yoksa gelen attcklar tesadüf müdür acaba?  Sizce Ne Yapmam Gerekli ? aşağıda bir kaç örnek log yazıyorum yardımlarınız için şimdiden teşekkür eder iyi çalışmalar dilerim.

TİME  MESSAGE SOURCE DESTİNATİON NOTES

  01.05.2012:13.49 PORT SCAN UDP 128.8.10.90:53 192.168.1.5:28560 ATTACK

01.05.2012:13.49   PORT SCAN UDP 192.41.162.30:53 192.168.1.5:46647 ATTACK

ŞEKLİNDE AYNI SAAT VE TARİHTE YAKLAŞIK OLARAK 120 ADET LOG VAR. SİZCE NE YAPMALIYIM. ? 

 
Gönderildi : 10/01/2012 18:06

(@mehmetyayla)
Gönderiler: 550
Honorable Member
 

Yukarıda verdiğiniz loglar standart port scan attacklarını göstermektedir.
İnternetten indirilebilen ve belli ip ve port aralığını tarayan yazılımlara ait loglardır. 

Eğer tüm portları içeriye doğru açmadıysanız zaten sorun etmenize de gerek yok bu bağlamda.

 
Gönderildi : 10/01/2012 18:50

(@AkinGUL)
Gönderiler: 8
Active Member
Konu başlatıcı
 

Bütün portların açık olması gibi birşey söz konusu değil tabiki de. Sistemimde firewall da var ondan yana da sıkıntım yok ancak bu port taramaları yapılırken benim sistemim kilitleniyor. modemime ulaşamıyorum. internet erişimim kayboluyor. Sağlık sektöründe çalıştığımız içinde internet sürekli gerekli. Modemi değiştirmem bir çözüm olabilir mi? yada başka ne yapabilirim?

 
Gönderildi : 10/01/2012 20:38

(@AkinGUL)
Gönderiler: 8
Active Member
Konu başlatıcı
 

yada benim sistemimdeki bir makinenin böyle bir şeye yol açması mümkünmüdür? IP numaramı değiştirmeme rağmen aynı şeyleri yine yaşıyorum.

 
Gönderildi : 10/01/2012 22:40

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Zyxell P600 serisi modem kullanmaktayım. Sistemimde sürekli internet kesintileri meydana gelmekteydi. Adsl sağlayıcımla yaptığım görüşmelerde sürekli hat değerlerinin sağlıklı olduğunu belirttiler. Modemden şüphelenerek modemin loglarını aktif ettim. Sistemimin kesintiye uğradığı zamanlarda modemin log tuttuğunu tespit ettim. Bu Loglar attack şeklinde gözüküyordu. Bunun üstüne sabit ıp mi değiştirdim. Sistemim şimdilik düzeldi. Ancak şimdide ttnet dns lerinden modemime attack geliyormuş gibi log tutuyor modemim. Bir de loglar arasında benim firewall ımdan da 203.51.103.212 nolu ıp ye attack olmuş gibi gözüküyor. Benim asıl merak ettiğim ıp değitirmeden önce gelen attack ların hangi amaçla geldiğini öğrenmek için ne yapabilirim. Eğer kasti olarak ve sistemime zarar vermek için yapılma ihtimali varsa yasal olarak yapılabilecek işlemleri başlatmak istiyorum. Yoksa gelen attcklar tesadüf müdür acaba?  Sizce Ne Yapmam Gerekli ? aşağıda bir kaç örnek log yazıyorum yardımlarınız için şimdiden teşekkür eder iyi çalışmalar dilerim.

TİME  MESSAGE SOURCE DESTİNATİON NOTES

  01.05.2012:13.49 PORT SCAN UDP 128.8.10.90:53 192.168.1.5:28560 ATTACK

01.05.2012:13.49   PORT SCAN UDP 192.41.162.30:53 192.168.1.5:46647 ATTACK

ŞEKLİNDE AYNI SAAT VE TARİHTE YAKLAŞIK OLARAK 120 ADET LOG VAR. SİZCE NE YAPMALIYIM. ? 

