Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
5
Yazılar
4
Üyeler
0
Reactions
581
Görüntüleme
Konu başlatıcı
Merhaba arkadaşlar,
Saniyede 1.5 milyon SYN atak paketi alan bir yapıyı nasıl korurdunuz, fikirlerinizi bekliyorum.
Kolay gelsin.
Gönderildi : 23/06/2012 20:50
Aynı IP den gelen connection sayısını Max 2 veya 3 yapın büyük ölçüde çözülecektir.
Gönderildi : 24/06/2012 00:34
Network katmaninda gelen, ayni profildeki SYN flood ise rate limit yapan cihazlarla bu saldiriya karsi koyabilirsiniz. Ancak application katmaninda, farkli agent lerdan, farkli browser lardan hele ki botnet lerden gelen yuksek capta "gercek" isteklerse daha yetenekli sistemlere bakmaniz gerekiyor.
http://www.checkpoint.com/products/ddos-protector/index.html
Gönderildi : 24/06/2012 00:52
Konu başlatıcı
Araştırmalarımın sonucunu sizlerle paylaşmak istedim, benden sonra gelecek olan arkadaşlarada fayda sağlaması düşüncesi ile.
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman","serif";}
Gelen saldırı hat kapasitemizden
büyük ise hat sağlayıcınız dan destek almak zorundayız aksi taktirde bizim
yapabileceğimiz bir şey yok.
Saldırı gerçek ip lernden
geliyor ise, gelen ip leri tespit ederek o ip ler bloklanabilir.(Çok ciddi bir
botnet agı olmaması durumunda),
Bir ip den gelecek saniyedeki
paket sayısını limitleyerek ilgili problem çözülebilir gibi görünüyor.
bu şekilde sisteme gelen
saldırıyı ciddi oranda kesebilriiz. Ek olarak gerçek ip lerden gelen
saldırılarda ip adresleri belli bir lokasyona ait ise (TR, US, UK v.s.)
lokasyon bazlı ip filitreleme yapılabilir gibi görünüyor.
IP adresleri sahte ise Syn
cookie, syn cache, syn proxy, syn rate limit özelliği olan bir cihaz ile bu
saldırı engellenebilir gibi görünüyor, (Cihazın ram ve cpu kaynağı hayati önem
kazanıyor.)
Gelen saldırının hedef port,
kaynak portu gibi bilgileri tespit edilerek statik değerler ise hedef ve kaynak
port kapatılabilir.(Her zaman mümkün olmayabilir.) Hedef ve kaynak porta göre filitreleme yapılabilir.
Gönderildi : 28/06/2012 16:32
1.500.000 syn packet/sec bir değerden bahsediyorsun.. İlk önce bunu karşılayacak sistem işini çözmen lazım.. Bu paket sayısını process edebilecek network kartı, cpu, uygulamayı yapılandırdıktan sonra Rate limiting veya IP blok gibi işlemleri yapabilirsin..
Piyasada 1.500.000 syn paketine (açık porttan) stabil dönecek ürün seviyesinin az olduğunu düşünüyorum..
Gönderildi : 28/06/2012 17:54
