Ddos Nedir Nasıl Calışır ?

**OMUR** · 08-12-2006, 05:03 PM

DoS ve DDoS atakları özellikle 2001 yılında online ticaret kuruluşlarına yapıldığı görülmektedir. Vnunet ([Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.]) haberlerinde, internet kullanıcıları ve e-ticaret site yöneticileri bu tür saldırılara karşı uyarmıştı. Internet Security Systems (ISS) yüzlerce bilgisayara zombi adı verilen ajanların yüklendiğini belirten haberler yayınlamıştı. Bu küçük ajanlar sayesinde sisteme sızan kimseler, serverlara çok sayıda veri göndererek serverların (sunucu) çökmesine neden olmaktadır. Bu saldırıdan etkilenen Yahoo, Amazon ve eBay gibi ünlü internet portallarının çökmesine ve milyonlarca dolar zarar uğramasına neden olmuştu. Computer Security Institue (CSI, [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.]) anketine katılanlardan bir e-ticaret sitesi sahibi olanların U'i DDoS saldırılarına maruz kaldıklarını belirttiler. DoS atakları sadece e-ticaret ve web servislerine yapılmamaktadır. Bu saldırılardan routerlar, sanal özel ağlar(VPN) ve IRC sunucularıda etkilenmektedirler. Bir servis sağlayıcının router'ına yapılacak bir saldırı sonucu network trafiği altüst olabilir ve sonucundada müşterilerinin bağlantıları kopabilir. Daha önce en büyük IRC ağlarından Undernet'in bazı önemli sunucuları DDoS yöntemiyle çökertilmişti. Saldırıda servis sağlayıcılar saniyede yüzlerce MB veri bombardımanına tutulmuştu.

DDoS saldırıları nasıl gerçekleşmektedir?
Atak anında kişi, kendini gizlemek için önceden sızdığı bilgisayarlara 'zombi' adı verilen küçük programcıkları yerleştirir. Böylece kendini saklama fırsatı elde eder. Ataklar bu zombiler üzerinden yaparak birden fazla bilgisayarı istediği hedefler üzerine veri bombardımanı yapabilir. Yüzlerce/binlerce bilgisayarlara yerleştirilen zombiler, bilgisayarlara uzaktan kontrol (remote) imkanı vererek, bu bilgisayarlar üzerinden istedikleri server'a çok sayıda veri göndererek, server'i sistem dışı bırakıyor. Böylece saldırganlar, saldırıları başka insanların bilgisayarları üzerinden gerçekleştirdiği için saptanmaları zor hale gelmektedir.
DDoS yöntemi genel olarak sistemlere belli bir düzen çerçevesinde farklı noktalardan saldırarak server'i hizmet dışına bırakma yoludur. Bir bilgisayar server'a kendi adresini yanlış veren bir veri paketi yolluyor. Server, bilgisayarın verdiği adrese geri bilgi vermek için ulaşmaya çalıştığında adrese ulaşamıyor. Bu esnada server bağlantıyı kapatmadan bir müddet bekliyor. Bu tür bağlantı isteklerinin milyonlarcası server'a yapıldığında server işlemez hale gelmektedir.

'Zombiler'
DDoS ataklarını gerçekleştirirken yakalanmamak için "zombi" denilen küçük programcıkların kullanıldığından söz etmiştik. Ataklar bu zombiler üzerinden gerçekleştirilerek aynı anda birden fazla bilgisayarın hedeflere yönlendirilmesi sağlanarak, saldırıyı yapan kişinin IP adresininde gizlenmesi sağlanır. Zombiler genellikle güvenliği zayıf olan sistemlere yerleştirilirler. Yani hack'lenen sisteme yerleştirilen zombiler kendi bünyesindeki daemonlar vasıtasıyla belirli bir porttan (1524 tcp, 27665 tcp, 2744 udp, 31335 udp, 33270 tcp) gelecek olan DDoS isteklerini gerçekleştirirler. Ayrıca daha çok Unix ve Linux tabanlı sistemlerde zombiler kullanılsada Windows tabanlı sistemlerde de zombiler kullanılmaktadır.

DDoS için kullanılan araçlar:

Trinoo(Trin00)
The Tribe Flood Network (TFN)
Stacheldraht
Trinity
Shaft
Tribe Flood Network 2K (TFN2K)
MStream
DDoS ataklarından korunmak için:
Bu ataklar fark edildiğinde atakta bulunan adresten gelen bağlantı isteklerinin iptal edilmesi gerekir. Ayriyeten özel yazılım ve donanım kullanılarak saldırıların önüne geçme imkanı vardır. Şirket ve bireysel kullanıcılar, güvenlik politikalarını belirleyerek, müdahale tespit (intrusion detection) gibi yöntemlere başvurmalı. Ayrıca saldırının başladığı an saldırının merkezi tespit edilerek, o merkezin servis sağlyıcısıyla irtibata geçmek ve erişimi engellemek gerekiyor.

