Ddos nedir? Saldırgan tarafından hedef alınan sunucu üzerine bir yada daha fazla istemci ile sunucudan cevap gelemeyecek kadar istekte bulunmaktır bu sunucular genellikle web sunucularıdır. Sunucuların fiziksel olarak bir sınırları bulunmaktadır bunlar cpu,ram, ethernet gibi donanımların kapasiteleridir. DDOS açılımı Distributed Denial of Service.
aptitude install tcpdump
ethernetten gecen paketleri bir dosyaya kaydedilim ve arka planda çalışsın
tcpdump -w ddos.pcap &
TCP Bayrakları kullanarak yapılan saldırı varmı bakalım.
Sadece SYN bayraklı paketleri ayıtlayalım
tcpdump -r ddos.pcap 'tcp[tcpflags] & (tcp-syn|tcp-fin) == tcp-syn'
tcpdump ile ACK bayraklı paketleri ayıralım
tcpdump -r ddos.pcap 'tcp[13] & 16!=0'
tcpdump -r ddos.pcap 'tcp[13] & 1!=0' and tcp port 80
tcp*13+ demek TCP başlığındaki 13. byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değer aşağıdaki resimden alınabilir.
TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler.
tcpdump -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)
tcpstat -r ddos.pcap -o "Byte/s:%B MinPacketSize:%m PPS:%p TCP:%T UDP:%U " 5
tcpdump -n -r ddos.pcap |awk -F" " '{print $3}'|cut -f1,2,3,4 -d"."|sort -n|uniq -c
tcpdump -r ddos.pcap -n |cut -f3 -d" "|cut -f1-4 -d"."|sort -n|uniq -c|awk -F" " '{print $2 " " $1 }'|sort -rn -k 2|head -10
tcpdump -n -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)|sort -k3 -n|cut -f3 -d" "|cut -f1,2,3,4 -d"."|sort -n |uniq -c
Sağ taraf IP adresi, sol taraftaki sayı da ilgili IP adresinden kaç adet HTTP GET Flood isteği gönderildiğidir.
ab -c 8000 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q [url]http://localhost/[/url]
Yorumlar