THT DUYURU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adli bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

takipci
chat
Seçenekler

DDoS Forensics /DDoS Saldırılarına Yönelik Adli Bilişim Analizi TURKHACKTEAM UYARIYOR

Héraklés - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
06/2011
Nereden:
Ankara
Mesajlar:
6.170
Konular:
908
Teşekkür (Etti):
1123
Teşekkür (Aldı):
5450
Ticaret:
(0) %
26-03-2014 15:42
#1
DDoS Forensics /DDoS Saldırılarına Yönelik Adli Bilişim Analizi TURKHACKTEAM UYARIYOR
Keşfedildiği ilk günden itibaren popülaritesini hiç kaybetmemiş nadir tehditlerden biri DDoS saldırılarıdır. Bunun temel sebebi yaygın kullanılan DoS/DDoS saldırılarının protokollerin doğasındaki tasarım hatalarını kullanmasıdır. Günümüzde kullandığımız protokoller yenileriyle değiştirilmeden de bu saldırı tipinden %100 korunmak mümkün olmayacaktır.

DDoS saldırı analizlerinin hukuki açıdan değer ifade edebilmesi için alınan logların 5651 sayılı kanuna göre tanımlanabiliyor olması gerekir ve analiz noktasında oldukça dikkatli olunması gerekir zira DDoS saldırıları en kolay sahtecilik yapılabilecek saldırılardır.

Internet üzerinde sahte ip paketi üretmek için onlarca yazılım ve yine sahte paket üretimine izin veren yüzlerde telekom firması bulunmaktadır.

Basitçe saldırgan aşağıdaki komutla Linux.com'dan geliyormuş gibi Microsoft.com'a DDoS saldırısı düzenleyebilir. Ya da X kurumundan, X devletinden geliyormuş gibi Y kurumuna, Y devletine saldırı varmış gibi gösterebilir.
hping --flood -a Microsoft Corporation -p 80 -S Linux.com | The source for Linux information

Bu konuda DDoS saldırılarının klasik bir güvenlik uzmanı değil, konunun uzmanı tarafından incelenmesi ve raporlanması şartdır. Aksi halde suçlu olmadığı halde kurum ve kuruluşlar (kişiler) suçlu gibi gösterilebilir.

DDoS saldırılarında diğer saldırılardan farklı olarak normal istekler de kullanılabileceği için (ana sayfayı on kere iste) gönüllü topluluklar tarafından gerçekleştirilen yoğun katılımlı protesto saldırılarında kimlerin gerçek saldırgan kimlerin siteyi zairet etmek isteyen kullanıcılar olduğu net olarak belirlenemeyebilir.



DDoS Saldırılarında Sahte IP Kullanımı

Hangi DDoS saldırı tiplerinin sahte paketlerle gerçekleştirilebileceği net olarak bellidir. TCP/IP protokol yapısına göre UDP tabanlı tüm protokoller kullanılarak sahte ip'lerden geliyormuş gibi saldırı düzenlenebilir (DNS flood, udp flood vs).

TCP tabanlı protokollerde sadece SYN FLOOD, ACK FLOOD, FIN FLOOD gibi üçlü el sıkışmanın tamamlanmasını gerektirmeyecek şekilde gerçekleştirilen saldırılarda sahte ip adresleri kullanılabilir.

HTTP GET f lood, HTTP POST flood gibi önce üçlü el sıkışmanın tamamlanmasını gerektirecek ddos saldırı tiplerinde ise sahte ip adresinden gerçekleştirmek teorik olarak mümkün olsa da pratik olarak mümkün değildir.



DDoS Analizi İçin Gerekli Yapının Kurulması


DDoS saldırısı esnasında çok basit işlemlerle toplanacak deliller saldırı sonrası analizlerde olduça yardımcı olacaktır. Saldırının hangi şiddette, hangi protokoller kullanılarak (TCP, UDP, ICMP, HTTP , SMTP vs) ne tip (packet flood, bandwithd aşırma ) ve kimler (gerçek ip adresleri, spoof edilmiş ip adresleri, botnet kullanımı) tarafından gerçekleştirildiği vs.

DDoS Saldırılarında sağlıklı analiz yapabilmek için uygun yerlere TAP cihazları yerleştirilmelidir. Bu cihazlar aracılığıyla saldırı anında aktif sistemleri etkilemeden log toplama imkanı olacaktır.

Saldırı Analizinde Cevabı Aranan Sorular

Herhangi bir konuda analize başlamadan yapılması gereken ilk iş konuyla ilgili sorulabilecek soruları çıkarmak ve analizi bu sorulara göre planlamak olmalıdır. DDoS saldırı analizi yaparken aynı yöntemi uygulayarak sağlıklı sonuçlar elde edilebilir.

Gerçekten bir DDoS saldırısı var mı?

Varsa nasıl anlaşılır?

DDoS saldırısının tipi nedir?

DDoS saldırısının şiddeti nedir?

Saldırı ne kadar sürmüş?

DDoS saldırısında gerçek IP adresleri mi spoofed IPadresleri mi kullanılmış?

DDoS saldırısı hangi ülke/ülkelerden geliyor?


TURKHACKTEAM.NET Copyright © 2014
---------------------
"MediumTurquoise"]keybase login # or signup
keybase id Héraklés
keybase id Héraklés@tht # etc :-)
keybase follow Héraklés
keybase encrypt Héraklés -m
" "a secret msg"


# The new Keybase filesystem

# www.turkhackteam.org
hunkaraga Teşekkür etti.
ultrahacker59 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
Tekirdağ
Mesajlar:
535
Konular:
100
Teşekkür (Etti):
138
Teşekkür (Aldı):
66
Ticaret:
(0) %
26-03-2014 21:05
#2
Çok Güzel Teşekkürler...
--------------------- Loading.....████████████100% ORIGINAL PROFILE ® ✔ Official THT | TurkHackTeam.net/org

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler