Araçlar

DoS Servis Dışı Bırakma Saldırıları ve Southpaw

Denial of Service (DoS) ya da Distributed Denial of Service (DDoS) bilinen ve en çok kullanılan siber saldırı yöntemlerinden biridir. Özellikle Anonymous gibi kişi sayısı ile ön planda olan hacktivist grupların temel silahı olan DDoS internette bulabileceğiniz birçok araç sayesinde kullanması oldukça basit ve etkili bir saldırı yöntemidir. Genellikle bant genişliğini ve oturun bazlı saldırıları hedef alır. Hedef sistemi ulaşılamaz duruma getireceğinden etkisi ve yol açacağı maddi zarar oldukça büyüktür.

Popüler DDoS Tipleri UDP Flood: Hedef sunucudaki portlara datagram paketleri yollayarak sistemi aşırı yükleyen bu yöntem saldırgan açısından biraz daha zorlayıcı olabilir, çünkü etkili bir UDP Flood saldırısı Botnet olmadıgı sürece yüksek işlem gücü ve internet hızı gerektirir. Bu yöntem ayrıca IP spoofing’e, yani IP gizlemeye elverişlidir.
HTTP Flood: Hedef web sitesine GET ve POST istekleri yollayarak çalışan bu yöntem web uygulamasına defalarca istek göndererek, siteyi çok fazla kişi ziyaret etmişçesine yorar.

NTP Amplification: Saat senkronizasyonu için kullanılan NTP sunucularını kötü amaçlı kullanarak çalışan bu yöntemde kurbanın IP adresini hedef IP adresi olarak değiştirirsiniz. NTP sunucularına monlist komutu yollayarak, kurbana yani hedefe NTP sunucusuna son bağlanan 600 kişinin listesini yollamasını sağlarsınız. Bu da büyük boyutlu datagram paketleri demek olacağından sizin yolladığınız paket boyutuna oranla NTP sunucusunun hedefe yollayacağı paket çok daha büyük olur. Amplification denmesinin sebebi de budur.

Fork Bomb: Bu yöntemde sunucuya yükleyeceğiniz bir Fork Bomb virüsü sistem kaynaklarını tüketerek sistemi aşırı yükler ve server isteklere cevap veremez hâle gelir. Avantajı diğer yöntemlerin aksine virüsü attıktan sonra bir daha bir şey yapmanıza gerek kalmaz, ancak bu komutu hedef sistemde çalıştırmak için komutu enjekte edeceğiniz bir girdi noktası, bir başka zafiyete ihtiyacınız olacak. XXE Billion Laughs attack bu saldırılardan biri olarak kullanılabilir.

Araçlar ve Kullanımları

LOIC: Low Orbit Ion Cannon (LOIC) internette neredeyse her yerde farklı versiyonlarını bulabileceğiniz çok popüler bir araçtır. Sahip olduğu yöntemler TCP flood, UDP flood ve HTTP flood olmak üzere üç farklı yoldur. Ancak açık kaynaklı bir araç olduğundan farklı versiyonlarında farklı yöntemler görebilmekte mümkün.

Kullanımına gelirsek LOIC.exe’yi çalıştırdıktan sonra karşınıza aşağıdaki gibi bir arayüz gelir.

Burada yapmanız gereken hedefin URL’ini ya da IP adresini ilk kısma yazıp “Lock on” butonuna basmak. Devamında uygulamanın ikinci kısmından saldırı metodu, thread sayısı, port gibi ayarları yapmak ve son olarak “IMMA CHARGIN MAH LAZER” yazan butona basmak. Böylece saldırı başlamış olur. Aynı butona sonra tekrar basarak saldırıyı durdurabilirsiniz, ama askıda kalması muhtemel diğer işlemlerden, programı durdurmak için programı kapatmanızı öneririm.

İndirme linkleri:
https://sourceforge.net/projects/loic/ 
https://github.com/NewEraCracker/LOIC Bu versiyonu kullanmanızı öneririz açık kaynaklıdır. Visual Studio kullanarak compile edebilirsiniz.

HOIC: High Orbit Ion Cannon (HOIC) Anonymous gurubu tarafından geliştirilen açık kaynaklı bir DDoS aracıdır. LOIC’e göre farkları lokasyon bilgisi gizlemesi, LOIC’e göre saldırı gücündeki artış ve en önemlisi birden fazla hedefe aynı anda saldırabilme özelliğidir.

Burada yapmanız gereken “+” işaretli butona basıp çıkan ekrana hedef URL’yi yazmanız ve saldırıda kullanılacak “booster scriptleri”nden birini seçmeniz. Bu şekilde HOIC’in hedef listesine yeni bir tane eklemiş olursunuz. Thread sayısını girip “FIRE TEH LAZER!” butonuna basarak hedef listedeki bütün adreslere eş zamanlı saldırıyı başlatabilirsiniz.

İndirme linki: https://sourceforge.net/projects/highorbitioncannon/

Uyarı: program aynı zamanda LizardSquad isimli hacker grubunun Botnet’idir. Yani kullandığınız zaman bilgisayarınız bu ağda bir bota dönüşür.

Slowloris: Robert Hansen tarafından geliştirilen bu araç tek bir bilgisayardan hedef siteyi kilitlemeye çalışır. Özellikle Apache 1.x ve 2.x web sunucularında büyük başarı sağlamış olan bu aracın çalışma şekli bilgisayardan hedef sunucuya çok sayıda HTTP bağlantısı kurup o bağlantıları olabildiğince açık tutmaktır. Böylece server yeni bağlantılara cevap veremez duruma gelir. Doğası gereği çok az bant genişliğine ihtiyaç duyar ama işlemcinizi biraz zorlayabilir. Özellikle İranlı hacktivistler tarafından yoğun olarak kullanılmıştır.

Kullanım şekline gelince Slowloris diğer anlattığım araçların aksine arayüzü olan bir program değil. Perl dilinde yazılmış bir scripttir. Yani yükledikten sonra komut satırını açıp slowloris.pl dosyasının bulunduğu dizine girmeniz ve aşağıdaki şekilde scripti çalıştırmanız gerekir:

slowloris.pl -dns www.example.com -port 80 -num 500

-dns hedef, -port bağlanılacak olan port ve -num ise bağlantı sayısıdır. Yani www.example.com hedefine 80 portundan 500 tane bağlantı kurmaya çalışır.

İndirme linki: https://github.com/llaera/slowloris.pl

Torshammer: Python kullanılarak geliştirilen bu araç bir slow post doser’idir. Kullanmak için bilgisayarınızda Python kurulu olmalıdır. Torshammer.py dosyasını indirdikten sonra terminalden dosya dizinine gidin. Yazmanız gereken komut aşağıdaki gibidir:

torshammer.py -t www.example.com -r 500

Burada -t hedef -r thread’lerdir.

İndirme linki: https://sourceforge.net/projects/torshammer/

Yeni Ve Etkili Bir Araç SOUTHPAW (Sol Kroşe) Yukarıda bahsettiğimiz araçların birbirene karşı avantaj ve dezavantajları bulunmaktadır. Kimisi bilgisayarınızı botnet ağına dahil ederken, kimisi de isteklerinizi tam anlamıyla karşılamamaktadır.

Ekiplerimiz tarafından geliştirilen (Java ile) “Southpaw” projesi, http ve https tabanlı geliştirdiğimiz özel yöntemler ile hedef sistemde ciddi bir etki oluşturmaktadır.

Not: Çalıştırabilmek için java yüklü olmalısı gerekmektedir.

DDoS Protocol
Buradaki özellikler klasik flooder olarak çalışır.

Other Features
Buradaki Subsite Finder özelliği isminden de anlaşılacağı üzere web sitesindeki kaynakları bulmanıza yardımcı olacaktır. Programın içinde bulunan wordlist ile admin panel tespiti için de kullanabilirsiniz.

I-Mod özelliği minimal internet kullanımı ile çalışması için tasarlandı. Yüksek thread sayısı ile bilgisayarı zorlayabilir ama zayıf internet ile DoS saldırısı yapmak için ideal bir yöntem.

SQL DDoS Henüz yapım aşamasında. Bundan dolayı kullanılamaz ancak tamamlandığında doğrudan SQL sunucuları hedef alarak çalışması planlanmaktadır.

Clusterstorm ise en sevdiğimiz yöntem. Bu yöntem öncelikle hedef sayfayı çeşitli HTTP metotlarıyla istek yollayarak hangi metotları desteklediğini tespit eder. Sonrasında girilen thread sayısının bir fazlası kadar thread başlar. Burada fazla olan bir thread sürekli olarak hedefin cevap verme süresini ölçer ve bu veriye göre saldırı hızını ayarlar. Bu sayede saldırı thread’ları saldırı aralığını sürekli değiştireceğinden ve sadece bir protokol yerine birden fazla protokol ile saldıracağından bir kullanıcı simülasyonu gibi görünür. DoS tespit sistemleri genellikle bunu DoS olarak algılamaz. Bu sayede hedefi sadece bir bilgisayar kullanarak istediğiniz kadar kilitleyebilmektesiniz.

TOR’a bağlanma özelliği ile TOR Browser’ın ya da doğrudan TOR’un kurulu olduğu bir bilgisayarda “Use Tor” butonuna basarak programın DoS saldırısını TOR networkü üzerinden yapmasını sağlayabilirsiniz. Bu güvenliği arttırsa da TOR ağı yavaş olduğundan DoS etkisi azalacaktır.

Örnek bir Clusterstorm saldırısı için arayüzde Clusterstorm’u seçtikten sonra hedef site URL’ini tarayıcınızdan kopyalayıp (başında http:// ya da https:// olmalı bundan dolayı URL’i manuel yazmayıp tarayıcıdan kopyalamanızı tavsiye ederiz) URL yazan yere yapıştırın. Sonra thread sayısını ayarlayın (varsayılan değer 15000 birçok hedef için etkili) Cluster Delay yazan yeri olduğu gibi “auto” olarak bırakın. “Start” butonuna basarak teste başlayabilirsiniz.

Örnek bir I-Mod saldırısı için arayüzde I-Mod’u seçtikten sonra yine tarayıcınızdan URL’i kopyalayıp programın URL bölümüne yapıştırın sonra thread sayısını ayarlayın daha sonra delay ve payload ayarlarını yaptıktan sonra “Start” butonuna basarak teste başlayabilirsiniz.

İndirme linki: https://github.com/infinitumitlabs/southpaw_ddos_tool

Uyarı: Sistem yetkililerinden izin almadan DoS ya da DDoS testi yapmak suç teşkil edecektir. Dolayısıyla izinsiz girişeceğiniz ve sistemlerde zararlara yol açacak her türlü harekete karşı, eylemi yapan kişinin kendisi sorumludur.

Peki DoS’a Karşı Ne Yapmalı?

DoS’a karşı kesin bir çözüm var diyemeyiz. Ancak bilinen en etkili yöntemlerden birisi IP başına yapılan istek sayısını kısıtlamaktır. Çünkü siteyi ziyaret eden bir kullanıcının siteye saniyede 5000 defa HTTP isteği yollaması gibi bir şey söz konusu olamayacağından, böyle bir girişim apaçık bir servis dışı bırakma saldırı girişimidir. Bir rate limit belirleyerek muhtemel saldırganı sürekli IP değiştirmeye zorlamış olursunuz. Bu da hiç değilse saldırganın işini biraz daha zorlaştıracaktır.

Cloud-Based Protection: Cloudflare ya da benzeri gibi Cloud-Based koruma sağlayan servisleri kullanırsanız onların, isteklerin sunucunuzdan önce bu servisler tarafından karşılanmasını ve olası bir saldırının bu servislerdeki mekanizmalar tarafından engellenmesini sağlayabilirsiniz.

Honeypot: Bal kovanı olarak bilinen bu yöntem saldırganları tuzağa düşürmeyi hedefler. Saldırganlar hedef siteyi kapattıklarını sanarken aslında bal kovanı sahibi trafiği izliyor olur. Böylece sadece kendinizi korumakla kalmayıp aynı zamanda saldırganları bulmanız kolaylaşır.
Sistem olarak bu yöntem IP banlamaya benzeyebilir ama farkı kara listeye alınan IP’leri yani saldırganları doğrudan bloklamak, saldırganlara sanki site kapanmış gibi sahte bir sayfaya yönlendirerek şaşırtmak. Bu durumda saldırganlar ya maksatlarına eriştiklerini düşünerek saldırıyı sonlandıracaklar ya da başardıklarını düşünerek saldırıyı tekrarladıklarında ya da devam ettiklerinde tespit edilmeleri kolaylaşacaktır.

Kaynaklar:
https://www.incapsula.com/ddos/
https://www.cloudflare.com/ddos/