huso
(şimdiye kadar 61 posta) | | Sprut Dos Attack
Sürüm: v1.1
Dil: İngilizce
Lisans: Yok
Boyut: 94.2 KB
Download: http://www.siber-atak.org/Sprut.rar
Açıklama: Sitenin ip nosunu yazıyoruz ve açık bir port yazıyoruz. Bunu 80 olarak bırakınız çünkü bütün sitelerin 80.portu genelde açıktır. Son olarak yapacağınız, starta basmak ve oturmak gerisini program halleder.!
Yeni arkadaşlar, sitenin ip nosunu nereden bulabilirim diye sorabilirler? Bunun için whois çekmeniz gerekiyor.
www.whois.sc
www.netcraft.com adreslerine sitenin adını yazıp, sitenin ip nosunu çok kolay bulabilirsiniz.
Global Dos Attack And Ddos Attack
Sürüm: v1.0 Dil: İng-Tur.
Lisans: Yok
Boyut: 64.3 KB
Download: http://www.siber-atak.org/Global Dos Attack.rar
Açıklama: Dünya'nın en güçlü saldırı programıdır. En önemli özelliği programın kendi bünyesinde çalışan diğer kullanıcılarını da hedef siteye saldırmasını sağlamasıdır. Hedef site en fazla 10 dk. dayanabilmektedir.
Misyon dahilinde kullanılması dileğiyle.
GavurSavar
Sürüm: 1.0 & 2.0
Dil: Türkçe
Lisans: Yok
Boyut: 94 kb.
Download: http://www.siber-atak.org/GavurSavar.rar
Açıklama:
GavurSavar, Hedef siteyi saniyede 1 kez açıp sayfada bulunan linkleri birer kez tıklayan, aynı zamanda paket gönderen bir yazılımdır. Hedef sitenin bulunduğu sunucunun aşırı yavaşlamasına ve sitenin bandwith'inin bitmesine sebep olabilir.
2.0 sürümü ilk sürümüne göre çok daha güçlüdür. Download dosyasında iki sürümde mevcuttur.
Ne yapmam gerekiyor?
Yapılması gereken işlem çok basittir.Bunu bölümlere ayırarak açıklayabiliriz.
Adres = Bu bölüme tahmin edeceğiniz gibi sitenin ismini yazıyoruz.Yazarken dikkat edilmesi gereken önemli nokta sitenin başında mutlaka "http://" olmalı aksi taktirde sorumluluk kabul etmeyiz.
Saldırı gücü = Buraya ADSL hızımıza göre değer veriyoruz 256 KBPS hızda adsl kullanan biri nin 256 seçeneğini seçmesi gerekiyor.256 hızda adsl kullanan biri 2048 i işaretlerse yapacağı saldırı hiç bir işe yaramayacak aksine bilgisayarını yoracaktır.
Saldırı Sayısı = Bu bölüme siteye kaç kez paket gönderilip (her bir paket 50 byt/1 kb boyutundadır) kaç kez sitenin taranım linklere tıklanacağı ayarlanır.Örneğin "50000" i işaretlediğimizde bu işlem 50000 kez tekrar edilir.Garanti sonuç vermesi için (biz garanti vermiyoruz servere ve siteye göre değişir) "Sınırsız" işaretlenmesi tavsiye edilir fakat tahmin edeceğiniz gibi bu özellik sadece special editionda açıktır.
Dil seçimi = Program türk sitelerine saldırmaz fakat elin gavuru kendi milletinin site sine saldırmak isterse onlar için dil seçeneğimizde mevcut.
Sitenin Durumu = Web sitesinin o anki durumunu canlı canlı izlemeniz için programa web tarayıcı yerleştirdik.Böylece yeni pencere açıp sitenin durumunu takip etmek zorunda kalmadan siteyi saniye saniye izleyebileceksiniz.
Saldırı durumu = Bu bölüm saldırı durumunu izlemeniz için yapılmıştır.Örneğin 50000 saldırı yı seçen biri saniye sayamayacağına göre bunu durum çubuğundan izleyebilir.Durum çubuğu dolduğun da site göçecek diye bir durum söz konusu değildir, çubuk sadece bilinçlendirme amaçlıdır. Sınırsız seçeneği seçildiğinde çubuk hareket etmez.
Saldır/Dur butonları = Saldırıyı kontrol etmeniz için bu butonlar kullanılır.Lütfen site ismini yazıp saldırıya arka arkaya basmayın bu hem bilgisayarınıza hem programa zarar verir.Bir kere saldırı butonuna basıp bekleyin.Fakat dur butonuna basıldığında saldırı durmazsa dur butonuna birden fazla basmak zarar getirmez.
Yıkıcı
Sürüm: 1.0 & 2.0Dil: Türkçe
Lisans: Yok
Boyut: 708 kb.
Download: http://www.siber-atak.org/ Yıkıcı.rar
Açıklama: Sunuculara dos atağı yaparak yoğunluk yaratır.
Öncelikle saldıracağınız adresi girin ve bağlan tuşuna tıklayın.
Ardından Yeşil ışık yanar ve Saldırı Başlasın Tuşuna tıklarsınız saldırı başlar.
Antirus
Sürüm: 3.0
Dil: Türkçe
Lisans: AventGrup
Boyut: 1.37 Mb
Download: http://www.siber-atak.org/AntiRus.rar
Açıklama: Antirus yazılım serisinin Son geçiş sürümüdür. HTT Protokolu'nu kullanarak Hedef Sistemin Sunucu tarafında çalıştırılan Web Yayımında kullanılan servisin aşırı efor sarfetmesini ve sistemin interaktif arabirimlerinin bloke olmasını sağlar.
3.x serisi ile Antirus Projesi son bulmuştur. Tüm Lisans Arabirimleri, Filtre ve Kaynak kodlardaki kısıtlamalar açılmıştır.
Kullanım KılavuzuBu bölüm yazılımın kullanımı hakkında bilgi ve detayları içerir.AntiRUS 30. Hedef secilen sisteme SocketHandle dediğimiz, Char kodlar ile bağlanarak kendisini tanıtır. Bu işlem statik ve legal bir işlemdir. AntiRUS bu işlemi hedef sunucunun gelen istekleri yorumlarken gereğinden fazla efor sarfetmesini sağlar. Böylelikle hedef sistem bizi Session Bloğuna alır ve LoginString'imizi inceler. Bu LoginString Yazılım algoritması içerisinde türetilir ve her sisteme göre farklılık gösterir.
Bu statik string, seri ve çoklu istemci ile hedef sunucuya isletilirse bir sure sonra Web Yayımı yapan servis, "Apache, IIS, vs.." session'lara karşılık vermekte zorlanır. Bu girişimlerin etkisi internet bağlantınız ve istemcinin sayısı ile doğru orantılıdır. Yazılımın kullanımı oldukça kolaydır.
Yapmanız gerekenler sırası ile ;
Hedef Sayfa Kısmına Saldırılıcak sayfanın tüm domain'i HTTP satırı olmaksızın yazılır. Örneğin; "www.mazafaka.ru" gibi.
Robot Bağ. bölümüne seri bağlantılarla hedefe saldıracak olan robot istemcilerin sayısını girmelisiniz. Bu bölüm bağlantınız ve bilgisayarınızın hızı ile doğru orantılı olmalıdır.
Zaman Aşımı bölümünü bağlantınız nispetinde yükseltin veya düşürün. Bu birim sunucuya gönderilen isteğe beklenecek yanıt suresini temsil eder. Yazılımın göndereceği Handle'lar sunucunun işlem gündemini işgal edeceği için bu sürenin uzaması söz konusu olur. Varsayılan olarak 5 Yapabilirsiniz. Bu birim isteğe beklenecek yanıtın "5 Saniye" olacağını belirtir. Toplu DOS girişimlerinde bu sürenin uzatılması etkiyi arttıracaktır.
Talep tipi bölümü opsiyoneldir. Hedef sisteme, Hangi tarayıcının talep tipinde istek göndereceğinizi belirtirsiniz. Bu bölümü, ekseri standart yapıp gönderilecek verinin uzunluğunu daraltmanız mümkün. Alternatif kullanımları ve takibi için, diğer tarayıcı tiplerini de kullanmakta fayda var.
Tarayıcı Bölümü hedef sisteme kendi tarayıcınızı rapor eder. isterseniz tarayıcınızı sahte kimlikler ile tanıtabilirsiniz.
Bağlantı bolumu varsayılan olarak kalabilir. Burada hedef sisteme bağlantı durumunu ve koşullarını bildirirsiniz.
Nesneler bölümünde üç ayrı seçenek vardır. Bu seçeneklerle hedef sayfadan talep edilebilecek nesneleri belirtirsiniz. Hedef sistem bu nesnelere bakarak göndereceği veriyi şekillendirir.
istek sayfası bölümü, hedef Web sayfasının Varsayılan anasayfası haricindeki sayfalara da yoğun talep gönderebilir. Örneğin; "www.mazafaka.ru/forum/index.php" adresine istek göndermek için bu bölüme "forum/index.php" yazabiliriz.
Dil bölümüne tarayıcımızın yorumladığı dili girmemiz gerekir. Bu bölümün en faydalı yanı hedef sistem bir ülkeden gelen istekleri yasaklar ise bu bölümü değiştirerek yasağı asmanız mümkün olabilir.
Referans bölümünde, hedef sistem, dışarıdan talep kabulünü engelliyor ise kullanılabilir. Örneğin; hedef sistem "www.hedef.com" olur ise, "www.hedef.com/icerik/index.php" dosyasına erişmek için "www.hedef.com/index.htm" dosyasının üzerinden link alınması gerekiyordur. Bu bölüme "www.hedef.com/index.htm" yazar isek, referans muhafazalarının önüne geçebiliriz.
Ana form üzerinde Birde "Her Talebin Teyidini Al" seçeneği görünecektir. Kimi sunucular, talepleri beklemeye alarak sistemlerini belli oranda güvenli hale getirmeye çalışır. Burayı seçecek olur isek bu güvenlik tamponunu aşmış oluruz.
Ayrıca bu bölüm, hedef sistemin istemciye vereceği yanıt süresini gösterir ki buda birebir girişimin etkisi ile doğru orantılıdır. Hem test, hem de tampon güvenlik önlemlerinin aşılabilmesi amacı ile kullanılabilir. Yalnız şu var ki; bu seçenek, işlemin etkisini düşürecektir.
AntiRUS 3.0'dan sonra performans takibi amacı ile monitör gelişimine önem verildi. 2.2'de Renk çubuğu olarak hazırlanan bu mönitor, 3.0'da biraz daha anlaşılır olması için Sağ tarafta görünecek iki ayrı renk ile güncellendi. Buradaki Renk kutularından üstteki büyük olanında görünen "Yeşil" renk gönderilen talebin karsı tarafa ulaştığını, "Kırmızı" renk robotun hedefe bağlanamadığını, "Gri" renk ise istemin zaman aşımına uğradığını gösterir. Hemen altındaki nispeten daha küçük renk kutusu ise Girişimin Bağlantı Hızınız ile orantısını gösterir. Burada renk ne kadar koyu ise, talepler o kadar hedef sisteme ulaşıyor demektir. Rengin açılması demek, kullanılan robot ve zaman aşımı sürelerinin bağlantıyı zorladığına işaret eder. Bu renk, olabildiğince koyu tutulmaya çalışılmalı. Burada çoğu ayar standart olarak konfigure edilmiş haliyle gelir. istenirse ayarlar hedef sayfanın uyguladığı prosedüre göre değiştirilebilir. Ancak tavsiyemiz varsayılan ayarlarla girişimlerde bulunmanızdır. Ayrıca Sağ bölümde işlem istatistik
erini ve durumunu da görebileceğiniz bir bolum hazırlanmıştır. Bu bölümde Hedef sisteme bağlanan robot istemci sayısını, isteklerin hedef tarafından kabul edilip edilmediğini ve adetlerini görebilir, saniye'deki ortalama istek sayısını görebilirsiniz..
Artık yapmanız gereken yalnızca "Başlat" a tıklamak olacaktır.
Yazılım size yapılan işlem ile ilgili ayrıntılı rapor verecektir. Ara yüzde iki işlem çubuğu göreceksiniz. Bu işlem çubuklarından üstdeki Yüklenen Robot Bağlantıyı, Altındaki ise Gönderim işlemini tamamlayıp sunucudan yanıt bekleyen Robot bağlantıları temsil eder. Hemen altındaki Renkli rapor çubuğu da Robot bağlantıların gönderdiği ve aldığı yanıtları rapor etmek için kullanılmıştır. Bu bar'daki Kırmızı akis Bağlanıp sunucudan yanıtını almış, görevini tamamlamış robot bağlantıları simgeler. Gri renkli akis sunucuya bağlanan ancak yanıt beklerken zaman aşımına uğrayan bağlantıları temsil eder. Yeşil akis ise Hedefe bağlanamayan robot bağlantıları temsil edecektir.
Gelişmiş Handler Uygulaması Nasıl ?
Handler, AntiRUS'un hedef için hususi hazırladığı istem betiğini düzenlemenize olanak sağlar. Bu bolum Profesyonel kullanıcılar içindir. Kimi sayfalar Dos ve DDos girişimlerine karşı Uygulama katmanında belli önlemler almış olabilir. BasicAuth, Referrer, SessionID gibi. Tarayıcınız bu Betikleri kendisi düzenleyerek istemlerinin legal olduğunu karşı tarafa iletir. AntiRUS'un bu betikleri tahmin etmesi olası değildir, onun için bu Handler betiklerini Girerek Bu nevi tampon koruma yöntemlerini asabilirsiniz.
Nasıl Aşılır ?
Handler vasıtası ile Handle düzenleme işlemi nasıl yapılır. Bu oldukça basit ancak belli konulara vakıf olma gerekliliği duyan bir yoldur. Sayfaya Tarayıcınız vasıtası ile legal olarak girdikten sonra GozTebek'i açıp Tarayıcınız ile gönderdiğiniz verileri gözleyin. Bu veri tarayıcınız tarafından legal olarak üretilmiştir ve söz konusu tampon engelleri aşacaktır. Bu betiği Kopyalayıp Handler Bölümüne yazmanız yeterli olacaktır
Denyo Launch
Sürüm: III & IV
Dil: İngilizce + Türkçe Eklentisi
Lisans: Yok
Boyut: 552 KB
Download:
1-) Versiyon 3 için Download Linki: http://www.siber-atak.org/Denyo3.rar
2-) Versiyon 4 + Türkçe Eklentisi İçin Download Linki: http://www.siber-atak.org/Denyo4.rar
3-) Definition ve Eklentileriçin Download Linki: http://www.siber-atak.org/DenyoScript.rar
Açıklama: Bağlantı hızınıza göre herhangi bir site de dakikada 1000'lerce üye açabiliyor.
Bu program ile tek bir Dial up bağlantı bile Türkiye'nin en büyük sitelerini saatlerce kilitleyebiliyor. ASP, PHP programcılarının aşina olduğu (kullanmak için bu dilleri bilmenize gerek yok, Ayarları otomatik de alabilir.) form verilerini girdiğiniz takdirde en sağlam forumları bile dakikalar içinde kullanılmaz hale getirebiliyor, sizin reklamınızı 100 lerce mesaj seklinde siteye basabiliyor.
Özel durumlarda, sitenin indexini değiştirebiliyor, Mesaj kutusu koyabiliyor yada userların browserlarını kilitleyebiliyor.
Bu program ile Bir dakikada Binlerce gereksiz üye açarak yada mesaj atarak siteyi kilitleyebilirsiniz, hemde birçok site üyeliğinde bulunan E-mail ile aktivasyonu kandırıp maillere yollanan linklere otomatik tıklatabilir ve aktive edebilirsiniz.
Proxy Listesi kullanarak clicker modunda çalıştırabilir, nette doldurduğunuz bir web formunun simulasyonunu yapıp aynı formu 1000'lerce kere doldurtabilir, değişkenler, rastgele sayılar, rastgele mail adresleri kullanabilirsiniz.
Denyo Launch III
Web Site Attack Tool & Exploit Generator
Denyo Launch ile ne yapılır?
Forum göçertilir, Membership göçertilir, Spam yapılır, Spoof yapılır, Dalga geçilir, Reklam yapılır, Karizma yapılır. Hatta kullanmayı iyice anlayıp, Kendi Script definitionlarınızı yazmaya başlarsanız birinin websitesini ona mailbomb çeken bir makina haline dönüştürmek birkaç dakikalık bir iştir.
Denyo Launch Nasıl Kullanılır?
Güzel bir nokta... Denyo Launch'ın kullanımı, Bu sitedeki diğer programlara göre biraz daha zor ama sağlam saldırı araçları için programların zorluk seviyesini birazcık arttırmam gerekti yinede gözünüzde büyütecek kadar zor diyil kullanımı. Bütün olay Script definitionlarda... Eğer uzman bir kullanıcı iseniz kendi script definitionunuzu yazabilirsiniz. Eğer çömez diyilseniz ama uzmanda diyilseniz biraz pratikle ayarları otomatik çektirip, bir kaç modifikasyonla işinizi görebilirsiniz. eğer tam anlamıyla çömezseniz tahribat.com da yayınlanacak script definitionlar ile sınırlısınız. bunlar sadece çok popüler birkaç forum ve o tarz şeyleri destekler.
Yapmanız gereken tek şey download ettiğiniz yada programla birlikte gelen script definitionu Denyo Launch Programı ile açıp Server ve saldırıcağınız scriptin adresini gerektiği şekilde girmek.
Script Definition Engine Nedir?
Scritpt definition çömez kullanıcıların sağlam web sayfalarını kolayca göçertebilmesi için yarattığım bir teknoloji. bir forum scriptinin adını biliyorsanız Definition dosyalarını çekerek ayarları otomatik yaptırırsınız. Denyo Launch'ı ilk açtığınızda dls uzantılı dosyalar otomatik olarak Denyo Launch ile ilişkilendirilicektir böylece script definitionlara çift tıklayarak da Denyo Launch'a ulaşabilirsiniz.
Eğer programı basitçe kullanıcaksanız buraya kadar okuduklarınız size yeticektir. Script definitionları çekip işinize bakabilirsiniz.
Script Definition Nasıl yaratılır?
Çok kolay, Öncelikle ne yapmak istediğinizi bir düşünüyorsunuz... Mesela uyuz olduğunuz bir forum var. Mesela forum çok uyuz ve adminlerinde hepsi çok uyuz, hepsine uyuz oluyorsunuz mesela yakalasanız tekme tokat giricek kadar uyuz oluyosunuz çünkü hepsi adi aşşağılık dönek denyo ve hatta ve hatta tikky. Mesela bu forumu nasıl dağıtırız hep beraber görebiliriz. Öncelikle hangi sayfasına saldırmak istiyoruz bi düşünelim, ilk olarak registrationa saldıralım... bi sürü salak gereksiz kullanıcı yaratalım, bunları daha sora forumda salak salak konusturabiliriz. Registration sayfasını açıp frontpage yada sevdiğiniz herhangi bir HTML editor ile editliyoruz. (eğer frontpage editlenmesine izin vermiyorsa Internet Explorerda ctrl+A tuşuyla bütün sayfayı seçip copy yapıp frontpagede yapistirabilirsiniz.)
Server / IP bölümüne saldıracağımız siteyi yazıyoruz, (http:// koymuyoruz), adress bölümüne ise Internet Explorerda registration ekranında addressbarda ne görüyorsak onu yazıyoruz. (başında genelde http:// var.)
Frontpagede açtıysanız sıra geldi yukarıdaki gibi, kullanıcının doldurması gereken bütün bölümlerin teker teker isimlerini öğrenip bunları Denyo Launch Programına Add key tuşuna basarak giriyoruz. Fakat işin baba kısmı o zaman başlıyor. Bu keylerin valuları için Denyo Launch Engine'in size sunduğu bazı değişkenler ile işe işimize devam ediyoruz. şimdi bu değişkenleri görelim çünkü değişken kullanmadan her username için sabit değerler girerseniz bir sonraki registration aşamasında o kullanıcı zaten kayıtlı olduğu için spam başarısız olacaktır.
(Önemli : Source code içinde Şeklinde geçen form verileri ne frontpage editorde nede Browser ekranınızda görünmezler ve bunları sanki kullanıcı girmiş gibi sabit değerler taşırlar. Saldırının etkili olması için bunları da teker teker sayfanın HTML kodunu açıp girmeniz gerekir ki, gözden kaçmaları muhtemel bu ayarları Birazdan anlatacağım Denyo Launch Wizard ile otomatik yaptırmanızı öneririz. (yani ewet aslinda bunlar DL ile otomatik yapılabiliyor, kasışa gerek yok ama programı etkili kullanabilmek için mantığını bilmek zorundasınız.)
gelelim değişkenlere...
Değişkenler:
Değişkenleri ezberlemenize gerek yok, zaten yarattığınız Key'e değer girerken size kullanabiliceğiniz değişkenlerin bir listesi çıkacaktır.
Değişkenler Hakkında Daha derin Bilgiler:
Değişkenlerin başına ve sonuna istediğinizi ekliyebilirsiniz. mesela yaratılan kullanıcılarının adının Denyo15, Denyo20, Denyo40 gibi aynı formatta olmasını istiyorsanız username bölümüne Denyo%randomnumber100% yazmanız yeticektir.
yada 3 harfli random text istiyosanız: %randomletter%%randomletter%%randomletter%
Yada 500 ile 600 arasında bir rastgele sayı girdirmek istiyorsanız yazmanız gereken şu :
5%randomnumber10%%randomnumber10%
Bu şekilde kafayı kullanıp değişkenlere her şekli vermeniz mümkün.
Değişkenleri script adresi yada cookie bölümündede kullanabilirsiniz.
Denyo Launch Wizard Kullanımı:
Dökümanın başında anlattığımız HTML kodları yada frontpage ile uğraşmak tabi ki çok zaman alıyor bunun için size ayarları otomatik çeken bir teknoloji sunuyoruz. Attack tabında wizard tuşuna basın. mesaj flooodu mu yapmak istiosunuz? girin istediniz siteye bi mesaj atın.
Yolla buttonuna bastığınız anda ayarlar yapılmış olarak attack tab penceresine geri döneceksiniz. Encripted content taşıyan bazı forum ve web scriptlerde bu işleri yine onceden anlattığım gibi source code ile kendiniz yapmanız gerekir. Denyo Wizard sadece basit saldırılarda size form ayarları ile uğraşmadan zaman kazandıran bir kolaylık. yani saldırı için bunu kullanmaya mecbur değiliz...
Custom StringList Kullanımı:
Programda oluşturduğunuz string listleri programın içinde %rndcustomstring1% gibi kullanırsanız listedeki stringlerin rastgele herhangi biri yerine geçecekir. bunu bir foruma yada guestbooka anlamsız yazılar yerine bi sürü anlamlı yazı basmak için kullanabilirsiniz.
Dökümanın bu bölümünden sonrası daha komplike saldırılar için hazırlanmıştır. Programa biraz daha aşina olduktan sonra devam etmenizi öneririm.
Basit Saldırı Teknikleri...
Eğer saldırmak istediğiniz sitenin script definitionu tahribat.com da bulunmuyorsa sizin yaratıp save etmeniz gerekicektir, kafayı çalıştırıp bir sürü saldırı tekniği bulabilirsiniz. Mesela Forget password bölümünden Milyonlarca defa adminin mailine sifresini yollatabilirsiniz, Böylece hem sitesi yavaşlicak hemde son derece hızlı bi şekilde kendi serverindan mail bomba maruz kalacaktır.
Fakat amacınız site kitlemekse, sitenin arama motorunu hedef almanızı tavsiye ederim, search olayı sitede yapılabilicek en yawaşlatıcı şeylerden biridir, tabi 1 tek search ile bunu farketmeyiz ama 5000 mesajlık forumda bi karakteri saniyede 50 kere arattığınızda diyil o site... bütün hostu kitleyebilirsiniz...
Auto Email Confirmation Kullanımı:
Mail confirmation gerektiren üyelik sistemlerini atlatmak içindir. Üyelik adresiniz olarak %confirmingemail% yazdığınız anda confirmation mailleri direkt olarak Denyo Launcha gelmeye başlar. DL de bunları teker teker onaylar. Mail confirmation tabinda activate şeysine check attığınız anda bu servis çalışmaya başlayacaktır.
sisteminizde bir mail server programı yüklü ise yada IIS nin mail serverı aktif ise bu servisi kullanamazsınız.
