İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

DDos Nedir, Nasıl Çalışır ? (Anlatımı)

19-10-2011 14:33
#1
sicnesseS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
02/2011
Nereden:
Adana
Mesajlar:
164
Teşekkür (Etti):
5
Teşekkür (Aldı):
16
Konular:
50
Ticaret:
(0) %
DoS ve DDoS atakları özellikle 2001 yılında online ticaret kuruluşlarına yapıldığı görülmektedir. Vnunet (www.vnunet.com) haberlerinde, internet kullanıcıları ve e-ticaret site yöneticileri bu tür saldırılara karşı uyarmıştı. Internet Security Systems (ISS) yüzlerce bilgisayara zombi adı verilen ajanların yüklendiğini belirten haberler yayınlamıştı. Bu küçük ajanlar sayesinde sisteme sızan kimseler, serverlara çok sayıda veri göndererek serverların (sunucu) çökmesine neden olmaktadır. Bu saldırıdan etkilenen Yahoo, Amazon ve eBay gibi ünlü internet portallarının çökmesine ve milyonlarca dolar zarar uğramasına neden olmuştu. Computer Security Institue (CSI, gocsi.org) anketine katılanlardan bir e-ticaret sitesi sahibi olanların U'i DDoS saldırılarına maruz kaldıklarını belirttiler. DoS atakları sadece e-ticaret ve web servislerine yapılmamaktadır. Bu saldırılardan routerlar, sanal özel ağlar(VPN) ve IRC sunucularıda etkilenmektedirler. Bir servis sağlayıcının router'ına yapılacak bir saldırı sonucu network trafiği altüst olabilir ve sonucundada müşterilerinin bağlantıları kopabilir. Daha önce en büyük IRC ağlarından Undernet'in bazı önemli sunucuları DDoS yöntemiyle çökertilmişti. Saldırıda servis sağlayıcılar saniyede yüzlerce MB veri bombardımanına tutulmuştu.

DDoS saldırıları nasıl gerçekleşmektedir?
Atak anında kişi, kendini gizlemek için önceden sızdığı bilgisayarlara 'zombi' adı verilen küçük progr*****ları yerleştirir. Böylece kendini saklama fırsatı elde eder. Ataklar bu zombiler üzerinden yaparak birden fazla bilgisayarı istediği hedefler üzerine veri bombardımanı yapabilir. Yüzlerce/binlerce bilgisayarlara yerleştirilen zombiler, bilgisayarlara uzaktan kontrol (remote) imkanı vererek, bu bilgisayarlar üzerinden istedikleri server'a çok sayıda veri göndererek, server'i sistem dışı bırakıyor. Böylece saldırganlar, saldırıları başka insanların bilgisayarları üzerinden gerçekleştirdiği için saptanmaları zor hale gelmektedir.
DDoS yöntemi genel olarak sistemlere belli bir düzen çerçevesinde farklı noktalardan saldırarak server'i hizmet dışına bırakma yoludur. Bir bilgisayar server'a kendi adresini yanlış veren bir veri paketi yolluyor. Server, bilgisayarın verdiği adrese geri bilgi vermek için ulaşmaya çalıştığında adrese ulaşamıyor. Bu esnada server bağlantıyı kapatmadan bir müddet bekliyor. Bu tür bağlantı isteklerinin milyonlarcası server'a yapıldığında server işlemez hale gelmektedir.

'Zombiler'
DDoS ataklarını gerçekleştirirken yakalanmamak için "zombi" denilen küçük progr*****ların kullanıldığından söz etmiştik. Ataklar bu zombiler üzerinden gerçekleştirilerek aynı anda birden fazla bilgisayarın hedeflere yönlendirilmesi sağlanarak, saldırıyı yapan kişinin IP adresininde gizlenmesi sağlanır. Zombiler genellikle güvenliği zayıf olan sistemlere yerleştirilirler. Yani hack'lenen sisteme yerleştirilen zombiler kendi bünyesindeki daemonlar vasıtasıyla belirli bir porttan (1524 tcp, 27665 tcp, 2744 udp, 31335 udp, 33270 tcp) gelecek olan DDoS isteklerini gerçekleştirirler. Ayrıca daha çok Unix ve Linux tabanlı sistemlerde zombiler kullanılsada Windows tabanlı sistemlerde de zombiler kullanılmaktadır.


DDoS için kullanılan araçlar:


Trinoo(Trin00)
The Tribe Flood Network (TFN)
Stacheldraht
Trinity
Shaft
Tribe Flood Network 2K (TFN2K)
MStream
DDoS ataklarından korunmak için:
Bu ataklar fark edildiğinde atakta bulunan adresten gelen bağlantı isteklerinin iptal edilmesi gerekir. Ayriyeten özel yazılım ve donanım kullanılarak saldırıların önüne geçme imkanı vardır. Şirket ve bireysel kullanıcılar, güvenlik politikalarını belirleyerek, müdahale tespit (intrusion detection) gibi yöntemlere başvurmalı. Ayrıca saldırının başladığı an saldırının merkezi tespit edilerek, o merkezin servis sağlyıcısıyla irtibata geçmek ve erişimi engellemek gerekiyor.

