HTTP/2 PING flood hatalarını çözmenin yolları

TeknoDahi — Sat, 01 Nov 2025 11:41:49 +0000

HTTP/2 PING flood Saldırılarına Dikkat

Eylül 2025’te mühendislik sohbet odasında şu soru gündeme geldi: “Hangi kısmımız HTTP/2 istemcisine ErrCode=ENHANCE_YOUR_CALM göndermekten sorumlu?” İki iç mikroservis arasında iletişimi engelleyen bir hata meydana geldi ve ekip zamanında yanıt arıyordu.

Bu yazıda, HTTP/2 ile yapılan bilinen saldırılar ve bunların Cloudflare savunmalarını nasıl tetiklediği açıklanmakta, ayrıca Go’nun standart kütüphanesinde yapılan basit bir hatanın istemcilerin PING flood saldırıları göndermesine nasıl yol açabileceği ele alınmaktadır.

HTTP/2 güçlüdür – fakat kullanımı kolayca yanlışa yol açabilir

HTTP/2, HTTP semantiklerini kodlamak için bir ikili veri formatı tanımlar. İstemci ve sunucu arasında gönderilen istek ve yanıt mesajları, her biri mantıksal bir akışa bağlı HEADERS ve DATA çerçeveleri olarak kodlanır. Kontrol çerçeveleri, akışların veya bağlantının yönetimiyle ilgilidir. Örneğin, SETTINGS çerçeveleri bir uç noktanın özelliklerini duyurur, WINDOW_UPDATE çerçeveleri bir akraba veri gönderme yetkisini sağlar.

HTTP/2, meşru kullanımları olan birçok güçlü özellik sunar. Ancak, büyük güçlerin beraberinde sorumluluk ve kazara ya da kasıtlı olarak yanlış kullanım fırsatları gelir. Spesifikasyon, hizmet reddi için dikkate alınacak hususlar içerir. Uygulamalar, bu özelliklerin kullanımını izlemeli ve kullanım limitleri belirlemelidir.

Cloudflare’ın HTTP/2 Savunmaları

Cloudflare, sistemlerini ve müşterilerini korumak için yıllar içinde birçok HTTP/2 savunması geliştirmiştir. 2019’da “Netflix zafiyetleri” için eklenen önlemler ve 2023’te Rapid Reset ve benzeri saldırılara karşı alınan saldırı azaltmaları dikkat çekmektedir.

HTTP/2 istemci davranışı kötü niyetli olabileceği tespit edildiğinde, bağlantı, GOAWAY çerçevesi ile kapatılır ve ENHANCE_YOUR_CALM hata kodu eklenir.

Tanınmış bir saldırı örneği olan CVE-2019-9512 (PING flood), sürekli ping atılması durumunda sunucuda bir yanıt kuyruklanması yaratabilmektedir. PING çerçevesi, karşı tarafın yanıt vermek zorunda kalmasına yol açarak, ayrıca efor yaratmaktadır.

Belirli bir sıklıkla Cloudflare kenarına PING atan bir istemci, CVE-2019-9512 azaltma önlemlerini tetikleyecektir. Ayrıca, Cloudflare 2020 yılında gRPC desteğini başlattığında bazı gRPC istemcileri PING gönderme aşamasında uyumsuzluk sorunları yaşamış ve bu durumları düzeltmiştir.

İki Mikroservis Arasındaki İletişim Sorunu

Cloudflare sınırları üzerinden iletişim gerçekleştiren iki iç mikroservis arasında ENHANCE_YOUR_CALM hata kodunun sorumluluğu üzerine yapılan tartışmalarda, bunun aslında bir PING flood önleme sorunu olduğu doğrulanmıştır. Ancak iki mikroservisin Cloudflare kenarında neden iletişim kurduğunu sorgulamak da önemli bir noktadır.

İletişim kurmak, tesisatımızı test etme, Cloudflare Access ile güvenli erişim sağlama gibi avantajlar sunmaktadır.

Client’ın davranışının nedenini bulmak üzere bir analiz yapıldı. Sık sık PING atan bir uzantı ile sistem, otomatik kapanma durumuna geçmektedir. Sonuçta, istemcinin, io.Copy(io.Discard, resp.Body) ile yanıt gövdesini okumak yerine, direkt kapatmasını tercih etmesi sorun yaratmıştır. Çözüm olarak istemci güncellendi ve ENHANCE_YOUR_CALM kapanmalarının ortadan kalktığı doğrulandı.

ENHANCE_YOUR_CALM ile Karşılaşanlar İçin Öneriler

HTTP/2’nin birçok özelliği ve bazı uygulamaların bu özelliklerin yanlış kullanımına karşı kendilerini korumak için sertleştirdiği göz önüne alındığında, ENHANCE_YOUR_CALM hata kodu, kapanmalar için önerilmektedir. Eğer HTTP/2 istemciniz ENHANCE_YOUR_CALM ile kapanıyorsa, bağlantı desenlerini analiz etmek iyi bir fikir olacaktır.

Bu yazı, iç hizmetlerimizde kendi ürünlerimizi denemenin avantajlarını hatırlatmıştır. Karşılaşılan sorunlardan elde edilen dersler, benzer kurulumlara sahip müşterilere de yarar sağlayacaktır.

Kaynak: Cloudflare Blog

“>Kaynak

The post HTTP/2 PING flood hatalarını çözmenin yolları appeared first on Yapay Zekâ, Mobil, Teknoloji ve Donanım Haberleri | TeknoDahi.

DNS cache poisoning vulnerabilities ile ilgili yeni bulgular

TeknoDahi — Thu, 23 Oct 2025 08:31:33 +0000

DNS Cache Poisoning Vulnerabilities Tehlikesi

DNS cache poisoning vulnerabilities, BIND ve Unbound gibi popüler DNS çözümleyici yazılımlarda keşfedildi ve bu durum internet güvenliğini tehdit ediyor. BIND’in geliştiricileri, farklı mantık hataları ve rastgele sayı üretmedeki zayıflıklar nedeniyle iki önemli güvenlik açığının (CVE-2025-40778 ve CVE-2025-40780) ortaya çıktığını duyurdu. Bu açıkların her biri, 8.6’lık ciddi bir şiddet derecelendirmesine sahip. DNS çözümleyici yazılım olan Unbound’un geliştiricileri ise benzer zafiyetler için uyarıda bulundu; bu açıkların şiddeti 5.6 olarak derecelendirildi

Kaynak: Ars Technica

Kaminsky’nin Cache Poisoning Saldırısı Yeniden Gündemde

Bu zafiyetler, binlerce kuruluş içindeki DNS çözümleyicilerinin, alan adı sorguları için geçerli sonuçları bozuk sonuçlarla değiştirmesi amacıyla kullanılabilir. Bu bozuk sonuçlar, domain adı operatörü tarafından kontrol edilen (örneğin, arstechnica.com için 3.15.119.63 gibi) IP adreslerini, saldırganın kontrol ettiği zararlı adreslerle değiştirebilir. Üç güvenlik açığının tamamı için yamalar Çarşamba günü kullanıma sunuldu.

DNS Cache Poisoning Vulnerabilities ve Sonuçları

DNS cache poisoning vulnerabilities, internet kullanıcılarını sahte web sitelerine yönlendirerek önemli zararlara yol açabilir. Bu siteler, kullanıcıdan hassas bilgileri çalabilir veya kötü amaçlı yazılım yayabilir. Benzer geçmiş saldırılar, sistem yöneticilerini ve BT güvenlik uzmanlarını uyanık kalmaya ve sistemlerini güncel tutmaya zorlamıştı. Güncel yamaların hızlı bir şekilde uygulanması, bu tür tehdidin etkisini azaltmak için kritiktir.

The post DNS cache poisoning vulnerabilities ile ilgili yeni bulgular appeared first on Yapay Zekâ, Mobil, Teknoloji ve Donanım Haberleri | TeknoDahi.

ağ güvenliği - Yapay Zekâ, Mobil, Teknoloji ve Donanım Haberleri | TeknoDahi