Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
17
Yazılar
13
Üyeler
0
Likes
2,972
Görüntüleme
Konu başlatıcı
DDoS atakları Nedir? DDoS atakları Nedir?
Bir
saldırgan daha önceden tasarladığı BİR ÇOK makine üzerinden hedef
bilgisayara saldırı yaparak hedef sistemin kimseye hizmet veremez hale
gelmesini amaçlayan bir saldırı çeşididir.
Koordineli olarak
yapılan bu işlem hem saldırının boyutunu artırır hem de saldırıyı yapan
kişinin gizlenmesini sağlar. Bu işlemleri yapan araçlara Zombi denir.
Bu saldırı çeşidinde saldırganı bulmak zorlaşır.
Çünkü
saldırının merkezinde bulunan saldırgan aslında saldırıya katılmaz.
Sadece diğer ip numaralarını yönlendirir.Eğer saldırı bir tek ip
adresinden yapılırsa bir Firewall bunu rahatlıkla engelliyebilir. Fakat
saldırı daha yüksek sayıdaki ip adresinden gelmesi Firewall un devre
dışı kalmasını sağlar(Log taşması firewall servislerini durdurur).İşte
bu özelliği onu DoS sadırısından ayıran en önemli özelliğidir.
================================================== ======
DoS Ataklarının Türleri?
Service
Overloading: Bu atak tipi belirli host ve servisleri düşürmek için
kullanılır. Atak yapan kişi özel port ve host a bir çok ICMP paketi
gönderir.Bu olay network monitör ile kolayca anlaşılır
Message
flooding: Service Overloading den farkı sistemin normal çalışmasını
engellemez. Yine aynı şekilde gönderilen paketler bu sefer normal
olarak algılanır. Örnek Nis serverında flood yapılırsa (Unix network)
Nis bunu şifre şifre isteği gibi görür. Ve saldırganın host a
hükmetmesi sağlanır.
Clogging: Saldırganın SYN gönderip ACK alıp
ondan sonrada gelen ACK ya cevap vermeyip sürekli syn göndermesinden
oluşur. Bu durum defalarca kez tekrarlanırsa server artık cevap veremez
hale gelir. Bu paketler sahte ip ile gönderildiğinden sistem bunu
anlayamaz ve hizmeti keser. Anlasa ne olur, anlasa aynı ip den gelen o
kadar istege cevap vermez. Kurtuluş yolu bunları tarayan firewall
lardır.
DoS Atakları için kullanılan programlar?
Ping Of Death
Bir
saldırgan hedef aldığı bir makineye büyük ping paketleri gönderir.
Birçok işletim sistemi gelen bu maksimum derecede paketleri anlayamaz,
cevap vermez duruma gelir ve işletim sistemi ya ağdan düşer ya da çöker.
SSPing
SSPing
bir DoS aracıdır.SSPing programı hedef sisteme yüksek miktarda ICMP
veri paketleri gönderir. İşletim sistemi bu aldığı data paketlerini
birbirinden ayırmaya çalışır.Sonuç olarak bir hafıza taşması yaşar ve
hizmet vermeyi durdurur.
Land Exploit
Land Exploit bir DoS
atak programıdır. TCP SYN paketiyle hedef sisteme saldırıdır. Saldırı
aynı port numarasına sürekli olarak yapılır. Land Expoit aynı kaynak ve
hedef portları kullanarak SYN paketleri gönderir.
Bir Çok Makine
bu kadar yüklenmeyi kaldıramayacağı için Buffer overflow yaşar ve
hiçbir bağlantıyı kabul edemeyecek duruma gelir.
Smurf
Smurf
broadcast adreslere ICMP paketleri gönderen bir DoS Saldırı
programıdır.Saldırgan ICMP echo istekleri yapan kaynak adresi
değiştirerek ip broadcast a gönderir. Bu broadcast network üzerindeki
her makinenin bu istekleri almasına ve her makinenin bu sahte ipli
adrese cevap vermesini sağlar.Bu sayede yüksek seviyede network trafiği
yaşanır. Sonuç olarak bir DoS saldırısı gerçekleşmiş olur.
Bir TCP
bağlantısının başında istekte bulunan uygulama SYN paketi gönderir.
Buna cevaben alıcı site SYN-ACK paketi göndererek isteği aldığını teyit
eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alıcı site bunları
biriktirir ve periyodik olarak göndermeye çalışır.
Zombilerde
kullanılarak, kurban siteye dönüş adresi kullanımda olmayan bir IP
numarası olan çok fazla sayıda SYN paketi gönderilirse hedef sistem
SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim
kuyrukların dolup taşmasına sebep olur ve hedef sistem normal
kullanıcılarına hizmet verememeye başlar.
WinNuke
WinNuke
programı hedef sistemin 139 nolu portuna “out of band” adı verilen
verileri gönderir. Hedef bunları tanımlayamaz ve sistem kilitlenir.
Kullanımı
WNUKE4 -c XXX.com 10000 0 450
(hedefe 10,000 adet 450 byte lık icmp paketleri gönderir.)
WNUKE4 -n XXX.com 0 1024-2024 6667-6668 UNPORT
Jolt2
Jolt2
kendisini farklı segmentte bulunuyormuş izlenimi vererek NT/2000
makinelere DoS atak yapabilen bir programdır. İllegal paketler
göndererek hedefin işlemcisini %100 çalıştırıp kilitlenmesine yol açar.
c: \> jolt2 1.2.3.4 -p 80 4.5.6.7
Komut satırında görülen,
1.2.3.4 ip numarası saldırganın spoof edilmiş adresidir. Hedef adresin
4.5.6.7 80 nolu portuna saldırı yapar.
CPU kaynaklarını tamamını harcar ve sistemi aksatır
Bubonic.c
Bubonic.c Windows 2000 makineleri üzerinde DoS exploit lerinden faydalanarak çalışan bir programdır.
Hedefe düzenli olarak TCP paketlerini gönderir.
c: \> bubonic 12.23.23.2 10.0.0.1 100
Targa
Targa 8 farklı modül içinde saldırı yapabilen bir Denial of Service Programıdır.
================================================== =======
DDoS Atakları için kullanılan programlar?
1.Trinoo
2.TFN
3.Stacheldraht
4.Shaft
5.TFN2K
6.mstream
================================================== =======
DDOS – Saldırı Yöntemi
Tüm DDoS programları iki safhada çalışır.
Mass-intrusion
Phase – Bu safhada DoS saldırısı yapacak olan sistemlere ulaşılır ve
saldırıyı gerçekleştirecek olan programlar yüklenir. Bunlar birincil
kurbanlardır.
DDoS Attack Phase – Bu safhada hedef sitelere saldırı yapılır bunun içinde birincil kurbanlar kullanılarak hedefe yüklenilir.
Trinoo
Trinoo DDoS yöntemini kullanan ilk programdır.
Kullandığı TCP Portları:
Attacker to master: 27665/tcp
Master to daemon: 27444/udp
Daemon to master: 31335/udp
TFN2K
Zombilerin yüklendiği makineler listening modda çalışır. Her an karşıdan gelecek komutlara hazırdır.
Running the server
#td
Running the client
#tn -h 23.4.56.4 -c8 -i 56.3.4.5 bu komut 23.4.56.4 nolu ipden 56.3.4.5 nolu ip ye saldırı başlatır.
Stacheldraht
TFN ve Trinoo gibi çalışır fakat modüllerine paketleri kriptolu gönderebilir.
Kullandığı portlar TCP ve ICMP
Client to Handler: 16660 TCP
Handler to and from agents: 65000 ICMP
@echo off
set count=
:loop
set count=%count%x
start /b ping ip -l 65500 -n 30
if not "%count%"=="xxxxxxxxxxxxxxxxxxxx" goto loop
:end
yukaridaki
kodun icinde bulunan "ip" kismina saldiri yapmak istediginiz sitenin ip
numarasini yazarsaniz. sonrasinda bu kod'u note pade'e ( not defteri )
yapistirip dosya adini "joker.bat" olarak kaydederseniz. basit bir ddos
mantigini bilgisayarinizda joker.bat dosyasina cift tiklayarak
calistirabilirsiniz. [ nuke ]
ornek: ip kismina 66.228.117.90
yazarsaniz. sonrasinda belirtilen sekilde kaydederseniz. ve dosyayi 8
defa ard arda tiklarsaniz. wardom.org'a kendi bilgisayarinizdan yuksek
miktarda veri pakedi gondermis olursunuz. bunu bir cok kullanicinin
yapmasi demek wardom.org'u yavas kilmak demektir.
Kaynak:Ceh
Gönderildi : 28/02/2008 06:13
Gerçekten güzel bilgiler tşk ederiz. Bizim serverdada şüpheledniğim durumlar var. logon olma esnasında çok sayıda hatalar mevcut. Ddos olup olmadığını nasıl anlayabilirim.
Gönderildi : 28/02/2008 12:50
Gerçekten güzel bilgiler tşk ederiz. Bizim serverdada şüpheledniğim durumlar var. logon olma esnasında çok sayıda hatalar mevcut. Ddos olup olmadığını nasıl anlayabilirim.
Selam. DOS atakları temelde iki şekilde servis durdurmaya çalışır. cpu, ram, bandwidth gibi kaynaklara aşırı yüklenerek yada servis üzerindeki bir zayıflığı kullanarak.
Servis üzerindeki güvenlik açığını kullanarak gelen DOS ataklara maruz kalıyorsanız; açık ile ilgili updateleri geçmelisiniz, yayınlanmış bir update yok ise yayınlanmasını beklemelisiniz yada geçici süre o servisi devre dışı bırakıp alternatif servisler kullanmalısınız.
Sistem kaynaklarına yüklenen DOS atakları alıyorsanız; CPU ve RAM için "process explorer", bandwidth ve ağ trafiği için "ethreal" gibi yazılımlar yardımı ile, atak alan sunucu üzerinde izleme yapmalısınız.
Gönderildi : 28/02/2008 14:02
Konu başlatıcı
serhat beyin söylediğine istinanen eger log on lardan şüpheleniyorsanız event viewer dan security sekmesine gelip filtreme yaparak kayıtların düşmesini sağlayabilirsiniz böylece hatalı log on ları görüp ona göre bir fitreleme veya güvenlik durumunu ayarlayabilirsiniz
Gönderildi : 28/02/2008 19:39
Paylaşım için teşekkürler
Gönderildi : 28/02/2008 19:52
IDS/IPS
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 28/02/2008 23:07
linuxta snort kurularak incelenmesi gerekir diye düsünüyorum hakan hocam bir ip ucu vermis. 🙂
Gönderildi : 17/03/2008 03:24
paylaşım için çok teşekkürler. serhat "çok pis ddos saldırısı yaparım" sen anladın onu 😀
Gönderildi : 17/03/2008 12:08
Hoşgeldin Davut.
Adamımız uğramıyor bu aralar :))
Gönderildi : 17/03/2008 12:58
gerçekden benimde bilgi almak istediğim bir konu .
arkadaşlar özellikle en basından betri güvenlik konusuna aşırı bir hassasiyetim var. şu anda ccna eğitimi bitirdim ınavlara hazırlanıyorum.i.
ccnp-ccsp- ve ccvpeğitimlerinaktılmayı planlıyorum.
sizden ricam IDS -IPS konuları üzerine ve DDOS konusunda bu makaleden sonra bu tür saldırılar nasılgerçekleştirilir buu ve yapılış şekillerini öğrenebilecğeim bir eğitim ve bir kurs varmı . bu konuda yol gösterici olabililecek kişilerin yorumlarını bekliyorum.,
Gönderildi : 10/08/2008 22:45
benim bilgim şu yönde hihihi tek bi makinede saldırı geliyorsa dos organize biçimde birden fazla saldırı gelirse ddos
Nasıl Yapılır ?
1- Juno ile
2- botnet ile
gerisini anlatmıyyayım burda okuyup kullanan olur
Gönderildi : 13/08/2008 15:55
gerçekden benimde bilgi almak istediğim bir konu .
arkadaşlar özellikle en basından betri güvenlik konusuna aşırı bir hassasiyetim var. şu anda ccna eğitimi bitirdim ınavlara hazırlanıyorum.i.
ccnp-ccsp- ve ccvpeğitimlerinaktılmayı planlıyorum.
sizden ricam IDS -IPS konuları üzerine ve DDOS konusunda bu makaleden sonra bu tür saldırılar nasılgerçekleştirilir buu ve yapılış şekillerini öğrenebilecğeim bir eğitim ve bir kurs varmı . bu konuda yol gösterici olabililecek kişilerin yorumlarını bekliyorum.,
Bu ve benzeri konularda en temel eğitimi veren program şu anda CEH. Bu eğitime katıldığınız zaman bu ve benzeri tüm konuları çok fazla detaya inmeden öğrenebilirsiniz. Bunun yanında fazlaca pratik yapmak (tabiki sanal ortamda 🙂 konular üzerindeki hakimiyetinizi sağlamlaştıracaktır.
İstediğiniz bir eğitim kurumuna başvurabilirsiniz. Bu eğitimi gerçekten almaya niyetlenirseniz, gerçekten sağlam referansları olan bir kurumdan almanızı öneririm, yoksa boşa vakit ve para kaybına uğrarsınız :O)
Saygılar...
Gönderildi : 14/08/2008 19:26
tşkler herkese. bu kou ilgilibiraz araştırma yaptımp . bana bunun gereksiz zaman ve para kaybı olduğunu söylediler. gidebiliyorsan CISSP eğitimene katıldediler tabi bununsınavını geçmekde zormiş. türkiyede verenbir yer varmı bilmiyorum. ceh eğtimini de bilenbiler sanırım bülent tigin hocadan almamı önerdiler. doğru bir yaklaşım zaman ne gö stericek bilmiyorum. ama bensecurit alanında CCSP düşünüyorum su anda ccnp ve ccvp den sonra.
Gönderildi : 29/10/2008 02:10
umarım istediğin kariyere sahip olursun . öğrendikçede bizimle paylaşırsın artık
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 29/10/2008 02:41
CISSP sertifakasını almak o kadar kolay değil.. Uzun yıllar güvenlik tecrübesi arıyorlar. Ayrıca ülkende CISSP birinin sana referans olması lazım.. Yani anlayacağın CCNA yada MCSE sertifikalarına pek benzemiyor..
Gönderildi : 06/11/2008 03:30
Öncelikle tüm abilerime merhabalar uzun zamandır portala girip takip edemiyordum.Onur serhat UYGUR hocamı tanırım yanlış hatırlamıyorsam bilge adamda müthiş bir eğitmendi ( hala oradamı bilemiyorum tabi =) ) Durumu şu şekilde özetlemek gerekirse D-DOS saldırısı komplike yapılan kolay gözüktüğü kadar zor bir saldırıdır ancak başarı ihitmali yüksektir.CEH kursuna gidip uygulama imkanı bulamayan fakat elinde yeterli miktarda finansal kaynak var ise evlerinde lab kurup uygulama yapabilirler ben şahsen öyle yapıyorum çitf net servis sağlayıcım var =) Artı olarak şunu söylemem gerekir ise eğer güvenlik ile detaylı bir şekilde ilgilenilecek ise hack tekniklerini bilmek ve onların gözünden EMPATİ yapmak ve düşünmek gerektiğini ve uygun bir DEFANS sağlamak gerektiğini unutmamak gerekir nette bu tür siteler ve forumlarda mevcut takip açısından ben şahsen 1 tanesine üyeyim... En azından mantığı yavaş yavaş kavrıyoruz =) =)
HERKESE SAYGI VE SEVGİLERİMLE...
Gönderildi : 01/09/2010 01:00
Eline sağlık güzel açıklama ama çoğu hosting firmaları rootbalase gibi teknolojileri artık barındırıyor. Paket daha karşıya vurmadan etkisiz hale geliyor direk erişimlerse nerdeyse imkansız hale geldi artık çok farklı anlamlarda black door mantıkları mantık bombaları kullanıcı zaafları ve sosyal hackerlik mükmediyor.
Gönderildi : 02/11/2010 11:14
