HTTP Get/Post Flood DoS Saldırısı
HTTP Get/Post Flood DoS Saldırısı, bir web sunucusunun veya uygulamasının, çok sayıda HTTP GET veya POST isteği ile aşırı yüklenmesi ve normal isteklere cevap verememesi şeklinde bir siber saldırıdır. Bu saldırıyı gerçekleştirmek için kullanabileceğiniz bazı araçlar şunlardır:
- Owasp Http Post Tool: Bu araç, web sunucusuna HTTP GET veya POST istekleri göndererek servis dışı bırakma saldırısı yapmanızı sağlar. Bu araç, açık kaynaklı ve ücretsizdir.
- Ab (apache benchmark): Bu araç, web sunucusunun performansını ölçmek için tasarlanmıştır, ancak aynı zamanda servis dışı bırakma saldırısı için de kullanılabilir. Bu araç, Apache HTTP Server ile birlikte gelir.
- Ddosim: Bu araç, tek bir makineden zombi simülasyonu yaparak, farklı IP adreslerinden geliyormuş gibi web sunucusuna HTTP GET flood saldırısı yapmanızı sağlar. Bu araç, açık kaynaklı ve ücretsizdir.
Bu araçları kullanarak HTTP Get/Post Flood DoS Saldırısı yapmak için aşağıdaki adımları izleyebilirsiniz:
1. Adım: Owasp HTTP POST Tool ile Http GET Flood saldırısı yapma. Bu araçla, web sunucusuna saniyede belirli sayıda HTTP GET isteği gönderebilirsiniz. Örneğin, saniyede 1000 istek göndermek için şu komutu kullanabilirsiniz:
owasp-http-post-tool -c 1000 -r https://example.com/
Bu komut, https://example.com/ web sitesine saniyede 1000 HTTP GET isteği gönderir. Burada -c parametresi, eşzamanlı bağlantı sayısını, -r parametresi ise istek gönderilecek URL'yi belirtir. Bu araç, gönderilen paketleri detaylı bir şekilde gösterir.
2. Adım: Owasp HTTP POST Tool ile Http POST Flood saldırısı yapma. Bu araçla, web sunucusuna HTTP POST istekleri göndererek, sunucunun kaynaklarını tüketebilirsiniz. Örneğin, bir form sayfasına saniyede 1000 POST isteği göndermek için şu komutu kullanabilirsiniz:
owasp-http-post-tool -c 1000 -r https://example.com/form.php -p data.txt
Bu komut, https://example.com/form.php sayfasına saniyede 1000 HTTP POST isteği gönderir. Burada -p parametresi, POST verisinin bulunduğu dosyayı belirtir. Bu dosyada, form alanlarının isimleri ve değerleri yer almalıdır. Örneğin, data.txt dosyası şöyle olabilir:
name=John
email=[email protected]
message=Hello
3. Adım: Ab (apache benchmark) ile web sunucusuna HTTP GET istekleri gönderme. Bu araçla, web sunucusunun performansını ölçebilir ve servis dışı bırakma saldırısı yapabilirsiniz. Örneğin, https://facebook.com/ web sitesine toplam 15 HTTP GET isteği göndermek için şu komutu kullanabilirsiniz:
ab -n 15 -c 1 -v -r https://facebook.com/
Bu komut, https://facebook.com/ web sitesine eşzamanlı olarak 1 istek olacak şekilde toplam 15 istek gönderir. Burada -n parametresi, toplam istek sayısını, -c parametresi, eşzamanlı istek sayısını, -v parametresi, çıktı detayını, -r parametresi ise hata olması durumunda devam etmeyi belirtir. Bu araç, istek başına geçen süre, sunucunun cevap verme oranı, başarılı ve başarısız istek sayısı gibi istatistikleri gösterir.
4. Adım: Ddosim ile tek makinadan zombi simülasyonu yaparak, farklı IP adreslerinden geliyormuş gibi web sunucusuna HTTP GET flood saldırısı yapma. Bu araçla, tek bir makineden binlerce zombi oluşturarak, web sunucusuna HTTP GET istekleri gönderebilirsiniz. Örneğin, 78.68.45.0/24 IP aralığından geliyormuş gibi https://52.16.44.2/ web sunucusuna HTTP GET flood saldırısı yapmak için şu komutu kullanabilirsiniz:
ddosim -d 52.16.44.2 -p 80 -k 78.68.45.0 -c 0 -w 0 -t 10 -r HTTP_VALID -i eth0
Bu komut, 52.16.44.2 IP adresindeki web sunucusuna 80 portundan 10 saniye boyunca HTTP GET istekleri gönderir. Burada -d parametresi, hedef IP adresini, -p parametresi, hedef portunu, -k parametresi, kaynak IP aralığını, -c parametresi, eşzamanlı bağlantı sayısını (0 ise sınırsız), -w parametresi, bekleme süresini, -t parametresi, saldırı süresini, -r parametresi, istek tipini, -i parametresi ise ağ arayüzünü belirtir. Bu araç, oluşturulan zombilerin sayısını, gönderilen isteklerin sayısını ve sunucunun cevap verme durumunu gösterir.
Bu adımları takip ederek, web sunucularına HTTP Get/Post Flood DoS Saldırısı yapabilirsiniz.
HTTP Get/Post Flood DoS Saldırısı, bir web sunucusunun veya uygulamasının, çok sayıda HTTP GET veya POST isteği ile aşırı yüklenmesi ve normal isteklere cevap verememesi şeklinde bir siber saldırıdır. Bu saldırıyı gerçekleştirmek için kullanabileceğiniz bazı araçlar şunlardır:
- Owasp Http Post Tool: Bu araç, web sunucusuna HTTP GET veya POST istekleri göndererek servis dışı bırakma saldırısı yapmanızı sağlar. Bu araç, açık kaynaklı ve ücretsizdir.
- Ab (apache benchmark): Bu araç, web sunucusunun performansını ölçmek için tasarlanmıştır, ancak aynı zamanda servis dışı bırakma saldırısı için de kullanılabilir. Bu araç, Apache HTTP Server ile birlikte gelir.
- Ddosim: Bu araç, tek bir makineden zombi simülasyonu yaparak, farklı IP adreslerinden geliyormuş gibi web sunucusuna HTTP GET flood saldırısı yapmanızı sağlar. Bu araç, açık kaynaklı ve ücretsizdir.
Bu araçları kullanarak HTTP Get/Post Flood DoS Saldırısı yapmak için aşağıdaki adımları izleyebilirsiniz:
1. Adım: Owasp HTTP POST Tool ile Http GET Flood saldırısı yapma. Bu araçla, web sunucusuna saniyede belirli sayıda HTTP GET isteği gönderebilirsiniz. Örneğin, saniyede 1000 istek göndermek için şu komutu kullanabilirsiniz:
owasp-http-post-tool -c 1000 -r https://example.com/
Bu komut, https://example.com/ web sitesine saniyede 1000 HTTP GET isteği gönderir. Burada -c parametresi, eşzamanlı bağlantı sayısını, -r parametresi ise istek gönderilecek URL'yi belirtir. Bu araç, gönderilen paketleri detaylı bir şekilde gösterir.
2. Adım: Owasp HTTP POST Tool ile Http POST Flood saldırısı yapma. Bu araçla, web sunucusuna HTTP POST istekleri göndererek, sunucunun kaynaklarını tüketebilirsiniz. Örneğin, bir form sayfasına saniyede 1000 POST isteği göndermek için şu komutu kullanabilirsiniz:
owasp-http-post-tool -c 1000 -r https://example.com/form.php -p data.txt
Bu komut, https://example.com/form.php sayfasına saniyede 1000 HTTP POST isteği gönderir. Burada -p parametresi, POST verisinin bulunduğu dosyayı belirtir. Bu dosyada, form alanlarının isimleri ve değerleri yer almalıdır. Örneğin, data.txt dosyası şöyle olabilir:
name=John
email=[email protected]
message=Hello
3. Adım: Ab (apache benchmark) ile web sunucusuna HTTP GET istekleri gönderme. Bu araçla, web sunucusunun performansını ölçebilir ve servis dışı bırakma saldırısı yapabilirsiniz. Örneğin, https://facebook.com/ web sitesine toplam 15 HTTP GET isteği göndermek için şu komutu kullanabilirsiniz:
ab -n 15 -c 1 -v -r https://facebook.com/
Bu komut, https://facebook.com/ web sitesine eşzamanlı olarak 1 istek olacak şekilde toplam 15 istek gönderir. Burada -n parametresi, toplam istek sayısını, -c parametresi, eşzamanlı istek sayısını, -v parametresi, çıktı detayını, -r parametresi ise hata olması durumunda devam etmeyi belirtir. Bu araç, istek başına geçen süre, sunucunun cevap verme oranı, başarılı ve başarısız istek sayısı gibi istatistikleri gösterir.
4. Adım: Ddosim ile tek makinadan zombi simülasyonu yaparak, farklı IP adreslerinden geliyormuş gibi web sunucusuna HTTP GET flood saldırısı yapma. Bu araçla, tek bir makineden binlerce zombi oluşturarak, web sunucusuna HTTP GET istekleri gönderebilirsiniz. Örneğin, 78.68.45.0/24 IP aralığından geliyormuş gibi https://52.16.44.2/ web sunucusuna HTTP GET flood saldırısı yapmak için şu komutu kullanabilirsiniz:
ddosim -d 52.16.44.2 -p 80 -k 78.68.45.0 -c 0 -w 0 -t 10 -r HTTP_VALID -i eth0
Bu komut, 52.16.44.2 IP adresindeki web sunucusuna 80 portundan 10 saniye boyunca HTTP GET istekleri gönderir. Burada -d parametresi, hedef IP adresini, -p parametresi, hedef portunu, -k parametresi, kaynak IP aralığını, -c parametresi, eşzamanlı bağlantı sayısını (0 ise sınırsız), -w parametresi, bekleme süresini, -t parametresi, saldırı süresini, -r parametresi, istek tipini, -i parametresi ise ağ arayüzünü belirtir. Bu araç, oluşturulan zombilerin sayısını, gönderilen isteklerin sayısını ve sunucunun cevap verme durumunu gösterir.
Bu adımları takip ederek, web sunucularına HTTP Get/Post Flood DoS Saldırısı yapabilirsiniz.