Sisteminizde bir DDoS aracının kurulup kurulmadığını tespit etmek istiyorsanız find_ddos isimli programı kullanabilirsiniz. Bu programı bulabileceğiniz adres:

http://www.nipc.gov/warnings/alerts/...ddos_v42_linux .tar.Z


Sistemde tespit edebildiği DDoS araçları:


mstream master
mstream server
stacheldraht client
stacheldraht daemon
stacheldraht master
tfn-rush client
tfn client
tfn daemon
tfn2k client
tfn2k daemon
trinoo daemon
trinoo master
Bu programı root yetkisinde çalıştırın.

Eğer sisteminizde DDoS aracı kurulmuşsa aşağıdakine benzer bir çıktı ile karşılaşma olasılığı vardır.

[root@turkgate find]# ./find_ddos

Logging output to: LOG
Scanning running processes...
Scanning "/tmp"...
Scanning "/"...

/DoS/TFN/tfn: tfn client
/DoS/TFN/tfn-rush: tfn-rush client
/DoS/TFN/td: tfn2k daemon

ALERT: One or more DDOS tools were found on your system.
Please examine LOG and take appropriate action.


Tarama işlemi sonucunda oluşturduğu LOG dosyasında detaylı bilgileri barındırır.
Eğer windows sistemi altından networkünüzü kontrol etmek istiyorsanız DDoSPing isimli programı kullanabilirsiniz. Bu programı Foundstone - A division of McAfee adresinde bulabilirsiniz.

Sisteminize yapılan DDoS ataklarına karşı yararlanabileceğiniz programlardan biri ZombieZapper isimli programdır. Programın kaynak kodu aşağıda verilmiştir. Ayrıca programı http://www.razor.bindview.com adresinden download edebilirsiniz.
ZombieZapper, zombie kurulmuş sistemlerden kaynaklanan yoğun trafiğin durdurulması için kullanılmaktadır. Bu programın Trinioo, TFN, Stacheldraht, Trinioo for Windows ve Shaft DDoS araclarına karşı etkili olduğu belirtiliyor. ZombieZapper yazarları network yöneticilerinin bu programı kullanarak kendi network'lerinden veya dışarıdaki bir sistemden kaynaklanan flood saldırılarının tespit edilip, durdurulabileceği belirtilmekte.
bloced, ayhan0505 Teşekkür etti.

19-10-2011 14:38
#2
dangareus - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
10/2011
Mesajlar:
1.251
Teşekkür (Etti):
1
Teşekkür (Aldı):
69
Konular:
119
Ticaret:
(0) %
çok tşk ler bende bunu arastırıyorum işime yaradııı
Kullanıcı İmzası
DaNgArEuS
15-01-2012 03:56
#3
|OttomanSlap| - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
12/2011
Nereden:
Topraktan
Mesajlar:
1.324
Teşekkür (Etti):
52
Teşekkür (Aldı):
225
Konular:
239
Ticaret:
(0) %
Güzel ve açıklayıcı bir paylaşım olmuş ama keşke atakların nasıl yapıldığını da anlatsaydın...Deneme imkanımız olurdu.
16-01-2012 03:12
#4
bloced - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
10/2011
Nereden:
antalya
Mesajlar:
538
Teşekkür (Etti):
91
Teşekkür (Aldı):
10
Konular:
44
Ticaret:
(0) %
eyvallah işime yaradı saolasın
11-02-2012 17:26
#5
sicnesseS - ait Kullanıcı Resmi (Avatar)
E-Mail onayı yapılmamış üye
Üyelik tarihi:
02/2011
Nereden:
Adana
Mesajlar:
164
Teşekkür (Etti):
5
Teşekkür (Aldı):
16
Konular:
50
Ticaret:
(0) %
Rica ederim yardımcı olsuysam sevindim.
11-02-2012 21:23
#6
bjkliardii - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2009
Mesajlar:
136
Teşekkür (Etti):
57
Teşekkür (Aldı):
27
Konular:
17
Ticaret:
(0) %
çok iyi anlatım çok teşekkürler
21-02-2013 01:21
#7
Üyelik tarihi:
04/2012
Nereden:
İzmir
Yaş:
25
Mesajlar:
428
Teşekkür (Etti):
9
Teşekkür (Aldı):
36
Konular:
9
Ticaret:
(0) %
Anlatım güzel sağol.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı