Ddos ve Flood Saldırılarında Hedef Alınan Zayıf Noktalar

Ddos ve flood saldırılarınım tahrip gücünü az çok bilirsiniz bu saldırıların bir kısmının ne şekilde yapılacağını ya da ne şekilde yapıldığında daha fazla etkili olunduğunu anlatacağım.
Bildiğiniz üzere ddos ve flood saldırıların genel amacı kısaca özetlersek hedef makinanın kaynaklarını aşırı kullanmasına, tüketmesine, zorlamasına dayanarak hedef makinayı etkisiz hale getirmek. Bununla ilgili dökümanlar tahribat.com doküman arşivinde mevcut .

Bu saldırı yöntemlerinin bir kısmı ne şekilde kullanılırsa  bu saldırıların daha etkili olacağını açıklayacağım ip adresine yapılan atakların bir kısmı server ip sine fazla yüklenilerek serverin artık yapılan ataklara karşı koyamaması durumunda etkisiz hale geliyor genel olarak saldırgan kişiler web sitesinin serverine saldıracaksa web sitesinin internete çıkış portu “80” dir saldırgan elinde ki toollarla siteye direk saldırır sitenin nete çıkış yapamamasını sağlar bu tooların bir çoğunun default ayarı sitenin 80. Portuna yöneliktir. Bunu bilen server sahipleri 80. Porttan gelen bağlantıları süzer, filtreler. Bu şekilde bir çok saldırıyı da etkisiz hale getirir. Peki ne yapılır bu durumda saldırı yaptığın kaynak çok güçlü değilse şayet serverde ki diğer portlara saldırılarak amaçlar gerçekleştirilir. Bir çok koruma yöntemi serverin 80 portuna göre ayarlandığından diğer portlar amatör server sahibiyse önemsenmeyebilir. Örnek verecek olursak mesela mysql veritabanı portu  “3306” dır. Mssql veritabanı portuda “1433” dür değiştirilmediyse tabi saldırılan exploit vb araçlardan sitede ki sisteme göre hangi veri tabanını kullanıyorsa ve veritabanları dışarıda değil bulundukları serverde ise bu portlara saldırı gerçekleştirildiği vakit web sitesin deki kurulu olan sistemin veritabanı bağlantısı kesileceğinden site komple devre dışı kalacaktır. Basit örnek verdim mesela birde irc serverlerini örnek alacak olursak bu servere bir çok kişi işte clone vb saldırılarla serveri yormaya çalışır bunlar meşakkatli ve zor işlerdir ama direk serverin irc serveri için açtığı porta ddos saldırısı yapılırsa daha etkili olacağını bilmelisiniz. nedir genel irc portu?  “6667”, “6669” gibi portlardır.  korunma yolları bu portlarında dışa kapatılması  filtre kurulması paket boyutu ayarı antidos koruma sistemleri vb. bir çok yolla korunması mevcuttur açıklamalar forumda ve dökümanlarda mevcuttur.

Gelelim sitede kurulu olan sistemden yararlanılarak syn flood saldırılarında gözetilecek zayıf noktalara: bildiğiniz üzere HolyOne Yapımı Denyolunch gelmiş geçmiş en büyük flood aracıdır. Bu araçtan örnekler göstereceğim neden sadece denyo dan örnek vereceğim, çünkü diğer tüm flood araçlarının denyo kadar etkili olmadığını gördüğüm için ,en etkilisinden örnek vermek daha mantıklı diye düşünüyorum. Ziyaretçi defteri scriptlerini düşünün bir çoğunda karakter tanımlama koruması olmaz ya da herhangi bir session tanımlaması vb. korumasıda yoksa buraya denyo ile otomatik devamlı farklı bir şekilde yazı ile doldurursanız üstelik denyoya Proxy tanımlaması yaparsanız ip koruması varsa Proxyler devreye girecektir o kadar yazı gönderdim hiç biri gözükmedi diyorsanız gözükmez bir çok ziyaretçi defteri scripti yönetici onayından geçer korkmayın yazdığın her yazı hızlı bir şekilde veritabanına aktarıldığından veri tabanı bu hıza yetişemeyip iflas edecektir bir süre sonra ekranda veri tabanına bağlanamadı yazısı görürseniz şaşırmayın.

 Hedefte ki sistemlerin özel korumaları yoksa arama bölümleri her seferinde aynı kelimeleri aratarak değil de 2 haneli veya devamlı değişen denyonun değişken kodunu kullanarak yaparsanız siteyi kasıp etkisiz hale getirirsiniz mesaj aramalarında 2 haneli değişen aramaların yapılmasının serveri zorlamasında ki neden bu 2 haneli kelimeler bir çok kelimede yer alabilmektedir ama kesinlikle 2 haneli  yan yana sesli harfleri arama yapmayınız, Çünkü Türkçede 2 sesli harf yan yana gelmez ama bir “ra” “eb” gibi harfler bir çok kez yan yana gelir bunların hepsinin script tarafından veritabanında bulunması scripti zorlar birde devamlı olarak yapıldığını düşünün bu sebepten de bir çok scriptte 2 harf aramama kuralı vardır. Onun sebebi budur.  sonra üyelik sistemleri aynı şekil veri tabanına çok fazla ve hızlı bir şekilde veri eklenince veritabanı buna yetişemeyip error verecektir ekranda tekrar veritabanına bağlanılamadı yazısını görebilirsiniz. Aşağıda ki şemayı incelerseniz daha iyi anlarsınız. Sistem Tek bir kişinin isteklerini karşılamaya çalışırken diğerlerini bekletecektir.

Ama bunları açık kaynak kodlu hazır cms sistemlerinde denemeyiniz çünkü pek işe yaramaz sebebi bu sistemler bu tür saldırılara karşı devamlı güncellenmektedir, geliştirilmektedir, ama özel yazım scriptlerde bu saldırılar daha çok işe yaramaktadır. Script güvenlik uzmalarının eline geçmediğinden sadece coder ve kullanıcı arasından döndüğünden bir çok açık bulunması doğaldır.  En nihayetinde her coder bir sistem güvenlik uzmanı olamaz.  Konunun daha iyi anlaşılması açısından bir örnek daha vereceğim bazı scriptler de Arkadaşına gönder Arkadaşına öner bölümü olur özellikle haber scriptlerinde mesela buraları da korumasız alanlarıdır scriptlerin buraya denyo ile saldırı yaparsak şayet ve gönderilecek mail adresi bölümünü denyoda “ %ramdommail% ” değişkenini tanımlarsak script devamlı olarak absürt adreslere mail gönderecektir mailler yerine ulaşmayınca script in bulunduğu server aşırı mail gönderimini ve maillerin yerine ulaşmamasını göz önünde bulundurarak spam teşhisi koyacaktır. Bu da scriptin mail gönderme özelliğinin webmasterin derdini anlatana kadar kapatılmasına yol açacaktır. Hatta spamcı sıfatıyla serverden sepetlenmeleri bile mümkündür. Üye giriş panellerinin admin giriş panellerinin devamlı şekilde yanlış kelimelerle giriş yapılmasını sağlayarak sistemin bu şekilde de yorulması sağlanabilir.

Not: Bu tür saldırılarda en önemli faktörün saldırı gerçekleştirilen kaynağın hızının, saldırı kaynağını fazlalığının ve kaynağın donanımsal gücünün olduğunu unutmayınız. Bilgilendirme amaçlıdır olumsuz kullananlar doğacak zarardan uygulayanların kendileri sorumludur.

Tarih:
Hit: 3835
Yazar: SeRDaR

Taglar: ddos ve flood


Yorumlar


Siftahı yapan siz olun
Yorum yapabilmek için üye girişi yapmalısınız.