.TR uzantılı alan adlarının çalışmasını büyük ölçüde etkileyen DDOS saldırısı hakkında ODTÜ'den açıklama geldi. http://daghan.net/odtu-acikladi.dgn #ddos #akış #internet #odtu

ODTÜ'den .TR Alan Adı Saldırısı Hakkında

1 hafta süre ile bizleri meşgul eden ve .TR uzantılı alan adlarının çalışmasını büyük ölçüde etkileyen DDOS saldırısı hakkında ODTÜ'den açıklama geldi.
BeğenFavori PaylaşYorum yap
  • Ümit Büyükyıldırım @umit2050

    Başından beri bu sürecin en yakın takipçisi oldun. Kamuoyu senden öğrendi gelişmeleri, tebrik ederim.

  • Endoskop @endoskop

    kişiler baıznda saldırı var birde sunucu bazlı saldırılar var hacklenmiş sunucuların gücünü kullanıp saldırı yapılabiliyor

  • Muco53 @muco53

    Bu saldırı altyapının ne kadar kötü olduğunu göstermiştir.

  • Türker Sezer @dirigeant

    Aciklama tamamen vatandasin gazini almaya yonelik, teknik detaylardan uzak olmus. Bu aciklama sadece teknik bilgiler icermeli, edebiyat kismi haberlestiren habercilere birakilmaliydi.

    Sorun aninda yapilan hatalar, oncesinde alinmamis tedbirler vs. teknik acidan bir yetersizlik oldugunu gosteriyordu. Bu aciklama da o yetersizligin hangi zihniyetten geldigini belgelemis.

  • disaster @disaster

    Açıklama teknik bilgiden neredeyse tamamen uzak ve işi bilmeyenler tarafından yapılmış. DDOS saldırıların amacı zaten verilen hizmeti engellemeye yöneliktir. DNS sunucularına yapılan saldırılar çok popülerdir çünkü öğrenilmesi kolay hizmet alanı ise herkestir.

    Konuyla tamamen alakasız ama açıklamayı yapan ODTU üstünden konuşalım;

    ODTU DNS lerinde zaten tcp 53 e cevap verdiği için zaafiyet var, bu onlara tcp syn flood yapılmasına imkan sağlıyor, önce bunu kapatsınlar sadece udp 53 den hizmet versinler. Hiç olmazsa kendi sunucu cevapları bandwithlerinin dolmasında katkı sağlamamış olur.

    Hat taşması tamlaması zaten komik bir tabir (hat taşmaz dolar). ISP den destek alıyorlarmış 2 taraftan 2 teknik kişi trafiği analiz edip gerekli hamleyi yapmalı. tcp flood u daha kendi hatlarına gelmeden böylece engelletebilirler. udp flood da ise ddos saldırısı her zaman ip spoofing ile yapıldığından yabancı ip ler de rahatlıkla önlenebilir. güvenilir dns lerden gelen istekler de white liste alındı mı iş tamamdır.

    ODTU nun dns sunucuları cevap vermemesi gereken isteklere bile reddedildi cevabı dönüyor, bir sunucu bu kadar konuşmaya istekli olmamalı.

    Böyle yaparlarsa bu 2 temel zaafiyet tabi ki kullanılır sonra da bize açıklama okuturlar.

    Önlemler tam alınsa bile her şey güllük gülistanlık olur demiyorum ama hiç olmazsa daha kolay hedefler varken onlarla uğraşılma ihtimali azalır.

    Garip bir duyuru, 2 dakika test ve 2 temel hata görünce yazma ihtiyacı duydum yoksa ODTU'yü severim yanlış anlaşılmasın lütfen ama kendileri bile gerekli önlemleri almamış onu anlatmak istedim

    • Türker Sezer @dirigeant

      Yanlis anlasilmalari onlemek adina bir not dusmek isterim. nic.tr yonetimi 2000 yilindan beri Ulastirma Bakanligi tarafindan olusturulan bir calisma grubu tarafindan yonetiliyor. 2000 yilina kadar yonetimi ODTU'deydi ve sunucularin bazilari hala ODTU'de yer aliyor fakat yonetim Ulastirma Bakanligi'na bagli.

    • disaster @disaster

      Haklısın, ben de kendilerinin ne halde olduklarını anlatmak istedim, böyle bir durumdayken açıklamalarını buna göre değerlendirebilirsiniz. Bu tür meseleler ulusal boyuta vardığında mevzu ilk muhataplarını çoktan aşmıştır, teknik donanıma sahip isimsizlerden yardım alınır. İsimsizler konuşmaz, alakasızlar ise duyuru yapar. Benim veryansın etmemin sebebi de tam olarak bu.

    • Türker Sezer @dirigeant

      Kok sunucu hizmeti gibi kritik bir servis saglarken gerekli onlemlerin oncesinde alinmamis olmasi buradaki en buyuk sorunlardan biri. Sonrasinda gelen aciklamalar da ayri bir sorun.

