Cloud Flare kullanana arkadaşlar genellikle ddos dan ağzı yanmış, günlerce siteleri saldırı almış kişilerdir, kurtulmak adına Cloud flare kullanırlar…
Cloud flare ddos saldırıları anlamında %100 bir çözüm sağlamasa da genel anlamda basit tools ile yapılan saldırıları engelleyebilecek yeteneklere sahip. Bu nedenle birçok kişi free olması nedeni ile bu çözümü kullanmakta.
Kişisel olarak bana soran arkadaşlara da ilk öneri olarak sunuyorum cloud flare..
Geçtiğimiz günlerde bu şekilde öneride bulunduğum bir arkadaş denemek istedi ve ns adreslerini cloud flame *olarak değiştirdi. Saldırıların artık onu etkilemiyeceğini rahat bir nefes alacağını düşünüyordu, hiçte umduğu gibi olmadı..
Saldırı devam ediyor, cloud flare hiç bir işe yaramamış gibi görünüyordu, bende yardım istedi, “dediğini yaptım ama bir türlü bu adamlara engel olamıyorum bir haftadır sitem neredeyse hiç çalışmıyor” v.s diyerek…
Bende firsattan istifade cloud flare bir bakayım bakalım gerçten işe yaramıyor mu diye sunucuya login oldum, tcp dump ile paketleri dinlemeye başladım, sunucuya tek bir ip adresinden çok fazla paket geliyordu, ip engellediğimde sorun çözüldü 🙂 Tabi yeni IP adreslerinin gelmesi uzun sürmedi 🙂
Ok anladık ki bu arkadaş bizim sunucu ip adresini öğrenmiş ve domain adı ile değil ip adresi ile saldırıyor ve böylece cloud flare filitresinden geçmeden direk olarak sunucuya geliyordu.
Şimdi asıl soru şuydu;
“Cloud flare geçtikten sonra sunucuyu da değiştirdik ve ip adresimiz değişmişti, siteye bizim ip adresimiz ile değil cloud flare ip adresi ile erişilebiliyordu ancak bu arkadaş nasıl oluyorduda bizim ip adresimizi tespit edebiliyordu?”
Kısa bir araştırmadan sonra IP adresinin nasıl tespit edildiğini anladım. Arkadaş subdomain kayıtlarını dns walk v.s. gibi uygulamalar ile tespit etmiş, name server ve mail gibi subdomain dns kayıtlarına ping atarak sitenin hangi ip adresinden yayınlandığını öğrenmiş, host dosyasına site.com 1.1.1.1 şeklinde kayıt ekleyerek siteninde bu sunucu da olduğundan emin olduktan sonra ip adresine saldırmaya başlamış.
Çözüm apache config deki subdomainleri kaldırdık, IP adresini değiştirdik, arkadaşın IP ve subdomain ile erişebileceği bir adres kalmayınca arge yapmak üzere geri çekildiğini düşünüyoruz 🙂
Benim için küçük ama faydalı bir tecrübeydi, problem yaşayan farklı arkadaşlar olabilir düşüncesi ile tecrübelerimi paylaşmak istedim, Faydalı olabilmesi temennisi ile…
