Forum
Aktif konular
Üyeler
Kurallar
Arama
Tahribat.com Forumları 
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri 
Gün İçerisinde .Tr'ye Yapılan Ddos Saldırıları Gün İçerisinde .Tr'ye Yapılan Ddos Saldırıları
-
hayret konusu açılmamış
nic.tr ve isp dnslerine bugün ciddi saldırı olmuş dnsi yurtdışına kapattıkları için com.tr net.tr gibi .tr uzantılı domainlere yurtdışından ulaşılamamış
akla ilk ruslar geliyor siz ne düşünüyorsunuz
Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim problemleri bildirilmeye başlandı.
Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor.
.tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem nedeniyle hiçbir .tr alan adına (com.tr, net.tr, gov.tr vb.) ulaşılamıyor.
Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache nedeniyle kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni .tr uzaktılı bir isim açılmak istendiğinde erişim sağlanamıyor.
Güncelleme 14 Aralık – 16:20
Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı görülüyor.144.122.95.51/32 *[BGP/170] 00:30:36, localpref 100, from 213.248.64.225
AS path: 9121 ?, validation-state: unverified
to DiscardGüncelleme 14 Aralık – 16:28
DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor.
ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 milliseconds)
ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 milliseconds)
ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 milliseconds)
ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 milliseconds)
ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 milliseconds)
tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms
Güncelleme 14 Aralık – 16:40
Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan adı sunucularına doğru DDOS saldırısı yapıldığı yönünde ihbarın kendilerine ulaştığı bilgisi verildi.Güncelleme 14 Aralık – 16:48
Sadece 1 adet DNS sunucusu çalışması nedeniyle her zaman sağlıklı bir dönüş sağlanamadığından problem devam etmekte.Güncelleme 14 Aralık – 17:00
Türkiye Akademik İnternet Erişim Ağı Ulaknet‘in 40Gbps yurtdışı linkinin ODTÜ’ye doğru gelen trafik nedeniyle sature olduğu bilgisi alındı. Yaşanan bu durum nedeniyle üniversitelerin internet erişimlerinde de problemler yaşanmakta.Güncelleme 14 Aralık – 17:13
.tr alan adı hizmetlerini yöneten ve bu hizmete ait servisleri barındıran ODTÜ’ye doğru dışarıdan gelen trafik nedeniyle Ulaknet ağında problem yaşanmaya devam ediyor. Grafikte internet yönünde %114’lük bir trafik oluşması dikkatleri çekiyor. Trafik yönün geliş tarafında olması ise servislere doğru dışarıdan bir ağ saldırısının yapıldığını gösteriyor.Güncelleme 14 Aralık – 17:46
ns1.nic.tr, ns2.nic.tr, ns3.nic.tr, ns4.nic.tr, ns5.nic.tr olarak isimlendirilen sunuculara ait IP adreslerinin halen erişimlerinin kesik olduğu görülüyor.Güncelleme 14 Aralık – 17:50
Diğer 5 sunucudan farklı olarak erişime açık tek DNS sunucusu olan tr.cctld.authdns.ripe.net, %99 paket kaybı ile hizmet vermeye çalışıyor.Güncelleme 14 Aralık – 18:14
ns5.nic.tr sunucusunu barındıran 3C1B TELEKOM ilettiği mesajda; kendilerinin barındırdığı DNS sunucusunun gelen isteklere cevap verdiğini bildirmesine karşın yapılan kontrolde ilgili 178.251.42.18 IP adresine yurtdışından erişilemediği görülmekte.178.251.42.18/32 *[BGP/170] 02:23:06, localpref 100, from 213.248.64.225
AS path: 9121 ?, validation-state: unverified
to DiscardSunucuların IP adreslerinin yurtdışı erişimlerinin kapatılması nedeniyle halen yurtdışı DNS kullananlar ve Türkiye dışındaki noktalardan .tr alan adlarına erişim mümkün olamamakta.
Güncelleme 14 Aralık – 18:25
Çalışan tek sunucu olan ns3.nic.tr. [213.248.162.131] ile şu an isteklerin cevaplanmaya başlandığı görülmekte.Güncelleme 14 Aralık – 18:32
Konuyla ilgili durumu özetler ilk açıklama yapıldı: Yapılan saldırının boyutlarından dolayı, sunucunun ayakta kalabilmesi amacı ile ilgili DNS sunucu YURTDIŞINA kapatılarak YURTİÇİ erişime açık tutulmaktadır. Bu sayede yurtiçi kullanıcılar .tr adreslerine erişebilmek için yaptıkları sorgulara cevap alabilmektedir.Güncelleme 14 Aralık – 18:35
ns4.nic.tr. [193.140.100.200] aralıklarla istekleri cevaplamaya başladı.Güncelleme 14 Aralık – 18:42
Cevap veren DNS sunuculara ait IP adresleri için yurtdışı bazı erişim sağlayıcılardan erişimin kesildiği görüldü. Bu durum .tr alan isimlerine yurtdışından erişimin yapılamamasına sebep olmaya devam ederken, problemin daha bölgesel olarak yaşanmasına sebep olması açısından olumlu bir durum olarak görülebilir.Güncelleme 14 Aralık – 21:09
İsteklere cevap veren (NS3 ve NS4) 2 DNS sunucusunun da yurtdışı erişimlerinin bazı yurtdışı operatörlere doğru halen kesik olduğu görülüyor.Güncelleme 14 Aralık – 23:17
2-3 saat süre ile bölgesel de olsa cevap veren isim sunucularının tamamı tekrar kaybedilmiş olarak görünüyor.
Yaşanan problemden dolayı gmail gibi sunucuları yurtdışında bulunan e-posta servislerinden gönderilen e-postalar sonu .tr uzantılı e-posta hesaplarına ulaşmıyor. Bu durum e-posta trafiğinde de ciddi problemlerin oluşmasına sebep oluyor.
Gönderilen bazı e-postalar bir süre sonra ulaşır iken, bazı e-postalar iletilmeden hata mesajı dönebiliyor.*Yandaki ekran resmi tıklanarak cevap süreleri detaylı olarak görüntülenebilir.
Güncelleme 15 Aralık – 00:47
Nic.tr web sitesine erişim sağlanamıyor.Güncelleme 15 Aralık – 09:46
ns1.nic.tr, ns2.nic.tr, ns3.nic.tr, ns4.nic.tr, ns5.nic.tr tüm isim sunucularının yurtdışı erişimlerinin tekrar aktif edildiği görülüyor.Güncelleme 15 Aralık – 11:31
Dün Ulaknet ağında problem yaşanmasına sebep olan yoğunluk tekrar görülmeye başladı. 40Gbps kapasitesi olduğu görülen linkin şuan kullanımı 38Gbps seviyesinde.Güncelleme 15 Aralık – 13:49
DNS sunucuların tümünden cevap alınabildiği görülüyor.Güncelleme 15 Aralık – 14:41
Yurtdışı erişimi aktif durumda olan sunuculardan bazılarında kararsız çalışma ve yanıt dönememe durumu tekrar başladı. Aynı zamanda www.nic.tr internet sitesine erişim sağlanamıyor.Güncelleme 15 Aralık – 14:58
Ulaknet ağında doluluk oranının %100’e ulaştığı görülüyor. DNS isteklerini cevaplayan 5 sistem olduğundan cevap alınamayanın yerine bir diğerinden yanıt dönüyor ve DNS yanıtlarında şu an için ciddi bir probleme sebep olacak durum görülmüyor. Bununla birlikte hat doluluğu nedeniyle üniversitelerin internet çıkışlarında, yavaşlama veya erişim sağlanamaması durumu olası.Güncelleme 15 Aralık – 16:21
.TR alan adı sunucularından birini barındıran ve dün Türkiye’de barının sunucuların erişimi kesilmiş iken dünyaya hizmet vermeye çalışan tek sunucu ile ilgili olarak *RIPE (Réseaux IP Européens) tarafından konuyla ilgili açıklama yayınlandı:Dün, 14 Aralık 2015 Pazartesi günü, RIPE NCC Yetkili DNS servisleri gün içinde ciddi biçimde erişim problemleri yaşadı.
Bu problem, ev sahipliği yaptığımız bir TLD(uzantı) ikincil DNS sunucusunu barındırmamız nedeniyle oluştu. Saldırı trafiği 08:00 UTC civarında başladı. Yetkili personelimiz konuyla ilgili olarak gün boyu çalıştı ve bazı önlemler almaya çalıştı. Alınan önlemler bir süre etkili olabildi. Gün sonuna doğru ise gelen saldırının büyüklüğü nedeniyle bize ait ana internet çıkışlarıda bu durumdan etkilendi.
Oluşan bu durum karşısında internet servis sağlayıcılarımız (uplink provider) saldırının engellenmesi ve yönetilmesi için bize yardımcı oldular. Problem saat 18:30 (UTC) zaman diliminde çözüldü.
Gelen saldırı halen devam etmekte olup, elimizden gelen en iyi imkanlar ile saldırıyı engellemeye çalışmaktayız. Gelen saldırı sahte IP adresleri üzerinden(spoof) yapılmakta olup, bu konuyla ilgili servis sağlayıcılar tarafında gerekli önlemlerin alınması önem arz etmektedir. – Romeo Zwart
RIPE NCC Authoritative and Secondary DNS services on Monday 14 December
* RIPE bölgemiz için IP adres tahsisi ve alan adlarının yönetimi konusunda bir otorite olup, internet konusundaki teknik kuralları belirleyen bir kuruluştur.
