OWASP Top 10 Application Security Risks - 2017

A1-Injection

Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization.

A2-Broken Authentication and Session Management

Application functions related to authentication and session management are often implemented incorrectly, allowing attackers to compromise passwords, keys, or session tokens, or to exploit other implementation flaws to assume other users’ identities (temporarily or permanently).

A3-Cross-Site Scripting (XSS)

XSS flaws occur whenever an application includes untrusted data in a new web page without proper validation or escaping, or updates an existing web page with user supplied data using a browser API that can create JavaScript. XSS allows attackers to execute scripts in the victim’s browser which can hijack user sessions, deface web sites, or redirect the user to malicious sites.

A4-Broken Access Control

Restrictions on what authenticated users are allowed to do are not properly enforced. Attackers can exploit these flaws to access unauthorized functionality and/or data, such as access other users' accounts, view sensitive files, modify other users’ data, change access rights, etc.

A5-Security Misconfiguration

Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, platform, etc. Secure settings should be defined, implemented, and maintained, as defaults are often insecure. Additionally, software should be kept up to date.

A6-Sensitive Data Exposure

Many web applications and APIs do not properly protect sensitive data, such as financial, healthcare, and PII. Attackers may steal or modify such weakly protected data to conduct credit card fraud, identity theft, or other crimes. Sensitive data deserves extra protection such as encryption at rest or in transit, as well as special precautions when exchanged with the browser.

A7-Insufficient Attack Protection

The majority of applications and APIs lack the basic ability to detect, prevent, and respond to both manual and automated attacks. Attack protection goes far beyond basic input validation and involves automatically detecting, logging, responding, and even blocking exploit attempts. Application owners also need to be able to deploy patches quickly to protect against attacks.

A8-Cross-Site Request Forgery (CSRF)

A CSRF attack forces a logged-on victim’s browser to send a forged HTTP request, including the victim’s session cookie and any other automatically included authentication information, to a vulnerable web application. Such an attack allows the attacker to force a victim’s browser to generate requests the vulnerable application thinks are legitimate requests from the victim.

A9-Using Components with Known Vulnerabilities

Components, such as libraries, frameworks, and other software modules, run with the same privileges as the application. If a vulnerable component is exploited, such an attack can facilitate serious data loss or server takeover. Applications and APIs using components with known vulnerabilities may undermine application defenses and enable various attacks and impacts.

A10-Underprotected APIs

Modern applications often involve rich client applications and APIs, such as JavaScript in the browser and mobile apps, that connect to an API of some kind (SOAP/XML, REST/JSON, RPC, GWT, etc.). These APIs are often unprotected and contain numerous vulnerabilities.

Windows'da Komut İstemini (CMD) Kullanarak Herhangi Bir Sürücüde Gizlenmiş Virüsler Nasıl Tespit Edilir?

Virüsler, bilgisayarınıza ulaşan ve kendi kendini çoğaltan zararlı bilgisayar programlarıdır. USB/Flash bellekler, harici ortamlar, e-mail vb. bir çok yolla bilgisayarınıza bulaşabilir ve sizlere maddi - manevi bir çok zarara uğratabilirler. Hepimizin bildiği üzere virüslere karşı bir çok antivirüs yazılımı vardır. Antivirüs yazılımları virüslere karşı kalkan görevi görse de kimi zaman yeterli olmadığı zamanlar vardır. Bu gibi durumlarda CMD komut istemi üzerinden virüslere karşı bazı önlemler alınabilmektedir. Genellikle Autorun.inf, newfolder.exe, ravmon.exe, svchost.exe vb. virüslerle uğraşmak zorunda kalmaktayız. Bu virüsler bazen dosya olarak karşımızı çıkarlar, bazen de kendini saklayarak gizli dosya olarak bilgisayarımızda bulunmaktadır.

CMD komut istemi yardımıyla antivirüs programlarının çözüm bulamadığı klasör ve dosya gizleme virüslerini tespit etmemize yardımcı olacak komutlar bulunmaktadır. Bu komutlardan en önemlisi "attrib" dir. Attrib komutunun parametleri şunlardır:

+r : Sadece Okunur özelliğini aktif eder.
 -r : Sadece Okunur özelliğini kaldırır.
+a : Arşiv özelliğini aktif eder.
-a : Arşiv özelliğini kaldırır.
+s : Sistem dosyası özelliğini aktif eder.
-s : Sistem dosyası özelliğini kaldırır.
+h : Gizli dosya özelliğini aktif eder.
-h : Gizli dosya özelliğini kaldırır.
/s : Komutun çalıştırıldığı klasörün alt klasörlerinde de bulunan dosyalarda etkili olmasını sağlar.
/d: Komutu klasörlere de etkili olmasını sağlar.
/?: Komut satırında yardım dosyasını görüntüler.


Syntax şekli ise : attrib {+attribute/-attribute}{pathname}[/S[/D]}

Bu tür virüsler genellikle flash belleklerde yer almaktadır.

1.) İlk olarak cmd komut istemimizi Yönetici olarak çalıştırıyoruz.

2.) Komutu çalıştıracağımız sürücü harfini yazarak geçiş yapıyoruz ve attrib komutu yazarak sürücüdeki gizli dosya var mı diye ön tespit yapıyoruz.

Genellik autorun.inf virüsü karşımıza çıkmaktadır. Bunun dışında çeşitli virüslerde olabilmektedir.

3.) Komutu çalıştırdığımızda işlem süresi, sürücünün içindeki dosya boyutuna göre değişebilmektedir. İşlem sonrası sürücünün içerisine bakıldığında yeni dosyaların geldiği görülmektedir ve silme işlemi sonrasında bu zararlı dosyalardan kurtulunur.

 İşlem sonrası sürücünün içerisine bakıldığında yeni dosyaların geldiği görülmektedir ve silme işlemi sonrasında bu zararlı dosyalardan kurtulunur.

Zombie Makine Üzerinden Hedefe Yönelik Tarama ve Bilgi Toplama

Saldırganlar kurban olarak gördüğü hedefe yönelik saldırı yapmak, zarar vermek ve bilgi toplamak gibi amaçlarını yerine getirmek için bir çok yöntemi uygulamaktadır.

İlk adım olarak da hedef hakkında bilgi toplama yöntemini söyleyebiliriz. Bilgi toplama işlemini yerine getirmek için hedefe yönelik taramalar yapılır. İşte bu tarama yöntemlerinden biri olan ve en popüler olan Nmap taramasının tarama türlerinden biri de IdleScan dir.

IdleScan : Hedef makineye yönelik yapılan tarama esnasında, taramayı başlatan kaynak makinenin (saldırganın) aktif rol oynamadığı tarama türüdür. Kaynak makine "Zombie" olarak adlandırdığımız makineler üzerinden kurbana - hedef makineye yönelik tarama gerçekleştirir ve bilgi toplamaya çalışır. Yapmış olduğu tarama esnasında Wireshark gibi network sniffer araçlarıyla gözlem yapıldığında paketlerin saldırgan makineden değil Zombie makineden Hedef Makineye gittiği bilgisi gözlemlenebilir.

IdleScan Tarama Komutu:  nmap -sI [Zombie Makinenin IP si] [Hedef-Kurban Makinenin IP si]

Aşağıdaki resimlerde uygulamanın resimlerine ulaşabilirsiniz. Yapılan uygulama sanal makineler üzerinden yapılmıştır.

1.) Saldırgan ilk adım olarak kendi IP sini ve networkteki PC lerin IPsini öğrenmek için ifconfig ve nbtscan komutlarını kullanmaktadır. Uygulama tek bir pc üzerindeki sanal makineler ile yapıldığı için nbtscan  taraması yapıldı.

Saldırganın IP: 192.168.150.136
Kurban PC IP: 192.168.150.128
Zombie PC IP: 192.168.150.130

2) IP leri öğrendikten sonra IdleScan Taraması aşağıdaki şekilde başlatılır ve tarama sonucuna ulaşılır.

