Linux -- Anlayamadığım bi saldırı alıyorum - Yardım talebi

[exokill]

Merhaba arkadaşlar ,

Bir linux sunucum var ve görüntülü sohbet sitesi olarak hizmet veriyor . Online anlık kullanıcılar var .
Bugün başıma birşey geldi birisi site içine gelip (şimdi herkes kopacak siteden ) diyor ve sanki sunucuya reset atılmış gibi 4-5 saniye de herkes düşüyor ve otomatik geri bağlanıyor.

Sanki sunucunun bağlantısı birka saniye aksamaya uğruyormuş gibi tökezliyor ve geri geliyor. Bu şahıs / lar bunu sürekli yapmaya başlayınca can sıkıcı olmaya başladı.

Sunucum softlayer de barınıyor ve ssh ile bağlanıyorum . herhangi bir paneli yok .
Bu saldırının niteliğini ve nerden geldiğini anlayabilmem için yardım edebilecek varsa çok sevinirim. ne olduğunu anlayamadığım için engelleyemiyorum da

Yardımlarınızı bekliyorum çok teşekkür ederim

Son 24 saat grafikleri

 

[icakir86]

softlayer dediğin yerde herhangi bir güvenlik duvarı mevcut mu? Örneğin senin sunucuna ssh ile bağlandığında sadece senin ip ne göre bi kısıtlama koymuş olmaları lazım yani senin statik ip dışından gelen ssh isteklerine sunucun cevap vermemeli çünkü ssh protokolü saldırılara karşı çok tutarlı değil. sunucunun barındığı yerden destek istemelisin. ssh portunda değişiklik isteyebilirsin örneğin port 22 yi kullanıyorsan default olarak bunu değiştirsinler.

 

[exokill]

Cevap için teşekkürler
güvenlik duvarı olarak sunucumda apf ve iptables kullanıyorum . SSH erişimi sadece benim ip me açık değil, zaten benim ip statik değil. onun için öyle kullanamam. Ancak saldırılar SSH değil port 80 üzerinden geliyor diye düşünüyorum . SSH portuna saldırarak (brute force) Site erişimi engellenebilir mi ki ?
Tahminime göre SYN Flood atak tarzı bişi http 80 den

 

[kosasker]

SSH erişimini sertifikalı hale getirirsen daha iyi olur.

 

[exokill]

SSH erişimini sertifikalı hale getirirsen daha iyi olur.

Saldırıyı SSH den mi yapıyorlar diyorsunuz yani ? bahsettiğim tarzda bir etkiye neden olabilir mi SSH saldırısı

 

[kosasker]

Evet olabilir. Ssh portunu da değiştir derim. 22 değil de, başka bir port yap mesela.

 

[orcnd]

kullandığın script sana özel değilse scriptin adını araştırarak daha önce böyle bir saldırıya mağruz kalmış kişileri bulmanı öneririm. saldırının cinsini öğrenirsen çözüm bulman daha kolay olur.

ram kullanımı grafiğinde ram kullanımın sıçrayıp çakıldığı anı saldırı anı kabul edersek hat grafiklerinde o an için herhangi bir anormaliğin olmadığını görüyoruz.
buradan çıkan sonuç yavaş yavaş geliştiği ve sunucunun kaldıramadığı noktada üyelerin koptuğudur. bu ddos saldırılarında rastlanan bir süreç.

eğer saldırı anı ram kullanımındaki düşüşe denk gelmeyen başka bir an ise onuda belirtmende fayda var ki isabetli tesbit yapabilelim.

 

[exokill]

Cevabınız için teşekkürler , script bana özel değil gelişmiş bir kameralı chat scripti. teknik desteğide pek iyi değil açıkçası baya para ödemiş olmama rağmen. Yukarıda arkadaşların önerdiği gibi SSH portunu değiştirdim sonucu gözlemleyeceğim.

Daha önce başka sunucudayken DDoS saldırısı alıyordum, bundan dolayı SoftLayer gibi daha güvenli ve güçlü bir servis sağlayıcıya geçtim. Şuan site off olacak kadar kapanma olmuyor ama işte böyle anlık düşüşler fazlaca olmaya başladı.

Saldırı anı uzun sürmediğinden ( birkaç saniye ) bunu yakalayamıyorum veya ben anlamıyorum . Görebildiğim tek değerler hosting hesap grafiklerim yukarıda ki .

Anlık olarak DDos / SYN flood attack vs gibi saldırıları gözlemleyebileceğim bir shell scripti biliyor musunuz?

 

[kosasker]

Anlık olarak DDos / SYN flood attack vs gibi saldırıları gözlemleyebileceğim bir shell scripti biliyor musunuz?

DDoS saldırılarında mekanizmalar genelde 10 sn' lik analizler üzerinden işlem yapar. Yani paket sayısında belli bir ivmelenme ile artış yaşandığında, eşik değer aşıldığında, 2. bir analiz mekanizması devreye girerek şüpheli durum dinlemesi yapar. Bu anlatmaya çalıştığım en temel yapılanma.

Sizde anlık paket sayısını arttıran, anlık trafiği arttıran sebep ne ise onu bulmak gerek. Bunun içinde sürekli dinleme yapıp, trafik eşik değerini düşük tutmak lazım. Eşik değer anlık olarak aşıldığında, 1-5 dakikalık pcap kaydını alıp inceleyin derim.

Elimde bir script yok malesef. Olsa gönderirdim.

 

[exokill]

Teşekkür ederim cevabınız için, peki soruyu şöyle sorsam : benim sunucum kesin DDos atak alıcak bugün almadı diyelim yarın mutlaka alıcak. Çünkü benimki gibi site işletenlerin rakipleri ve bizle uğraşan çok oluyor. DDoS saldırısına maruz kalıcağımı biliyorum yani. Buna hazırlıklı olabilmek için yapabileceğim bişey var mı ? yada DDos ve benzeri atakları önlemek / az hasarla atlatmak için bir çözüm var mı ? (hardware firewall dışında , o çok pahalı)

 

[kosasker]

Teşekkür ederim cevabınız için, peki soruyu şöyle sorsam : benim sunucum kesin DDos atak alıcak bugün almadı diyelim yarın mutlaka alıcak. Çünkü benimki gibi site işletenlerin rakipleri ve bizle uğraşan çok oluyor. DDoS saldırısına maruz kalıcağımı biliyorum yani. Buna hazırlıklı olabilmek için yapabileceğim bişey var mı ? yada DDos ve benzeri atakları önlemek / az hasarla atlatmak için bir çözüm var mı ? (hardware firewall dışında , o çok pahalı)

Anti DoS/DDoS sistemine sahip olmadan zor.
Firewall ve IDS/IPS sistemi farklı çalışıyor, anti DDoS farklı çalışıyor hepinizin bildiği gibi.

Bunun haricinde kullanmadığın tüm portlara gelen istekleri "drop" ettirebilirsin firewall' dan. Ayrıca snort kurup, kullandığın görüntülü görüşme yazılımı ve sana gerekli olan tüm yazılımları snort' a tanıtıp, bunlar dışında gelen tüm paketleri "drop" edebilirsin. Yine de işi biraz bilen birisi, senin sisteme uyan bir paketi kullanarak saldırı girişiminde bulunabilir.

Udp ile de gelen paketler var.(Dns için mesela) Bunlar için kesin kez Anti DDoS takibi lazım.