Konu: Botnet Saldırısını Nasıl Engellerim ?
Tekil Mesaj gösterimi
Alt 14 Şubat 2008, 10:52   #19
Çevrimdışı
SaW
Kullanıcıların profil bilgileri misafirlere kapatılmıştır.
IF Ticaret Sayısı: (0)
IF Ticaret Yüzdesi:(%)
Yanıt: Botnet Saldırısını Nasıl Engellerim ?



Giriş kodu kurmadan ve IRC girişlerini kapatmadan yapabileceğin şeyleri sıralıyorum..

Öncelikle botları iyi tanıman lazım.. Ortak özelliklerini görüp ona göre hareket etmen lazım.. Belliki nickte identte ve fullnamede bir ortak özellik yok o halde yapman gereken:

1- version cevabını kontrol etmelisin..
- Version cevabı veriyor mu? Veriyorsa sadece o botlara özel bir version cevabı mı?
- Bu tarz botların bir çoğu iki kere version cevabı verir ve ikinci version cevabında version kelimesi küçük harflerledir.. Bu yeterli bi açıktır onlar için.. Bu ve bunun gibi şeyleri dikkatle incelemen lazım ve ona göre bir koruma yapman lazım..

2- Sunucuya girer girmez nick şifreliyorlar mı?
- Eğer şifreliyorlarsa hepsi aynı şifreyi ya da maili kullanıyorsa bunu spamfitera ekleyebilirsin
- Şifreliyorlar ama herhangi bir ortak özellik yoksa şu durumda txf arkadaşımıza yaptığım bir koruma vardı, sunucuya girer girmez nick şifrelendiğinde şifreleyeni banlayıp nicki droplayan bir korumaydı onu kullanabilirsin..

3- Bir anda mı yığılıyorlar?
- Eğer giriş yoğunluğu varsa örneği çok olan giriş taşması korumalarından birini kullanabilirsin..

4- Özellere reklam yapıyorlar mı?
- Eğer yapıyorlarsa ScanX'te var olan 20 saniye içerisinde özele 3 defa aynı mesaj geldiğin onu spamfiltera ekleyen bir korumayı öneririm..

5- Kısa süre içerisinde hızlı hızlı nick değişiyorlar mı?
- Bu da onlar için bir açıktır. Mesela 2 saniyede 3 kere nick dğeişiyor diyelim, buna göre bir koruma eklemen çözüm olacaktır..

6- Kısa süre içerisinde hızlı hızlı join-part yapoyorlar mı?
- Bir yukarıdaki örnekte olduğu gibi buna da bir koruma yapılabilir..

v.s v.s

Örnekler çoğaltılabilir.. Demek istediğim şudur, bir saldırıyı önlemek için öncelikle saldırıyı iyi analiz etmek lazım, ve sonra ona göre koruma yapmak lazım.. Bu yukarıdaki yazdığım korumaların hiç biri tek başına yeterli olmayabilir bu yüzden kombine bir şekilde kullanmak daha mantıklı olacaktır..

İyi bir koruma saldırıyı en iyi şekilde önleyen değil; saldırıyı önlerken en az hatayla ve en az masum kişilerin zarar göreceği şekilde olanıdır.. O yüzden yapay zekayla bir yere kadar önleyebilirsin yani en az hatayla ne kadar aza indirebilirsen o kadar iyidir..

Son olarak ise iyi bir admine ihtiyacın var.. Çünkü daha önce de belirttiğim gibi yapay zekayla bir yere kadar..

 
Alıntı ile Cevapla

IRCForumlari.NET Reklamlar
sohbet odaları eglen sohbet reklamver