Merhabalar,
Bir önceki yazımda Dos/DDoS, DRDoS, IP Spoofing, Botnet, Zombiler hakkında bilgiler verdim. DDos yapılmış örnekleri, DoS/DDoS hakkında yanlış bilinen bilgileri ve yapılan saldırıların anayasamızda suç sayılan kanun maddelerini aktardım. Bu yazımda ise Dos/DDoS Saldırı ve Tespit Araçları hakkında bilgiler vereceğim.
Bir önceki yazımda Dos/DDoS, DRDoS, IP Spoofing, Botnet, Zombiler hakkında bilgiler verdim. DDos yapılmış örnekleri, DoS/DDoS hakkında yanlış bilinen bilgileri ve yapılan saldırıların anayasamızda suç sayılan kanun maddelerini aktardım. Bu yazımda ise Dos/DDoS Saldırı ve Tespit Araçları hakkında bilgiler vereceğim.
1.) SYN Flood ve Tespiti
à İnternet
üzerinde kullanılmayan IP adreslerini kullanarak birçok SYN paketi hedef
makineye yollanır.
à Hedef
makine, alınan her SYN paketi için kaynak ayırır ve bir onay paketini(SYN-ACK),
SYN paketinin geldiği IP adresine yollar.
à Hedef
makine, kullanılmayan IP adresinden yanıt alamayacağı için SYN-ACK paketini
defalarca tekrarlar.
à Saldırgan
bu yöntemi üst üste uyguladığında hedef makine ayırdığı kaynaklardan ötürü yeni
bir bağlantıyı kaldıramaz duruma gelir ve bu sebepten makineye bağlanılamaz.
*** Syn Floof nasıl anlaşılır?
Terminale " netstat -an -p " tcp komutu çalıştırıldığında ekranda çok fazla sayıda SYN_RECEIVED görülüyorsa Syn Flood saldırısı altındasınız diyebiliriz.
2. LAND Flood Saldırısı
à Saldırganlar
(hacker) hedef sistemin IP
adresini, source (kaynak) IP adresi olarak
kullanarak networkü SYN paketleri ile istila ederler.
à Bu
durumda host
bilgisayar sanki paketleri kendi kendine göndermiş gibi görünür.
à Hem
dışarıdan paket almış, hem de
kaynak kendisi olduğundan kendisine cevap vermiş olur.
à Böylece
hedef sistem bir paket alması
gereken birim zamanda iki paket alır ve saldırının boyutu da iki katına
çıkar.
à Yani
hedef sistem kendi kendine yanıt
vermeye çalışırken sistem kullanılamaz duruma gelir.
3. Treadrop Saldırıları
à Bir bilgisayara internet üzerinden gelen paketler, bilgisayarda bölünerek aktarılır.
à Paket verilere ayrıştırılırken, pakette bulunan ofsetler kullanılır.
à Bu ofset bilgilerinin çakışmaması gerekmektedir.
à Teardrop saldırılarında, paketi gönderen saldırgan, pakete üst üste gelecek ofsetler ekler.
à Paketi alan bilgisayar, böyle bir durumu kontrol edebilecek mekanizmaya sahip değilse sistem çöker.
4. Smurf Saldırıları
à Saldırgan
hedef bilgisayardan ping
isteğinde bulunur.
à Ancak
ping
paketi, hedef makinenin IP’sinden geliyormuş gibi görünecek şekilde
hazırlanmıştır.
à Bu
durumda ağ üzerindeki bütün
makineler, hedef makineye ping atar. Hedef
makine bu trafiği karşılayamaz ve bağlantı kesilir.
5. UDP Flood Saldırısı
à UDP
taşma saldırıları, uzak erişim noktalarındaki rastgele portlara büyük UDP
paketleri yollanılarak gerçekleştirilir.
à Burada
en önemli nokta, paketlerin sahte
IP adresleri üzerinden yollanması gerekliliğidir.
à Dolayısıyla
IP Spoofing tekniğinin kullanılmasının zaruri
olduğu söylenebilir.
à Örneğin, bu yöntemle taşma saldırısı
gerçekleştirildiğinde önemli olan, verinin karşıya ulaşıp ulaşmadığı değil,
verinin karşıya ne kadar hızlı aktarıldığıdır.
hping3 Kullanımı
Aşağıdaki örnekte 192.168.150.145 ip adresine rastgele kaynaklardan SYN paketlerinin gönderildiği komut satırı vardır.
Saldırı öncesi Windows Görev Yöneticisindeki Performans Sekmesinden CPU Kullanım grafiklerini incelediğimizde aşağıdaki gibi sonuçlar ekrandadır.
Komut satırındaki hping3 komutumuzu çalıştırdığımızda süreç aşağıdaki görüntüdeki gibi ilerlemektedir;
Çalıştırdığımız komut sonrası hedefe gerçekleşen saldırı ve aşağıdaki ekran görüntüsünde gördüğünüz gibi %82 lere ulaşan bir grafik karşımıza çıkmıştır.
HTTP Flood Araçları
•DosHTTP
•Netstress
•Ab
•Skipfish
•Jmeter
•Siege
AB(ApacheBenchmark)
POST Flood
•#ab
–c 100 –p post.txt – T application/x-www-form-urlencoded –n 10000 –r –q websitesi
GET Flood
•#ab
–c 100 –n 10000 websitesi
NetStress
Netstress Linux
sistemler üzerinde çalışmaktadır ve donanıma bağlı olarak kapasitesi
değişmektedir. Netstress 4 CPU’lu bir sistemde 5.000.000 SYN
paketi(diğer TCP/UDP paketleri de aynı sayıda), 3,5 Gb
trafik oluşturabilmektedir.
# ./netstress -d hedef_dns_ip_adresi -P
53 --attack dns -n 3
--buffer 35
--dnsqname
dns.txt --dnsqtype A
# ./netstress –t randow –d
192.168.150.131 –a dns –q a
–n 2 –P 53
Web
Sunucularına Yönelik Saldırı
Web Sunucularına yönelik yapılacak DDoS saldırı Testi Araçlarından birtanesi de DoSHTTP dir. Target URL kısmına hedefin ip adresini veya url adresini, User Agent kısmına sisteminde uyumlu seçeneği seçip, Socket Sayısını belirleyip, Requests (İstek) sayısını seçtikten sonra Start Flood butonuna basarak testi gerçekleştirebilirsiniz. Teste başlamadan önce hedefinizi doğru girdiğinizi tespit etmek için Verify URL butonuna basabilir ve çıkan ekrandan hedefi teyit edebilirsiniz.
Macof rastgele mac
adresleriyle birlikte switche yapılan saldırıdır.
Bu
mac
adresleriyle switch in CAM
tablosu dolar ve yeni mac adresleri kaydedilemez.
Bunun sonucunda switch hub gibi davranmaya başlar ve bütün
paketleri bütün portlara göndermeye başlar.
Bizde
geçen bütün trafiği izleyebiliriz.
Syntax: macof [-i interface] [-s src]
[-d dst]
[-e tha]
[-x sport]
[-y dport]
[-n times]
-i
interface Specify the interface to send on.
-s
src
Specify source IP address.
-d
dst
Specify destination IP address.
-e
Specify target hardware address.
-x
sport
Specify TCP source port.
-y
dport
Specify TCP destination port.
-n
times
Specify the number of packets to send.
Macof Saldırı Örneği;
THC-SSL-DOS
Thc-ssl-dos aracı client ile server arasında oluşturduğu
trafik ile sunucunun ssl isteklerine cevap verebilme
performansını ölçmektedir. SSL/HTTPS servera sürekli istekler gönderir ve cevap
veremediği durumda ise servis dışı kalacaktır, sistem “down”
gözükecektir.
Kullanımı;
thc-ssl-dos 192.168.1.1 443 - - accept
LOIC Low Orbit Ion Cannon
Diğer bir saldırı test aracımız ise low orbit ion cannon dur. Programı çalıştırdığımızda hedefe ait url adresini "URL" kısmına veya hedefin ip adresini "IP" kısmına yazıp sağ taraftaki "LOCK ON" tuşuna bastığımızda hedefimize yöneldiğimizi SelectedTarget kısmında ip veya URL adresimizi görünce emin oluyoruz. Sonraki adımda hedefe test yapacağımız "Port" numarasını ve "Method" u belirleyip sağ üst köşedeki "IMMA CHARGIN MAH LAZER" butonuna basıp testimizi gerçekleştirebiliriz.
Dos/DDoS Saldırı, Test, Tespit ve kullanılabilecek birkaç araç hakkında bilgiler vermeye çalıştım. Umarım konu hakkında faydalı bilgiler vermişimdir.
Saygılarımla
siberhat@gmail.com
•#ab
–c 100 –p post.txt – T application/x-www-form-urlencoded –n 10000 –r –q websitesi
GET Flood
•#ab
–c 100 –n 10000 websitesi
NetStress
Netstress Linux
sistemler üzerinde çalışmaktadır ve donanıma bağlı olarak kapasitesi
değişmektedir. Netstress 4 CPU’lu bir sistemde 5.000.000 SYN
paketi(diğer TCP/UDP paketleri de aynı sayıda), 3,5 Gb
trafik oluşturabilmektedir.
# ./netstress -d hedef_dns_ip_adresi -P
53 --attack dns -n 3
--buffer 35
--dnsqname
dns.txt --dnsqtype A
# ./netstress –t randow –d
192.168.150.131 –a dns –q a
–n 2 –P 53
Web Sunucularına Yönelik Saldırı
Web Sunucularına yönelik yapılacak DDoS saldırı Testi Araçlarından birtanesi de DoSHTTP dir. Target URL kısmına hedefin ip adresini veya url adresini, User Agent kısmına sisteminde uyumlu seçeneği seçip, Socket Sayısını belirleyip, Requests (İstek) sayısını seçtikten sonra Start Flood butonuna basarak testi gerçekleştirebilirsiniz. Teste başlamadan önce hedefinizi doğru girdiğinizi tespit etmek için Verify URL butonuna basabilir ve çıkan ekrandan hedefi teyit edebilirsiniz.
Macof rastgele mac
adresleriyle birlikte switche yapılan saldırıdır.
Bu
mac
adresleriyle switch in CAM
tablosu dolar ve yeni mac adresleri kaydedilemez.
Bunun sonucunda switch hub gibi davranmaya başlar ve bütün
paketleri bütün portlara göndermeye başlar.
Bizde
geçen bütün trafiği izleyebiliriz.
Syntax: macof [-i interface] [-s src]
[-d dst]
[-e tha]
[-x sport]
[-y dport]
[-n times]
-i
interface Specify the interface to send on.
-s
src
Specify source IP address.
-d
dst
Specify destination IP address.
-e
Specify target hardware address.
-x
sport
Specify TCP source port.
-y
dport
Specify TCP destination port.
-n
times
Specify the number of packets to send.
Macof Saldırı Örneği;
THC-SSL-DOS
Thc-ssl-dos aracı client ile server arasında oluşturduğu
trafik ile sunucunun ssl isteklerine cevap verebilme
performansını ölçmektedir. SSL/HTTPS servera sürekli istekler gönderir ve cevap
veremediği durumda ise servis dışı kalacaktır, sistem “down”
gözükecektir.
Kullanımı;
thc-ssl-dos 192.168.1.1 443 - - accept
LOIC Low Orbit Ion Cannon
Diğer bir saldırı test aracımız ise low orbit ion cannon dur. Programı çalıştırdığımızda hedefe ait url adresini "URL" kısmına veya hedefin ip adresini "IP" kısmına yazıp sağ taraftaki "LOCK ON" tuşuna bastığımızda hedefimize yöneldiğimizi SelectedTarget kısmında ip veya URL adresimizi görünce emin oluyoruz. Sonraki adımda hedefe test yapacağımız "Port" numarasını ve "Method" u belirleyip sağ üst köşedeki "IMMA CHARGIN MAH LAZER" butonuna basıp testimizi gerçekleştirebiliriz.
Dos/DDoS Saldırı, Test, Tespit ve kullanılabilecek birkaç araç hakkında bilgiler vermeye çalıştım. Umarım konu hakkında faydalı bilgiler vermişimdir.
Saygılarımla
siberhat@gmail.com