Pythontr

husonet | Tarih: 17.04.2024

Ddos nedir? Ddos saldırısı nasıl yapılır?

Ddos saldırısı engelleme yöntemleri ve analizleri.

Ddos nedir? Saldırgan tarafından hedef alınan sunucu üzerine bir yada daha fazla istemci ile sunucudan cevap gelemeyecek kadar istekte bulunmaktır bu sunucular genellikle web sunucularıdır. Sunucuların fiziksel olarak bir sınırları bulunmaktadır bunlar cpu,ram, ethernet gibi donanımların kapasiteleridir. DDOS açılımı Distributed Denial of Service.


tcpdump paketini kuralım.
aptitude install tcpdump

ethernetten gecen paketleri bir dosyaya kaydedilim ve arka planda çalışsın


tcpdump -w ddos.pcap &

DDOS Saldırı Analizleri
SYN Flood Saldırısı Analizi

TCP Bayrakları kullanarak yapılan saldırı varmı bakalım.


Sadece SYN bayraklı paketleri ayıtlayalım


tcpdump -r ddos.pcap 'tcp[tcpflags] & (tcp-syn|tcp-fin) == tcp-syn'

ACK Flood Analizi

tcpdump ile ACK bayraklı paketleri ayıralım


tcpdump -r ddos.pcap 'tcp[13] & 16!=0'

FIN Flood Analizi
tcpdump -r ddos.pcap 'tcp[13] & 1!=0' and tcp port 80

tcp*13+ demek TCP başlığındaki 13. byte anlamına gelir. Bu da bayrakları temsil eden byte’dır. Her bayrak için verilecek değer aşağıdaki resimden alınabilir.


HTTP GET Flood Saldırısı

TCP paketleri içerisindeki GET komutlarının tcpdump ile ayıklanabilmesi için kullanılması gereken parametreler.


tcpdump -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)

Saldırının Şiddetini Belirleme
tcpstat -r ddos.pcap -o "Byte/s:%B MinPacketSize:%m PPS:%p TCP:%T UDP:%U
" 5

Saldırı Kaynağını Belirleme
tcpdump -n -r ddos.pcap |awk -F" " '{print $3}'|cut -f1,2,3,4 -d"."|sort -n|uniq -c

Saldırıda Kullanılan Top 10 IP Adresi
tcpdump -r ddos.pcap -n |cut -f3 -d" "|cut -f1-4 -d"."|sort -n|uniq -c|awk -F" " '{print $2 "	" $1 }'|sort -rn -k 2|head -10

HTTP GET Flood Saldırısında Kullanılan IP Adresleri
tcpdump -n -r ddos.pcap tcp port 80 and \( tcp[20:2] = 18225 \)|sort -k3 -n|cut -f3 -d" "|cut -f1,2,3,4 -d"."|sort -n |uniq -c

Sağ taraf IP adresi, sol taraftaki sayı da ilgili IP adresinden kaç adet HTTP GET Flood isteği gönderildiğidir.


Apache test edilmesi
ab -c 8000 -p post1.txt -T application/x-www-form-urlencoded -n 10000 -r -q http://localhost/

http://www.bga.com.tr/calismalar/ddos_analizi.pdf