Bilgisayar Genel Güvenlik Haberler İnternet Teknoloji

.TR Alan Adları (Domain) Problemi

Bugün saat 12:00 itibari ile tüm .tr uzantılı alan adları için erişim problemleri bildirilmeye başlandı.

Yapılan ilk incelemede .tr uzantılı tüm alan isimlerinin (domain) kayıtlarının durduğu DNS sunucuların taleplere cevap vermediği görülüyor.

.tr (Türkiye) alan adı(domin) yönetimini yapan ODTÜ kaynaklı problem nedeniyle hiçbir .tr alan adına (com.tr, net.tr, gov.tr vb.) ulaşılamıyor.

Daha önceden .tr alan isimlerini bir kez açmış olanlar ise cache nedeniyle kısa bir süre daha domainlere ulaşmaya devam edebilirken, yeni .tr uzaktılı bir isim açılmak istendiğinde erişim sağlanamıyor.

Güncelleme 14 Aralık – 16:20
Problemin nic.tr dns kayıtlarının tutulduğu sunuculara doğru olan bir DDOS saldırı nedeniyle olabileceği kesinlik kazanıyor. DNS kayıtlarının tutulduğu sunuculara ait IP adreslerine erişimin kesilmesi yönünde yurtdışı operatörlere doğru BGP kaydı yollandığı görülüyor.

144.122.95.51/32 *[BGP/170] 00:30:36, localpref 100, from 213.248.64.225
AS path: 9121 ?, validation-state: unverified
to Discard

Güncelleme 14 Aralık – 16:28
DNS sunucularından bir tanesinin cevap vermeye başladığı görülüyor.
ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 milliseconds)
ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 milliseconds)
ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,000 milliseconds)
ns1.nic.tr. [144.122.95.51] Query timed out (interrupted after 2,002 milliseconds)
ns2.nic.tr. [144.122.95.52] Query timed out (interrupted after 2,002 milliseconds)
tr.cctld.authdns.ripe.net. [193.0.9.120] …took 29 ms

Güncelleme 14 Aralık – 16:40
Ulusal Siber Olaylara Müdahale Merkezi ile yapılan görüşmede .tr alan adı sunucularına doğru DDOSsaldırısı yapıldığı yönünde ihbarın kendilerine ulaştığı bilgisi verildi.

Güncelleme 14 Aralık – 16:48
Sadece 1 adet DNS sunucusu çalışması nedeniyle her zaman sağlıklı bir dönüş sağlanamadığından problem devam etmekte.

Güncelleme 14 Aralık – 17:00
Türkiye Akademik İnternet Erişim Ağı Ulaknet‘in 40Gbps yurtdışı linkinin ODTÜ’ye doğru gelen trafik nedeniyle sature olduğu bilgisi alındı. Yaşanan bu durum nedeniyle üniversitelerin internet erişimlerinde de problemler yaşanmakta.

Güncelleme 14 Aralık – 17:13
.tr alan adı hizmetlerini yöneten ve bu hizmete ait servisleri barındıran ODTÜ’ye doğru dışarıdan gelen trafik nedeniyle Ulaknet ağında problem yaşanmaya devam ediyor. Grafikte internet yönünde %114’lük bir trafik oluşması dikkatleri çekiyor. Trafik yönün geliş tarafında olması ise servislere doğru dışarıdan bir ağ saldırısının yapıldığını gösteriyor.

Güncelleme 14 Aralık – 17:46
ns1.nic.tr, ns2.nic.tr, ns3.nic.tr, ns4.nic.tr, ns5.nic.tr olarak isimlendirilen sunuculara ait IP adreslerinin halen erişimlerinin kesik olduğu görülüyor.

Güncelleme 14 Aralık – 17:50
Diğer 5 sunucudan farklı olarak erişime açık tek DNS sunucusu olan tr.cctld.authdns.ripe.net, %99 paket kaybı ile hizmet vermeye çalışıyor.

