Bot Nedir?
Çok kullanılan DDoS saldırı yöntemlerinden biri de bot saldırışıdır. Bot kelimesi Robot’ tan gelmektedir. Sistemler bot haline kötü amaçlı bir yazılım bulaştırılarak getirilirler. Genelde bot sistemler bir IRC kanalına ya da bir web sitesi üzerinden aldığı komut doğrultusunda saldırı yaparlar.
Saldırgan bot sistemleri uzaktan kendi amacı doğrultusunda kontrol eder. Birçok bot’un bir arada hareket edip saldırı yapmasına ise BOTNET adı verilmektedir.
Botnet’ ler
Saldırganlar tarafından elde edilmiş DDoS saldırısı yapmakta kullanılan birçok sisteme verilen addır.
Genel özellikleri;
- Spam Mail gönderebilirler.
- Netvvork’ü dinleyerek bilgi ele geçirmeye çalışabilir.
- Keylogger özellikleri taşıyanları mevcuttur.
- Diğer Sistemlere’de kendini bulaştırabilir.
- Reklam eklentileri çalıştırabilirler.
Botnet Türleri Agobot/Phatbot/Forbot/Xtrembot
Agobot C++ ile 2004 yılında bir bilgisayar suçundan tutuklanmış olan Ago lakaplı Axel Gembe adlı bir alman tarafından yazılmıştır.
Agobot Dosya saklarken NTFS ADS (Alternate Data Streams) kullanarak çalışır ve Rootkit özellikleri sayesinde dosya ve programları gizleyebilir.
SDBot/Rbot/Urbot/UrxBot
Sdbot C dili ile yazılmış ve kaynak kodu Genel Kamu Lisansı (GPL) ile yayınlanmıştır. Rbot, Urbot ve Urxbot örnek alınarak hazırlanmış diğer botlardır.
IRC (Internet Relay Chat) Tabanlı Botlar GT Bot, Mire ve bazı yazılımları etkilediği sistemde çalıştıran bot’ lardır.
Örnek Bir Bot’ un Çalışmasını Analiz Etmek
Agobot
Aşama 1
Birleştirilmiş olduğu program çalışınca kendisini sistem klasörüne kopyalar ve Kayıt Defteri’ nin aşağıda belirtilen alanlarına bir dahaki açılışta tekrar çalışmak üzere kendini kayıt eder.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Sem
Aşama 2
Agobot kendini diğer sistemlere de yaymak üzere programlanmıştır. Bunu yapabilmek için network üzerindeki sistemlerin yönetim paylaşımlarına şifre deneyerek ulaşmaya çalışır(C$, D$, Admin$, priritŞ gibi..). Aynı zamanda Windows ve 3. Parti yazılımların zayıflıklarını kullanarak diğer sistemlere girmeye çalışır.
Aşama 3
Agobot’un en önemli özerliği IRC üzerinden yönetilmesidir. IRC sunucuya bağlanarak bulaştığı sistemin yönetilmesini sağlar.
Aşama 4
Bu şekilde bulaştığı sistemde;
- Internet üzerinden indirdiği programlan çalıştırabilir.
- İşletim sistemi detaylarını gönderebilir.
- Yerel programlan çalıştırabilir.
- IRC üzerinden aldığı komutlar ile DDOS saldırısı gerçekleştirir.
Nuclear Bot
Detaylı bir IRC botu olan Nuclear bot DDOS saldırılarında en çok kullanılan araçlardan biridir. Diğer sistemlere kendini bulaştırabilir ve IRC üzerinden yönetilir.
DDOS (Distrubuted Denial of Service)
Dağıtılmış DOS saldırısı, Trojan ya da benzeri zararlı yazılımlar ile birçok sistemin hedef sisteme saldırı yapmasını sağlamaktır. Farkında olmadan saldırı yapan bu sistemlere zombie adı verilir.
DDOS Saldırısı Özellikleri
- Hedef sistemin servislerine yapılan geniş açılı ve koordineli saldırıdır.
- Saldırı altında olan hedef sistemin servisleri ana kurbandır. Farkında olmadan saldın yapan ele geçirilmiş zombie sistemler ise 2. kurbanlardır.
