Ddos nedir? Ddos saldırısı nasıl yapılır?

Ddos nedir? Saldırgan tarafından hedef alınan sunucu üzerine bir yada daha fazla istemci ile sunucudan cevap gelemeyecek kadar istekte bulunmaktır bu sunucular genellikle web sunucularıdır. Sunucuların fiziksel olarak bir sınırları bulunmaktadır bunlar cpu,ram, ethernet gibi donanımların kapasiteleridir. DDOS açılımı Distributed Denial of Service.

aptitude install tcpdump

ethernetten gecen paketleri bir dosyaya kaydedilim ve arka planda çalışsın

tcpdump -w ddos.pcap &

TCP Bayrakları kullanarak yapılan saldırı varmı bakalım.

Sadece SYN bayraklı paketleri ayıtlayalım

tcpdump -r ddos.pcap 'tcp[tcpflags] & (tcp-syn|tcp-fin) == tcp-syn'

tcpdump ile ACK bayraklı paketleri ayıralım

tcpdump -r ddos.pcap 'tcp[13] & 16!=0'

tcpdump -r ddos.pcap 'tcp[13] & 1!=0' and tcp port 80

tcp*13+ demek TCP başlığındaki 13. byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değer aşağıdaki resimden alınabilir.

TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler.

tcpdump -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)

tcpstat -r ddos.pcap -o "Byte/s:%B MinPacketSize:%m PPS:%p TCP:%T UDP:%U
" 5

tcpdump -n -r ddos.pcap |awk -F" " '{print $3}'|cut -f1,2,3,4 -d"."|sort -n|uniq -c

tcpdump -r ddos.pcap -n |cut -f3 -d" "|cut -f1-4 -d"."|sort -n|uniq -c|awk -F" " '{print $2 "	" $1 }'|sort -rn -k 2|head -10

tcpdump -n -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)|sort -k3 -n|cut -f3 -d" "|cut -f1,2,3,4 -d"."|sort -n |uniq -c

Sağ taraf IP adresi, sol taraftaki sayı da ilgili IP adresinden kaç adet HTTP GET Flood isteği gönderildiğidir.

ab -c 8000 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q http://localhost/