7 Nov 09:37
Re: Web site hosting kanunlari
From: Huzeyfe ONAL(Gmail <huzeyfe.onal@...>
Subject: Re: Web site hosting kanunlari
Newsgroups: gmane.comp.security.netsec
Date: 2008-11-07 08:37:10 GMT
Expires: This article expires on 2008-11-21
Subject: Re: Web site hosting kanunlari
Newsgroups: gmane.comp.security.netsec
Date: 2008-11-07 08:37:10 GMT
Expires: This article expires on 2008-11-21
Merhabalar, benim bildigim yok. Bu konular ile ilgili bilgi almak icin http://www.tib.gov.tr/ adresi ve oradaki iletisim bilgileri ise yarayabilir. 2008/11/7 Serhat Uslay <serhat.uslay@...>: > Turkiyedeki bir sirketin internet sitesini yurt disindaki bir site da > barindirmasini engelleyen bir kanun var mi? Yani ayni Cin de oldugu gibi > turk vatandaslarina ait finans bilgilerinin yurt disina kopyalanmasini > engelleyen? > Bu konuda bana link yollayabilirmisiniz varsa . > Tesekkurler > Serhat > Serhat Uslay > Zurich Financial Services Australia > 0401105485 > > ________________________________ > > From: Huzeyfe ONAL [huzeyfe@...] > Sent: 06/11/2008 20:57 ZE2 > To: netsec@... > Cc: owasp-turkey@... > Subject: [netsec] Re: [Owasp-turkey] [netsec] Re: Under DDos Attack > > Haklisin pipelening aklima gelmemisti, benim karsilastigim saldirilarda > pipelining kullanana rastlamadim hic ya da tarpitting ile bloklayabildigim > icin farketmedim. Bu arada bildigin pipelining yontemini kullanan bir worm > ya da test araci var mi? > > Ek olarak sunucu tarafinda request pipelining destekleyen uygulamanin da her > bir istek icerisinde max. ne kadar istek tasinabileceginin belirlenmesine > izin veriyor olmasi bu tip saldiirlarda ise yarayabilir. > > Deniz Cevik wrote: > > Her bir GET için yeni bir 3WHS olu turulmas na gerek yok. HTTP/1.1 aç lan > bir ba lat içinden istenildi i kadar request gönderilmesine izin verir. > (Request Pipelining). Bu durumda firewall'da bir ba lant gözükür ama sen > binlerce lerce iste i tek ba lant kanal üzerinden yollayabilirsin. Bu > durumu saniyede 1000 istek yollayacak ekilde ayarlay p, 10 adet HTTP 1.1 > connectioni açarsan, ve response'u büyük bir sayfaya, veri taban ndan büyük > bir result set çeken uygulamaya, arka tarfta veri taban na yazma i lemi > yapan veya mail atam bir forma, bu i lemi uygularsan 10 adet ba lant ile > arka taraftaki web sunucusunu,DB, mail atan sunucuyu, alan istemciyi 'yi zor > durumlara dü ürebilirsin. > Bu tip sald r lara reverse-proxy, web application firewall (appliance veya > open source module) d nda konvensiyonel(ne demekse :P)güvenlik yaz l mlar > ile önleyemezsin. > yi Çal malar > -----Original Message----- > From: Huzeyfe ONAL [mailto:huzeyfe@...] > Sent: Wednesday, November 05, 2008 8:41 PM > To: netsec@... > Cc: owasp-turkey@... > Subject: Re: [netsec] Re: [Owasp-turkey] Under DDos Attack > Selamlar, > bir saldirgan GET flood islemini nasil yapabilir dusunelim; > ilk bakista benim aklima bu isin farkli IP adreslerinden > yuzlerce/binlerce http istegi olusturrarak yapilmasi geliyor. > Oncelikle GET flood yapabilmesi icin TCP 3way handshake islemini > tamamlamak zorundadir. Demekki yapilacak her GET flood islemi bizim > Firewall tarafindan gorulecek. > Yani ben Firewallumda SYNProxy ve stateful tracking ozelliklerini > kullanarak farkli ip adreslerinden gelecek get floodlarini TCP/IP > seviyesinde gorebilecegim icin daha web sunucuya ulastirmadan > engelleyebilirim. Tabi binlerce ip adresinden gelecek birer istek > karsisinda cok birsey yapamaz ama boyle bir saldiri tipi ile henuz > karsilasmadim