- Tek bir sistemden yapılan saldırı kolayca filtreleme yazılımları ve donanımları ile engellenebilmektedir. DDOS saldırısı pek çok IP adresinden geldiği için engellemesi ve tespit edilmesi çok zordur.
DDOS Saldırısı Amaçları
- Network Bant genişliğini tüketmek
- Hedef sistemin kaynaklarını tüketmek
DDoS Araçları
Aşağıda bahsedilen araçlar DDOS araçlanna örnek olarak verilmişlerdir. DDOS saldırılarının ilk çıkağı yıllarda kullanılan bu araçlar günümüzde çok kullanılan araçlar değildir.
Tribe Flow Netvvork (TFN)
Saldırganın hedef sistemin hem bant genişliğini hem de sistem kaynaklannı tüketmesini sağlar. TFN UDP, ICMP, TCP SYN ve Smurf saldınları yapabilir. Saldıran ve zombie sistemler arasındaki iletişim ICMP paketleri ile yapıldığından filtreleme sistemlerini kolayca atlatabilir.
TFN2k
TFN mimarisi üzerine hazırlanmış ve ek özellikler eklenmiştir. IP taklit ederek saldırının kaynağını kolayca saklayabilir. Unix, Solaris ve Windows işletim sistemlerine saldırılarda kullanılabilir.
Shaft
Saldırgan ve Zombie sistemler aralarında haberleşirken UDP protokolünü kullanarak haberleşirler. Shaft yaptığı saldırıların istatistik bilgilerini tutar. UDP, ICMP ve TCP saldırıları yapabilir. Gönderdiği tüm paketlere yazdığı SYN No: 0×28374839 olduğundan kolayca filtreleme sistemleri ile engellenebilir.
Trinity
IRC tabanlı bir DDOS saldırı aracıdır. Port 6667' yi kullanarak iletişim kurar. Aynı zamanda içinde bulunan arka kapı programı 33270 nolu port üzerinden sisteme giriş portu oluşturur. Trinity UDP, TCP SYN, TCP ACK, ve Null (Flag işaretsiz paketler ile) saldırıları yapabilir. IP taklidi ile saldırının kaynağını gizleyebilir.
Diğer Araçlar
Kaiten: IRC tabanlıdır. IP taklit etme yeteneklerine sahip bu yazılım TCP ve UDP, SYN ve PUSH saldırıları yapabilmektedir.
Knight: IRC tabanlı DDOS aracı olan bu yazılım 2001 yılında ilk defa raporlanmıştır. SYN ve UDP flood saldırıları yapabilir. Windows sistemler için yazılmıştır.
Mstream: Saldırı için ACK bayrağa sahip paketler kullanır. Saldırgan ile zombie’ler arasındaki iletişim şifre korumalı sağlanmaktadır.
DDoS Saldırılarından Korunma Yöntemleri
DDoS saldırılarından korunma yöntemlerini aşağıda belirtilen başlıklar altında incelemek gerekmektedir.
- Zombi sistemlerin tespit edilmesi ve onları yöneten saldırgana ulaşılması.
- Saldırının tespit edilmesi, engellenmesi ve etkilerinin azaltılması.
- Saldırı içeriğinin analiz edilmesi ve sonraki olası saldırılar için önlem alınması.
- Zombi sistemlerin tespit edilmesi ve onları yöneten saldırgana ulaşılması.
Saldırı yapan Zombi sistemlerin tespit edilmesinden sonra zombi sitemin hangi sistem ile iletişim kurduğunu yani saldırı emrini ner-den aldığı bilgisine ulaşmak temel hedeftir. Herhangi bir network paket kaydedici (Sniffer) bir program ile sistemin iletişimi takip edilerek bilgi sahibi olunabilir.
Antivirüs ve Anti trojan yazılımlarının kurulması ve güncel tutulması tehlikeli DoS araçlarının sistemlere bulaşmasını engelleyebilir. Kullanıcıların izinlerini düşük tutulması bu tarz yazılımların sisteme bulaşsa dahi diğer sistemlere bulaşma riskini azaltabilir.