Sisteminizde bir DDoS aracının kurulup kurulmadığını tespit etmek istiyorsanız find_ddos isimli programı kullanabilirsiniz. Bu programı bulabileceğiniz adres:

[Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.] .tar.Z

Sistemde tespit edebildiği DDoS araçları:

mstream master
mstream server
stacheldraht client
stacheldraht daemon
stacheldraht master
tfn-rush client
tfn client
tfn daemon
tfn2k client
tfn2k daemon
trinoo daemon
trinoo master
Bu programı root yetkisinde çalıştırın.

Eğer sisteminizde DDoS aracı kurulmuşsa aşağıdakine benzer bir çıktı ile karşılaşma olasılığı vardır.

[root@turkgate find]# ./find_ddos

Logging output to: LOG
Scanning running processes...
Scanning "/tmp"...
Scanning "/"...

/DoS/TFN/tfn: tfn client
/DoS/TFN/tfn-rush: tfn-rush client
/DoS/TFN/td: tfn2k daemon

ALERT: One or more DDOS tools were found on your system.
Please examine LOG and take appropriate action.

Tarama işlemi sonucunda oluşturduğu LOG dosyasında detaylı bilgileri barındırır.
Eğer windows sistemi altından networkünüzü kontrol etmek istiyorsanız DDoSPing isimli programı kullanabilirsiniz. Bu programı [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.] adresinde bulabilirsiniz.

Sisteminize yapılan DDoS ataklarına karşı yararlanabileceğiniz programlardan biri ZombieZapper isimli programdır. Programın kaynak kodu aşağıda verilmiştir. Ayrıca programı [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.] adresinden download edebilirsiniz.
ZombieZapper, zombie kurulmuş sistemlerden kaynaklanan yoğun trafiğin durdurulması için kullanılmaktadır. Bu programın Trinioo, TFN, Stacheldraht, Trinioo for Windows ve Shaft DDoS araclarına karşı etkili olduğu belirtiliyor. ZombieZapper yazarları network yöneticilerinin bu programı kullanarak kendi network'lerinden veya dışarıdaki bir sistemden kaynaklanan flood saldırılarının tespit edilip, durdurulabileceği belirtilmekte.

08-12-2006, 05:03 PM	#1 (permalink)
OMUR Yeni Ezberci Ezberim Üyelik BiLgilerim Üyelik tarihi: Aug 2006 Yaş: 20 Üye No: 80 Mesajlar: 17 Ezberim Tşk İstatistikleri Tesekkür: 1 6 Mesajına 15 Kere Teşekkür Edildi Ezberim Rep PuanLaması İtibar Gücü: 0 Rep Puanı: 50 Rep Derecesi:	Ddos Nedir Nasıl Calışır ? DoS ve DDoS atakları özellikle 2001 yılında online ticaret kuruluşlarına yapıldığı görülmektedir. Vnunet ([Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.]) haberlerinde, internet kullanıcıları ve e-ticaret site yöneticileri bu tür saldırılara karşı uyarmıştı. Internet Security Systems (ISS) yüzlerce bilgisayara zombi adı verilen ajanların yüklendiğini belirten haberler yayınlamıştı. Bu küçük ajanlar sayesinde sisteme sızan kimseler, serverlara çok sayıda veri göndererek serverların (sunucu) çökmesine neden olmaktadır. Bu saldırıdan etkilenen Yahoo, Amazon ve eBay gibi ünlü internet portallarının çökmesine ve milyonlarca dolar zarar uğramasına neden olmuştu. Computer Security Institue (CSI, [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.]) anketine katılanlardan bir e-ticaret sitesi sahibi olanların U'i DDoS saldırılarına maruz kaldıklarını belirttiler. DoS atakları sadece e-ticaret ve web servislerine yapılmamaktadır. Bu saldırılardan routerlar, sanal özel ağlar(VPN) ve IRC sunucularıda etkilenmektedirler. Bir servis sağlayıcının router'ına yapılacak bir saldırı sonucu network trafiği altüst olabilir ve sonucundada müşterilerinin bağlantıları kopabilir. Daha önce en büyük IRC ağlarından Undernet'in bazı önemli sunucuları DDoS yöntemiyle çökertilmişti. Saldırıda servis sağlayıcılar saniyede yüzlerce MB veri bombardımanına tutulmuştu. DDoS saldırıları nasıl gerçekleşmektedir? Atak anında kişi, kendini gizlemek için önceden sızdığı bilgisayarlara 'zombi' adı verilen küçük programcıkları yerleştirir. Böylece kendini saklama fırsatı elde eder. Ataklar bu zombiler üzerinden yaparak birden fazla bilgisayarı istediği hedefler üzerine veri bombardımanı yapabilir. Yüzlerce/binlerce bilgisayarlara yerleştirilen zombiler, bilgisayarlara uzaktan kontrol (remote) imkanı vererek, bu bilgisayarlar üzerinden istedikleri server'a çok sayıda veri göndererek, server'i sistem dışı bırakıyor. Böylece saldırganlar, saldırıları başka insanların bilgisayarları üzerinden gerçekleştirdiği için saptanmaları zor hale gelmektedir. DDoS yöntemi genel olarak sistemlere belli bir düzen çerçevesinde farklı noktalardan saldırarak server'i hizmet dışına bırakma yoludur. Bir bilgisayar server'a kendi adresini yanlış veren bir veri paketi yolluyor. Server, bilgisayarın verdiği adrese geri bilgi vermek için ulaşmaya çalıştığında adrese ulaşamıyor. Bu esnada server bağlantıyı kapatmadan bir müddet bekliyor. Bu tür bağlantı isteklerinin milyonlarcası server'a yapıldığında server işlemez hale gelmektedir. 'Zombiler' DDoS ataklarını gerçekleştirirken yakalanmamak için "zombi" denilen küçük programcıkların kullanıldığından söz etmiştik. Ataklar bu zombiler üzerinden gerçekleştirilerek aynı anda birden fazla bilgisayarın hedeflere yönlendirilmesi sağlanarak, saldırıyı yapan kişinin IP adresininde gizlenmesi sağlanır. Zombiler genellikle güvenliği zayıf olan sistemlere yerleştirilirler. Yani hack'lenen sisteme yerleştirilen zombiler kendi bünyesindeki daemonlar vasıtasıyla belirli bir porttan (1524 tcp, 27665 tcp, 2744 udp, 31335 udp, 33270 tcp) gelecek olan DDoS isteklerini gerçekleştirirler. Ayrıca daha çok Unix ve Linux tabanlı sistemlerde zombiler kullanılsada Windows tabanlı sistemlerde de zombiler kullanılmaktadır. DDoS için kullanılan araçlar: Trinoo(Trin00) The Tribe Flood Network (TFN) Stacheldraht Trinity Shaft Tribe Flood Network 2K (TFN2K) MStream DDoS ataklarından korunmak için: Bu ataklar fark edildiğinde atakta bulunan adresten gelen bağlantı isteklerinin iptal edilmesi gerekir. Ayriyeten özel yazılım ve donanım kullanılarak saldırıların önüne geçme imkanı vardır. Şirket ve bireysel kullanıcılar, güvenlik politikalarını belirleyerek, müdahale tespit (intrusion detection) gibi yöntemlere başvurmalı. Ayrıca saldırının başladığı an saldırının merkezi tespit edilerek, o merkezin servis sağlyıcısıyla irtibata geçmek ve erişimi engellemek gerekiyor. Sisteminizde bir DDoS aracının kurulup kurulmadığını tespit etmek istiyorsanız find_ddos isimli programı kullanabilirsiniz. Bu programı bulabileceğiniz adres: [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.] .tar.Z Sistemde tespit edebildiği DDoS araçları: mstream master mstream server stacheldraht client stacheldraht daemon stacheldraht master tfn-rush client tfn client tfn daemon tfn2k client tfn2k daemon trinoo daemon trinoo master Bu programı root yetkisinde çalıştırın. Eğer sisteminizde DDoS aracı kurulmuşsa aşağıdakine benzer bir çıktı ile karşılaşma olasılığı vardır. [root@turkgate find]# ./find_ddos Logging output to: LOG Scanning running processes... Scanning "/tmp"... Scanning "/"... /DoS/TFN/tfn: tfn client /DoS/TFN/tfn-rush: tfn-rush client /DoS/TFN/td: tfn2k daemon ALERT: One or more DDOS tools were found on your system. Please examine LOG and take appropriate action. Tarama işlemi sonucunda oluşturduğu LOG dosyasında detaylı bilgileri barındırır. Eğer windows sistemi altından networkünüzü kontrol etmek istiyorsanız DDoSPing isimli programı kullanabilirsiniz. Bu programı [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.] adresinde bulabilirsiniz. Sisteminize yapılan DDoS ataklarına karşı yararlanabileceğiniz programlardan biri ZombieZapper isimli programdır. Programın kaynak kodu aşağıda verilmiştir. Ayrıca programı [Linkleri Görebilmek İçin Üye Olmanız Gerekmektedir.Lütfen Buraya TIKLAYARAK Üye Olunuz.] adresinden download edebilirsiniz. ZombieZapper, zombie kurulmuş sistemlerden kaynaklanan yoğun trafiğin durdurulması için kullanılmaktadır. Bu programın Trinioo, TFN, Stacheldraht, Trinioo for Windows ve Shaft DDoS araclarına karşı etkili olduğu belirtiliyor. ZombieZapper yazarları network yöneticilerinin bu programı kullanarak kendi network'lerinden veya dışarıdaki bir sistemden kaynaklanan flood saldırılarının tespit edilip, durdurulabileceği belirtilmekte.

Konu Araçları
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder