husonet | Tarih: 24.04.2024
Ddos nedir? Ddos saldırısı nasıl yapılır?
Ddos saldırısı engelleme yöntemleri ve analizleri.
Ddos nedir? Saldırgan tarafından hedef alınan sunucu üzerine bir yada daha fazla istemci ile sunucudan cevap gelemeyecek kadar istekte bulunmaktır bu sunucular genellikle web sunucularıdır. Sunucuların fiziksel olarak bir sınırları bulunmaktadır bunlar cpu,ram, ethernet gibi donanımların kapasiteleridir. DDOS açılımı Distributed Denial of Service.
tcpdump paketini kuralım.
aptitude install tcpdump
ethernetten gecen paketleri bir dosyaya kaydedilim ve arka planda çalışsın
tcpdump -w ddos.pcap &
DDOS Saldırı Analizleri
SYN Flood Saldırısı Analizi
TCP Bayrakları kullanarak yapılan saldırı varmı bakalım.
Sadece SYN bayraklı paketleri ayıtlayalım
tcpdump -r ddos.pcap 'tcp[tcpflags] & (tcp-syn|tcp-fin) == tcp-syn'
ACK Flood Analizi
tcpdump ile ACK bayraklı paketleri ayıralım
tcpdump -r ddos.pcap 'tcp[13] & 16!=0'
FIN Flood Analizi
tcpdump -r ddos.pcap 'tcp[13] & 1!=0' and tcp port 80
tcp*13+ demek TCP başlığındaki 13. byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değer aşağıdaki resimden alınabilir.
HTTP GET Flood Saldırısı
TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler.
tcpdump -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)
Saldırının Şiddetini Belirleme
tcpstat -r ddos.pcap -o "Byte/s:%B MinPacketSize:%m PPS:%p TCP:%T UDP:%U
" 5
Saldırı Kaynağını Belirleme
tcpdump -n -r ddos.pcap |awk -F" " '{print $3}'|cut -f1,2,3,4 -d"."|sort -n|uniq -c
Saldırıda Kullanılan Top 10 IP Adresi
tcpdump -r ddos.pcap -n |cut -f3 -d" "|cut -f1-4 -d"."|sort -n|uniq -c|awk -F" " '{print $2 " " $1 }'|sort -rn -k 2|head -10
HTTP GET Flood Saldırısında Kullanılan IP Adresleri
tcpdump -n -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)|sort -k3 -n|cut -f3 -d" "|cut -f1,2,3,4 -d"."|sort -n |uniq -c
Sağ taraf IP adresi, sol taraftaki sayı da ilgili IP adresinden kaç adet HTTP GET Flood isteği gönderildiğidir.
Apache test edilmesi
ab -c 8000 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q http://localhost/
http://www.bga.com.tr/calismalar/ddos_analizi.pdf