Güncelleme 15 Aralık – 16:56
Yapılan saldırı yöntemi ile ilgili olarak ilk detay bilgi ulaştı. Buna göre gelen saldırı ağırlıklı olarak DNS yansıtma tekniği ile yapılmakta. İlgili protokol aynı zamanda DNS istekleri için kullanıldığından saldırının temizlenmesi zorlaşmakta ve yine saldırı yöntemi nedeniyle ilgili linkler hızla doldurulabilmekte.
Firewall Logları
2015-12-15 16:05:57 GMT Host: 178.251.42.18
Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
Impact: 1.19 Gbps/443.91 Kpps2015-12-15 15:57:45 GMT Host: 178.251.42.18
Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
Impact: 1.04 Gbps/385.28 Kpps2015-12-15 15:55:57 GMT Host: 178.251.42.18
Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
Impact: 1.14 Gbps/424.27 Kpps
Güncelleme 16 Aralık – 10:36
İsim sunucularına doğru gerçekleşen saldırının halen devam ettiği bilgisi verilmiştir.
Impact/Etki: 31.60 Gbps/3.08 Mpps
Started/Başlangıç: 2015-12-16 07:07:12
Ended/Bitiş: 2015-12-16 07:21:05
Link Rate: 21.85 Gbps, 6061.200000% of 360.56 Mbpshttp://daghan.net/tr-alan-adlari-problemi.dgn#prettyPhoto aşama aşama olanları paylaşmış
şuda ulaknetin yoğunluğu https://stat.ulakbim.gov.tr/ulaknet/
BlackApple tarafından 16/Ara/15 23:35 tarihinde düzenlenmiştir -
sabah patlamıştı şimdi büyük çoğunluğu düzeldi rusya kaynaklı olması ihtimali yüksek
edit: düzelmekten kastımda klasik Türk mantığı ile düzeltme yurtdışı erişimleri kapatarak...Bide kapatıp açalım düzelir belki ümidiyle reboot çekiyolardır herhalde
trooper tarafından 15/Ara/15 00:27 tarihinde düzenlenmiştir -
İstanbul Atatürk havaalanındada bazı yazılımsal sistemler gitti
DE5TROY3R tarafından 15/Ara/15 00:13 tarihinde düzenlenmiştir -
bu aralar ruslarla ilgili çok sorun olmaya başladı ben il sorunu ammy ile yaşadım sanırm daha çok şey olacak merak ediyorum şu koca koca heykırlar nepıyor :))
https://www.nic.tr/ gitmiş girmiyor..
-
Dolaşan bilgilere göre hani millet olarak değilde grup olarak Anonymous gibi büyük bir topluluk falan değil ufak bir topluluğun (ama yetenekli) bunu yaptığı söyleniyor.
-
Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)
-
HolyOne bunu yazdı
Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)
Hani ddos almıyordu datacenter kapatmıştı ? :D
-
-
coLin bunu yazdı
DDoS alınca datacenter kapatmıştı işin özü aslında öyle bi açıklama gelmişti neyse :D
-
HolyOne bunu yazdı
Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)
aslında saldırı boyutu daha yüksektir fakat omurga router lar down olduğu için göremiyoruzdur ama yinede komik gelen ilk ciddi saldırı ile güzel ülkemin tdl ve akademik network altyapısının duman olması
-
trooper bunu yazdıHolyOne bunu yazdı
Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)
aslında saldırı boyutu daha yüksektir fakat omurga router lar down olduğu için göremiyoruzdur ama yinede komik gelen ilk ciddi saldırı ile güzel ülkemin tdl ve akademik network altyapısının duman olması
Ne bekliyordun Tahribat gibi bir oluşum bile eski paylaşım ve yardımlaşmayı bırakmış, üyeler birbirine partisi,fikrine ve etniğine dalaşıyor. Şimdi geç sayılmaz 3 kişi sağlam ddos yapan bir uygulamanın mantığını anlatsa 10 kişi ona uygulama yazacak seviyede ama maalesef ki biz hala ak gençlik, ülkücü gençlik, kürt gençliği ,türk gençliği gibi aramıza kökten ayrılık sokacak işler ile meşgulüz. Bırakında siyasetçiler bu işle uğraşsın siz bu işin adamı değilsiniz burdaysanız sebebi farklı olmalı gerçekten gelişmeye açık olmalısınız. umuyorum. herkes etnikten önce insan olduğunu hatırlarda gerek siber alanda gerekse de savaş meydanında bu toprakları nasıl aldığımızı tüm dünyaya bir kez daha gösteririz.
Şimdi o ddos saldırısını en etkili şekilde nasıl yapacağımızı anlatacak 3 arkadaş konuları açsın bekliyoruz :)
DuPi tarafından 15/Ara/15 10:11 tarihinde düzenlenmiştir
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla