PDA

Tam Sürüm Bilgisini Göster : Siteye saldırı ,dilekçe







ykntr
16-06-2008, 16:04:54
merhabalar öncelikle,

yaklaşık 10gundur sahip oldugum siteye, uzaktan 10.000 üzerinde sahte IPadresi yaratılarak, siteme ziyaretçi sokulmakta, bu da siteye erişimi engellemektedir. Sitemde hiç bir yasa dışı içerik bulunmamaktadır.

Servis sağlayacığımdan, Ip ve apache log larını istedim. Gelen/Giden IP, Tarih vb.

şimdi en kısa sürede savcılığa bir dilekçe ile başvurmak istiyorum. Fakat bu konuda hiç bir bilgim yok, dilekçe sonrası, saldırı yapanı mı tespit edip bana bildirecekler ve sonrasında dava açma hakkına mı sahip olacağım?


Ayrıca bu konu için uygun bir dilekçe ornegınız varsa burda paylaşabilirmisiniz?

tesekkürler.

admin
16-06-2008, 17:01:05
C.Savcılığı'na şikayet dilekçesi verilmesi gerekiyor. Dilekçeyi ya siz yazmalısınız ya da avukatınız aracılığı ile şikayette bulunabilirsiniz. Dilekçenize delillerinizi de eklemeniz halinde gerekli kovuşturma yapılacaktır.

nikon
16-06-2008, 17:01:07
tipik bir DoS saldırısına maruz kalmışsınız,

kişisel düşüncem,bu durumda misal 10 .bin İP tespit ettiniz, hangi birini şikayet edebilirsinizki?

asıl suçluya ulaşmak çok çok zor,

internette bulduğum bir alıntıyı ekliyeyim;


DoS atakları sırasında düşman yakalanmamak ve iz bırakmamak için elinden geleni sarfeder. O yüzden bu ataklar için 'zombi' denilen aracı bilgisayarlar kullanır. Atakları bu zombiler üzerinden yaparak hem aynı anda bir çok bilgisayarın saldırmasını sağlar, hem de kendi kimliğini ve IP adresini/numarasını gizler. Bu şekilde birçok zombinin aynı anda saldırması ile yapılan DoS ataklarına Dağıtık DoS (DDoS) denir. Şubat ayı içindeki ataklar da çok sayıda zombinin kullanıldığı dağıtık DoS idi. O yüzden etkisi fazla oldu.



Zombiler aslında düşmanın bir açığını bularak önceden ele geçirdiği (hack ettiği) ve atak sırasında kullanılmak üzere bir deamon bıraktığı bilgisayarlardır. Başka bir deyişle zombiler düşman tarafından kullanılan ve kullanıldıklarının farkında bile olmayan masum bilgisayarlardır. Tek suçları güvensiz olmaktır. Zombiler üzerinde kurulan bu deamonlar belirli bir porttan gelecek DDoS emirlerini dinleyerek atakları gerçekleştirmektedirler. Düşmanlar zombi olarak genellikle açık ve göreceli olarak daha güvensiz olan çok kullanıcılı Internet Servis Sağlayıcı (ISS) ve üniversite bilgisayarlarını tercih etmektedirler. Son ataklarda genellikle Unix ve Linux tabanlı sistemler zombi olarak kullanılmışsa da Windows tabanlı sistemlerin de ele geçirildikten sonra zombi olarak kullanılmaları mümkündür.



Atak Teknikleri



Düşmanın kendisini gizleyebilmesini olanaklı kılan şey, HTTP, DNS gibi anonim Internet servislerinde, sitelerin IP numaralarını doğrulayacak bir denetim mekanizmasının (authentication) bulunmamasıdır. Bunun yanısıra yine aynı sebepten otürü düşman atakta kullanacağı trafiği zombiler üzerinden kurban siteye yönlendirebilmektedir. IP-spoofing olarak adlandırılan bu aldatma tekniğinde düşmanın yaptığı şey gönderdiği IP paketlerine kendi gerçek IP numarasını koymamak, yerine göre ya var olmayan bir IP numarasını ya da kurban sitenin numarasını koymaktır. Zombiler veya kurban siteler bu paketlerdeki gönderen IP numarasını doğrulayamadıkları için düşman kendisini gizleyerek istediği siteye saldırabilmektedir. Dilerseniz sistemin nasıl işlediğini yaygın bir DDoS tekniği olan SYN-flood tekniği üzerinde görelim.



Bir TCP bağlantısının başında istekte bulunan uygulama SYN paketi gönderir. Buna cevaben alıcı site SYN-ACK paketi göndererek isteği aldığını teyid eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alıcı site bunları biriktirir ve periyodik olarak göndermeye çalışır. SYN-flood türü ataklarda düşman, ya kendi sitesini kullanarak ya da Şubat ayındaki DDoS ataklarında olduğu gibi zombileri kullanarak kurban siteye dönüş adresi kullanımda olmayan bir IP numarası olan çok fazla sayıda SYN paketi gönderir. Kurban site SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim kuyrukların dolup taşmasına sebep olur ve kurban site normal kullanıcılara hizmet verememeye başlar.



IP-spoofing kullanan bir başka DDoS tekniği ise ping komutunu yani ICMP (Internet Control Message Protocol) protokolünü kullanan 'smurf' tekniğidir. Burada düşman çok miktarda bilgisayara ping isteği gönderir. Ancak bu isteklerde dönüş adresi olarak kurban bilgisayarın IP numarası verilir (bir tür IP-spoofing). Bu durumda çok miktarda bilgisayar bir anda kurban bilgisayarı cevap yağmuruna tutar ve kısa bir süre içinde kurban bilgisayar normal hizmet verememeye başlar.



Hangi teknik kullanılırsa kullanılsın düşman atağın şiddetini artırmak için kendi sisteminden başka olarak zombileri de uzaktan kumanda ederek yönlendirir. Bunun için zombilere emir olarak gönderdiği paketler genelde tek yönlüdür, yani zombi gelen DDoS emrini teyid etmez. Bu yüzden bu tür paketlerde de dönüş IP numarası verilmez ya da gerekirse yanlış bir numara verilir.



Ne yapılmalı?



Şu hali ile atağın ilk kaynağını yani düşmanı saptamak zordur. Saptansa bile ispatlanması şu anki teknoloji ile imkansızdır. Çoğu ülkenin yasalarla suç saydığı bu tür girişimlerin fail-i meçhul ve cezasız kalması atakları bir şekilde özendirmektedir. Bu gerçeğin bilincinde olan bazı şirketler kendilerine yapılan atakları rapor etmekten çekinmektedirler. Çünkü hem ünlerinin zedelenmesinden korkmaktalar hem de aynı atakların başkaları tarafından kopya edilmesinden çekinmektedirler. Gerçekten de İnternet üzerinde kolayca bulunabilecek bazı yazılımlar ile DDoS atakları düzenlemek kolaydır. Bu atakların etkisi atakta kullanılan zombilerin sayısı ve etkinliği ile orantılı olarak artacaktır.



DDoS atağı ilk farkedildiğinde yapılması gereken şey, kurban sitenin atağın geldiği adreslerden gelecek olan bağlantı isteklerini reddetmesidir. Sistemi tümden kapamak zaten atağı yapanın da amacı olduğundan bu tür bir davranış yenilgi anlamına gelir ve yapılmamalıdır. Bu atakların zombilerden geldiği düşünüldüğünde atağın merkezini saptamak adına sistemi daha da uzun süre saldırıya maruz tutmanın gereksiz olduğu ortaya çıkar. Her sitenin böyle bir durumda atılacak adımları önceden belirlemesi ve bir 'acil durum hareket planı' yapması gerekmektedir. Atağı başında farkedip önlemin alınması (yani servisin atağın geldiği adreslere kapatılması) atak karşısındaki zararı da en aza indirecektir.



Atak sırasında zombi olarak kullanılan bilgisayarların bu durumu farkedip düşmanın önceden kurduğu deamon'ları ortadan kaldırması da atağın bertaraf edilmesi açısından faydalı bir adımdır. Ancak çok miktarda ve birbirinden bağımsız zombilerden kaynaklanan ataklarda münferid birkaç zombinin alacağı bu şekildeki önlemler atağın şiddetini önlemeye yetmeyebilir.



Peki atağı başlamadan önlemenin yolu yok mudur? Bunun yolu IP-spoofing'i önlemekten geçer. Bunun için alınabilecek en erken çözüm daha sıkı paket filtreleme yapan firewallar kullanmak olabilir. Ancak bu yöntem hem pahalı, hem esnekliği az olduğundan, hem de sistemi genel olarak yavaşlatacağı için tercih edilmemektedir.



IP-spoofing tekniğini olanaklı kılan HTTP, DNS, SMTP gibi servislerin doğasındaki dönüş IP numaralarında doğruluk kontrolünün olmaması, aslında, DDoS ataklarının en büyük varlık sebebidir. IETF (Internet Engineering Task Force, Internet Mühendisliği İş Gücü) tarafından geliştirilmekte olan DNSSec ve IPSec protokollerinin ve yeni nesil IPv6'nın yaygınlaşması ile bu servislerdeki kimlik denetiminin artması ve bu sayede DDoS ataklarının azalması ve caydırıcı hale gelmesi beklenmektedir.



