Türkçe
Saldırı araçlarını kullanmayı pek sevmem ama Windows 2008'in Syn Flood ( ya da Syn Attack ) saldırısına ne derece dayanıklı olduğunu test etmek için bu aracı kullanmayı uygun buldum. Port tarama, firewall kurallarının testi gibi farklı amaçlar için de kullanılabilen aracın an itibariyle en güncel 3. versiyonu bulunuyor -ki Backtrack 5 ile birlikte gelen versiyon da bu.Yazının konusu Syn saldırısının temelleri,saldırı nasıl yapılır nasıl engellenir değil.Bu yazıda syn saldırısı yapmaya niyetli dimağlar için hpingin nasıl kullanılacağından ziyade nasıl kullanılmaması gerektiğinden bahsedeceğim.Google ve benzeri arama motorlarında hping'in Syn saldırısı için kullanımıyla ilgili kaynak aradığınızda hep benzer tek satırlık komutları görürsünüz.
| hping3 -p <hedef_port_numaras> -S <hedef_ip_adresi> |
Bu komut iyi güzel SYN bayraklı 60 byte'lık TCP paketleri belirtilen IP adresinin yine belirtilen portuna gönderir ama gönderilen paketlerin kaynak IP adresi saldırıyı ya da testi gerçekleştirdiğiniz yani bu komutu çalıştırdığınız bilgisayarın IP adresiyle aynı olacaktır. Bu da şu demek oluyor, siz paketi gönderir göndermez hedef size TCP 3 yollu el sıkışma ( 3-way handshake) gereği SYN ve ACK bayraklı yanıt paketi gönderir ve sizden aldığı ilk paketi bağlantı kurma isteği olarak kabul ederek bağlantıyı yarı-açık (half-open) durumda tutar - ki saldırının amacı da budur zaten,yarı-açık bağlantılarla sunucu kaynaklarını tüketmek ve bu sayede normal erişim taleplerini engellemek. Sizin bilgisayarınız ise hedeften gönderilen pakete yanıt olarak RST bayraklı paket gönderecektir ki hedef, RST bayraklı paketinizi alır almaz yarı-açık durumdaki bağlantıyı sona erdirir ve hedefin bağlantıyı yarı-açık tutmak için kullandığı donanım kaynakları boşa çıkar. Yani sizin bu hareketiniz ağ altyapınızda gürültü ve kalabalık oluşturmaktan öte gitmez,hedefte yaprak kıpırdatamazsınız.
Hedef donanım kaynaklarını yarı-açık bağlantılarla meşgul etmek için yapmanız gereken göndereceğiniz paketlerin kaynak IP'si olarak, hedefin SYN ve ACK bayraklı yanıt paketlerine RST bayraklı paketle yanıt vermeyecek IP adresleri kullanmanız. Bunu da hping'in "-a" parametresini kullanarak yapabilirsiniz.
| hping3 -a <sahte_kaynak_IP_adresi> -p <hedef_port_numaras> -S <hedef_ip_adresi> |
Bunu yaparken kullanacağınız sahte ( spoofed ) IP adresinin hedefle haberleşemez olduğundan emin olun, aksi halde hedef SYN bayraklı paketi sizin bilgisayarınızdan alacak, SYN ve ACK bayraklı paketi aslında sahte olan ama haberleşebildiği iletişim kurabildiği olan bitenden habersiz IP adresine gönderecek, IP adresi kötü emeller için kullanılan olan bitenden habersiz bilgisayar ise hedeften SYN ve ACK bayraklı paketi aldıktan sonra "Noluyo kardeşim durup dururken bana SYN + ACK bayraklı paket gönderiyosun,senle iletişim kurmak isteyen mi oldu ki? Al sana RST bayraklı paket!" diyerek hedefe RST bayraklı paketi gönderecek bu da sizin başlattığınız yarı-açık bağlantıyı sona erdirecektir.
Hping'i yazan arkadaş bunun da kolayını düşünmüş "--rand-source" anahtarıyla göndereceğiniz SYN bayraklı paketlerin her birinin farklı kaynak IP adresine sahip olmasını sağlayabiliyorsunuz
| hping3 --rand-source -p <hedef_port_numaras> -S <hedef_ip_adresi> |
Ama hping'i bu şekilde kullanacaksanız bu sefer de şunu unutmamanız gerekiyor; güncel windows işletim sistemleri "D" ve "E" sınıfı ( Multicasting ve deneysel amaç için ayrılmış IP adresleri) IP adreslerinden gelen paketlere cevap vermiyor (route print yaparsanız nedenini anlarsınız) . Yani gönderdiğiniz SYN bayraklı paketin kaynak IP adresi bu iki sınıftan birindeyse hedefiniz bırakın ilk paketten sonra yarı-açık bağlantı oluşturmayı size SYN ve ACK bayraklı paket bile göndermeyecektir.
Eğer hping'i bütün bu yazdıklarımı dikkate alarak kullanırsanız hedefte ciddi miktarda CPU ve Memory kullandırtabilirsiniz. Windows 2008 R2 her bir yarı-açık bağlantı için yaklaşık 20 sn boyunca sistem kaynakları ayırıyor. 20 saniye sonunda ACK bayraklı yanıt paketi almazsa RST bayraklı bir paket göndererek yarı-açık bağlantıyı sonlandırıyor ve kaynakları boşa çıkarıyor.
Bir sonraki yazı Windows 2008 R2'nin Syn saldırısına karşı nasıl davrandığı ile ilgili olacak.
İlgili Yazılarım
Windows 2008 ve Syn Flood saldırıları - Nass oluyor da oluyor?
Windows Sunucularda Gerçek Zamanlı SYN-Flood Tipi Saldırı Tespiti - Nass oluyor da oluyor?
Syn Proxy'nin bilinmeyenleri - Nass oluyor da oluyor?
OpSec - Önce İş Güvenliği
No such device hatası alıyorum çözümünü daha bulamadım
YanıtlaSil