5 Ocak 2016 Salı

DoS/DDoS Saldırı ve Tespit Araçları

Merhabalar,

Bir önceki yazımda Dos/DDoS, DRDoS, IP Spoofing, Botnet, Zombiler hakkında bilgiler verdim. DDos yapılmış örnekleri, DoS/DDoS hakkında yanlış bilinen bilgileri ve yapılan saldırıların anayasamızda suç sayılan kanun maddelerini aktardım. Bu yazımda ise Dos/DDoS Saldırı ve Tespit Araçları hakkında bilgiler vereceğim.


 1.) SYN Flood ve Tespiti


à İnternet üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketi hedef makineye yollanır.
    à Hedef makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK), SYN paketinin geldiği IP adresine yollar.
      à Hedef makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini defalarca tekrarlar.
        à Saldırgan bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.








*** Syn Floof nasıl anlaşılır?
Terminale " netstat -an -p " tcp komutu çalıştırıldığında ekranda çok fazla sayıda SYN_RECEIVED görülüyorsa Syn Flood saldırısı altındasınız diyebiliriz.







2. LAND Flood Saldırısı



à Saldırganlar (hacker) hedef sistemin IP adresini, source (kaynak) IP adresi olarak kullanarak networkü SYN paketleri ile istila ederler.
   à Bu durumda host bilgisayar sanki paketleri kendi kendine göndermiş gibi görünür.
       à Hem dışarıdan paket almış, hem de kaynak kendisi olduğundan kendisine cevap vermiş olur.
         à Böylece hedef sistem bir paket alması gereken birim zamanda iki paket alır ve saldırının boyutu da iki katına çıkar. 
            à Yani hedef sistem kendi kendine yanıt vermeye çalışırken sistem kullanılamaz duruma gelir.











3. Treadrop Saldırıları


à Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır.
à Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır.
à Bu ofset bilgilerinin çakışmaması gerekmektedir.
à Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler.
à Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse sistem çöker.



4. Smurf Saldırıları

à Saldırgan hedef bilgisayardan ping isteğinde bulunur.
à Ancak ping paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde hazırlanmıştır.
à Bu durumda ağ üzerindeki bütün makineler, hedef makineye ping atar.  Hedef makine bu trafiği karşılayamaz ve bağlantı kesilir.











5. UDP Flood Saldırısı


à UDP taşma saldırıları, uzak erişim noktalarındaki rastgele portlara büyük UDP paketleri yollanılarak gerçekleştirilir.
à Burada en önemli nokta, paketlerin sahte IP adresleri üzerinden yollanması gerekliliğidir.
à Dolayısıyla IP Spoofing tekniğinin kullanılmasının zaruri olduğu söylenebilir.
à Örneğin, bu yöntemle taşma saldırısı gerçekleştirildiğinde önemli olan, verinin karşıya ulaşıp ulaşmadığı değil, verinin karşıya ne kadar hızlı aktarıldığıdır.


hping3 Kullanımı


Aşağıdaki örnekte 192.168.150.145 ip adresine rastgele kaynaklardan SYN paketlerinin gönderildiği komut satırı vardır.





Saldırı öncesi Windows Görev Yöneticisindeki Performans Sekmesinden CPU Kullanım grafiklerini incelediğimizde aşağıdaki gibi sonuçlar ekrandadır.



Komut satırındaki hping3 komutumuzu çalıştırdığımızda süreç aşağıdaki görüntüdeki gibi ilerlemektedir;


Çalıştırdığımız komut sonrası hedefe gerçekleşen saldırı ve aşağıdaki ekran görüntüsünde gördüğünüz gibi %82 lere ulaşan bir grafik karşımıza çıkmıştır.



HTTP Flood Araçları



•DosHTTP
Netstress
•Ab
•Skipfish
•Jmeter
•Siege

    AB(ApacheBenchmark)

      POST Flood
#ab –c 100 –p post.txt – T application/x-www-form-urlencoded –n 10000 –r –q websitesi
GET Flood
#ab –c 100 –n 10000  websitesi

NetStress

Netstress Linux sistemler üzerinde çalışmaktadır ve donanıma bağlı olarak kapasitesi değişmektedir. Netstress 4 CPU’lu bir sistemde 5.000.000 SYN paketi(diğer TCP/UDP paketleri de aynı sayıda), 3,5 Gb trafik oluşturabilmektedir.
# ./netstress -d hedef_dns_ip_adresi -P 53 --attack dns -n 3 --buffer 35 --dnsqname dns.txt --dnsqtype A
# ./netstress –t randow –d 192.168.150.131 –a dns –q a –n 2 –P 53

Web Sunucularına Yönelik Saldırı


   Web Sunucularına yönelik yapılacak DDoS saldırı Testi Araçlarından birtanesi de DoSHTTP dir. Target URL kısmına hedefin ip adresini veya url adresini, User Agent kısmına sisteminde uyumlu seçeneği seçip, Socket Sayısını belirleyip, Requests (İstek) sayısını seçtikten sonra Start Flood butonuna basarak testi gerçekleştirebilirsiniz. Teste başlamadan önce hedefinizi doğru girdiğinizi tespit etmek için Verify URL butonuna basabilir ve çıkan ekrandan hedefi teyit edebilirsiniz.

 Macof rastgele mac adresleriyle birlikte switche yapılan saldırıdır.
 Bu mac adresleriyle switch in CAM tablosu dolar ve yeni mac adresleri kaydedilemez.
 Bunun sonucunda switch hub gibi davranmaya başlar ve bütün paketleri bütün portlara  göndermeye başlar.
 Bizde geçen bütün trafiği izleyebiliriz.

Syntax: macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-n times]
-i   interface Specify the interface to send on.
-s   src Specify source IP address.
-d   dst Specify destination IP address.
-e   Specify target hardware address.
-x   sport Specify TCP source port.
-y   dport Specify TCP destination port.
-n   times Specify the number of packets to send.

Macof Saldırı Örneği;






THC-SSL-DOS

Thc-ssl-dos aracı client ile server arasında oluşturduğu trafik ile sunucunun ssl isteklerine cevap verebilme performansını ölçmektedir. SSL/HTTPS servera sürekli istekler gönderir ve cevap veremediği durumda ise servis dışı kalacaktır, sistem “down” gözükecektir.








Kullanımı;
thc-ssl-dos 192.168.1.1 443  - - accept









LOIC Low Orbit Ion Cannon

    
    Diğer bir saldırı test aracımız ise low orbit ion cannon dur. Programı çalıştırdığımızda hedefe ait url adresini "URL" kısmına veya hedefin ip adresini "IP" kısmına yazıp sağ taraftaki "LOCK ON" tuşuna bastığımızda hedefimize yöneldiğimizi SelectedTarget kısmında ip veya URL adresimizi görünce emin oluyoruz. Sonraki adımda hedefe test yapacağımız "Port" numarasını ve "Method" u belirleyip sağ üst köşedeki "IMMA CHARGIN MAH LAZER" butonuna basıp testimizi gerçekleştirebiliriz.















Dos/DDoS Saldırı, Test, Tespit  ve kullanılabilecek birkaç araç hakkında bilgiler vermeye çalıştım. Umarım konu hakkında faydalı bilgiler vermişimdir.

Saygılarımla



siberhat@gmail.com