DDoS atakların etkisinin yüksek olması atak sırasında çok sayıda zombi kullanılması ile ilgilidir. O yüzden zombi olmamak için İnternete bağlı her bilgisayarın azami çaba göstemesi gerekmektedir. Periyodik olarak güvenlik yamalarının kurulması ve en son sürüm yazılımlarla varolan DDoS deamonlarının ve olası tecavüzlerin tesbiti, DDoS ataklarının şiddetini azaltacak etkili önlemlerdir. Sistem yöneticilerinin bu konularda eğitimli ve deneyimli olmaları elzemdir. Zombiler aslında atak sırasında çok önemli bir zarara uğramamaktadırlar, ancak başkalarına istemeden de olsa zarar vermelerinin önlenmesi ve İnternet sorumluluğu açısından gerekli önlemleri almaları şarttır, hatta zorunlu hale getirilmelidir

ykntr
16-06-2008, 19:00:22
bahsettiğiniz gibi coklu SYN saldırısına maruz kalmaktayım.
ancak saldırıda request sayısı az oldugundan firewall bunu normal olarak algılamakta ve izin vermekte, bu sebebten sitenin trafik kullanımı cogalmakta ve erişim sağlananmamaktadır.

gecen hafta request sayısı coktu ve fırewall ıle koruma sagladık ancak bu hafta saldırı turu degıstı.

bırcok IPden acaba saldıranı emniyet guclerı bulabılırler mı?

nikon
17-06-2008, 11:39:58
bahsettiğiniz gibi coklu SYN saldırısına maruz kalmaktayım.
ancak saldırıda request sayısı az oldugundan firewall bunu normal olarak algılamakta ve izin vermekte, bu sebebten sitenin trafik kullanımı cogalmakta ve erişim sağlananmamaktadır.

gecen hafta request sayısı coktu ve fırewall ıle koruma sagladık ancak bu hafta saldırı turu degıstı.

bırcok IPden acaba saldıranı emniyet guclerı bulabılırler mı?

ben teknik olarak zor olucağı düşüncesindeyim(ama diğer İP ler sahteyse gerçeye ulaşılma ihtimali var)

aynı anda siteye giriş yapıyorlar aslında bir nevi site yoğunluğuda sayılabilir, yani o kişiye ulaştığınızda
ben sadece siteye girdim diyebilir :)

sonuçta sizin herhangi bir şifrenizi yada özel verilerinizi bozmamış oluyor...

ykntr
17-06-2008, 20:23:54
ben teknik olarak zor olucağı düşüncesindeyim(ama diğer İP ler sahteyse gerçeye ulaşılma ihtimali var)

aynı anda siteye giriş yapıyorlar aslında bir nevi site yoğunluğuda sayılabilir, yani o kişiye ulaştığınızda
ben sadece siteye girdim diyebilir :)

sonuçta sizin herhangi bir şifrenizi yada özel verilerinizi bozmamış oluyor...

ama siteye erişimi engelliyor, uptime oranları mevcut. Makinanın kaynakları tek 1 kişi tüketiyor.

katipbey
17-06-2008, 21:50:04
Garip bir durum... savcılıkların o kadar çok işleri varki bununla ilgilenmek oldukça teferruatlı ve zor bir iş... Dilekçe versenizde bazı arkadaşların bahsettiği gibi düşmanı bulmak çok zor.
kimin yaptığını az çok tahmin ediyorsanız o kisinin muhtemel kullandığı bilgisayarların Ip leri tespit edilerek bi sonuca ulasılabilir.
Zira dilekçeniz Daimi aramalara konulur, Yada delil yetersizliğinden Takipsizlik kararı falan verilir... Diye düşünüyorum.
İyi günler...

nikon
18-06-2008, 00:15:41
ama siteye erişimi engelliyor, uptime oranları mevcut. Makinanın kaynakları tek 1 kişi tüketiyor.

biraz açık yazarmısınız,?

komple server mı, vps mi
yoksa server da bir hesabınız mı var acaba?

ykntr
29-06-2008, 10:23:07
biraz açık yazarmısınız,?

komple server mı, vps mi
yoksa server da bir hesabınız mı var acaba?

3üde oldu

3farklı sekılde denemeler yaptık

dedicated, vps ve hosting hesabımı kapattı. Biz onlemler buldukca o sistem değiştiriyor. Botnet iken SYN sonra ziyaretçi sokuyor siteye fake vb.

Simasher
03-07-2008, 19:48:10
Öncelikle r10,iyinet gibi forumlarda saldırıyı engellemek amaçlı yazılara yada kişilere ulaşabilirsiniz.Bunun dışında ddos,botnet HER TÜRLÜ saldırıda bilgilerle savcılığa başvurmanız mümkün.Birçok kişi yapıyor bunu kişisel bilgim yok fakat işin hukuki yönünü burdan teknik yönünü webmaster forumlarından öğrenmeniz tavsiyem ;)