Selamlar,
Son 48 saattir siteme yönelik gelişmiş bir Layer 7 HTTP Flood saldırısı almaktayım. Saldırı karakteristiğini analiz ettim, standart konfigürasyonlarla bypass ediliyor. Teknik detaylar aşağıdadır:
Analiz Verileri:
Hacim: 24 saatte 84.22k request (Peak anlarında saniyede 150+ istek).
Geolocation: %95+ Türkiye (Genellikle yerli ISP ve Residential Proxy ağları kullanılıyor).
Fingerprint: Tamamı Android/Chrome tabanlı Mobile User-Agent'lar üzerinden geliyor. Header yapıları gerçek kullanıcıyı simüle edecek şekilde manipüle edilmiş.
Payload Hedefleri: /wp-login.php, /xmlrpc.php, /favicon.ico. Özellikle bypass denemeleri için statik dosyalar ile veritabanı yoran dinamik yollar arasında rotasyon yapılıyor.
IP Davranışı: High-frequency IP rotation (IP Rotasyonu) mevcut. Statik banlama veya 161.35.86.203 gibi tekil IP bloklamaları etkisiz kalıyor.
Mevcut Güvenlik Katmanı:
Cloudflare Managed Challenge (JS/Captcha bariyeri bazen bypass ediliyor).
Under Attack Mode (Aktif ancak bounce rate çok yüksek).
Teknik Sorum:
Türkiye trafiğini tamamen drop etmeden, bu "Mobil User-Agent" görünümlü bot trafiğini ayıklamak için;
Cloudflare WAF Expression tarafında http.user_agent veya cf.client.bot dışında, Header bazlı (Accept-Language, Sec-CH-UA vb.) bir filtreleme öneriniz var mı?
Yerli ASN bloklarından gelen bu saldırıyı, gerçek kullanıcı deneyimini bozmadan Rate Limiting ile nasıl dizginleyebilirim?
Tecrübeli arkadaşlardan teknik bir dokunuş bekliyorum. Teşekkürler.
Son 48 saattir siteme yönelik gelişmiş bir Layer 7 HTTP Flood saldırısı almaktayım. Saldırı karakteristiğini analiz ettim, standart konfigürasyonlarla bypass ediliyor. Teknik detaylar aşağıdadır:
Analiz Verileri:
Hacim: 24 saatte 84.22k request (Peak anlarında saniyede 150+ istek).
Geolocation: %95+ Türkiye (Genellikle yerli ISP ve Residential Proxy ağları kullanılıyor).
Fingerprint: Tamamı Android/Chrome tabanlı Mobile User-Agent'lar üzerinden geliyor. Header yapıları gerçek kullanıcıyı simüle edecek şekilde manipüle edilmiş.
Payload Hedefleri: /wp-login.php, /xmlrpc.php, /favicon.ico. Özellikle bypass denemeleri için statik dosyalar ile veritabanı yoran dinamik yollar arasında rotasyon yapılıyor.
IP Davranışı: High-frequency IP rotation (IP Rotasyonu) mevcut. Statik banlama veya 161.35.86.203 gibi tekil IP bloklamaları etkisiz kalıyor.
Mevcut Güvenlik Katmanı:
Cloudflare Managed Challenge (JS/Captcha bariyeri bazen bypass ediliyor).
Under Attack Mode (Aktif ancak bounce rate çok yüksek).
Teknik Sorum:
Türkiye trafiğini tamamen drop etmeden, bu "Mobil User-Agent" görünümlü bot trafiğini ayıklamak için;
Cloudflare WAF Expression tarafında http.user_agent veya cf.client.bot dışında, Header bazlı (Accept-Language, Sec-CH-UA vb.) bir filtreleme öneriniz var mı?
Yerli ASN bloklarından gelen bu saldırıyı, gerçek kullanıcı deneyimini bozmadan Rate Limiting ile nasıl dizginleyebilirim?
Tecrübeli arkadaşlardan teknik bir dokunuş bekliyorum. Teşekkürler.