ben. > Firewalllar icin Linux Iptables'in tarpitting patch'i var, Free/OpenBSD > Packet Filter tum bu ozellikleri yamasiz sagliyor. > Ferruh Mavituna wrote: > > > Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem > saldiriyi application seviyesinde eritmeye calismak ki bu da > network seviyesine gore %60-%70 daha pahaliya mal oluyor. > Durumuna gore degisir tabii ki, ama hafif zeki olan herhangi bir GET > istegi bazli DDoS da firewall bazinda engelleme yapmak (/firewall cok > zeki bir sey degils/e) pek mumkun degil. Tahminim buradaki durumda o. > Ama HTTP istegini analiz edebilen cozumler varsa sonuc uretecektir, bu > konuda oneri varsa acikcasi bende merak ediyorum. Cunku s k s k > karsima gelen konulardan biri ve maalesef pek basit bir cozumu yok. > 2008/11/5 Huzeyfe ONAL <huzeyfe@... > <mailto:huzeyfe@...>> > Musa selamlar, > mumkunse kullanilan software firewall'un ismini ogrenebilir miyim? > Zira bana degerler cok az geldi. Yani en basit Firewall bile bu > degerler karsisinda rahatlikla ayakta durur. Es zamanli 30000~ > paket ya da ortalama 20000~ state durumunda bile %5 civarinda CPU > harcayan software firewallar var. > Mesela OpenBSD Packet Filter ve benzeri firewallar icin yogun > paketler 80. port(uygulamaya ulasmadan)a gitmeden network > seviyesinde bloklanabilir. Bunun icin firewall'a tek bir ip > adresinden su porta max baglanti sayisi y dir demek yeterli. > Paketler uygulama seviyesine ciktiginda engellemek hem daha zor > hem de cok daha fazla kaynak tuketiyorlar. > Benim gordugum DDOS konusunda yapilan en buyuk yanlis islem > saldiriyi application seviyesinde eritmeye calismak ki bu da > network seviyesine gore %60-%70 daha pahaliya mal oluyor. > Musa Ulker wrote: > Tekrar merhabalar, > Ferruh; Çok ilginçtir denedi im modlar kald ramad apachede > ciddi yük > durmaya devam etti. Buradaki bottleneck software firewall > ataklar > durdurmad yeterli olmad . Yüklenen ip say s ba ta 1 5 10 > diye de il > de ayn anda 100+ eklinde olunca ve iplerde de i ti i için > çok k sa > aral klarla (1dkdan az süre için) yeni ipleri yakalayamad ve > apacheyi, apachede çal an uygulama da mysql i kilitledi.. > Benim örnek verdi im %30 sadece bir tane apache forku için. > Maksimum > olan içindi. Firewall çal madan sistem kitleniyordu, ssha bile > eri ilmiyordu. Firewallla CPU kullan m %80-85 civar nda > seyretmeye > ba lad . Ayn anda mevcut 80 portuna connection say s 200+ > civar ndayd .. > Sald r detay : Connect flood. Sürekli GET iste i. Sald r çal an > uygulama üzerinden mysql i devre d b rakmaya yönelik oldu unu > dü ünüyorum. Daha önceden benzer bir sald rr yla kar la m t m.. > Gelen paketler gayet normal gözüküyor. Arada malformed > requestlerde > geliyordu ama ba ka bir kaynaktan olabilir. > Kubilay; Rusya IP bloklar konusunda ara t rma yaparken öyle bir > siteyle kar la t m, incelemenizi tavsiye ederim: > http://www.countryipblocks.net/ > Bedirhan; Apache KeepAlive konfigurasyonda kapal yd . Apache > backdoor > module gibi bir eyler buldum ama buldu um apache üzerinden > backdoor > açan bir moduledu. Senin bahsetti in modülü payla r m s n? > DNS güncellemsi akl ma geldi ama zararlar n k yaslay nca çözümler > aras ndan ç kard m.. > Akl n yolu bir: HW firewallarla çözüldü olay. Reverse proxy > ile ba ka > bir sunucuya yönlendirildi istekler ve o sunucu önünde Layer 7 > filtering yap ld . (Juniper üzerinden custom filterlarla) > Herkese gösterdi i aç l mlar ve verdi i cevaplardan dolay > te ekkür ediyorum.. > Selamlar, > M.Musa Ülker > 2008/11/4 Ferruh Mavituna <ferruh@... > <mailto:ferruh@...