Death_AngeL
Banned
- Katılım
- 27 Haz 2005
- Mesajlar
- 602
- Reaction score
- 0
- Puanları
- 0
Birkaç tip saldırı türü vardır . Bunları Dos (nuke) , Remote Exploits ve trojanlar olarak ayırabiliriz.
1-NUKE
OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve 95 in bir bug olan OOB Nuke , işletim sistemi Windows olan bir makinenin 139' uncu portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.
Land: Bilgisayarı kendi kendine senkronize ettirerek Winsock' un sonsuz döngüye girmesini sağlar böylece mouse' un bile hareket etmemesine yol açar . Source IP , Source Port ve Destination IP , Destination Port un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.
Teardrop, Boink, Nestea :Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipileri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir .
Boink, teardrop saldırısının ters olarak çalışan halidir. Nestea. teardrop saldırısının minör değişimlere uğramış halidir ve teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.
Brkill:Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmeniz mümkün olur.
ICMP Nuke:Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine Icmp paketleri göndererek anlarlar . Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.
Jolt / Ssping:Windows 95 ve NT' nin yüksek boyuttaki bölünmüş Icmp paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelik bir Icmp paketi göndermek bu saldırıyı gerçekleştirir.
Smurf:Networklerde "Broadcast Address" olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf , bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir . Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.
Suffer3:Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur
SYN Saldırılar Hakkında:
SYN (TCP bağlantı isteği), aşağıdaki karakteristiklere sahip çok yaygın bir DoS saldırısıdır:
1-) Saldırgan Internette kullanılmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar
2-) Alının her SYN pakedi için, hedef makina kaynak ayırır ve onay paketini (SYN-ACK) (SYN pakedinin yollandığı) kaynak ip adresine yollar
3-) Hedef makina, saldırı yapılan makinadan yanıt alamayacağından dolayı, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayırdığı kaynağı boşa çıkartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktır. Hepsini topladığınızda, görüldüğü gibi hedef makina ayırdığı kaynakları 3 dakika gibi bir süre tutacaktır. Bu sadece her bir SYN atağı için gerçekleşecek süredir.
Saldırgan bu tekniği tekrarlanan bir şekilde gerçekleştirdiği zaman, hedef makina ayırdığı kaynaklardan dolayı kaynak yetersizliğine kadar ulaşır ve artık yeni bir bağlantı karşılayamayacak duruma gelir. Ve bu durumda yetkili kullanıcılar bile makinaya bağlanamaz.
Sisteminizde böyle bir atakla karşı karşıya olup olmadığınızı anlamak için, komut satırında :
netstat -n -p tcp yazmanız yeterli olacaktır.
Çıkan sonuca bakıp, SYN_RECEIVED durumunda olan çıkışları kontrol edebilirsiniz. Eğer bu tip duruma sahip birçok bağlantı varsa, sisteminiz bu saldrıya maruz kalmıştır.
Sisteminizi korumak için:
Ateş duvarları tabii ki sisteminizi bu tip saldırılardan koruyacaktır, ve eğer mümkünse ateş duvarı kullanmanız gerekmektedir. Fakat, windows da hali hazırda zaten bu saldırılara karşı korunmanın bir yolu mevcuttur ve SYN isteklerini daha çabuk zaman aşımına uğratabilirsiniz. Bu özelliği çalışır duruma getirebilmek için izlenmesi gereken adımlar şunlardır:
1-) Registry editörünüzü çalıştırın ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters değerini bulun
2-) Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve
3-) Adını "SynAttackProtect" verin.
4-) Yarattığınız anahtarın üzerinde çift tıklayın ve değerini "2" verin
5-) Registry editörünü kapatın ve makinanızı tekrar başlatın
Burada "SynAttackProtect" değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek "1" değeri ise en yüksek TCP bağlantı değerine ulaşıldığında (Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karşılaşıldığında (Örneğin; TcpMaxHalfOpenRetried) SYN tekrarını ve yönlendirme bellek değerinin bekleme süresini limitler.
Eğer "SynAttackProtect" değeri "2" olursa, sonuç 1 verildiğindekine benzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadar bekleyen bir geciktirilmiş Winsock notification içerir.
Çünki Windows "SynAttackProtect" değerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanımlanan değerlere ulaştığında çağırıp kullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Para meters) oluşturmanız ve değerlerini aşağıdaki gibi girmenizdir. v
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80
Ayrıca Linux altında
kerneli yeniden derleyin, derleme sırasında ipv4 içerisindeki tcp_cookies modüllerini seçtğinizden emin olun.
yeni kernel ile boot ettikten sonra
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
ile syn_cookies'i aktif hale getirin...
DDoS Nasıl Yapılır?
--------------------------------------------------------------------------------
Distrubited Denial of Service Attack bilgisayar ağlarını zor duruma düşürmek ve sistemleri yavaşlatacak düzeyde büyük çapta ağ trafiği yaratmaktır. Ping of Death ve Teardrop gibi DoS saldırıların çoğu, TCP/IP protokollarının kapasitelerinin aşmayı hedefler. Bilinen tüm DoS saldırılar için saldırıların oluşturduğu zararı sınırlandırmaya yönelik yazılım yamaları bulunuyor ve ağ yöneticileri bu limitleri tespit etme imkanına sahiptir. Ancak, aynen virüslerde olduğu gibi yeni DoS saldırıları da sürekli geliştirilmekte ve saldırganlar tarafından yenileri oluşturulmaktadır. DDoS (Distributed Denial of Service) saldırısı ise dağıtılmış yani birkaç yönden gelen DoS Saldırısı anlamına geliyor.
Nasil Yapcam Dicek OlurSan
Saldırı anında kişi, kendini gizlemek için önceden sızdığı bilgisayarlara 'zombi' adı verilen küçük programcıkları yerleştiriyor. Saldırılar bu "zombi"ler üzerinden yapılarak birden fazla bilgisayar ve istenilen hedefler üzerine veri bombardımanı gerçekleştiriliyor. Bunun İcin yazılan bazı exp. ler de war onlarıda deneye bilirsiniz weya kücük ddos botcuklar vsvsvs ..
alıntıdır
1-NUKE
OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve 95 in bir bug olan OOB Nuke , işletim sistemi Windows olan bir makinenin 139' uncu portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.
Land: Bilgisayarı kendi kendine senkronize ettirerek Winsock' un sonsuz döngüye girmesini sağlar böylece mouse' un bile hareket etmemesine yol açar . Source IP , Source Port ve Destination IP , Destination Port un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.
Teardrop, Boink, Nestea :Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipileri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir .
Boink, teardrop saldırısının ters olarak çalışan halidir. Nestea. teardrop saldırısının minör değişimlere uğramış halidir ve teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.
Brkill:Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmeniz mümkün olur.
ICMP Nuke:Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine Icmp paketleri göndererek anlarlar . Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.
Jolt / Ssping:Windows 95 ve NT' nin yüksek boyuttaki bölünmüş Icmp paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelik bir Icmp paketi göndermek bu saldırıyı gerçekleştirir.
Smurf:Networklerde "Broadcast Address" olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf , bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir . Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.
Suffer3:Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur
SYN Saldırılar Hakkında:
SYN (TCP bağlantı isteği), aşağıdaki karakteristiklere sahip çok yaygın bir DoS saldırısıdır:
1-) Saldırgan Internette kullanılmayan IP adreslerini aldatma ile kullanarak (kaynak adresi olarak kullanarak - spoof) birçok SYN paketini hedef makinaya yollar
2-) Alının her SYN pakedi için, hedef makina kaynak ayırır ve onay paketini (SYN-ACK) (SYN pakedinin yollandığı) kaynak ip adresine yollar
3-) Hedef makina, saldırı yapılan makinadan yanıt alamayacağından dolayı, SYN-ACK paketini 5 kez tekrar edecektir. Bunun tekrar süreleri, 3, 6, 12, 24 ve 48 saniyedir. Ayırdığı kaynağı boşa çıkartmadan evvel, 96 saniye sonra son bir kez SYN-ACK denemesi yapacaktır. Hepsini topladığınızda, görüldüğü gibi hedef makina ayırdığı kaynakları 3 dakika gibi bir süre tutacaktır. Bu sadece her bir SYN atağı için gerçekleşecek süredir.
Saldırgan bu tekniği tekrarlanan bir şekilde gerçekleştirdiği zaman, hedef makina ayırdığı kaynaklardan dolayı kaynak yetersizliğine kadar ulaşır ve artık yeni bir bağlantı karşılayamayacak duruma gelir. Ve bu durumda yetkili kullanıcılar bile makinaya bağlanamaz.
Sisteminizde böyle bir atakla karşı karşıya olup olmadığınızı anlamak için, komut satırında :
netstat -n -p tcp yazmanız yeterli olacaktır.
Çıkan sonuca bakıp, SYN_RECEIVED durumunda olan çıkışları kontrol edebilirsiniz. Eğer bu tip duruma sahip birçok bağlantı varsa, sisteminiz bu saldrıya maruz kalmıştır.
Sisteminizi korumak için:
Ateş duvarları tabii ki sisteminizi bu tip saldırılardan koruyacaktır, ve eğer mümkünse ateş duvarı kullanmanız gerekmektedir. Fakat, windows da hali hazırda zaten bu saldırılara karşı korunmanın bir yolu mevcuttur ve SYN isteklerini daha çabuk zaman aşımına uğratabilirsiniz. Bu özelliği çalışır duruma getirebilmek için izlenmesi gereken adımlar şunlardır:
1-) Registry editörünüzü çalıştırın ve HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters değerini bulun
2-) Edit menüsünden Yeni bir DWORD değeri oluşturmayı seçin ve
3-) Adını "SynAttackProtect" verin.
4-) Yarattığınız anahtarın üzerinde çift tıklayın ve değerini "2" verin
5-) Registry editörünü kapatın ve makinanızı tekrar başlatın
Burada "SynAttackProtect" değişkeninin kabul edilen başlangıç değeri 0 (sıfır) dır. Ve koruma kapalıdır.
Verilecek "1" değeri ise en yüksek TCP bağlantı değerine ulaşıldığında (Örneğin; bağlantının SYN_RECEIVED durumu TcpMaxHalfOpen olarak bilinir) ve tekrar ile karşılaşıldığında (Örneğin; TcpMaxHalfOpenRetried) SYN tekrarını ve yönlendirme bellek değerinin bekleme süresini limitler.
Eğer "SynAttackProtect" değeri "2" olursa, sonuç 1 verildiğindekine benzer olacaktır fakat SYN işlemindeki 3-yollu el sıkışma bitene kadar bekleyen bir geciktirilmiş Winsock notification içerir.
Çünki Windows "SynAttackProtect" değerini, "TcpMaxHalfOpen" ve "TcpMaxHalfOpenRetried" da tanımlanan değerlere ulaştığında çağırıp kullanacaktır. Size tavsiyemiz bu iki değeride aynı registry konumunda (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Para meters) oluşturmanız ve değerlerini aşağıdaki gibi girmenizdir. v
TcpMaxHalfOpen=100
TcpMaxHalfOpenRetried=80
Ayrıca Linux altında
kerneli yeniden derleyin, derleme sırasında ipv4 içerisindeki tcp_cookies modüllerini seçtğinizden emin olun.
yeni kernel ile boot ettikten sonra
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
ile syn_cookies'i aktif hale getirin...
DDoS Nasıl Yapılır?
--------------------------------------------------------------------------------
Distrubited Denial of Service Attack bilgisayar ağlarını zor duruma düşürmek ve sistemleri yavaşlatacak düzeyde büyük çapta ağ trafiği yaratmaktır. Ping of Death ve Teardrop gibi DoS saldırıların çoğu, TCP/IP protokollarının kapasitelerinin aşmayı hedefler. Bilinen tüm DoS saldırılar için saldırıların oluşturduğu zararı sınırlandırmaya yönelik yazılım yamaları bulunuyor ve ağ yöneticileri bu limitleri tespit etme imkanına sahiptir. Ancak, aynen virüslerde olduğu gibi yeni DoS saldırıları da sürekli geliştirilmekte ve saldırganlar tarafından yenileri oluşturulmaktadır. DDoS (Distributed Denial of Service) saldırısı ise dağıtılmış yani birkaç yönden gelen DoS Saldırısı anlamına geliyor.
Nasil Yapcam Dicek OlurSan
Saldırı anında kişi, kendini gizlemek için önceden sızdığı bilgisayarlara 'zombi' adı verilen küçük programcıkları yerleştiriyor. Saldırılar bu "zombi"ler üzerinden yapılarak birden fazla bilgisayar ve istenilen hedefler üzerine veri bombardımanı gerçekleştiriliyor. Bunun İcin yazılan bazı exp. ler de war onlarıda deneye bilirsiniz weya kücük ddos botcuklar vsvsvs ..
alıntıdır