Forum

Sürekli Smart ARP, ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Sürekli Smart ARP, UDP Flood ve Smart DNS saldırısı alıyoruz.

6 Yazılar
3 Üyeler
0 Reactions
3,961 Görüntüleme
(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Merhaba, 2 notebook cihazımız sürekli Smart ARP ve UDP Flood saldırısı alıyor. Smart DNS ise sadece bugün farklı bir cihazımızda oldu. Bu cihazlarımız notebook ve dış ortamada çıkıyorlar. Yani firma sahiplerine ait ve şahsi olarakta kullanılıyor.

İşletim sistemleri Windows 10, Firma içerisinde draytek cihazları üzerinden nete çıkıyorlar ve lisanslı panda 360 virüs programı kullanılıyor. işyeri ortamında domain yapılandırmamız var.

Ben bugün draytek cihazlar üzerinde firewallarında; "UDP Flood Defense", "ICMP Flood Defense"  ve"SYN Flood Defense" yi aktif ettim. 

panda web yönetim yönetiminden baktığımda ataklar bloklanmış görünüyor ve evde oldukları saatlerde genelde yedikleri görünüyor. Bu arada firma sahipleri eş olduğu için aynı evdeler (yani aynı lokasyonda bu saldırıya maruz kalıyorlar). Ama kullanıcı lokalinde baktıgımda gündüz mesai saatlerinde de attack yediklerini gördüm. 

bunun için ev ortamlarında ve firmada neler önerirsiniz. Ev ortamında wiresless şifrelerini degiştirmeyi düşünüyorum. Firma ortamında da draytek üzerinden dediğim ayarları yaptım. Port olarak engelleyebileceğim ya da farklı bir önereceginiz işlem var mı?

panda üzerinden aldığım görüntü şu şekilde;

attack
Bu konu 6 yıl önce tuncay polat tarafından düzenlendi
 
Gönderildi : 08/03/2019 10:26

(@kadiryapar)
Gönderiler: 88
Ekip Üyesi
 

Şöyle kısa bir araştırma yaptığımda bu atakların neredeyse çoğunun panda tarafından görüldüğünü anladım. Acaba panda içerisinde bir proxy mekanizması bunu tetikliyor olabilir mi? Ayrıca bu tip saldırılarda anlatılan çözüm önerilerine baktığımda;

İşletim sistemlerinin up to date olması,

Kullanılan 3. parti yazılımlara bakılması,

DNS için proxy kullanılıp kullanılmamasına bakılması.

Bir de şunu sormak istiyorum. Panda nasıl uzaktaki saldırganın mac adresini biliyor. O pc ile remote connection oluşturan bir cihazın mac adresini nasıl biliyor? Uygulama katmanından ancak haberleşirler veya bir ajan çalışmalıki mac leri size versin. Bence pandadan kaynaklı bir durum bu. Basit bir test yaparak anlayabilirsiniz hocam. 

 

Cihaza wireshark kurun. 

1 gün trafiği dinleyin, paketleri save edin.

Panda antivirüsü kaldırıp tekrar aynı işlemi yapın.

Panda nın attığı uyarı ile pandasız gelen trafikte filtreleme yapın.

Bunun neticesinde sonuç ortaya çıkacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/03/2019 19:38

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 
Gönderen: Kadir YAPAR

Şöyle kısa bir araştırma yaptığımda bu atakların neredeyse çoğunun panda tarafından görüldüğünü anladım. Acaba panda içerisinde bir proxy mekanizması bunu tetikliyor olabilir mi? Ayrıca bu tip saldırılarda anlatılan çözüm önerilerine baktığımda;

İşletim sistemlerinin up to date olması,

Kullanılan 3. parti yazılımlara bakılması,

DNS için proxy kullanılıp kullanılmamasına bakılması.

Bir de şunu sormak istiyorum. Panda nasıl uzaktaki saldırganın mac adresini biliyor. O pc ile remote connection oluşturan bir cihazın mac adresini nasıl biliyor? Uygulama katmanından ancak haberleşirler veya bir ajan çalışmalıki mac leri size versin. Bence pandadan kaynaklı bir durum bu. Basit bir test yaparak anlayabilirsiniz hocam. 

 

Cihaza wireshark kurun. 

1 gün trafiği dinleyin, paketleri save edin.

Panda antivirüsü kaldırıp tekrar aynı işlemi yapın.

Panda nın attığı uyarı ile pandasız gelen trafikte filtreleme yapın.

Bunun neticesinde sonuç ortaya çıkacaktır.

Pandayı satın aldıgımız yerde teknik ekiplerine sordugumda şu cevabı aldım;

"Ağda ağ yazıcısı ve nas var ise normal çünkü ip adresi iç ip dış ip değil, Smart arp ağ üzerinde yazıcıdan tarama yaparken bilgisayarları listeleme esnasında ağ taraması yaptığında oluşuyor, Udp portu ile ilgili iletişim kurup kurmamasına göre değişir yazıcının" dedi.

