dos attack

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
lion
Kilobyte3
Kilobyte3
Mesajlar: 438
Kayıt: 15 Mar 2006, 18:11
cinsiyet: Erkek

dos attack

Mesaj gönderen lion »

Konu basliklari
DoS ataklari Nedir?
DDoS ataklari Nedir?
DoS Ataklarinin Türleri?
DoS Ataklari icin kullanilan programlar?
DDoS Ataklari icin kullanilan programlar?

DoS ataklari Nedir?

DoS yani acilimi Denial of Sevice olan bu saldiri cesidi bir hizmet aksatma yöntemidir.Bir kisinin bir sisteme düzenli veya arka arkaya yaptigi saldirilar sonucunda hedef sistemin kimseye hizmet veremez hale gelmesi veya o sisteme ait tüm kaynaklarin tüketimini amaclayan bir saldiri cesididir.Bircok Yöntemle Hizmet aksatma saldirilari gerceklestirilebilir.
Genellikle kullanilan yöntemler üc sinif altinda toplanabilir.

Bant Genisligine Yönelik Ataklar
Protokol Ataklari
Mantiksal Ataklar.

DDoS ataklari Nedir?

Bir saldirgan daha önceden tasarladigi BİR cOK makine üzerinden hedef bilgisayara saldiri yaparak hedef sistemin kimseye hizmet veremez hale gelmesini amaclayan bir saldiri cesididir. Koordineli olarak yapilan bu islem hem saldirinin boyutunu artirir hem de saldiriyi yapan kisinin gizlenmesini saglar. Bu islemleri yapan araclara Zombi denir.
Bu saldiri cesidinde saldirgani bulmak zorlasir. cünkü saldirinin merkezinde bulunan saldirgan aslinda saldiriya katilmaz. Sadece diger ip numaralarini yönlendirir.Eger saldiri bir tek ip adresinden yapilirsa bir Firewall bunu rahatlikla engelliyebilir. Fakat saldiri daha yüksek sayidaki ip adresinden gelmesi Firewall un devre disi kalmasini saglar(Log tasmasi firewall servislerini durdurur).İste bu özelligi onu DoS sadirisindan ayiran en önemli özelligidir.

DoS Ataklarinin Türleri?

Service Overloading: Bu atak tipi belirli host ve servisleri düsürmek icin kullanilir. Atak yapan kisi özel port ve host a bir cok ICMP paketi gönderir.Bu olay network monitör ile kolayca anlasilir
Message flooding: Service Overloading den farki sistemin normal calismasini engellemez. Yine ayni sekilde gönderilen paketler bu sefer normal olarak algilanir. örnek Nis serverinda flood yapilirsa (Unix network) Nis bunu sifre sifre istegi gibi görür. Ve saldirganin host a hükmetmesi saglanir.
Clogging: Saldirganin SYN gönderip ACK alip ondan sonrada gelen ACK ya cevap vermeyip sürekli syn göndermesinden olusur. Bu durum defalarca kez tekrarlanirsa server artik cevap veremez hale gelir. Bu paketler sahte ip ile gönderildiginden sistem bunu anlayamaz ve hizmeti keser. Anlasa ne olur, anlasa ayni ip den gelen o kadar istege cevap vermez. Kurtulus yolu bunlari tarayan firewall lardir.

DoS Ataklari icin kullanilan programlar?

Ping Of Death
Bir saldirgan hedef aldigi bir makineye büyük ping paketleri gönderir. Bircok isletim sistemi gelen bu maksimum derecede paketleri anlayamaz, cevap vermez duruma gelir ve isletim sistemi ya agdan düser ya da cöker.
SSPing
SSPing bir DoS aracidir.SSPing programi hedef sisteme yüksek miktarda ICMP veri paketleri gönderir. İsletim sistemi bu aldigi data paketlerini birbirinden ayirmaya calisir.Sonuc olarak bir hafiza tasmasi yasar ve hizmet vermeyi durdurur.
Land Exploit
Land Exploit bir DoS atak programidir. TCP SYN paketiyle hedef sisteme saldiridir. Saldiri ayni port numarasina sürekli olarak yapilir. Land Expoit ayni kaynak ve hedef portlari kullanarak SYN paketleri gönderir.
Bir cok Makine bu kadar yüklenmeyi kaldiramayacagi icin Buffer overflow yasar ve hicbir baglantiyi kabul edemeyecek duruma gelir.
Smurf
Smurf broadcast adreslere ICMP paketleri gönderen bir DoS Saldiri programidir.Saldirgan ICMP echo istekleri yapan kaynak adresi degistirerek ip broadcast a gönderir. Bu broadcast network üzerindeki her makinenin bu istekleri almasina ve her makinenin bu sahte ipli adrese cevap vermesini saglar.Bu sayede yüksek seviyede network trafigi yasanir. Sonuc olarak bir DoS saldirisi gerceklesmis olur.
Bir TCP baglantisinin basinda istekte bulunan uygulama SYN paketi gönderir. Buna cevaben alici site SYN-ACK paketi göndererek istegi aldigini teyit eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alici site bunlari biriktirir ve periyodik olarak göndermeye calisir.
Zombilerde kullanilarak, kurban siteye dönüs adresi kullanimda olmayan bir IP numarasi olan cok fazla sayida SYN paketi gönderilirse hedef sistem SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonucta bu birikim kuyruklarin dolup tasmasina sebep olur ve hedef sistem normal kullanicilarina hizmet verememeye baslar.
WinNuke
WinNuke programi hedef sistemin 139 nolu portuna “out of band” adi verilen verileri gönderir. Hedef bunlari tanimlayamaz ve sistem kilitlenir.
Kullanimi
WNUKE4 -c XXX.com 10000 0 450
(hedefe 10,000 adet 450 byte lik icmp paketleri gönderir.)
WNUKE4 -n XXX.com 0 1024-2024 6667-6668 UNPORT
Jolt2
Jolt2 kendisini farkli segmentte bulunuyormus izlenimi vererek NT/2000 makinelere DoS atak yapabilen bir programdir. İllegal paketler göndererek hedefin islemcisini %100 calistirip kilitlenmesine yol acar.
c: \> jolt2 1.2.3.4 -p 80 4.5.6.7
Komut satirinda görülen, 1.2.3.4 ip numarasi saldirganin spoof edilmis adresidir. Hedef adresin 4.5.6.7 80 nolu portuna saldiri yapar.
CPU kaynaklarini tamamini harcar ve sistemi aksatir
Bubonic.c
Bubonic.c Windows 2000 makineleri üzerinde DoS exploit lerinden faydalanarak calisan bir programdir.
Hedefe düzenli olarak TCP paketlerini gönderir.
c: \> bubonic 12.23.23.2 10.0.0.1 100
Targa
Targa 8 farkli modül icinde saldiri yapabilen bir Denial of Service Programidir.


DDoS Ataklari icin kullanilan programlar?
1.Trinoo
2.TFN
3.Stacheldraht
4.Shaft
5.TFN2K
6.mstream

DDOS – Saldiri Yöntemi

Tüm DDoS programlari iki safhada calisir.
Mass-intrusion Phase – Bu safhada DoS saldirisi yapacak olan sistemlere ulasilir ve saldiriyi gerceklestirecek olan programlar yüklenir. Bunlar birincil kurbanlardir.
DDoS Attack Phase – Bu safhada hedef sitelere saldiri yapilir bunun icinde birincil kurbanlar kullanilarak hedefe yüklenilir.
Trinoo
Trinoo DDoS yöntemini kullanan ilk programdir.
Kullandigi TCP Portlari:
Attacker to master: 27665/tcp
Master to daemon: 27444/udp
Daemon to master: 31335/udp
TFN2K
Zombilerin yüklendigi makineler listening modda calisir. Her an karsidan gelecek komutlara hazirdir.
Running the server
#td
Running the client
#tn -h 23.4.56.4 -c8 -i 56.3.4.5 bu komut 23.4.56.4 nolu ipden 56.3.4.5 nolu ip ye saldiri baslatir.
Stacheldraht
TFN ve Trinoo gibi calisir fakat modüllerine paketleri kriptolu gönderebilir.
Kullandigi portlar TCP ve ICMP
Client to Handler: 16660 TCP
Handler to and from agents: 65000 ICMP

portlari kapamak care olabilir online port taramasi yaparak acik portlarininzdanda kurtulabilirsiniz

alintidir..
Cevapla