Egress Filtreleme (içeriden dışarı giden trafiğin filtrelenmesi) Net-work’ü terk eden paketlerin incelenmesi içerideki sistemlerin dışarı DDOS saldın yapmasını engelleyecektir. Birçok filtreleme ve yönlendirme sistemlerinde bu özellikler mevcuttur.
Saldırının tespit edilmesi, engellenmesi ve etkilerinin azaltılması. Yükü dengelemek (Load Balancing): Saldırı karşısında ayakta kalabilmek için hedef sistemin devamlılığı sağlanmak zorundadır. Yük dengeleme sistemleri sayesinde bir sunucu problem yaşadığında diğer sunucu devreye girerek iletişimi devam ettirebilir.
Yükü birden çok sunucu ve bağlantı teknolojisi ile dengelemek performansı ve DDoS saldırısının etkilerini azaltabilir. Filtreleme Sistemleri (Güvenlik Duvarı): Filtreleme sistemleri gelen DDOS saldırısının iç netvvork’e geçmesini engelleyebilir. Filtreleme sistemlerinin DDoS saldırı gelmeden bu saldırılara karşı verebileceği tepkilerin ölçülmesi adına test yapılması gerekmektedir.
Saldırılan Saptırmak (Honeypot’lar): Honeypot’lar saldırganın nasıl eylemlerde bulunduğunu kaydeden yazılımlardır. Saldırının saptırılmasını ve saldırı sonrası analizini yapmakta kullanılabilir. Saldın içeriğinin analiz edilmesi ve sonraki olası saldırılar için önlem alınması. Saldırı sırasında kaydedilen network trafiğinin analiz edilmesi saldırı hakkında detaylı bilgiye sahip olmamızı sağlayacaktır. Bu bilgi yük dengeleme konusunda faydalı olabilir. DDoS saldırısı trafiği netvvork yöneticilerinin filtreleme sistemlerini bu saldırıyı engelleyebilecek biçimde düzenlemelerini sağlayabilir. Analiz edilen bu saldırı paketleri aynı zamanda saldırganın izinin sürülmesi ve tespit edilmesi konusunda yardımcı olacaktır.
not:yardımcı olabilirim.mesaj atabilirsiniz
Çok kullanılan DDoS saldırı yöntemlerinden biri de bot saldırışıdır. Bot kelimesi Robot’ tan gelmektedir. Sistemler bot haline kötü amaçlı bir yazılım bulaştırılarak getirilirler. Genelde bot sistemler bir IRC kanalına ya da bir web sitesi üzerinden aldığı komut doğrultusunda saldırı yaparlar.
Saldırgan bot sistemleri uzaktan kendi amacı doğrultusunda kontrol eder. Birçok bot’un bir arada hareket edip saldırı yapmasına ise BOTNET adı verilmektedir.
Botnet’ ler
Saldırganlar tarafından elde edilmiş DDoS saldırısı yapmakta kullanılan birçok sisteme verilen addır.
Genel özellikleri;
- Spam Mail gönderebilirler.
- Netvvork’ü dinleyerek bilgi ele geçirmeye çalışabilir.
- Keylogger özellikleri taşıyanları mevcuttur.
- Diğer Sistemlere’de kendini bulaştırabilir.
- Reklam eklentileri çalıştırabilirler.
Botnet Türleri Agobot/Phatbot/Forbot/Xtrembot
Agobot C++ ile 2004 yılında bir bilgisayar suçundan tutuklanmış olan Ago lakaplı Axel Gembe adlı bir alman tarafından yazılmıştır.
Agobot Dosya saklarken NTFS ADS (Alternate Data Streams) kullanarak çalışır ve Rootkit özellikleri sayesinde dosya ve programları gizleyebilir.
SDBot/Rbot/Urbot/UrxBot
Sdbot C dili ile yazılmış ve kaynak kodu Genel Kamu Lisansı (GPL) ile yayınlanmıştır. Rbot, Urbot ve Urxbot örnek alınarak hazırlanmış diğer botlardır.
IRC (Internet Relay Chat) Tabanlı Botlar GT Bot, Mire ve bazı yazılımları etkilediği sistemde çalıştıran bot’ lardır.