3) Tarama sonucunu beklerken Wireshark üzerinden yapmış olunan network sniffte taramanın Zombie makinenin IP si üzerinden Hedef Makineye yapıldığı bilgisine ulaşılabilinir.

nmap.org adresinde IdleScan taramasını aşağıdaki şekilde göstermiştir.

      the attacker(Saldırgan)

     the zombie(Zombie Makine)

     the target(hedef-kurban)

1) Hedefin portu açıksa;

2) Hedefin portu kapalı ise;

3) Hedefin portu filtreli ise;

[1] https://nmap.org/book/idlescan.html

siberhat@gmail.com

HTTP Status Code ve Anlamları

Web sitelerine girdiğimizde hatalarla karşılaşabiliyoruz. 

En yaygın karşılaştığımız ise 404 Not Found. 

Peki nedir bu hata dediğimiz aslında HTTP Durum Kodları olan sayılar ve ne anlama gelmektedir ?

Client bir servera HTTP kullanarak ulaşmaya çalıştığında server yanıtın durumunu belirten bir sayısal kod gönderir. Bazı durumlarda  HTTP durum kodu (HTTP Status Code) istemcinin tarayıcısında da gösterilerbilir Örn: 200, 301, 302, 404 ve 500 kodları en yaygın olanlardır.

Durum kodları 1'den 5'e kadar sınıflandırılmıştır;

1xx      Bilgi
2xx     Başarı
3xx     Yönlendirme
4xx     Tarayıcı Hatası
5xx     Sunucu Hatası

200 Kodu

200 kodu sitenin çalışır durumda olduğunu Google Botlarına bildirir, Google Botu da bu şekilde sitenin ayakta olduğunu anlayıp indexleme işlemine devam eder.

301 Kodu

301 kodu en önemli yönlendirme kodlarından bir tanesidir. Eticaret sitenizi 5 sene önce açtınız, sonra yapı değişikliğine veya kullandığınız hazır paketi değiştirme yoluna gittiniz. İşte bu durumda 301 kodu sitenizin hayatını kurtaran bir kod olarak karşınıza çıkar. Çünkü yıllardır emek verdiğiniz sayfaların sayfa adresleri (Url’leri) de bu değişiklik ile değişecektir. Google indexleme mekanizmasını sayfa adresleri üzerine kurduğundan yaptığınız değişikliği Google botlarına 301 ile bildirmediğiniz sürece eski sayfa adresleriniz ve yeni sayfa adresleriniz olmak üzere Google’da indexli sayfalarınız oluşur.

Bu durum kopya içerik (duplicate content) sorununa neden olacak ve kısa zaman içerisinde

Google’dan gelen trafiğiniz dörtte biri veya daha fazla oranda düşecek, eski sıralamalarınız gidecek, satışlarınız düşecek. Yazının bu kısmı biraz olumsuz oldu ama maalesef en sonunda bunlarla karşılaşacaksınız.

Fakat 301 kodunu doğru kullanırsanız eski sıralamalarınızın yeni sayfa adreslerine geçmesini sağlayabilir, trafik kaybını engelleyebilirsiniz. Burada da en önemli nokta 301 yaparken eski sayfa adreslerinizi birebir yeni adreslerinize yönlendirmeniz gerektiğidir. Yani example.com/id-55544 sayfasının yeni adı example.com/cep-telefonu ise ilk sayfa adresini ikinci adrese 301 ile yönlendirmeniz gerekmektedir. Bütün site için bu yapıyı kurmanız gerekmektedir.

301 server üzerinde yapılması gerekir, bu açıdan yazılımcınız ve server’a bakan ekibiniz size yardımcı olabilecektir. 301’in kısa tanımı kalıcı yönlendirmedir, bunu da eklemeden geçmeyeyim.

302 Kodu

302 kodu ise geçici yönlendirme çeşidi olarak bilinir. Eğer bir sayfa adresini arama motorunda göstermek isteyip kullanıcının eriştiği yerde başka adres kullanmak istiyorsanız bu yöntemi kullanabilirsiniz.

Örn: example.com/sayfa/id4444/reklam diye url’iniz mevcut ama TV reklamlarınızda example.com/reklam url’ini kullanıyorsanız ve ikinci url’e giren kişilere 1. url’e geçici yönlendirmek istiyorsanız 302 kullanabilirsiniz.

302 yönlendirme şekli verimsiz bir yönlendirme şeklidir aslında, arama sonuçlarında hiçbir şeyi değiştirmez. Genelde yapılan hata 301 yerine 302 yapılmasıdır. 302 geçici yönlendirme olduğundan yönlendirilen url arama sonuçlarında çıkmaya devam eder.

Sonunda da siz “iyi de biz bu url’i değiştirdik, yönlendirme de oluyor. Neden Google’da sonucum değişmiyor?” diyorsanız yönlendirme kodunuzu mutlaka kontrol edin.

404 Kodu

404 kodu Google Botlarına sayfanın artık var olmadığını bildirir. Böylece Google Botları o sayfayı indexlerinden siler bir daha arama sonuçlarında getirmemeye çalışırlar.

Fakat yine yapılan hatalar şöyledir;

1- Sayfayı kapatırsınız çok güzel bir 404 sayfası yaparsınız ama sayfada 404 yazıyor olması demek 404 verdiği anlamına gelmez. Mutlaka durum kodunun doğru olup olmadığını kontrol etmeniz gerekmektedir. Yine yukarıdaki gibi sayfamı kapattım ama Google’dan neden silinmiyor diyebilirsiniz. İşte asıl nedeni sayfanın Google botuna 404 kodunu göndermiyor olmasındandır.

2- Bir sayfayı kapatırsınız direkt 404 vermek yerine 302 ile başka sayfaya yönlendirir ve o sayfa 404 verir. Bu kullanım yanlıştır, mutlaka hatalı olan sayfa direkt 404 kodu vermelidir.

503 Kodu

503 kodu çok ihtiyaç olan ama kullanılmayan bir kod çeşididir. Sitenizde çalışma yaptığınız varsayalım ve komple sitenizi kapattığınızı, hiç kimsenin ulaşamadığını düşünelim. İşte bu durumda Google botlarının sitenize gelip hayal kırıklığı yaşamasını istemezsiniz sanırım.

Bu noktada sayfanızın durum kodu 503 olursa Google botu sitenizde çalışma olduğunu anlayıp geri gider, siteniz açıldığında yine sitenizi indexlemeye devam eder. Bu süreçte hiç kayıp yaşamazsınız.

Peki bu durum kodlarını nasıl sorgulayabilirsiniz ?

1- http://wheregoes.com/

2- http://checkmyheaders.com/

3- http://home.snafu.de/tilman/xenulink.html Bu araçla da sitenizin bütün url’lerini tarayıp hatalarını çıkartabilirsiniz.

Code	Mesaj	Anlamı
1xx	Bilgi
100	Continue	İstek başarılı alındığı ve devam edilebileceği belirtilir
101	Switching Protocols	Sunucu, istemciden aldığı protokol değiştirme isteğine uyacağını belirtmektedir
102	Processing	İşlem
2xx	Başarı
200	OK	İstek başarılı alınmış ve cevap başarılı verilmiştir
201	Created	İstek başarılı olmuş ve sunucuda yeni bir kaynak yaratılmıştır
202	Accepted	Sunucu isteği kabul etti ancak henüz işlemedi
203	Non-Authoritative Information	Sunucu isteği başarılı işledi, ancak başka kaynakta olabilecek bilgi döndürmektedir
204	No Content	İçerik Yok (İstek başarılı alınmış ancak geri içerik döndürülmemektedir)
205	Reset Content	İstek başarılı alınmış ancak geri içerik döndürülmemektedir. Ancak içerik temizlenecektir (örneğin bir web formunda doldurulan bilgiler)
206	Partial Content	GET için kısmi içerik (içeriğin bir belirli bir parçası) başarılıyla döndürülmüştür
207	Multi-Status	Çok-Statü
210	Content Different	Farklı İçerik
3xx	Yönlendirme
300	Multiple Choices	Sunucuda isteğe göre birden fazla seçenek olduğunu bildirir. Sunucu seçeneği kendisi seçebilir veya seçenek listesini görüntüleyebilir
301	Moved Permanently	Bir kaynağın (veya sayfanın) kalıcı olarak başka bir yere taşındığını bildirir ve o yere yönlendirme sağlar
302	Moved Temporarily	Bir kaynağın (veya sayfanın) kalıcı değil geçici olarak başka bir kaynağa yönlendirir. Kaynağın ana adresi değişmemiştir
303	See Other	Farklı bir kayanağa GET yapılması gerektiğini belirtir
304	Not Modified	İstenilen kaynakta daha önce yapılan istekten beri herhangi bir değişikliğin olmadı belirtilir ve içerik gönderilmez
305	Use Proxy	Sunucu tarafından döndürülen proxy'in kullanılması gerektiği belirtilir
307	Temporary Redirect	Bir kaynağın (veya sayfanın) kalıcı değil geçici olarak başka bir kaynağa yönlendirir.
4xx	İstemci hatası
400	Bad Request	İstek hatalı (isteğin yapısı hatalı) olduğu belirtilir
401	Unauthorized	İstek için kimlik doğrulaması gerekiyor
402	Payment Required	Ödeme gerekiyor. (gelecekte kullanılması için ayrılmıştır)
403	Forbidden	Kaynağın yasaklandığını belirtir
404	Not Found	İstek yapılan kaynağın (veya sayfanın) bulunamadığını belirtir
405	İzin verilmeyen Metod	Sunucu , HTTP Method'u kabul etmiyor
406	Not Acceptable	İstemcinin Accept header'ında verilen özellik karşılanamıyor
407	Proxy Sunucuda login olmak gerekli	Proxy üzerinden yetkilendirme gerekir
408	İstek zaman aşamına uğradı	İstek zaman aşımına uğradı (belirli bir sürede istek tamamlanamadı)
409	Conflict	İstek içinde çelişki var
410	Gone	Kaynak artık yok
411	Length Required	İstekte "Content-Length" (içeriğin boyutu) belirtilmemiş
412	Precondition Failed	Sunucu istekte belirtilen bazı önkoşulları karşılamıyor
413	Request Entity Too Large	İsteğin boyutu çok büyük olduğu için işlenemedi
414	Request-URI Too Long	URI (URL) fazla büyük
415	Unsupported Media Type	İstenilen kaynak istenilen medya tipinin desteklemiyor
416	Requested range unsatifiable	İstek yapılan parça (bir dosyanın bir parçası vb..) sunucu tarafından verilebiliyor veya uygun değil
417	Expectation failed	Sunucu "Expect" ile istenileni desteklemiyor veya yerine getiremiyor
422	Unprocessable entity
423	Locked
424	Method failure
5xx	Sunucu hatası
500	Internal Server Error	Sunucuda bir hata oluştu ve istek karşılanamadı
501	Uygulanmamış	Sunucu istenilen isteği yerine getirecek şekilde yapılandırılmamıştır
502	Geçersiz Ağ Geçidi	Gateway veya Proxy sunucusu, kaynağın bulunduğu sunucudan (upstream sunucusu) cevap alamıyor
503	Hizmet Yok	Sunucu şu anda hizmet vermiyor (kapalı veya erişilemiyor)
504	Gateway Timeout	Gateway veya Proxy sunucusu, kaynağın bulunduğu sunucudan (upstream sunucusu) belirli bir zaman içinde cevap alamadı
505	HTTP Version not supported	HTTP Protokol versiyonu desteklenmiyor
507	Insufficient storage

[1] http://www.mesutmurt.com/12727-HTTP-durum-kodlari-HTTP-Status-Code-ve-anlamlari.html
[2] http://eticaretmag.com/http-durum-kodlari/
[3] https://tr.wikipedia.org/wiki/HTTP_durum_kodları
[4] http://www.fibiler.com/Bilim-ve-Teknoloji_Uygulamali-Bilimler-ve-Teknoloji_Bilgisayar-ve-Iletisim_Ag-Internet_HTTP-Protokolu_HTTP-Durum-Kodlari-Status-Codes_HTTP-Durum-Kodlari-HTTP-Status-Codes_Veri_12827

Non-Interactive Shell den Interactive Shell e Geçiş

Sızma Testlerinde hedef üzerindeki zafiyetleri tespit ettikten sonra zafiyete yapılan exploit sonrasında elde ettiğimiz shell bazen non-interactive shell olabilmektedir.

Örneğin; Üzerinde bir çok zafiyet barındıran Metasploitable ın DistCC Daemon Command Execution zafiyetine yönelik exploit işlemlerini gerçekleştiriyoruz.

Resimde de görüldüğü üzere Metasploitable üzerinde shell imize ulaşmış olup non-interactive shell olduğunu görüyoruz.

Non-interactive Shell den interactive shell e geçebilmemiz için küçük bir python kodu yazmamış yeterli olacaktır.

python -c 'import pty; pty.spawn("/bin/sh")'

















Python kodunu yazınca interactive shell e geçmiş olduk. Interactive olmayan shell’ler kısıtlıdır. su – root komutu ile root kullanıcısına geçiş yapılmak istenildiğinde, linux bir Password prompt’u vererek root kullanıcısının şifresini isteyecektir. Bu tür promptların interactive olmayan shell’er üzerinden algılanması mümkün değildir.





DoS/DDoS Saldırı ve Tespit Araçları

Merhabalar,

Bir önceki yazımda Dos/DDoS, DRDoS, IP Spoofing, Botnet, Zombiler hakkında bilgiler verdim. DDos yapılmış örnekleri, DoS/DDoS hakkında yanlış bilinen bilgileri ve yapılan saldırıların anayasamızda suç sayılan kanun maddelerini aktardım. Bu yazımda ise Dos/DDoS Saldırı ve Tespit Araçları hakkında bilgiler vereceğim.

 1.) SYN Flood ve Tespiti

à İnternet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketi hedef makineye yollanır.

    à Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar.

      à Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar.

        à Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.

*** Syn Floof nasıl anlaşılır?

Terminale " netstat -an -p " tcp komutu çalıştırıldığında ekranda çok fazla sayıda SYN_RECEIVED görülüyorsa Syn Flood saldırısı altındasınız diyebiliriz.

2. LAND Flood Saldırısı

à Saldırganlar (hacker) hedef sistemin IP adresini, source (kaynak) IP adresi olarak kullanarak networkü SYN paketleri ile istila ederler.

   à Bu durumda host bilgisayar sanki paketleri kendi kendine göndermiş gibi görünür.

       à Hem dışarıdan paket almış, hem de kaynak kendisi olduğundan kendisine cevap vermiş olur.

         à Böylece hedef sistem bir paket alması gereken birim zamanda iki paket alır ve saldırının boyutu da iki katına çıkar. 

            à Yani hedef sistem kendi kendine yanıt vermeye çalışırken sistem kullanılamaz duruma gelir.

3. Treadrop Saldırıları

à Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır.

à Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır.

à Bu ofset bilgilerinin çakışmaması gerekmektedir.

à Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler.

à Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse sistem çöker.

4. Smurf Saldırıları

à Saldırgan hedef bilgisayardan ping isteğinde bulunur.

à Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır.

à Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar.  Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.

5. UDP Flood Saldırısı

à UDP taşma saldırıları, uzak erişim noktalarındaki rastgele portlara büyük UDP paketleri yollanılarak gerçekleştirilir.

à Burada en önemli nokta, paketlerin sahte IP adresleri üzerinden yollanması gerekliliğidir.

à Dolayısıyla IP Spoofing tekniğinin kullanılmasının zaruri olduğu söylenebilir.

à Örneğin, bu yöntemle taşma saldırısı gerçekleştirildiğinde önemli olan, verinin karşıya ulaşıp ulaşmadığı değil, verinin karşıya ne kadar hızlı aktarıldığıdır.

hping3 Kullanımı

Aşağıdaki örnekte 192.168.150.145 ip adresine rastgele kaynaklardan SYN paketlerinin gönderildiği komut satırı vardır.

Saldırı öncesi Windows Görev Yöneticisindeki Performans Sekmesinden CPU Kullanım grafiklerini incelediğimizde aşağıdaki gibi sonuçlar ekrandadır.

Komut satırındaki hping3 komutumuzu çalıştırdığımızda süreç aşağıdaki görüntüdeki gibi ilerlemektedir;

Çalıştırdığımız komut sonrası hedefe gerçekleşen saldırı ve aşağıdaki ekran görüntüsünde gördüğünüz gibi %82 lere ulaşan bir grafik karşımıza çıkmıştır.

HTTP Flood Araçları

•DosHTTP

•Netstress

•Ab

•Skipfish

•Jmeter

•Siege

    AB(ApacheBenchmark)

      POST Flood

•#ab –c 100 –p post.txt – T application/x-www-form-urlencoded –n 10000 –r –q websitesi

GET Flood

•#ab –c 100 –n 10000  websitesi

NetStress

Netstress Linux sistemler üzerinde çalışmaktadır ve donanıma bağlı olarak kapasitesi değişmektedir. Netstress 4 CPU’lu bir sistemde 5.000.000 SYN paketi(diğer TCP/UDP paketleri de aynı sayıda), 3,5 Gb trafik oluşturabilmektedir.

# ./netstress -d hedef_dns_ip_adresi -P 53 --attack dns -n 3 --buffer 35 --dnsqname dns.txt --dnsqtype A

# ./netstress –t randow –d 192.168.150.131 –a dns –q a –n 2 –P 53

Web Sunucularına Yönelik Saldırı

   Web Sunucularına yönelik yapılacak DDoS saldırı Testi Araçlarından birtanesi de DoSHTTP dir. Target URL kısmına hedefin ip adresini veya url adresini, User Agent kısmına sisteminde uyumlu seçeneği seçip, Socket Sayısını belirleyip, Requests (İstek) sayısını seçtikten sonra Start Flood butonuna basarak testi gerçekleştirebilirsiniz. Teste başlamadan önce hedefinizi doğru girdiğinizi tespit etmek için Verify URL butonuna basabilir ve çıkan ekrandan hedefi teyit edebilirsiniz.

Saldırı sonrası aşağıdaki ekranla karşılaşabilirsiniz veya CPU Kullanımını kontrol edebilirsiniz.

Macof Saldırıları

 Macof rastgele mac adresleriyle birlikte switche yapılan saldırıdır.

 Bu mac adresleriyle switch in CAM tablosu dolar ve yeni mac adresleri kaydedilemez.

 Bunun sonucunda switch hub gibi davranmaya başlar ve bütün paketleri bütün portlara  göndermeye başlar.

 Bizde geçen bütün trafiği izleyebiliriz.

Syntax: macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-n times]

-i   interface Specify the interface to send on.

-s   src Specify source IP address.

-d   dst Specify destination IP address.

-e   Specify target hardware address.

-x   sport Specify TCP source port.

-y   dport Specify TCP destination port.

-n   times Specify the number of packets to send.

Macof Saldırı Örneği;

THC-SSL-DOS

Thc-ssl-dos aracı client ile server arasında oluşturduğu trafik ile sunucunun ssl isteklerine cevap verebilme performansını ölçmektedir. SSL/HTTPS servera sürekli istekler gönderir ve cevap veremediği durumda ise servis dışı kalacaktır, sistem “down” gözükecektir.

Kullanımı;

thc-ssl-dos 192.168.1.1 443  - - accept

LOIC Low Orbit Ion Cannon

    

    Diğer bir saldırı test aracımız ise low orbit ion cannon dur. Programı çalıştırdığımızda hedefe ait url adresini "URL" kısmına veya hedefin ip adresini "IP" kısmına yazıp sağ taraftaki "LOCK ON" tuşuna bastığımızda hedefimize yöneldiğimizi SelectedTarget kısmında ip veya URL adresimizi görünce emin oluyoruz. Sonraki adımda hedefe test yapacağımız "Port" numarasını ve "Method" u belirleyip sağ üst köşedeki "IMMA CHARGIN MAH LAZER" butonuna basıp testimizi gerçekleştirebiliriz.

Dos/DDoS Saldırı, Test, Tespit  ve kullanılabilecek birkaç araç hakkında bilgiler vermeye çalıştım. Umarım konu hakkında faydalı bilgiler vermişimdir.

Saygılarımla



siberhat@gmail.com