Güncelleme 14 Aralık – 18:14
ns5.nic.tr sunucusunu barındıran 3C1B TELEKOM ilettiği mesajda; kendilerinin barındırdığı DNS sunucusunun gelen isteklere cevap verdiğini bildirmesine karşın yapılan kontrolde ilgili 178.251.42.18 IP adresine yurtdışından erişilemediği görülmekte.

178.251.42.18/32 *[BGP/170] 02:23:06, localpref 100, from 213.248.64.225
AS path: 9121 ?, validation-state: unverified
to Discard

Sunucuların IP adreslerinin yurtdışı erişimlerinin kapatılması nedeniyle halen yurtdışı DNS kullananlar ve Türkiye dışındaki noktalardan .tr alan adlarına erişim mümkün olamamakta.

Güncelleme 14 Aralık – 18:25
Çalışan tek sunucu olan ns3.nic.tr. [213.248.162.131] ile şu an isteklerin cevaplanmaya başlandığı görülmekte.

Güncelleme 14 Aralık – 18:32
Konuyla ilgili durumu özetler ilk açıklama yapıldı: Yapılan saldırının boyutlarından dolayı, sunucunun ayakta kalabilmesi amacı ile ilgili DNS sunucu YURTDIŞINA kapatılarak YURTİÇİ erişime açık tutulmaktadır. Bu sayede yurtiçi kullanıcılar .tr adreslerine erişebilmek için yaptıkları sorgulara cevap alabilmektedir.

Güncelleme 14 Aralık – 18:35
ns4.nic.tr. [193.140.100.200] aralıklarla istekleri cevaplamaya başladı.

Güncelleme 14 Aralık – 18:42
Cevap veren DNS sunuculara ait IP adresleri için yurtdışı bazı erişim sağlayıcılardan erişimin kesildiği görüldü. Bu durum .tr alan isimlerine yurtdışından erişimin yapılamamasına sebep olmaya devam ederken, problemin daha bölgesel olarak yaşanmasına sebep olması açısından olumlu bir durum olarak görülebilir.

Güncelleme 14 Aralık – 21:09
İsteklere cevap veren (NS3 ve NS4) 2 DNS sunucusunun da yurtdışı erişimlerinin bazı yurtdışı operatörlere doğru halen kesik olduğu görülüyor.

Güncelleme 14 Aralık – 23:17
2-3 saat süre ile bölgesel de olsa cevap veren isim sunucularının tamamı tekrar kaybedilmiş olarak görünüyor.
Yaşanan problemden dolayı gmail gibi sunucuları yurtdışında bulunan e-posta servislerinden gönderilen e-postalar sonu .tr uzantılı e-posta hesaplarına ulaşmıyor. Bu durum e-posta trafiğinde de ciddi problemlerin oluşmasına sebep oluyor.
Gönderilen bazı e-postalar bir süre sonra ulaşır iken, bazı e-postalar iletilmeden hata mesajı dönebiliyor.

*Yandaki ekran resmi tıklanarak cevap süreleri detaylı olarak görüntülenebilir.

 
Güncelleme 15 Aralık – 00:47
Nic.tr web sitesine erişim sağlanamıyor.

Güncelleme 15 Aralık – 09:46
ns1.nic.tr, ns2.nic.tr, ns3.nic.tr, ns4.nic.tr, ns5.nic.tr tüm isim sunucularının yurtdışı erişimlerinin tekrar aktif edildiği görülüyor.

Güncelleme 15 Aralık – 11:31
Dün Ulaknet ağında problem yaşanmasına sebep olan yoğunluk tekrar görülmeye başladı. 40Gbps kapasitesi olduğu görülen linkin şuan kullanımı 38Gbps seviyesinde.

Güncelleme 15 Aralık – 13:49
DNS sunucuların tümünden cevap alınabildiği görülüyor.

Güncelleme 15 Aralık – 14:41
Yurtdışı erişimi aktif durumda olan sunuculardan bazılarında kararsız çalışma ve yanıt dönememe durumu tekrar başladı. Aynı zamanda www.nic.tr internet sitesine erişim sağlanamıyor.

Güncelleme 15 Aralık – 14:58
Ulaknet ağında doluluk oranının %100’e ulaştığı görülüyor. DNS isteklerini cevaplayan 5 sistem olduğundan cevap alınamayanın yerine bir diğerinden yanıt dönüyor ve DNS yanıtlarında şu an için ciddi bir probleme sebep olacak durum görülmüyor. Bununla birlikte hat doluluğu nedeniyle üniversitelerin internet çıkışlarında, yavaşlama veya erişim sağlanamaması durumu olası.

Güncelleme 15 Aralık – 16:21
.TR alan adı sunucularından birini barındıran ve dün Türkiye’de barının sunucuların erişimi kesilmiş iken dünyaya hizmet vermeye çalışan tek sunucu ile ilgili olarak *RIPE (Réseaux IP Européens) tarafından konuyla ilgili açıklama yayınlandı:

Dün, 14 Aralık 2015 Pazartesi günü, RIPE NCC Yetkili DNS servisleri gün içinde ciddi biçimde erişim problemleri yaşadı.

Bu problem, ev sahipliği yaptığımız bir TLD(uzantı) ikincil DNS sunucusunu barındırmamız nedeniyle oluştu. Saldırı trafiği 08:00 UTC civarında başladı. Yetkili personelimiz konuyla ilgili olarak gün boyu çalıştı ve bazı önlemler almaya çalıştı. Alınan önlemler bir süre etkili olabildi. Gün sonuna doğru ise gelen saldırının büyüklüğü nedeniyle bize ait ana internet çıkışlarıda bu durumdan etkilendi.

Oluşan bu durum karşısında internet servis sağlayıcılarımız (uplink provider) saldırının engellenmesi ve yönetilmesi için bize yardımcı oldular. Problem saat 18:30 (UTC) zaman diliminde çözüldü.

Gelen saldırı halen devam etmekte olup, elimizden gelen en iyi imkanlar ile saldırıyı engellemeye çalışmaktayız. Gelen saldırı sahte IP adresleri üzerinden(spoof) yapılmakta olup, bu konuyla ilgili servis sağlayıcılar tarafında gerekli önlemlerin alınması önem arz etmektedir. – Romeo Zwart

RIPE NCC Authoritative and Secondary DNS services on Monday 14 December

* RIPE bölgemiz için IP adres tahsisi ve alan adlarının yönetimi konusunda bir otorite olup, internet konusundaki teknik kuralları belirleyen bir kuruluştur.

Güncelleme 15 Aralık – 16:56
Yapılan saldırı yöntemi ile ilgili olarak ilk detay bilgi ulaştı. Buna göre gelen saldırı ağırlıklı olarak DNS yansıtma tekniği ile yapılmakta. İlgili protokol aynı zamanda DNS istekleri için kullanıldığından saldırının temizlenmesi zorlaşmakta ve yine saldırı yöntemi nedeniyle ilgili linkler hızla doldurulabilmekte.

Firewall Logları
2015-12-15 16:05:57 GMT Host: 178.251.42.18
Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
Impact: 1.19 Gbps/443.91 Kpps

2015-12-15 15:57:45 GMT Host: 178.251.42.18
Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
Impact: 1.04 Gbps/385.28 Kpps

2015-12-15 15:55:57 GMT Host: 178.251.42.18
Signatures: ICMP, IP Fragmentation, Total Traffic, DNS, UDP, DNS Amplification
Impact: 1.14 Gbps/424.27 Kpps

Güncelleme 16 Aralık – 10:36
İsim sunucularına doğru gerçekleşen saldırının halen devam ettiği bilgisi verilmiştir.

Impact/Etki: 31.60 Gbps/3.08 Mpps
Started/Başlangıç: 2015-12-16 07:07:12
Ended/Bitiş: 2015-12-16 07:21:05
Link Rate: 21.85 Gbps, 6061.200000% of 360.56 Mbps

Güncelleme 17 Aralık – 14:06
Tüm sunucuların gelen isteklere cevap veremez durumda olduğu görülüyor. Yurtdışından .TR alanadı için yapılan sorgulamalarda bu sebeple yanıt alınamıyor.

nslookup nic.tr
** server can’t find nic.tr: SERVFAIL

Searching for nic.tr. A record at E.ROOT-SERVERS.NET. [192.203.230.10] …took 1 ms
Searching for nic.tr. A record at ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,001 milliseconds)
Retrying…
Searching for nic.tr. A record at ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns2.nic.tr. [144.122.95.253] Query timed out (interrupted after 2,003 milliseconds)
Retrying…
Searching for nic.tr. A record at ns1.nic.tr. [144.122.95.252] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns2.nic.tr. [144.122.95.253] Query timed out (interrupted after 2,003 milliseconds)
Retrying…
Searching for nic.tr. A record at ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns1.nic.tr. [144.122.95.252] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,002 milliseconds)
None of the nameservers responded correctly.

Güncelleme – 17 Aralık – 16:04
Ulaknet akademik ağı üzerinde barınan isim sunucularına gelen saldırının yarattığı problem nedeniyle Selçuk Üniversitesi Bilgi İşlem Daire Başkanlığı bir duyuru yayınladı.

 

İnternet Yavaşlığı Hk.
Yayınlayan Birim Selçuk Üniversitesi
Servis Sağlayıcıdan kaynaklanan bir sıkıntıdan dolayı üniversite internet çıkışlarında yavaşlıklar yaşanmaktadır. Çalışmalar devam etmekte olup sorunun çözülmesi beklenmektedir.
Tüm Personel ve öğrencilerimize duyurulur.
Bilgi İşlem Daire Başkanlığı

Güncelleme – 18 Aralık 15:44
Sunucuların halen saldırı altında olduğu ve gelen isteklere aralıklarla cevap verebildiği görülüyor. Ancak sorgu yapan sistemlerce kayıtların bir süre saklanması üzerine kurulu bir yapı olduğundan (cache) yaşanan bu durum kullanıcılara yansımıyor.

Güncelleme – 19 Aralık 12:05
İsim sunucuları halen saldırı altında olup, isim sunucuları yanıt dönememektedir.

Searching for nic.tr. A record at H.ROOT-SERVERS.NET. [128.63.2.53] …took 89 ms
Searching for nic.tr. A record at ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,003 milliseconds)
Retrying…
Searching for nic.tr. A record at ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns2.nic.tr. [144.122.95.253] Query timed out (interrupted after 2,003 milliseconds)
Retrying…
Searching for nic.tr. A record at ns1.nic.tr. [144.122.95.252] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns1.nic.tr. [144.122.95.252] Query timed out (interrupted after 2,003 milliseconds)
Retrying…
Searching for nic.tr. A record at ns5.nic.tr. [178.251.42.18] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns3.nic.tr. [213.248.162.131] Query timed out (interrupted after 2,003 milliseconds)
Retrying…
Searching for nic.tr. A record at ns2.nic.tr. [144.122.95.253] Query timed out (interrupted after 2,002 milliseconds)
Retrying…
Searching for nic.tr. A record at ns4.nic.tr. [193.140.100.200] Query timed out (interrupted after 2,003 milliseconds)
None of the nameservers responded correctly.

Güncelleme 20 Aralık – 00:03
İsim sunucularına doğru saldırı devam etmekte olup, geçmiş 3 saatlik zaman diliminde .TR isimlerin çözümlenebildiği görülmüştür.

Güncelleme 21 Aralık – 10:35
Hafta sonu kısmen rahatlayan sistem hafta başı itibari ile tekrar cevap veremez durumda. Sunuculardan büyük ölçüde cevap alınamıyor. Bu durum yurtdışı çıkışlı e-postaların .TR uzantılı alan adlarına ulaşamamasına veya geç ulaşmasına sebep olmakta. *Avrupa üzerinden gönderilen isteklerde her bir sunucu için 15 saniye gibi uzun bir süre yanıt bekleniyor.

ns1.nic.tr icin deneniyor…
;; connection timed out; no servers could be reached
Sorgu suresi: 15.014 saniye.

ns2.nic.tr icin deneniyor…
;; connection timed out; no servers could be reached
Sorgu suresi: 15.036 saniye.

ns3.nic.tr icin deneniyor…
;; connection timed out; no servers could be reached
Sorgu suresi: 15.02 saniye.

ns4.nic.tr icin deneniyor…
;; connection timed out; no servers could be reached
Sorgu suresi: 15.064 saniye.

ns5.nic.tr icin deneniyor…
;; connection timed out; no servers could be reached
Sorgu suresi: 15.021 saniye.

Güncelleme 21 Aralık – 22:08
.TR alan adı servisinin çalışmasını durdurmak amacı ile başlatılan DDos saldırı hakkında .TR alan adı yönetimini yapan ODTÜ’den açıklama geldi.

 


.TR Domain Name Servers (DNS) are under Attack!
Nic.tr is Turkish domain name authoritie for .tr domain names. It is administered by Middle East Technical University Computer Center (ODTU)

Today, nic.tr services has some technical difficulties about .tr name resolution systems. It because of DDOS attack for their name servers. The network and name servers have been saturated by attack traffic.

Problem has been started at December 14.2015 12:00 PM(GMT+2).

All DNS servers which have .tr domain name dns records are under DDOS attack and they can’t reply DNS queries, very well.

Nic.tr null routed servers IP address to out of Turkey for try to stop attack but nobody can access .tr domain names who send requests from out of Turkey at this time.

Also e-mail services of .tr domains are not working because name resolution is not working, too

ODTU’s nic.tr service use Turkey academic internet access (Ulaknet) for give this service. Because of attack also Ulaknet has been saturated.

DNS system has been fixed and all .tr domain name servers has been started to answer queries. – December 15.2015 13:51PM (GMT+2)

One of .TR domain name server hosted by RIPE and RIPE has a network problem because of this. You can read via RIPE NCC Authoritative and Secondary DNS services on Monday 14 December

Yazar Hakkında

Mustafa SEVİNÇ

3 Yorum

  • Ben o gün hiç bir erişim sorunu yaşamadım, ihs aracılığıy almış olmanın bir artısı olsa gerek. Ama özellikle bu rus olayından sonra hedef alınmış olabilir. Bir diğer konu ise nic.tr üzerinde bu kadar kolay bir şekilde aksama yaratmaları bir yerlerde açık veya ihmalin olduğunun göstergesidir.

    • Bende şahsen Google DNS'leri ile sorun yaşamadım. Fakat yaşayanlar var. Gerek devlet kurumları gerek bankalar olsun erişim sorunları yaşandı. Yurtdışına erişimi kapattılar. Uptime Doctor aracılığıyla sitem yurtdışı sunucularından sürekli kontrol ediliyor. Uptime oranı ölçülüyor. Kesintiler hakkında bilgilendiriliyorum. Son zamanlarda uptime oranımda düştü. Fakat sitede kapanma durumu yok DNS çözümlenemediğinden yurtdışından siteye ulaşılamıyor. http://uptime.mustafasevinc.com.tr/

      Yurt içinde herhangi bir sorun gözükmüyor,ve IHS'nın bu konuda bir artısı olduğunu zannetmiyorum. Sadece IHS kayıt operatörlüğü yapmaktadır. .tr domain alt yapısı ULAKNET tarafından sağlanmakta.

Yorum Alanı