Örnek Bir Bot’ un Çalışmasını Analiz Etmek
Agobot
Aşama 1
Birleştirilmiş olduğu program çalışınca kendisini sistem klasörüne kopyalar ve Kayıt Defteri’ nin aşağıda belirtilen alanlarına bir dahaki açılışta tekrar çalışmak üzere kendini kayıt eder.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Sem
Aşama 2
Agobot kendini diğer sistemlere de yaymak üzere programlanmıştır. Bunu yapabilmek için network üzerindeki sistemlerin yönetim paylaşımlarına şifre deneyerek ulaşmaya çalışır(C$, D$, Admin$, priritŞ gibi..). Aynı zamanda Windows ve 3. Parti yazılımların zayıflıklarını kullanarak diğer sistemlere girmeye çalışır.
Aşama 3
Agobot’un en önemli özerliği IRC üzerinden yönetilmesidir. IRC sunucuya bağlanarak bulaştığı sistemin yönetilmesini sağlar.
Aşama 4
Bu şekilde bulaştığı sistemde;
- Internet üzerinden indirdiği programlan çalıştırabilir.
- İşletim sistemi detaylarını gönderebilir.
- Yerel programlan çalıştırabilir.
- IRC üzerinden aldığı komutlar ile DDOS saldırısı gerçekleştirir.
Nuclear Bot
Detaylı bir IRC botu olan Nuclear bot DDOS saldırılarında en çok kullanılan araçlardan biridir. Diğer sistemlere kendini bulaştırabilir ve IRC üzerinden yönetilir.
DDOS (Distrubuted Denial of Service)
Dağıtılmış DOS saldırısı, Trojan ya da benzeri zararlı yazılımlar ile birçok sistemin hedef sisteme saldırı yapmasını sağlamaktır. Farkında olmadan saldırı yapan bu sistemlere zombie adı verilir.
DDOS Saldırısı Özellikleri
- Hedef sistemin servislerine yapılan geniş açılı ve koordineli saldırıdır.
- Saldırı altında olan hedef sistemin servisleri ana kurbandır. Farkında olmadan saldın yapan ele geçirilmiş zombie sistemler ise 2. kurbanlardır.
- Tek bir sistemden yapılan saldırı kolayca filtreleme yazılımları ve donanımları ile engellenebilmektedir. DDOS saldırısı pek çok IP adresinden geldiği için engellemesi ve tespit edilmesi çok zordur.
DDOS Saldırısı Amaçları
- Network Bant genişliğini tüketmek
- Hedef sistemin kaynaklarını tüketmek
DDoS Araçları
Aşağıda bahsedilen araçlar DDOS araçlanna örnek olarak verilmişlerdir. DDOS saldırılarının ilk çıkağı yıllarda kullanılan bu araçlar günümüzde çok kullanılan araçlar değildir.
Tribe Flow Netvvork (TFN)
Saldırganın hedef sistemin hem bant genişliğini hem de sistem kaynaklannı tüketmesini sağlar. TFN UDP, ICMP, TCP SYN ve Smurf saldınları yapabilir. Saldıran ve zombie sistemler arasındaki iletişim ICMP paketleri ile yapıldığından filtreleme sistemlerini kolayca atlatabilir.
TFN2k
TFN mimarisi üzerine hazırlanmış ve ek özellikler eklenmiştir. IP taklit ederek saldırının kaynağını kolayca saklayabilir. Unix, Solaris ve Windows işletim sistemlerine saldırılarda kullanılabilir.
Shaft
Saldırgan ve Zombie sistemler aralarında haberleşirken UDP protokolünü kullanarak haberleşirler. Shaft yaptığı saldırıların istatistik bilgilerini tutar. UDP, ICMP ve TCP saldırıları yapabilir. Gönderdiği tüm paketlere yazdığı SYN No: 0×28374839 olduğundan kolayca filtreleme sistemleri ile engellenebilir.
Trinity
IRC tabanlı bir DDOS saldırı aracıdır. Port 6667' yi kullanarak iletişim kurar. Aynı zamanda içinde bulunan arka kapı programı 33270 nolu port üzerinden sisteme giriş portu oluşturur. Trinity UDP, TCP SYN, TCP ACK, ve Null (Flag işaretsiz paketler ile) saldırıları yapabilir. IP taklidi ile saldırının kaynağını gizleyebilir.
Diğer Araçlar
Kaiten: IRC tabanlıdır. IP taklit etme yeteneklerine sahip bu yazılım TCP ve UDP, SYN ve PUSH saldırıları yapabilmektedir.
Knight: IRC tabanlı DDOS aracı olan bu yazılım 2001 yılında ilk defa raporlanmıştır. SYN ve UDP flood saldırıları yapabilir. Windows sistemler için yazılmıştır.
Mstream: Saldırı için ACK bayrağa sahip paketler kullanır. Saldırgan ile zombie’ler arasındaki iletişim şifre korumalı sağlanmaktadır.
DDoS Saldırılarından Korunma Yöntemleri
DDoS saldırılarından korunma yöntemlerini aşağıda belirtilen başlıklar altında incelemek gerekmektedir.
- Zombi sistemlerin tespit edilmesi ve onları yöneten saldırgana ulaşılması.
- Saldırının tespit edilmesi, engellenmesi ve etkilerinin azaltılması.
- Saldırı içeriğinin analiz edilmesi ve sonraki olası saldırılar için önlem alınması.
- Zombi sistemlerin tespit edilmesi ve onları yöneten saldırgana ulaşılması.
Saldırı yapan Zombi sistemlerin tespit edilmesinden sonra zombi sitemin hangi sistem ile iletişim kurduğunu yani saldırı emrini ner-den aldığı bilgisine ulaşmak temel hedeftir. Herhangi bir network paket kaydedici (Sniffer) bir program ile sistemin iletişimi takip edilerek bilgi sahibi olunabilir.
Antivirüs ve Anti trojan yazılımlarının kurulması ve güncel tutulması tehlikeli DoS araçlarının sistemlere bulaşmasını engelleyebilir. Kullanıcıların izinlerini düşük tutulması bu tarz yazılımların sisteme bulaşsa dahi diğer sistemlere bulaşma riskini azaltabilir.
Egress Filtreleme (içeriden dışarı giden trafiğin filtrelenmesi) Net-work’ü terk eden paketlerin incelenmesi içerideki sistemlerin dışarı DDOS saldın yapmasını engelleyecektir. Birçok filtreleme ve yönlendirme sistemlerinde bu özellikler mevcuttur.
Saldırının tespit edilmesi, engellenmesi ve etkilerinin azaltılması. Yükü dengelemek (Load Balancing): Saldırı karşısında ayakta kalabilmek için hedef sistemin devamlılığı sağlanmak zorundadır. Yük dengeleme sistemleri sayesinde bir sunucu problem yaşadığında diğer sunucu devreye girerek iletişimi devam ettirebilir.
Yükü birden çok sunucu ve bağlantı teknolojisi ile dengelemek performansı ve DDoS saldırısının etkilerini azaltabilir. Filtreleme Sistemleri (Güvenlik Duvarı): Filtreleme sistemleri gelen DDOS saldırısının iç netvvork’e geçmesini engelleyebilir. Filtreleme sistemlerinin DDoS saldırı gelmeden bu saldırılara karşı verebileceği tepkilerin ölçülmesi adına test yapılması gerekmektedir.
Saldırılan Saptırmak (Honeypot’lar): Honeypot’lar saldırganın nasıl eylemlerde bulunduğunu kaydeden yazılımlardır. Saldırının saptırılmasını ve saldırı sonrası analizini yapmakta kullanılabilir. Saldın içeriğinin analiz edilmesi ve sonraki olası saldırılar için önlem alınması. Saldırı sırasında kaydedilen network trafiğinin analiz edilmesi saldırı hakkında detaylı bilgiye sahip olmamızı sağlayacaktır. Bu bilgi yük dengeleme konusunda faydalı olabilir. DDoS saldırısı trafiği netvvork yöneticilerinin filtreleme sistemlerini bu saldırıyı engelleyebilecek biçimde düzenlemelerini sağlayabilir. Analiz edilen bu saldırı paketleri aynı zamanda saldırganın izinin sürülmesi ve tespit edilmesi konusunda yardımcı olacaktır.
not:yardımcı olabilirim.mesaj atabilirsiniz