      Yalniz mesajinizda bazi temel hatalar var. Konuyu takip eden arkadaslari yanlis bilgilendirmemek adina bunlari da duzeltmek isterim.

      nic.tr sunucularina gelen saldirilarin dns amplification saldirisi oldugu belirtilmis. TCP trafigi ile ilgili sorun yasandigina dair bir bilgi yok. Zaten dns amplification gibi cok verimli ve guvenli bir saldiri yontemi mumkunken TCP uzerinden bir saldiri yapmak gereksiz olacaktir. Ayrica DNS sunucular hem udp hem de tcp uzerinden hizmet vermek zorundadirlar. DNS sunuculardan donen yanit 512 byte'in uzerinde oldugunda TCP protokolu kullanilir. Bu acidan sunucularin TCP portunun acik olmasi bir zafiyet degil zorunluluktur ve muhtemelen bu saldirida negatif bir etkisi olmamistir ya da gorece az olmustur.

      Yabanci ip adreslerin engellenebilecegini soylemissiniz. Bu sunuculara sadece Turkiye'ye hizmet veren sunucular gibi yaklasmak mumkun degil. Bahse konu sunucular .tr alan adi kok sunuculari oldugu icin yurtdisindan gelen istekleri engellemek makul bir davranis olmayacaktir. Bu durum .tr uzantili adreslerin Turkiye disinda (hatta Turkiye icinde de) calismasinda sorunlara neden olacaktir. Saldirinin amacinin da bu oldugunu dusununce bu tarz bir kisitlama saldiriyi bertaraf etmek anlamina gelmeyecektir
      Ayrica sizin de belirttiginiz gibi saldiri sahte IP adresleri uzerinden geldiginden IP bazli bir engelleme sonuc vermeyecektir. Zaten sahte IP ile saldirmanin amaci da budur. Sahte IP'lere dair onlemler ancak saldiran sistemlerin servis saglayicilari tarafinda alinabilir.

      DNS sunucunun kendi sisteminde olmayan isteklere reddedildi yaniti dondugunu soylemissiniz. Bunda hatali bir durum yok. DNS sunucunun gorevi gelen istegi kendi veritabanindaki kayitlarla karsilastirip sonuc donmektir. Dolayisiyla bir adrese yanit verip veremeyecegini anlamak icin istegi alip islemesi sarttir. Eger cok sayida istek gelmesi sistem kaynaklari acisindan sorun yaratiyorsa sistemi dikey ya da yatay olarak olceklendirerek cozum bulunabilir. Fakat yasanan saldiri bant genisligini tuketmeye yonelik oldugu icin bu durumda bir cozum olmayacaktir.

    • disaster @disaster

      Siz demek istediğimi anlamadınız, ben konuyla alakasız olmalarına rağmen açıklama yapan odtu nun kendi durumunu anlattım. saldırı onlara yapılmadı ama onların başta kendi sistemlerinde yapmaları gerekenleri anlatmaya çalıştım.

      Edit: Saldırı yönteminin belirtildiğini görmemişim, gerçi hala göremedim ama başka yerde yazılıdır mutlaka da, benim hatam.
      Ayrıca dns ler sadece kendi domainlerine cevap vermeliler, bunun için kurumlar dış hizmet veren dns lerini iç hizmet verenlerinden ayırırlar, red cevabının bile dönülmesi zaafiyettir.
      tcp yi dinlemesi herhangi bir IP ile tcp bağlantı kurabilmesi başlı başına zaafiyettir. Buna sadece ripe gibi istisnalar vardır, bunun dışındaki kimseyle tcp bağlantı kurması gerekmemeli.
      Bu odtü nün kendi durumu. Bunun nic.tr ile alakası yok tekrar belirtmek isterim

  • disaster @disaster

    Yapılan saldırıyı merak edenler için küçük bir açıklama da yapayım;
    Yapılan bir yansıma saldırısıdır. Yapısı itibarıyla karmaşıktır; çünkü hedefe direk saldırılmaz, hedef adına (IP spoofing) başka yerlere sorgular gönderilip cevabın hedefe gitmesi sağlanır.
    Sorgu paketleri küçük ama cevaplar uzun olacak sorgularla hedefin hattının dolması sağlanır. Bizim "ne var ne yok" sorumuz gibi düşünün 😀
    Gerekli önlemeler tabi ki yapılabilir ve yapılıyor. Hamleler biraz geç yapılmış, refleks süresi uzun olmuş olabilir ama her türlü önlem maaliyettir; tedarik, kurulum ve entegrasyon ise zaman gerektirir.
    Böyle bir saldırıyı medyanın ya da bir üniversitenin anlatabilmesini tabi ki beklemiyorum ama bu kadar yanlış yorum yapmamalılar.