Hopeツ︎
Go for the EYES BOO. Go for the EYES! ?
- Katılım
- 9 Mart 2016
- Mesajlar
- 2,396
- Çözümler
- 1
- Reaksiyon puanı
- 2,268
- Puanları
- 113
- Yaş
- 26
Güvenliğin sıkı takipçileri hatırlayacaktır, şurada exploit konusunu incelemiştik ve DoS-DDoS saldırılarına ufaktan bir değinme gerçekleştirmiştik. Bu yaptığımız exploit bazında değerlendirmeydi... Şimdi ise bu atak çeşidine detaylı olarak değineceğiz, exploit bazından kurtaracak ve genel manaya yayacak şekilde. Konu içeriğimizi yine başlıklar yardımıyla belirleyeceğiz ve bu şekilde ilerlemeye çalışacağız. Bahsedilen iki kavramı açıklığa kavuşturma vakti, DoS (Denial Of Service) - DDoS (Distrubuted Denial Of Service) manasına gelir. Daha iyi anlayabileceğimiz şekilde telaffuzu; DoS (Tekil kullanıcı tarafından tek bir sistem üzerinden yapılmaya çalışılan saldırı) & DDoS (Birçok mekanizma ve sistem üzerinden gerçekleştirilen saldırılar) iki kavramı açmamız gerekiyorsa bu şekilde ifade etmek doğru olabilir. Yem taktiği olarakta bilinen Spoof ip adresleri bu atak çeşidinin vazgeçilmezlerindendir. Ayrıca sistem zafiyetlerini seven zombiler, yine bu atak çeşidinde karşımıza çıkarlar. Zombilerin orduya dönüştürülmüş hali Botnet vardır ki tam bir baş belasıdır. Büyük bir zombi ordusunun üstünüze doğru geldiğini düşünün, ve bu yaşanırken etkisiz kalıyorsunuz. Şimdi empati gerçekleştirme zamanı, kendinizi sisteminizin yerine koyun... İşte tam olarak bu. Zombi ordusunun karşısında yaşanılan çaresizliği makineniz bizzat yaşıyor. DoS-DDoS ataklarında işlem biraz değişiktir, örneğin korsan sisteme sızma girişimi gerçekleştirir gerekli analizlerini tamamlamasının ardından fakat burada gaye sistemi bir süre ya da sürekli olarak bertaraf etmek. Aslında işin ayrıntısı biraz bu dehlizler de saklı... Korsan sisteme sızmak için kararlı olsun, fakat her yöntemi denemesine rağmen bunu başaramasın, işte bu noktada tam olarak DoS-DDoS devreye giriyor. Mantık? ''Sisteme sızıp bir şeyleri berbat edemiyorum, anasayfayı indexleyemiyorum... Elimdeki imkanları kullanıp bu şekilde zarar vermeliyim.'' Şaşırmayın... Siyah şapkalılar zarar vermek üzerine ustalardır.
DoS-DDoS Ataklarının Tehlike Boyutu
İnternet kullanmayı seviyoruz değil mi? gerekli bir icat işimizi görüyor. İnternet kullanırken kullandığımız tarife paketleri ve servis sağlayıcısının bize sağladığı hızıda (Mbps)'nin farkındayızdır muhtemelen. 8 mbps , 16 mbps , 24? , 50? , 100? ... Mutlaka bunlardan biri olmalı. Çoklu sistemler üzerinden gerçekleştirilen DDoS saldırılarının ne derece bir donanım ve mbps değerlerinde yapıldığını merak ediyor olmalısınız... Merakınızı gidereceğim merak etmeyin, Donanımlı şekilde gerçekleştirilen bir DDoS saldırısı ortalama şekilde 100 mbps'nin üzerinde. Daha donanımlı şekilde gerçekleştirilen ve saatlerce süren saldırılar ise 500 mbps'in üstüne çıkmakta ve can sıkmaktadır. Korsanlığa meraklı arkadaşlarımız şimdiden bu atak çeşidinin nasıl yapıldığına dair araştırmalara başladılar bile... Bu noktada şöyle bir şeyi belirtmek isterim, Bağlı ev internetiniz size tanınan hız ile bir saldırı yapmaya kalkarsanız hedef sistemi değil kendi sisteminizi berbat edeceksiniz. Açalım... Bir işe yaramayacak. Zararı bağlantınız görecek çevrimdışı olacaksınız. Hedef sistemin kapanıp kapanmadığını kontrol etmek için uğraştığınızda siteye bağlanamadığınızı fark edeceksiniz, bu esnada hedef sisteme her zamanki gibi giriş sağlanacak giremeyen sadece siz olacaksınız.
Tercih Edilen Yöntemler
Smurf (Güncelliğini Yitirmiş): Broadcastlere ICMP paketleri göndermeyi amaçlar, broadcast network eşliğinde makinenin sahte adreslere cevabını sağlamaktadır. Bu sayede internet ağındaki yaratmaya çalışılan gerginlik gayesine ulaşır bağlantıda doz aşımı sağlanır.
SYN Flood Saldırısı: Sağlıklı bağlantıda, Syn > Syn-ACK > Ack söz konusudur. Korsan kullanıcıya ACK'ye dönmeyecek şekilde paketler yollar, bu server kaynağını tüketmek için mantıklı bir hamledir... Server hizmeti deaktif duruma getirir istenen bağlantıyı reddeder. Syn flood (hizmeti bertaraf etme saldırısı) diyede geçmektedir. Bağlantı trafiğini zor duruma sokmak ve etkisiz kılmak buradaki asıl amaçtır. Syn requestler cevaplarını bulamaz duruma getirildiğinde saldırı gerçekleşmiş olur.
✓︎ Tcp timeout değerlerini alçaltmak.
✓︎ Tcp Firewall kullanımı.
✓︎ Syn Cookies.
✓︎ Syn Proxy.
✓︎ Syn Cache.
UDP Flood: UDP (User DataGram Protocol) manasına gelir. TCP (Transmission Control Protocol)'den farklı gelişir... Uzaktaki ana makinenin portlarına random ve hatrı sayılır miktarda paketler yollanabilir. Ana makine paketlerin gönderildiği esnada port uygulamalarının kontrolünü sağlar, portu dinleyen bir uygulamanın olmadığını fark eder. Gönderilen paket yoğunluğu sistemi zorlayacak hale getirilir. Korsan udp'lerde yanıltıcı bir adres kullanabilir, bu olduğunda geri dönecek ICMP'ler korsana ulaşmaz gizlilik sağlanır.
✓︎ Firewall ile ağ trafiğini filtrelemeye çalışmak.
✓︎ İp İstek filtreleme.
✓︎ Timeout değerlerini alçaltmak.
HTTP DDoS: Korsan, web sunucu veya uygulamaya saldırmak için sözde legal HTTP GET ya da POST isteklerini kullanır. Bu zincirle dağıtılmış hizmet reddi DDoS hayata geçirilir. Bu saldırılar Botnet (şu bahsettiğimiz istilacı zombi ordusu) , Truva atları gibi kötücül yazılımlarla desteklenir. Diğer saldırılardan farklı olarak daha az internet kaynağı tüketir, tespit edilmesi zorlaşır. Maksimum kaynak sunucuya diretildiğinde işler karışmaya başlar... HTTP Get saldırıları oluşum açısından daha müsaittirler. Botnet desteği bu oluşuma daha da katkı sağlayacaktır ve saldırı kapasitesini yükseltecektir.
✓︎ İp itibarı anormal aktivite takibi.
✓︎ Javascript tutumu.
DNS Flood: Korsanın belirli bir şekilde bölgesel olarak tekil ya da çoğul etki alanlarına karşı gerçekleştirdiği dağıtılmış hizmet reddi DDoS saldırı biçimidir. Kötü niyetli arkadaşımız burada sahte ip adresi ile sorgulamalar göndererek bant genişliğine azabı yaşatmaya şartlamıştır kendini. Bir diğer anlamlarıyla simetrik saldırı sıfatına naillerdir. Vulnerable sistemlerde botnet aracılığı ile güçlendirilmiş hale getirilir. Böylece bellek, Cpu performansında kayıplar yaşatabilir...
✓︎ Sistem hakkında yeterli bilgiye sahip olabilmek.
✓︎ ISP diyaloğu.
✓︎ Firewall hakkında iyi bilgi.
*Anlattığım saldırı çeşitlerine ek olarak, çeşitli scriptler bulunmakta DDoS atakları bu yazılımlara göre isimlendirilmektedir. Makalede DoS-DDoS'un derin ayrıntıları irdelenmiş gerekli bilgi verilmiştir. SDN/Forum adına hazırlanmıştır... Alıntı değildir.
DoS-DDoS Ataklarının Tehlike Boyutu
İnternet kullanmayı seviyoruz değil mi? gerekli bir icat işimizi görüyor. İnternet kullanırken kullandığımız tarife paketleri ve servis sağlayıcısının bize sağladığı hızıda (Mbps)'nin farkındayızdır muhtemelen. 8 mbps , 16 mbps , 24? , 50? , 100? ... Mutlaka bunlardan biri olmalı. Çoklu sistemler üzerinden gerçekleştirilen DDoS saldırılarının ne derece bir donanım ve mbps değerlerinde yapıldığını merak ediyor olmalısınız... Merakınızı gidereceğim merak etmeyin, Donanımlı şekilde gerçekleştirilen bir DDoS saldırısı ortalama şekilde 100 mbps'nin üzerinde. Daha donanımlı şekilde gerçekleştirilen ve saatlerce süren saldırılar ise 500 mbps'in üstüne çıkmakta ve can sıkmaktadır. Korsanlığa meraklı arkadaşlarımız şimdiden bu atak çeşidinin nasıl yapıldığına dair araştırmalara başladılar bile... Bu noktada şöyle bir şeyi belirtmek isterim, Bağlı ev internetiniz size tanınan hız ile bir saldırı yapmaya kalkarsanız hedef sistemi değil kendi sisteminizi berbat edeceksiniz. Açalım... Bir işe yaramayacak. Zararı bağlantınız görecek çevrimdışı olacaksınız. Hedef sistemin kapanıp kapanmadığını kontrol etmek için uğraştığınızda siteye bağlanamadığınızı fark edeceksiniz, bu esnada hedef sisteme her zamanki gibi giriş sağlanacak giremeyen sadece siz olacaksınız.
Tercih Edilen Yöntemler
Smurf (Güncelliğini Yitirmiş): Broadcastlere ICMP paketleri göndermeyi amaçlar, broadcast network eşliğinde makinenin sahte adreslere cevabını sağlamaktadır. Bu sayede internet ağındaki yaratmaya çalışılan gerginlik gayesine ulaşır bağlantıda doz aşımı sağlanır.
SYN Flood Saldırısı: Sağlıklı bağlantıda, Syn > Syn-ACK > Ack söz konusudur. Korsan kullanıcıya ACK'ye dönmeyecek şekilde paketler yollar, bu server kaynağını tüketmek için mantıklı bir hamledir... Server hizmeti deaktif duruma getirir istenen bağlantıyı reddeder. Syn flood (hizmeti bertaraf etme saldırısı) diyede geçmektedir. Bağlantı trafiğini zor duruma sokmak ve etkisiz kılmak buradaki asıl amaçtır. Syn requestler cevaplarını bulamaz duruma getirildiğinde saldırı gerçekleşmiş olur.
✓︎ Tcp timeout değerlerini alçaltmak.
✓︎ Tcp Firewall kullanımı.
✓︎ Syn Cookies.
✓︎ Syn Proxy.
✓︎ Syn Cache.
UDP Flood: UDP (User DataGram Protocol) manasına gelir. TCP (Transmission Control Protocol)'den farklı gelişir... Uzaktaki ana makinenin portlarına random ve hatrı sayılır miktarda paketler yollanabilir. Ana makine paketlerin gönderildiği esnada port uygulamalarının kontrolünü sağlar, portu dinleyen bir uygulamanın olmadığını fark eder. Gönderilen paket yoğunluğu sistemi zorlayacak hale getirilir. Korsan udp'lerde yanıltıcı bir adres kullanabilir, bu olduğunda geri dönecek ICMP'ler korsana ulaşmaz gizlilik sağlanır.
✓︎ Firewall ile ağ trafiğini filtrelemeye çalışmak.
✓︎ İp İstek filtreleme.
✓︎ Timeout değerlerini alçaltmak.
Perl:
[root@]Princeps ~]# perl script ip - istek parametreleri.
IP > UDP, Length 503
IP > UDP, Length 500
IP > UDP, Length 490
IP > UDP, Length 485
IP > UDP, Length 590
IP > UDP, Length 430
IP > UDP, Length 445
... saldırı bu şekilde devam etmekte.HTTP DDoS: Korsan, web sunucu veya uygulamaya saldırmak için sözde legal HTTP GET ya da POST isteklerini kullanır. Bu zincirle dağıtılmış hizmet reddi DDoS hayata geçirilir. Bu saldırılar Botnet (şu bahsettiğimiz istilacı zombi ordusu) , Truva atları gibi kötücül yazılımlarla desteklenir. Diğer saldırılardan farklı olarak daha az internet kaynağı tüketir, tespit edilmesi zorlaşır. Maksimum kaynak sunucuya diretildiğinde işler karışmaya başlar... HTTP Get saldırıları oluşum açısından daha müsaittirler. Botnet desteği bu oluşuma daha da katkı sağlayacaktır ve saldırı kapasitesini yükseltecektir.
✓︎ İp itibarı anormal aktivite takibi.
✓︎ Javascript tutumu.
Python:
[root@]Princeps ~]# python script.py gerekli parametre ve adres.
Loaded: Proxies, user agents, referrer, keywords..
Start sending requests...
Proxy ip, from attack.DNS Flood: Korsanın belirli bir şekilde bölgesel olarak tekil ya da çoğul etki alanlarına karşı gerçekleştirdiği dağıtılmış hizmet reddi DDoS saldırı biçimidir. Kötü niyetli arkadaşımız burada sahte ip adresi ile sorgulamalar göndererek bant genişliğine azabı yaşatmaya şartlamıştır kendini. Bir diğer anlamlarıyla simetrik saldırı sıfatına naillerdir. Vulnerable sistemlerde botnet aracılığı ile güçlendirilmiş hale getirilir. Böylece bellek, Cpu performansında kayıplar yaşatabilir...
Bash:
[root@]Princeps ~]# ./script - dns.text - adres, istek.
Saldırı böylece başlatılmış oluyor, konsol için amplification gösterimidir.✓︎ Sistem hakkında yeterli bilgiye sahip olabilmek.
✓︎ ISP diyaloğu.
✓︎ Firewall hakkında iyi bilgi.
*Anlattığım saldırı çeşitlerine ek olarak, çeşitli scriptler bulunmakta DDoS atakları bu yazılımlara göre isimlendirilmektedir. Makalede DoS-DDoS'un derin ayrıntıları irdelenmiş gerekli bilgi verilmiştir. SDN/Forum adına hazırlanmıştır... Alıntı değildir.