 

Hocam görünen loglar çok garip. İstekler x portunda senin sisteminin 53 nolu portuna gelmesi lazım. Yukarıda ki LOG için söylenecek iki şey var.

 

1. ZyXel gelen paketleri yanlış değerlendiriyor ve 53 DNS sorgu cevaplarını atak olarak algılıyor tabi siz bahsi geçen sitelere DNS sorgusu gönderiyor iseniz.

2. Bu istekler sizin cihazınıza kadar geliyor ise önelemek için yapabileceğiniz pek bir şey yok. Ama IP adresini değiştiğinde bile bu sorun devam ediyor ise o zaman içerde bir cihaz da sorun var demektir, IP adresi değişse dahi cihaz o anki IP adresini saldırıyı yapana bildiriyor. Sonuçta bu bir saldırı olmasa ve DNS sorgusu olsa portların tam tersi yönde olması gerekirdir.

 
Gönderildi : 11/01/2012 00:07

(@serkanates)
Gönderiler: 1317
Üye
 

Güvenlik duvarım var demişsiniz, güvenlik duvarı olarak ne kullanıyorsunuz. Güvelik duvarınız ile modeminiz arasındaki bağlantıyı nasıl yapılandırdınız? Modeminizi güvenlik duvarınıza köprü modunda mı (bridge mode) bağlı ? Eğer değilse yapılandırmanızı bu şekilde düzenleyip güvenlik duvarınız üzerinden port taramalarına karşı önlem alabilirsiniz. Modeminiz üzerindeki güvenlik duvarı hizmeti ortadan kalktığında kilitlenmeler de kalkacaktır. Ayrıca Ertan bey'in söylediklerine bende katılıyorum, iç ağınızın sağlık durumunu da denetleyin.

İyi çalışmalar... 

 
Gönderildi : 11/01/2012 00:31

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Güvenlik duvarım var demişsiniz, güvenlik duvarı olarak ne kullanıyorsunuz. Güvelik duvarınız ile modeminiz arasındaki bağlantıyı nasıl yapılandırdınız? Modeminizi güvenlik duvarınıza köprü modunda mı (bridge mode) bağlı ? Eğer değilse yapılandırmanızı bu şekilde düzenleyip güvenlik duvarınız üzerinden port taramalarına karşı önlem alabilirsiniz. Modeminiz üzerindeki güvenlik duvarı hizmeti ortadan kalktığında kilitlenmeler de kalkacaktır. Ayrıca Ertan bey'in söylediklerine bende katılıyorum, iç ağınızın sağlık durumunu da denetleyin.

İyi çalışmalar... 

 

Hocam güvenlik duvarına ne gerek 🙂 Dünyada kırılamayan tek sistem vardır o da NAT ın kendisi, sonuçta en basit modem bile NAT ile çalışır. Yani siz dışarıdan içeriye bir şey NAT lamaz iseniz hiçbir sorununuz olmaz. Sorun NAT ladığınız zaman ortaya çıkar. Saldırgan ancak ve ancak bant genişliği saldırısı yapabilir.

 

Diğer taraftan içeriyi kontrol etmekte fayda var.

 
Gönderildi : 11/01/2012 01:05

(@AkinGUL)
Gönderiler: 8
Active Member
Konu başlatıcı
 

Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte. Sistemde nat yapılmış bir kaç tane portum tabiki vardı. ancak dün akşam itibari ile sadece trguard için açılmış portları bıraktım ve diğer bütün portları iptal ettim. 30995 ve 30000 portları. Modemi değiştirmem gerekli ise modemi değiştirerek deneyebilirim. Loglarda kaynak kısmında gözüken portların hepsi 53 nolu portu göstermekte ancak benim tarafımda bir sürü farklı portlara attack gelmiş gibi gözükmekte. Dediğiniz gibi acaba bunlar sadece dns sorguları mıdır? Eğer böyle ise modemi değiştirmek çözüm olur mu? yada telekom tarafında yapılabilecek görüşülebilecek birileri var mı dır?

