İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

DDoS Forensics /DDoS Saldırılarına Yönelik Adli Bilişim Analizi TURKHACKTEAM UYARIYOR

26-03-2014 15:42
#1
Héraklés - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2011
Nereden:
Ankara
Mesajlar:
6.241
Teşekkür (Etti):
1142
Teşekkür (Aldı):
5459
Konular:
920
Ticaret:
(0) %
Keşfedildiği ilk günden itibaren popülaritesini hiç kaybetmemiş nadir tehditlerden biri DDoS saldırılarıdır. Bunun temel sebebi yaygın kullanılan DoS/DDoS saldırılarının protokollerin doğasındaki tasarım hatalarını kullanmasıdır. Günümüzde kullandığımız protokoller yenileriyle değiştirilmeden de bu saldırı tipinden %100 korunmak mümkün olmayacaktır.

DDoS saldırı analizlerinin hukuki açıdan değer ifade edebilmesi için alınan logların 5651 sayılı kanuna göre tanımlanabiliyor olması gerekir ve analiz noktasında oldukça dikkatli olunması gerekir zira DDoS saldırıları en kolay sahtecilik yapılabilecek saldırılardır.

Internet üzerinde sahte ip paketi üretmek için onlarca yazılım ve yine sahte paket üretimine izin veren yüzlerde telekom firması bulunmaktadır.

Basitçe saldırgan aşağıdaki komutla Linux.com'dan geliyormuş gibi Microsoft.com'a DDoS saldırısı düzenleyebilir. Ya da X kurumundan, X devletinden geliyormuş gibi Y kurumuna, Y devletine saldırı varmış gibi gösterebilir.
hping --flood -a Microsoft Corporation -p 80 -S Linux.com | The source for Linux information

Bu konuda DDoS saldırılarının klasik bir güvenlik uzmanı değil, konunun uzmanı tarafından incelenmesi ve raporlanması şartdır. Aksi halde suçlu olmadığı halde kurum ve kuruluşlar (kişiler) suçlu gibi gösterilebilir.

DDoS saldırılarında diğer saldırılardan farklı olarak normal istekler de kullanılabileceği için (ana sayfayı on kere iste) gönüllü topluluklar tarafından gerçekleştirilen yoğun katılımlı protesto saldırılarında kimlerin gerçek saldırgan kimlerin siteyi zairet etmek isteyen kullanıcılar olduğu net olarak belirlenemeyebilir.



DDoS Saldırılarında Sahte IP Kullanımı

Hangi DDoS saldırı tiplerinin sahte paketlerle gerçekleştirilebileceği net olarak bellidir. TCP/IP protokol yapısına göre UDP tabanlı tüm protokoller kullanılarak sahte ip'lerden geliyormuş gibi saldırı düzenlenebilir (DNS flood, udp flood vs).

TCP tabanlı protokollerde sadece SYN FLOOD, ACK FLOOD, FIN FLOOD gibi üçlü el sıkışmanın tamamlanmasını gerektirmeyecek şekilde gerçekleştirilen saldırılarda sahte ip adresleri kullanılabilir.

HTTP GET f lood, HTTP POST flood gibi önce üçlü el sıkışmanın tamamlanmasını gerektirecek ddos saldırı tiplerinde ise sahte ip adresinden gerçekleştirmek teorik olarak mümkün olsa da pratik olarak mümkün değildir.



DDoS Analizi İçin Gerekli Yapının Kurulması


DDoS saldırısı esnasında çok basit işlemlerle toplanacak deliller saldırı sonrası analizlerde olduça yardımcı olacaktır. Saldırının hangi şiddette, hangi protokoller kullanılarak (TCP, UDP, ICMP, HTTP , SMTP vs) ne tip (packet flood, bandwithd aşırma ) ve kimler (gerçek ip adresleri, spoof edilmiş ip adresleri, botnet kullanımı) tarafından gerçekleştirildiği vs.

DDoS Saldırılarında sağlıklı analiz yapabilmek için uygun yerlere TAP cihazları yerleştirilmelidir. Bu cihazlar aracılığıyla saldırı anında aktif sistemleri etkilemeden log toplama imkanı olacaktır.

Saldırı Analizinde Cevabı Aranan Sorular

Herhangi bir konuda analize başlamadan yapılması gereken ilk iş konuyla ilgili sorulabilecek soruları çıkarmak ve analizi bu sorulara göre planlamak olmalıdır. DDoS saldırı analizi yaparken aynı yöntemi uygulayarak sağlıklı sonuçlar elde edilebilir.

Gerçekten bir DDoS saldırısı var mı?

Varsa nasıl anlaşılır?

DDoS saldırısının tipi nedir?

DDoS saldırısının şiddeti nedir?

Saldırı ne kadar sürmüş?

DDoS saldırısında gerçek IP adresleri mi spoofed IPadresleri mi kullanılmış?

DDoS saldırısı hangi ülke/ülkelerden geliyor?


TURKHACKTEAM.NET Copyright © 2014
Kullanıcı İmzası
"MediumTurquoise"]keybase login # or signup
keybase id Héraklés
keybase id Héraklés@tht # etc :-)
keybase follow Héraklés
keybase encrypt Héraklés -m
" "a secret msg"


# The new Keybase filesystem

# www.turkhackteam.org
hunkaraga Teşekkür etti.

26-03-2014 21:05
#2
Üyelik tarihi:
05/2013
Nereden:
Tekirdağ
Mesajlar:
536
Teşekkür (Etti):
140
Teşekkür (Aldı):
66
Konular:
100
Ticaret:
(0) %
Çok Güzel Teşekkürler...
Kullanıcı İmzası
Loading.....████████████100% ORIGINAL PROFILE ® ✔ Official THT | TurkHackTeam.net/org

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı