CEH by BGA - Gün 3 - Ders 3

• (Parantez) isup.me => bir sitenin ayakta olup olmadığını sorgulayabildiğimiz bir site.
• Yapılan denemede 80 portuna yapılan DoS saldırısı başarılı olmadı, ancak 25 portuna saldırarak site erişilmez hale getirildi.
• hping3 -p 25 -S --flood --rand-source mail.xyz.com.tr
• Konfigürasyonda yapılan bir eksiklik muhtemelen. Bir cihazın session tablosunu doldurduk muhtemelen.
• (Parantez) #dig NS sahibinden.com => DNS sunucuları sorgulaması.
• (Parantez) #dig @ns2.sahibinden.com www.sahibinden.com => ns2 DNS sunucusunu kullanarak sorgulama.
• UDP Flood saldırıları
• hping --udp --flood --rand-source -S -p 53 ns1.sahibinden.com => BOŞ udp paketleri gönderiliyor.
• UDP, connectionless bir protokol. Paketi gönderdim, yanıtı umrumda değil.
• UDP paketi gönderildiğinde karşı tarafta bir state oluşturma durumu yok. Firewall yalancı bir state tutar.
• Daha fazla paket gönderilebileceği için tercih edilebilir. Paket boyu TCP için ortalama 60 byte, UDP için 40 byte.
• Eğer firewall kapalı portlar için paketi drop etmek yerine REJECT ediyorsa her talebe bir yanıt dönmesi demek; DoS açısından kötü. Firewall'u drop edecek şekilde ayarlamak daha sağlıklı olur.
• HTTP GET Flood, 
• Gerçek IP üzerinden yapılamk zorunda demiştik (handshake tamamlanması gerekiyor). Tek IP'den değil dağıtık şekilde botnet'lerden yapılır bu saldırı.
• Saldırgan, POST talebi üzerinden ve dinamik oluşacak sayfalara talebi gönderir. Dinamik oluşacak (arama sonucu sayfası gibi) sayfalara saldırma nedeni, caching cihazı tarafından sayfalar cache'lenir ve yanıtları oradan dönmeye başlar (sunucuya ulaşmadan), dinamik sayfalarda ise her seferinde yeni bir sayfa oluşacağından sunucuya ulaşarak sayfayı talep edecek.
• ab -n 100000 -c 2000 http://sahibinden.com/search.php => saniyede 2000, toplamda 100000 istek gönder.
• ab => Apache HTTP server benchmarking tool
• (Parantez) Rate limiting. Savunma sistemi, gelen IP'nin gerçek olup olmadığını tespit edemeden engelleme yapıyorsa (3lü el sıkışmayı tamamlamadığı IP'ler için de engelleme yapıyorsa) sıkıntı var demektir; bambaşka IP adreslerini engelletebiliriz cihaza. => Hatırlatma: hping3'te -a ile farklı bir IP üzerinden paket gönderebiliyorduk. Linux iptables'ta bu sıkıntı var.
• UDP paketlerinin gerçek IP'den gelip gelmediği kontrolü: 
• Connectionless olduğundan el sıkışma tamamlama gibi birşey yok.
• Bilgi: Gerçek IP'ler, gönderdikleri UDP taleplerine yanıt alamadıklarında (misal 3 sn içinde) aynı talebi tekrar eder (misal 3 kere), sonra timeout'a düşer.
• Gerçek IP mi kontrolü: Gelen ilk UDP paketi drop edilir, aynı IP'den aynı özelliklerle tekrar aynı UDP talep gelirse gerçek IP olduğuna karar verir.
• BIND Dinamik Update DoS
• DNS tarafı DoS saldırıları çeşitleri:
• DNS sunucu yazılımıüzerindeki açıklıklar (BIND gibi)
• DNS flood (BruteForce) => bu işi yapan bir sürü script var: maraveDNS.pl gibi.
• Ampf. DNS DoS