>>: > > Merhabalar Musa, > Benim merak ettigim esas kilit noktasi neresi? (gavurlarin > tabiri ile > bottleneck). Yani application da mi is kitleniyor, ondeki > firewall mu > sapitmaya basliyor, load balancer mi vs. ? > Apache process' i %30 ise , uygulamada veya Apache de bir > sorun yok diye > varsayiyorum. Database server ne alemde onda da ciddi bir > yuklenme yok mu? > Bir de saldirinin detaylari ne? Syn-flood, connect-flood, > yogun application > istekleri (HTTP vs.)? veya baska bir port acikta onun > uzerinden mi bir sey > yapiliyor? gelen paketlerin tum degerleri normal mi? > Mesela tuhaf window > size lari var mi vs. > Sonucta DDoS ataklari engellemek cok zor olabiliyor ama bu > bilgileri > verirsen daha detayli yardimci olunabilir sanirim. > Iyi Calismalar, > 2008/11/4 Musa Ulker <musaulker@... > <mailto:musaulker@...>> > > Merhabalar, > Dedicated bir sunucuya bir çok koldan DDos sald r s > gerçekle tiriliyor. En çok yük Apache üzerinde. Apache > CPU load' %30u > geçebiliyor farkl apache processleri çal yor. Türlü > çal malar > yapt m; firewallar (salt iptables, apf, csf vs) > denedim, ddos > protectionlar test ettim ama sald r y tam olarak > kesemedim. Birazc k > yükü hafifletebildim. Zombie makinalar üzerinden > sald r halen devam > ediyor. > Bu konuda nas l bir yol izlemem gerekiyor? > Te ekkürler > -- > M.Musa Ülker > _______________________________________________ > Owasp-turkey mailing list > Owasp-turkey@... > <mailto:Owasp-turkey@...> > https://lists.owasp.org/mailman/listinfo/owasp-turkey > > -- > Ferruh Mavituna > http://ferruh.mavituna.com > > --------------------------------------------------------------------- > To unsubscribe, e-mail: netsec-unsubscribe@... > <mailto:netsec-unsubscribe@...> > For additional commands, e-mail: netsec-help@... > <mailto:netsec-help@...> > -- > Ferruh Mavituna > http://ferruh.mavituna.com > > > --------------------------------------------------------------------- > To unsubscribe, e-mail: netsec-unsubscribe@... > For additional commands, e-mail: netsec-help@... > _______________________________________________ > Owasp-turkey mailing list > Owasp-turkey@... > https://lists.owasp.org/mailman/listinfo/owasp-turkey > > > > lll Zurich is proud to support football as an Official Partner of the > Hyundai A-League > > > ---- > This email is intended for the named recipient only. It may contain > information which is confidential, commercially sensitive, or copyright. If > you are not the intended recipient you must not reproduce or distribute any > part of the email, disclose its contents, or take any action in reliance. If > you have received this email in error, please contact the sender and delete > the message. It is your responsibility to scan this email and any > attachments for viruses and other defects. > To the extent permitted by law, Zurich and its associates will not be liable > for any loss or damage arising in any way from this communication including > any file attachments. We may monitor email you send to us, either as a reply > to this email or any email you send to us, to confirm our systems are > protected and for compliance with company policies. Although we take > reasonable precautions to protect the confidentiality of our email systems, > we do not warrant the confidentiality or security of email or attachments we > receive. > -- -- Huzeyfe ONAL huzeyfe@... http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net ---
RSS Feed