 
Gönderildi : 11/01/2012 12:19

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte. Sistemde nat yapılmış bir kaç tane portum tabiki vardı. ancak dün akşam itibari ile sadece trguard için açılmış portları bıraktım ve diğer bütün portları iptal ettim. 30995 ve 30000 portları. Modemi değiştirmem gerekli ise modemi değiştirerek deneyebilirim. Loglarda kaynak kısmında gözüken portların hepsi 53 nolu portu göstermekte ancak benim tarafımda bir sürü farklı portlara attack gelmiş gibi gözükmekte. Dediğiniz gibi acaba bunlar sadece dns sorguları mıdır? Eğer böyle ise modemi değiştirmek çözüm olur mu? yada telekom tarafında yapılabilecek görüşülebilecek birileri var mı dır?

 

Sanmıyorum direk saldırı gibi, Bahsi geçen firma benim rakip firmam ama onlarında bu şekilde bir hata yapacağını sanmıyorum. Muhtemel olarak atak alıyorsunuz. ISP ile konuşup gerekli önlemlerin alınmasını talep edin.

 

Sonuç itibari ile saldırılar nedeni ile parasını ödediğiniz bant genişliğini kullanamıyorsunuz.

 
Gönderildi : 11/01/2012 19:51

(@Anonim)
Gönderiler: 0
 

burada yanlışlık var . modem bridge modunda log tutarmı ?

zyxel bende kullanırım ama böyle bir şeyi hiç denememiştim.

zaten bridge moda geçtikten sonra modemde sadece dsldeki sinyali çevirmeye yarar.

iç firewall vs. devredışıdır. bu durumda bu log nereden geliyor ?

bunu sorgulamak gerek.

 
Gönderildi : 11/01/2012 20:03

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

burada yanlışlık var . modem bridge modunda log tutarmı ?

zyxel bende kullanırım ama böyle bir şeyi hiç denememiştim.

zaten bridge moda geçtikten sonra modemde sadece dsldeki sinyali çevirmeye yarar.

iç firewall vs. devredışıdır. bu durumda bu log nereden geliyor ?

bunu sorgulamak gerek.

 

Bu arada modemin bridge mode olduğunu nerede gördün ? ben baktım göremedim.

 

Söylemeden geçemedim half bridge diyede bir mod var 🙂

 
Gönderildi : 12/01/2012 02:36

(@bulentpolat)
Gönderiler: 34
Eminent Member
 

 

Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte

ioz arkadaşımıza katılıyorum. Bridge modda modemler log tutmazlar. Ayrıca modem bridge modda ise o zaman tguard ne işe yarıyor onu anlayamadım 🙂 Bence modem nat modunda, tguard arkasına eşleştirilmiş vaziyette. Yapının değişmesi gerektiğini düşünüyorum

 
Gönderildi : 12/01/2012 11:23

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

 

Öncelikle fikirleriniz için çok teşekkürler. Güvenlik duvarım trguard isimli yazılımsal bir güvenlik duvarı. modem de sisteme brigde mod da dahil edilmiş. Modemden çıkan ethernet önce trguard makinesine sonrasın da swichlere gitmekte

ioz arkadaşımıza katılıyorum. Bridge modda modemler log tutmazlar. Ayrıca modem bridge modda ise o zaman tguard ne işe yarıyor onu anlayamadım 🙂 Bence modem nat modunda, tguard arkasına eşleştirilmiş vaziyette. Yapının değişmesi gerektiğini düşünüyorum

 

Gözden kaçırmışım 🙂

 
Gönderildi : 12/01/2012 13:32

(@serkanates)
Gönderiler: 1317
Üye
 

 

Hocam güvenlik duvarına ne gerek 🙂 Dünyada kırılamayan tek sistem vardır o da NAT ın kendisi, sonuçta en basit modem bile NAT ile çalışır. Yani siz dışarıdan içeriye bir şey NAT lamaz iseniz hiçbir sorununuz olmaz. Sorun NAT ladığınız zaman ortaya çıkar. Saldırgan ancak ve ancak bant genişliği saldırısı yapabilir.

 

Diğer taraftan içeriyi kontrol etmekte fayda var.

Tahminim odur ki modem gelen paketleri (içeriden yada dışarıdan, saldırı yada yapılandırma, vs.) işlerken sıkıntı yaratıp kilitleniyor. O yüzden sorgulamıştım bende. Ancak cevabınızın güvenlik duvarına ne gerek var kısmı maceraperest bir yaklaşım değil mi Ertan bey :). Diğer arkadaşların da belirttiği gibi modem bridge modunda çalışmıyor gibi sanki. "trguard" ile ilgili tecrübem olmadığı için güvenlik duvarınız ile ilgili yorum yapamayacağım. 

Dostlukla... 

 
Gönderildi : 12/01/2012 23:28

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

 

Hocam güvenlik duvarına ne gerek 🙂 Dünyada kırılamayan tek sistem vardır o da NAT ın kendisi, sonuçta en basit modem bile NAT ile çalışır. Yani siz dışarıdan içeriye bir şey NAT lamaz iseniz hiçbir sorununuz olmaz. Sorun NAT ladığınız zaman ortaya çıkar. Saldırgan ancak ve ancak bant genişliği saldırısı yapabilir.

 

Diğer taraftan içeriyi kontrol etmekte fayda var.

Tahminim odur ki modem gelen paketleri (içeriden yada dışarıdan, saldırı yada yapılandırma, vs.) işlerken sıkıntı yaratıp kilitleniyor. O yüzden sorgulamıştım bende. Ancak cevabınızın güvenlik duvarına ne gerek var kısmı maceraperest bir yaklaşım değil mi Ertan bey :). Diğer arkadaşların da belirttiği gibi modem bridge modunda çalışmıyor gibi sanki. "trguard" ile ilgili tecrübem olmadığı için güvenlik duvarınız ile ilgili yorum yapamayacağım. 

Dostlukla... 

 

NAT dünyanın en gelişmiş ve aşılması imkansız olan tek güvenlik duvarıdır. İçeriye NAT işlemi yapmadığınız sürece ek bir firewall yada IDS IPS sistemine gerek duymazsınız. Macera ile alakası yok.

 
Gönderildi : 13/01/2012 02:28

(@serkanates)
Gönderiler: 1317
Üye
 

NAT dünyanın en gelişmiş ve aşılması imkansız olan tek güvenlik duvarıdır. İçeriye NAT işlemi yapmadığınız sürece ek bir firewall yada IDS IPS sistemine gerek duymazsınız. Macera ile alakası yok.

Konuyu bu şekilde değerlendirirseniz haklı olabilirsiniz ancak sizinde arada güvenlik duvarı olmayan hiçbir sistemi dış dünya ile baş başa bıraktığınızı düşünmüyorum (içeriye nat yapmasanız dahi). "Güvenlik duvarına ne ihtiyaç var ki ?" kısmı güzel bir latifeydi, bende altını çizmiş oldum.

Dostlukla.. 

 
Gönderildi : 13/01/2012 03:32

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

NAT dünyanın en gelişmiş ve aşılması imkansız olan tek güvenlik duvarıdır. İçeriye NAT işlemi yapmadığınız sürece ek bir firewall yada IDS IPS sistemine gerek duymazsınız. Macera ile alakası yok.

Konuyu bu şekilde değerlendirirseniz haklı olabilirsiniz ancak sizinde arada güvenlik duvarı olmayan hiçbir sistemi dış dünya ile baş başa bıraktığınızı düşünmüyorum (içeriye nat yapmasanız dahi). "Güvenlik duvarına ne ihtiyaç var ki ?" kısmı güzel bir latifeydi, bende altını çizmiş oldum.

Dostlukla.. 

 

🙂 aslında istesem de koyamam çün ki sattığım en küçük model modemde SPI firewall, DDOS atak koruması ve APP feature ları var :).

 
Gönderildi : 13/01/2012 14:30

(@serkanates)
Gönderiler: 1317
Üye
 

:)..Doğru söylüyorsunuz üstadım. Bu arada biz koptuk gittik, Akın bey'de son durum ne acaba ?

 
Gönderildi : 13/01/2012 18:52

Paylaş: