GNU/Linux Ddos ne işe yarıyor?
- Konuyu başlatan rlexinc
- Başlangıç tarihi
Çözüm
Güzel soru çünkü çoğu kişi DDoS’u sadece “site kapatmak” gibi düşünüyor ama aslında arka planda çok daha farklı etkileri var. Önce net tanım yapalım: DDoS (Distributed Denial of Service): Dağıtık Hizmet Engelleme saldırısıdır. Çok sayıda cihaz (botnet, IoT cihazları vs.) aynı anda hedefe trafik gönderir. Amaç hizmeti aşırı yüklemek ve erişilemez hale getirmek.
Kaynak Tüketimi: Hedefin CPU, RAM, disk veya bant genişliğini bitirir.
Servis Kesintisi: Normal kullanıcılar hizmete ulaşamaz.
Dolaylı Saldırılar: Asıl amaç bazen sistemi kapatmak değil, altyapıyı zorlayarak güvenlik ekiplerini meşgul etmek olabilir.
Web Dışındaki Kullanım Alanları:
Oyun Sunucuları
Online oyunlarda rakip oyuncuları veya sunucuları çökertmek için sık kullanılır. (Tabii ki illegaldir). Bu yüzden büyük oyun şirketleri sürekli anti-DDoS çözümleri uygular.
VoIP / Telefon Sistemleri
SIP protokolüne yönelik DDoS çağrı sistemlerini kilitleyebilir. Çağrı merkezleri, acil servis hatları bile bu saldırılardan etkilenebilir.
DNS Sunucuları
DNS altyapısı çökerse internetteki birçok servis ulaşılmaz hale gelir. Örn: 2016 Dyn DNS saldırısı (Twitter, GitHub, Netflix saatlerce çöktü).
API & Mikroservisler
Sadece web sayfaları değil, arka uçtaki REST/GraphQL API’ler de hedef olabilir. Mobil uygulama çalışmaz hale gelir.
IoT Cihazları
Akıllı ev cihazları, kamera sistemleri düşük kaynaklı oldukları için DDoS’a çok açık. Mirai botnet bu tip cihazları ele geçirip kullanmıştı.
Kurumsal Ağlar
Firewall, load balancer, VPN gibi altyapı servislerini hedef alarak tüm şirket ağını felç edebilir.
Yasal ve Faydalı Kullanım Alanı:
Test Amaçlı (Stress Testing / Load Testing)
Kendi sistemine kontrollü trafik gönderip altyapının kaç kullanıcıyı kaldırabileceğini ölçebilirsin. Bu iş için Apache JMeter, locust.io, hping3 gibi yasal araçlar kullanılıyor. Gerçek dünyada firmalar “DDoS Simulation / Red Team” çalışmalarıyla buna yatırım yapıyor.
Bütün bunlara ek olarak DDoS saldırı tiplerini de inceleyelim:
Volumetrik Saldırılar (Bant genişliği tüketme)
Bu tip saldırılarda amaç hedefin internet hattını şişirmek. Çok büyük miktarda trafik gönderilir ve sunucuya ulaşan normal kullanıcıların trafiği sıkışır.
Örnek: UDP flood, ICMP flood.
Savunma: CDN (Cloudflare, Akamai gibi) kullanmak, yüksek bant genişliğine çıkmak, anycast routing ile trafiği farklı lokasyonlara dağıtmak, gerekirse blackhole routing (trafiği çöpe yönlendirme).
Burada hedef doğrudan network protokolleri. Yani TCP/IP’nin işleyişindeki zayıflıklar kullanılır.
Örnek: SYN flood, Ping of Death, Smurf attack.
Savunma: Stateful firewall ve IPS sistemleri, SYN cookies gibi TCP koruma mekanizmaları, rate limiting ile aynı kaynaktan gelen bağlantı denemelerini sınırlamak.
Az sayıda istekle bile sunucunun CPU veya RAM’ini bitirmeye çalışır. Çünkü istekler uygulama seviyesinde maliyetlidir.
Örnek: HTTP GET/POST flood (sanki binlerce kullanıcı aynı anda siteye giriyormuş gibi).
Savunma: WAF (Web Application Firewall) kullanmak, bot/captcha koruması eklemek, trafik analizi yapıp şüpheli istekleri engellemek.
DNS Tabanlı Saldırılar
DNS sunucuları hedef alınır ya da açık DNS servisleri “amplification” için kullanılır.
Örnek: DNS amplification attack.
Savunma: Anycast DNS ile yük dağıtmak, rate limiting uygulamak, DNSSEC kullanmak.
NTP / Memcached Amplification
Açık UDP servisleri (örneğin NTP veya Memcached) saldırıda trafik çoğaltıcı olarak kullanılır. Küçük bir istek yüzlerce kat daha büyük cevap üretir ve hedefi boğar.
Örnek: NTP amplification, Memcached DDoS.
Savunma: Gereksiz UDP servislerini kapatmak, ağda outbound UDP trafiğini filtrelemek.
CDN ile yük dağıtmak.
Rate limiting (tek IP’den gelen istekleri sınırlama).
IPS/IDS ile trafik anomalilerini tespit etmek.
Servisleri farklı lokasyonlarda çoğaltmak (redundancy).
Scrubbing center kullanmak (trafiği önce güvenlik sağlayıcısına yönlendirmek, temizledikten sonra sunucuya vermek).
Kaynak Tüketimi: Hedefin CPU, RAM, disk veya bant genişliğini bitirir.
Servis Kesintisi: Normal kullanıcılar hizmete ulaşamaz.
Dolaylı Saldırılar: Asıl amaç bazen sistemi kapatmak değil, altyapıyı zorlayarak güvenlik ekiplerini meşgul etmek olabilir.
Web Dışındaki Kullanım Alanları:
Oyun Sunucuları
Online oyunlarda rakip oyuncuları veya sunucuları çökertmek için sık kullanılır. (Tabii ki illegaldir). Bu yüzden büyük oyun şirketleri sürekli anti-DDoS çözümleri uygular.
VoIP / Telefon Sistemleri
SIP protokolüne yönelik DDoS çağrı sistemlerini kilitleyebilir. Çağrı merkezleri, acil servis hatları bile bu saldırılardan etkilenebilir.
DNS Sunucuları
DNS altyapısı çökerse internetteki birçok servis ulaşılmaz hale gelir. Örn: 2016 Dyn DNS saldırısı (Twitter, GitHub, Netflix saatlerce çöktü).
API & Mikroservisler
Sadece web sayfaları değil, arka uçtaki REST/GraphQL API’ler de hedef olabilir. Mobil uygulama çalışmaz hale gelir.
IoT Cihazları
Akıllı ev cihazları, kamera sistemleri düşük kaynaklı oldukları için DDoS’a çok açık. Mirai botnet bu tip cihazları ele geçirip kullanmıştı.
Kurumsal Ağlar
Firewall, load balancer, VPN gibi altyapı servislerini hedef alarak tüm şirket ağını felç edebilir.
Yasal ve Faydalı Kullanım Alanı:
Test Amaçlı (Stress Testing / Load Testing)
Kendi sistemine kontrollü trafik gönderip altyapının kaç kullanıcıyı kaldırabileceğini ölçebilirsin. Bu iş için Apache JMeter, locust.io, hping3 gibi yasal araçlar kullanılıyor. Gerçek dünyada firmalar “DDoS Simulation / Red Team” çalışmalarıyla buna yatırım yapıyor.
Bütün bunlara ek olarak DDoS saldırı tiplerini de inceleyelim:
Volumetrik Saldırılar (Bant genişliği tüketme)
Bu tip saldırılarda amaç hedefin internet hattını şişirmek. Çok büyük miktarda trafik gönderilir ve sunucuya ulaşan normal kullanıcıların trafiği sıkışır.
Örnek: UDP flood, ICMP flood.
Savunma: CDN (Cloudflare, Akamai gibi) kullanmak, yüksek bant genişliğine çıkmak, anycast routing ile trafiği farklı lokasyonlara dağıtmak, gerekirse blackhole routing (trafiği çöpe yönlendirme).
Protokol Saldırıları
Burada hedef doğrudan network protokolleri. Yani TCP/IP’nin işleyişindeki zayıflıklar kullanılır.
Örnek: SYN flood, Ping of Death, Smurf attack.
Savunma: Stateful firewall ve IPS sistemleri, SYN cookies gibi TCP koruma mekanizmaları, rate limiting ile aynı kaynaktan gelen bağlantı denemelerini sınırlamak.
Uygulama Katmanı Saldırıları (Layer 7)
Az sayıda istekle bile sunucunun CPU veya RAM’ini bitirmeye çalışır. Çünkü istekler uygulama seviyesinde maliyetlidir.
Örnek: HTTP GET/POST flood (sanki binlerce kullanıcı aynı anda siteye giriyormuş gibi).
Savunma: WAF (Web Application Firewall) kullanmak, bot/captcha koruması eklemek, trafik analizi yapıp şüpheli istekleri engellemek.
DNS Tabanlı Saldırılar
DNS sunucuları hedef alınır ya da açık DNS servisleri “amplification” için kullanılır.
Örnek: DNS amplification attack.
Savunma: Anycast DNS ile yük dağıtmak, rate limiting uygulamak, DNSSEC kullanmak.
NTP / Memcached Amplification
Açık UDP servisleri (örneğin NTP veya Memcached) saldırıda trafik çoğaltıcı olarak kullanılır. Küçük bir istek yüzlerce kat daha büyük cevap üretir ve hedefi boğar.
Örnek: NTP amplification, Memcached DDoS.
Savunma: Gereksiz UDP servislerini kapatmak, ağda outbound UDP trafiğini filtrelemek.
Genel Savunma Stratejileri
CDN ile yük dağıtmak.
Rate limiting (tek IP’den gelen istekleri sınırlama).
IPS/IDS ile trafik anomalilerini tespit etmek.
Servisleri farklı lokasyonlarda çoğaltmak (redundancy).
Scrubbing center kullanmak (trafiği önce güvenlik sağlayıcısına yönlendirmek, temizledikten sonra sunucuya vermek).
DDoS Simülasyon Laboratuvarı Rehberi
1. Ortam Kurulumu
a) Sanal Makine / VM
Bilgisayarında VirtualBox veya VMware kullan. İki VM oluştur:Hedef Sunucu VM: Basit web sunucusu çalıştıracak.
Saldırı/Simülasyon VM: Kali Linux veya Python ortamı.
b) Hedef Sunucu Kurulumu
Python Flask veya Node.js ile basit bir web sunucusu kur: Python örneği (Flask):
Python:
from flask import Flask
app = Flask(__name__)
@app.route("/")
def home():
return "Lab DDoS Test Sunucusu"
if __name__ == "__main__":
app.run(host="0.0.0.0", port=5000)VM’in IP adresini öğren (ifconfig veya ip a) ve bunu saldırı testinde kullanacağız.
2. Python ile Trafik Simülasyonu
a) requests ile Basit Trafik
Python:
import requests
import time
url = "http://<Hedef_VM_IP>:5000"
for i in range(50): # 50 istek gönder
r = requests.get(url)
print(f"{i+1}: {r.status_code}")
time.sleep(0.2) # her 0.2 saniye bir istekb) asyncio ile Daha Hızlı Trafik
Python:
import asyncio
import aiohttp
url = "http://<Hedef_VM_IP>:5000"
async def send_request(session, i):
async with session.get(url) as resp:
print(f"{i}: {resp.status}")
async def main():
async with aiohttp.ClientSession() as session:
tasks = [send_request(session, i) for i in range(100)]
await asyncio.gather(*tasks)
asyncio.run(main())
3. Kali Linux Araçları ile Test
a) hping3
TCP/UDP flood simülasyonu yapabilirsin sadece kendi VM’ine:
Bash:
hping3 -S <Hedef_VM_IP> -p 5000 --floodb) slowhttptest
Web sunucusunun HTTP katmanını test etmek için:
Bash:
slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u http://<Hedef_VM_IP>:5000/4. Gözlem ve Analiz
Hedef VM’de CPU, RAM ve ağ kullanımını takip et (top, htop, netstat). Trafik arttıkça sunucunun nasıl tepki verdiğini gözlemle. Amaç sistemi çökertmek değil, davranışı anlamak. Daha ileriye gidip savunma mekanizmalarını da test edebilirsin: Firewall, WAF, rate limiting, CDN simülasyonu.
