DDOS Saldirilari ve Network Ağırlaşması / Kilitlenmesi

Bir ara bilgisayarlar sık sık kilitlenmeye başladı. Kilitlenmenin haricinde ağ içerisindeki çalışan bilgisayarlarda da internet olması gerekiyor lakin girmiyor, ağdaki diğer bilgisayarları göremiyor. Kısaca Çalışan bilgisayarlar ile çalışmayanlar da kafayı yedirtiyor. Sistemde DDOS saldırıları olduğunu düşünmüştüm ki yanılmamışım. Sistemi neticede yeni devir almıştım.

Kısaca DDOS saldırılarından bahsedelim, konumuza devam edelim. Kafası bozuğun teki bizim tabirimizle virüs/trajon yazıyor (ben buna programcık diyeceğim) . Binlerce, hatta milyonlarca bilgisayara bulaşmasını sağlıyor. Efendim bu programcık sahibinden komutunu bekliyor. Sahibi bir komut verdiğinde başlıyor o komutu işlemeye. Bir düşünün 1 milyon bilgisayar sahibinden habersiz, programcının istediklerini yapıyor.

Diyelim ki, xxx.com sitesini kullanılamaz hale getirmek istiyoruz. 1 milyon  bilgisayara hükmedebildiğimiz için, hepsini aynı anda durmadan xxx.com sitesine giriş yapıyor. Siteye girip beklemiyor, durmadan sitede işlem yapıyor.  Sayfadan sayfaya atlıyor.  Sitenin sunucusu olan server da kardeşim ben de bilgisayarım, yüklenmeyin  bu kadar diyerekten iflas ediyor. Gelen isteklere cevap veremez duruma düşüyor. Tabiri caizse site çöküşe uğruyor.

Gelelim saldırı yapan bilgisayarların haline… Durum servedan farksız diyebiliriz. Saldırı yapan bilgisayardaki programcık  arkada durmadan siteye girip işlem yapmak istediği için bilgisayarın her türlü işlevinin kısılmasına bazen de kilitlenmesine sebebiyet verebiliyor.  Ev kullanıcılarının başına böyle bir şey gelirse, bilgisayarım kilitleniyor, bozuk bilgisayar satmışlar gibi şikayetler duyabilirsiniz. En kötü ihtimalle format atarsın bilgisayar düzelir.

Network üzerinde 30-40 bilgisayar varsa ve bunlardan 5-6 tanesinde bu saldırıları yapan programcık varsa ne oluyor. Network kilitleniyor. Çalışan da çalışmayan da bir oluyor, “kimin eli kimin cebinde belli değil” tabirini bizzat yaşamış oluyorsunuz.

Nasıl Çözüyoruz?

Öncelikle belirtmek isterim ki, biz Zyxel P-662HW-D1 modem kullanıyoruz. Anlatacaklarım bu ürün üzerine olacak.

Çalışan temiz bir bilgisayar buluyor ve oturuyoruz başına. Başlat menüsünden Çalıştır diyoruz, “telnet <Modem IP>” yazıp tatmam diyoruz. Genelde modemin ip adresi 192.168.1.1 oluyor. Modem ipsi 192.168.1.1 olan bir modem için yazacağımız komut şöyle;

telnet 192.168.1.1

Karşımıza siyah bir ekran çıkacak.

Buraya modem şifrenizi girerek devam ediyorsunuz. Bu modemde direkt olarak komut satırı çıkıyor. Komut satırına

ip nat hashTable wanif0

komutunu veriyoruz ve enter basıyoruz. Zyxel modemlerin başka modellerinde ise bir menu geliyor. Bu menuden önce 24 sonra 8 ile command satırına ulaşabiliyorsunuz.

ip nat hashTable wanif0 komutundan sonra aşağıdaki gibi bir liste verecek.

Buradaki terimlerden bahsedelim.
Internal-IP yazan sütunda sizin yerel bilgisayarların ipsi mevcut. O an hangi bilgisayar internette işlem yapıyorsa o bilgisayarların ip adresleri yazar.
Outgoing-IP yazan sütunda modemin internete çıkış ip adresi yazar. Sizin internet ip adresinizdir.
External-IP yazan sütunda ise yerel bilgisayarın iletişimde olduğu sunucunun ip adresidir.

Bundan sonra iş size kalmış. Oradaki en çok ip adresi çıkan bilgisayarı networkten çıkartırsanız diğer bilgisayar bir kaç dakika içerisinde normal çalışmalarına geri dönecektir. Rahatsız olan bilgisayarı da en kötü ihtimal format atarak sorun uçözebilrsiniz. Fakat, unutmayın ki format atmadan önce elinizden geleni yapın. Format en son çözüm olmalı.

Bu arada bu yöntem ile MSN de görüşülen kişilerin ip numaraları da alınabiliyor.

Umarın aydınlatıcı olmuşumdur.