Önemli degil gibisine getirdi. Pandaları kaldırıp test etmeyide gözüm almıyor açıkcası. Bu ay süresi boluyor pandanın. Belki farklı bir ürüne geçerek sürdürmek doğru olacak. Ama genede öncesinde bu attackları çözmek lazım gibi geliyor. İlk etapta trafiği dinlemek doğru olacak sanırım. 

 
Gönderildi : 11/03/2019 09:32

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 
Gönderen: Kadir YAPAR

Şöyle kısa bir araştırma yaptığımda bu atakların neredeyse çoğunun panda tarafından görüldüğünü anladım. Acaba panda içerisinde bir proxy mekanizması bunu tetikliyor olabilir mi? Ayrıca bu tip saldırılarda anlatılan çözüm önerilerine baktığımda;

İşletim sistemlerinin up to date olması,

Kullanılan 3. parti yazılımlara bakılması,

DNS için proxy kullanılıp kullanılmamasına bakılması.

Bir de şunu sormak istiyorum. Panda nasıl uzaktaki saldırganın mac adresini biliyor. O pc ile remote connection oluşturan bir cihazın mac adresini nasıl biliyor? Uygulama katmanından ancak haberleşirler veya bir ajan çalışmalıki mac leri size versin. Bence pandadan kaynaklı bir durum bu. Basit bir test yaparak anlayabilirsiniz hocam. 

 

Cihaza wireshark kurun. 

1 gün trafiği dinleyin, paketleri save edin.

Panda antivirüsü kaldırıp tekrar aynı işlemi yapın.

Panda nın attığı uyarı ile pandasız gelen trafikte filtreleme yapın.

Bunun neticesinde sonuç ortaya çıkacaktır.

bugün smart dns hatası alan bir pc de sadece sabahtan sadece bilgisayarı açtırdım. Başka her hangi bir işlem yapmamasını istedim. Bu şekilde 5 dk geçmeden direk "Smart DNS" blok bilgisi geldi. Bloklanan adres 195.175.39.49 ipsi ve "ping -a" ile isim çözümledigimde; dns49.turktelekom.com.tr olarak pinge cevap verdi. Dışarıdan gelen bir saldırı mı demek bu?

 

Ayrıca, bugün pandayı kaldırıp, elimde lisanslı bulunan bir kaspersky endpoint programı kurarak taratmayı düşünüyorum. Sizin dediginiz gibi network trafigini takip ediyim dedim çok karşışık geldi açıkcası.

 
Gönderildi : 13/03/2019 08:53

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Panda 'dan bir arkadaş aradı ve verdiği bilgiye göre saldırı olarak görmüyorlarmış. Bu pandanın geliştirdiği bir sistem olduğu için panda tarafında görünüyormuş ve çok hassas ayarlandığı için bu uyarıları alıyormuşuz. Antivirüs programı üzerinden firewall kullanmak bu tip durumları doğuruyormuş. "Ben windows üzerindeki firewall yetkisini panda ya atamıştım." Bu tip durumların virüs programının çok hassas davrandığı için, ortamda bulunan vpn yapısını, kurulu bir teamviewer programını ya da başka kurulu bir programın sürekli ping halinde olmasından kaynaklı olabilir ve bu şekilde görünüyor baktığım kadarıyla dedi. Baktığımda da gerçekten panda kullanıcıları bu Smart DNS hatasını almış bugüne kadar. SAnırım kendi geliştirikleri bir teknoloji ile alakalı gibi. Ama genede emin olmak adına hata veren pc lerden birinde kademeli olarak bazı programları off duruma düşürmeyi, belki tamamen kaldırmayı denicem. 

 

Bu arada panda ile yola devam etsem mi etmesem mi kararsızım. Bir yerde bakıcak olursak gerçektende bir saldırı ise bunu tesbit etmiş ve bloklamış. Yani görevini yerine getirmiş ve 2 senedir bir problemde yaşamadık açıkcası. Siz ne düşünürsünüz ve önerebileceginiz bir program var mı? gerçi pek cevap veren yok ama 🙂

 
Gönderildi : 14/03/2019 11:01

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar  @tuncaypolat,

Panda  olunca  pek cevap veren olmayabiliyor şahsen kurumsal Panda Av tarafında hiç  tecrübem bulunmamakta Av sistemini  değiştirmeyi  düşünüyorsanız  meşakkatli bir süreç  olacaktır  mevcut  client sayınız  ve  sisteminizin  durumuna  göre  ancak Av  tarafında Comodo ITSM ve Kaspersky Business paketleri  olabilir her  ürünün  farklı farklı avantajları ve  kullanım  kolaylığı var kullanıcı sayınıza  göre  geçiş yapacağınız  ürüne  karar verdikten sonra POC çalışması da  yapıldıktan sonra  geçiş işlemleri  tamamlanabilir.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 14/03/2019 11:54

Paylaş: