folder Tahribat.com Forumları
linefolder Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
linefolder Gün İçerisinde .Tr'ye Yapılan Ddos Saldırıları



Gün İçerisinde .Tr'ye Yapılan Ddos Saldırıları

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BlackApple
    BlackApple's avatar
    Üstün Hizmet Madalyası Üstün Hizmet Madalyası
    Kayıt Tarihi: 19/Mayıs/2008
    Erkek

    hayret konusu açılmamış

    nic.tr ve isp dnslerine bugün ciddi saldırı olmuş dnsi yurtdışına kapattıkları için com.tr net.tr gibi .tr uzantılı domainlere yurtdışından ulaşılamamış

    akla ilk ruslar geliyor siz ne düşünüyorsunuz

     

     

     

    Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim problemleri bildirilmeye başlandı.

     

    Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor.

     

    .tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem nedeniyle hiçbir .tr alan adına (com.tr, net.tr, gov.tr vb.) ulaşılamıyor.

     

    Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache nedeniyle kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni .tr uzaktılı bir isim açılmak istendiğinde erişim sağlanamıyor.

     

    Güncelleme 14 Aralık – 16:20
    Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı görülüyor.

     

    144.122.95.51/32 *[BGP/170] 00:30:36, localpref 100, from 213.248.64.225
    AS path: 9121 ?, validation-state: unverified
    to Discard

     

    Güncelleme 14 Aralık – 16:28
    DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor.
    ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 milliseconds)
    ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 milliseconds)
    ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 milliseconds)
    ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 milliseconds)
    ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 milliseconds)
    tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms

     

    Güncelleme 14 Aralık – 16:40
    Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan adı sunucularına doğru DDOS saldırısı yapıldığı yönünde ihbarın kendilerine ulaştığı bilgisi verildi.

     

    Güncelleme 14 Aralık – 16:48
    Sadece 1 adet DNS sunucusu çalışması nedeniyle her zaman sağlıklı bir dönüş sağlanamadığından problem devam etmekte.

     

    Güncelleme 14 Aralık – 17:00
    UlaknetTürkiye Akademik İnternet Erişim Ağı Ulaknet‘in 40Gbps yurtdışı linkinin ODTÜ’ye doğru gelen trafik nedeniyle sature olduğu bilgisi alındı. Yaşanan bu durum nedeniyle üniversitelerin internet erişimlerinde de problemler yaşanmakta.

     

    Güncelleme 14 Aralık – 17:13
    ulaknet.tr alan adı hizmetlerini yöneten ve bu hizmete ait servisleri barındıran ODTÜ’ye doğru dışarıdan gelen trafik nedeniyle Ulaknet ağında problem yaşanmaya devam ediyor. Grafikte internet yönünde %114’lük bir trafik oluşması dikkatleri çekiyor. Trafik yönün geliş tarafında olması ise servislere doğru dışarıdan bir ağ saldırısının yapıldığını gösteriyor.

     

    Güncelleme 14 Aralık – 17:46
    ns1.nic.tr, ns2.nic.tr, ns3.nic.tr, ns4.nic.tr, ns5.nic.tr olarak isimlendirilen sunuculara ait IP adreslerinin halen erişimlerinin kesik olduğu görülüyor.

     

    Güncelleme 14 Aralık – 17:50
    odtu-tracerouteDiğer 5 sunucudan farklı olarak erişime açık tek DNS sunucusu olan tr.cctld.authdns.ripe.net, %99 paket kaybı ile hizmet vermeye çalışıyor.

     

    Güncelleme 14 Aralık – 18:14
    ns5.nic.tr sunucusunu barındıran 3C1B TELEKOM ilettiği mesajda; kendilerinin barındırdığı DNS sunucusunun gelen isteklere cevap verdiğini bildirmesine karşın yapılan kontrolde ilgili 178.251.42.18 IP adresine yurtdışından erişilemediği görülmekte.

     

    178.251.42.18/32 *[BGP/170] 02:23:06, localpref 100, from 213.248.64.225
    AS path: 9121 ?, validation-state: unverified
    to Discard

     

    Sunucuların IP adreslerinin yurtdışı erişimlerinin kapatılması nedeniyle halen yurtdışı DNS kullananlar ve Türkiye dışındaki noktalardan .tr alan adlarına erişim mümkün olamamakta.

     

    Güncelleme 14 Aralık – 18:25
    Çalışan tek sunucu olan ns3.nic.tr. [213.248.162.131] ile şu an isteklerin cevaplanmaya başlandığı görülmekte.

     

    Güncelleme 14 Aralık – 18:32
    Konuyla ilgili durumu özetler ilk açıklama yapıldı: Yapılan saldırının boyutlarından dolayı, sunucunun ayakta kalabilmesi amacı ile ilgili DNS sunucu YURTDIŞINA kapatılarak YURTİÇİ erişime açık tutulmaktadır. Bu sayede yurtiçi kullanıcılar .tr adreslerine erişebilmek için yaptıkları sorgulara cevap alabilmektedir.

     

    Güncelleme 14 Aralık – 18:35
    ns4.nic.tr. [193.140.100.200] aralıklarla istekleri cevaplamaya başladı.

     

    Güncelleme 14 Aralık – 18:42
    Cevap veren DNS sunuculara ait IP adresleri için yurtdışı bazı erişim sağlayıcılardan erişimin kesildiği görüldü. Bu durum .tr alan isimlerine yurtdışından erişimin yapılamamasına sebep olmaya devam ederken, problemin daha bölgesel olarak yaşanmasına sebep olması açısından olumlu bir durum olarak görülebilir.

     

    Güncelleme 14 Aralık – 21:09
    İsteklere cevap veren (NS3 ve NS4) 2 DNS sunucusunun da yurtdışı erişimlerinin bazı yurtdışı operatörlere doğru halen kesik olduğu görülüyor.

     

    Güncelleme 14 Aralık – 23:17
    nic-tr-down2-3 saat süre ile bölgesel de olsa cevap veren isim sunucularının tamamı tekrar kaybedilmiş olarak görünüyor.
    Yaşanan problemden dolayı gmail gibi sunucuları yurtdışında bulunan e-posta servislerinden gönderilen e-postalar sonu .tr uzantılı e-posta hesaplarına ulaşmıyor. Bu durum e-posta trafiğinde de ciddi problemlerin oluşmasına sebep oluyor.
    Gönderilen bazı e-postalar bir süre sonra ulaşır iken, bazı e-postalar iletilmeden hata mesajı dönebiliyor.

     

    *Yandaki ekran resmi tıklanarak cevap süreleri detaylı olarak görüntülenebilir.

     

     
    Güncelleme 15 Aralık – 00:47
    Nic.tr web sitesine erişim sağlanamıyor.

     

    Güncelleme 15 Aralık – 09:46
    ns1.nic.tr, ns2.nic.tr, ns3.nic.tr, ns4.nic.tr, ns5.nic.tr tüm isim sunucularının yurtdışı erişimlerinin tekrar aktif edildiği görülüyor.

     

    Güncelleme 15 Aralık – 11:31
    rrd.php-2Dün Ulaknet ağında problem yaşanmasına sebep olan yoğunluk tekrar görülmeye başladı. 40Gbps kapasitesi olduğu görülen linkin şuan kullanımı 38Gbps seviyesinde.

     

    Güncelleme 15 Aralık – 13:49
    DNS sunucuların tümünden cevap alınabildiği görülüyor.

     

    Güncelleme 15 Aralık – 14:41
    Yurtdışı erişimi aktif durumda olan sunuculardan bazılarında kararsız çalışma ve yanıt dönememe durumu tekrar başladı. Aynı zamanda www.nic.tr internet sitesine erişim sağlanamıyor.

     

    Güncelleme 15 Aralık – 14:58
    rrd.php-3Ulaknet ağında doluluk oranının %100’e ulaştığı görülüyor. DNS isteklerini cevaplayan 5 sistem olduğundan cevap alınamayanın yerine bir diğerinden yanıt dönüyor ve DNS yanıtlarında şu an için ciddi bir probleme sebep olacak durum görülmüyor. Bununla birlikte hat doluluğu nedeniyle üniversitelerin internet çıkışlarında, yavaşlama veya erişim sağlanamaması durumu olası.

     

    Güncelleme 15 Aralık – 16:21
    .TR alan adı sunucularından birini barındıran ve dün Türkiye’de barının sunucuların erişimi kesilmiş iken dünyaya hizmet vermeye çalışan tek sunucu ile ilgili olarak *RIPE (Réseaux IP Européens) tarafından konuyla ilgili açıklama yayınlandı:

     

    Dün, 14 Aralık 2015 Pazartesi günü, RIPE NCC Yetkili DNS servisleri gün içinde ciddi biçimde erişim problemleri yaşadı.

    Bu problem, ev sahipliği yaptığımız bir TLD(uzantı) ikincil DNS sunucusunu barındırmamız nedeniyle oluştu. Saldırı trafiği 08:00 UTC civarında başladı. Yetkili personelimiz konuyla ilgili olarak gün boyu çalıştı ve bazı önlemler almaya çalıştı. Alınan önlemler bir süre etkili olabildi. Gün sonuna doğru ise gelen saldırının büyüklüğü nedeniyle bize ait ana internet çıkışlarıda bu durumdan etkilendi.

    Oluşan bu durum karşısında internet servis sağlayıcılarımız (uplink provider) saldırının engellenmesi ve yönetilmesi için bize yardımcı oldular. Problem saat 18:30 (UTC) zaman diliminde çözüldü.

    Gelen saldırı halen devam etmekte olup, elimizden gelen en iyi imkanlar ile saldırıyı engellemeye çalışmaktayız. Gelen saldırı sahte IP adresleri üzerinden(spoof) yapılmakta olup, bu konuyla ilgili servis sağlayıcılar tarafında gerekli önlemlerin alınması önem arz etmektedir. – Romeo Zwart

     

    RIPE NCC Authoritative and Secondary DNS services on Monday 14 December

     

    * RIPE bölgemiz için IP adres tahsisi ve alan adlarının yönetimi konusunda bir otorite olup, internet konusundaki teknik kuralları belirleyen bir kuruluştur.

     

    Güncelleme 15 Aralık – 16:56
    Yapılan saldırı yöntemi ile ilgili olarak ilk detay bilgi ulaştı. Buna göre gelen saldırı ağırlıklı olarak DNS yansıtma tekniği ile yapılmakta. İlgili protokol aynı zamanda DNS istekleri için kullanıldığından saldırının temizlenmesi zorlaşmakta ve yine saldırı yöntemi nedeniyle ilgili linkler hızla doldurulabilmekte.

    Firewall Logları
    2015-12-15 16:05:57 GMT Host: 178.251.42.18
    Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
    Impact: 1.19 Gbps/443.91 Kpps

    2015-12-15 15:57:45 GMT Host: 178.251.42.18
    Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
    Impact: 1.04 Gbps/385.28 Kpps

    2015-12-15 15:55:57 GMT Host: 178.251.42.18
    Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
    Impact: 1.14 Gbps/424.27 Kpps

    Güncelleme 16 Aralık – 10:36
    İsim sunucularına doğru gerçekleşen saldırının halen devam ettiği bilgisi verilmiştir.

    Impact/Etki: 31.60 Gbps/3.08 Mpps
    Started/Başlangıç: 2015-12-16 07:07:12
    Ended/Bitiş: 2015-12-16 07:21:05
    Link Rate: 21.85 Gbps, 6061.200000% of 360.56 Mbps

     

    http://daghan.net/tr-alan-adlari-problemi.dgn#prettyPhoto aşama aşama olanları paylaşmış

    şuda ulaknetin yoğunluğu https://stat.ulakbim.gov.tr/ulaknet/

    BlackApple tarafından 16/Ara/15 23:35 tarihinde düzenlenmiştir
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    trooper
    trooper's avatar
    Kayıt Tarihi: 11/Kasım/2007
    Erkek

    sabah patlamıştı şimdi büyük çoğunluğu düzeldi rusya kaynaklı olması ihtimali yüksek

    edit: düzelmekten kastımda klasik Türk mantığı ile düzeltme yurtdışı erişimleri kapatarak...Bide kapatıp açalım düzelir belki ümidiyle reboot çekiyolardır herhalde

    trooper tarafından 15/Ara/15 00:27 tarihinde düzenlenmiştir

    ZzZzZzZ...!
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    DE5TROY3R
    DE5TROY3R's avatar
    Kayıt Tarihi: 04/Nisan/2007
    Erkek

    İstanbul Atatürk havaalanındada bazı yazılımsal sistemler gitti

     

    DE5TROY3R tarafından 15/Ara/15 00:13 tarihinde düzenlenmiştir
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    KaptaN
    KaptaN's avatar
    Kayıt Tarihi: 30/Ağustos/2005
    Erkek

    bu aralar ruslarla ilgili çok sorun olmaya başladı  ben il sorunu ammy ile yaşadım sanırm daha çok şey olacak merak ediyorum şu  koca koca heykırlar  nepıyor :))

     

    https://www.nic.tr/   gitmiş girmiyor..

  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    nick6
    0x656e
    0x656e's avatar
    Kayıt Tarihi: 19/Mayıs/2012
    Homo

    Dolaşan bilgilere göre hani millet olarak değilde grup olarak Anonymous gibi büyük bir topluluk falan değil ufak bir topluluğun (ama yetenekli) bunu yaptığı söyleniyor.

  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Tarikat Şeyhi
    HolyOne
    HolyOne's avatar
    Kayıt Tarihi: 01/Haziran/2002
    Erkek

    Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)


    Nush ile uslanmayanı etmeli tekdir, Tekdir ile uslanmayanın hakkı kötektir!
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    nick6
    0x656e
    0x656e's avatar
    Kayıt Tarihi: 19/Mayıs/2012
    Homo
    HolyOne bunu yazdı

    Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)

    Hani ddos almıyordu datacenter kapatmıştı ? :D 

  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    coLin
    coLin's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek
    0x656e bunu yazdı
    HolyOne bunu yazdı

    Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)

    Hani ddos almıyordu datacenter kapatmıştı ? :D 

    yok bea rene açıklamıştı ddos geldiğini. Hatta komedi unsuru katarak :d ha, holy sana özelden tam tersini dediyse onu bilemeyeceğim.

  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    nick6
    0x656e
    0x656e's avatar
    Kayıt Tarihi: 19/Mayıs/2012
    Homo
    coLin bunu yazdı
    0x656e bunu yazdı
    HolyOne bunu yazdı

    Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)

    Hani ddos almıyordu datacenter kapatmıştı ? :D 

    yok bea rene açıklamıştı ddos geldiğini. Hatta komedi unsuru katarak :d ha, holy sana özelden tam tersini dediyse onu bilemeyeceğim.

    DDoS alınca datacenter kapatmıştı işin özü aslında öyle bi açıklama gelmişti neyse :D

  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    trooper
    trooper's avatar
    Kayıt Tarihi: 11/Kasım/2007
    Erkek
    HolyOne bunu yazdı

    Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)

    aslında saldırı boyutu daha yüksektir fakat omurga router lar down olduğu için göremiyoruzdur ama yinede komik gelen ilk ciddi saldırı ile güzel ülkemin tdl ve akademik network altyapısının duman olması 


    ZzZzZzZ...!
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    DuPi
    DuPi's avatar
    Kayıt Tarihi: 21/Ağustos/2005
    Erkek
    trooper bunu yazdı
    HolyOne bunu yazdı

    Tahribata gelen ve ara ara servis kesintisine yol acan DDOS dan küçük bu =)

    aslında saldırı boyutu daha yüksektir fakat omurga router lar down olduğu için göremiyoruzdur ama yinede komik gelen ilk ciddi saldırı ile güzel ülkemin tdl ve akademik network altyapısının duman olması 

    Ne bekliyordun Tahribat gibi bir oluşum bile eski paylaşım ve yardımlaşmayı bırakmış, üyeler birbirine partisi,fikrine ve etniğine dalaşıyor. Şimdi geç sayılmaz 3 kişi sağlam ddos yapan bir uygulamanın mantığını anlatsa 10 kişi ona uygulama yazacak seviyede ama maalesef ki biz hala ak gençlik, ülkücü gençlik, kürt gençliği ,türk gençliği gibi aramıza kökten ayrılık sokacak işler ile meşgulüz. Bırakında siyasetçiler bu işle uğraşsın siz bu işin adamı değilsiniz burdaysanız sebebi farklı olmalı gerçekten gelişmeye açık olmalısınız. umuyorum. herkes etnikten önce insan olduğunu hatırlarda  gerek siber alanda gerekse de savaş meydanında bu toprakları nasıl aldığımızı tüm dünyaya bir kez daha gösteririz.  

     

    Şimdi o ddos saldırısını en etkili şekilde nasıl yapacağımızı anlatacak 3 arkadaş konuları açsın bekliyoruz :)

     

     

    DuPi tarafından 15/Ara/15 10:11 tarihinde düzenlenmiştir

    Ne zaman birşey öğrenmek istesem, Birden Vaktim Kalmıyor ?
Toplam Hit: 4657 Toplam Mesaj: 29
ddos ddos dns nictr