Multi Denyo Launch Attack Kullanımı:
Denyo Launchdaki en pro özelliklerden biri, Mesela bir forum var, registration form doldurdunuz mesaj çekiosunuz, ama o da ne? forumun spam koruması var, aynı kullanıcı 5 mesaji arka arkaya atınca 20 dakka mesaj atamıyorsunuz.
İşte Bütün bu koşullardan daha acıklı ve daha korkunç durumlarda bile sizi Denyo Launchın birden fazla kopyasının birbiri ile interprocess communication kurması kurtarıyor! Böyle güç durumlarda bile Karizmanızın %100 garantisi olan Tahribat.com - Denyo Launch Programı açık olan kopyaları arasında iletişimi şöyle sağlıyor.
üç adet Denyo Launch açıyoruz. birine registration form değerlerini diğerine ise login sayfasındaki değerleri giriyoruz, en sonuncusunada Post New Topic değerlerini dolduruyoruz.
Şimdi registration forma saldırdığımız Denyo Launch penceresinde username yazılan yere %postglobalrandomstring1% yazıyoruz, login olunan Denyo Launch Penceresinde ise login username olarak %getglobalrandomstring1% yazıyoruz. aynını post a da yapıyoruz. bu defa registrationa %postglobalrandomstring2% Logine de %getglobalrandomstring2% yazıyoruz.
Sonuç, Aktif olan Denyo Launchlar birbiriyle işbirliği yaparak forumda 100lerce kullanici aciyor. bizde 3. ile bombalıyoruz. ve hep farkli userlar mesaj attığı için accountlarımız asla 3-4 mesajdan sonra kitlenmiyo.
Hatta ve hatta Forum bide bunun üstüne IPyi kontrol ediyorsa (Ki dünya üzerinde bu kadar güvenliğin bi arada olduğu bi forum olduğunu hiç sanmıyorum) yine dert değil, kendimize bir proxy listesi oluşturup paso değişik IPlerden saydırabiliriz. Bunu Proxy adreslerini bir custom stringliste yükliyerek "Server / IP" bölümüne %rndcustomstring1% gibi yazarak hallediyoruz.
Proxy Server Kullanma:
IP/Host bölümüne kendi hostunuz yerine proxy server adresini ve portunu girip aşşağıyada script adresini yazarsanız Denyo Launch buranın proxy olduğunu kendi anliycaktır. Custom String Listler proxyler içinde geçerlidir, yani bir custom stringliste birsürü proxy adresi ve portu dizerseniz (proxyipsiort formatinda) ve IP bölümüne %rndcustomstring2% yazarsanız, eğer proxy adresleriniz geçerliyse her mesajı farklı IPden attırabilirsiniz. böylece size hiçbir koruma sökmez.
Script Definition'u test etme:
Tek yapmanız gereken test tuşuna basmak, bu tuş size bir tek registration yaratılmasını sağlar, sonra forumun member listesine bakarak istediğiniz gibi bir kullanıcı yaratılmışmı diye bakarsınz. yok işe yaramamışsa büyük ihtimalle sorun girdiğiniz eksik yada yanlış bir form değerinden kaynaklanmaktadır.
Ayrıca registration formun HTML kodundaki gibi gizli değerler de registrationda rol oynuyor olabilir. bu olay zaten ASP, PHP, PERL gibi dilleri bilenlerin kafasını karıştırmicaktır. hidden inputlar aynen gizli görünmeyen bir edit gibi çalışır.(hatta oyledir bi anlamda)
Bütün bu işlemlerden sonra script definitionunuz sorunsuz çalışıyorsa sizede tek iş save edip bi köşeye koymanız kalıyor. böylece her defasında frontpage falan açıp uğraşmanız gerekmicek. Aynı işlemler guestbookda, Forumun Reply etmek icin olan formundada yapılabilir.
Yeni Özellikler:
Denyo Launcha en son eklenen özellikler:
Delay Between Each Post : Denyo Launch'ın yolladığı iki form verisi arasındaki milisaniye cinsinden zaman aralığı, Varsayılan değeri 0 dır, siz bu değeri arttırdıkça Denyo daha yavaş çalışacaktır, fakat ardarda mesaj atan kullanıcıları banlayan bazı scriptleri aşmak için bunu yükseltmeniz gerekebilir.
Mesela bir site var, bir user dakikada 10 mesajdan fazla atarsa flood olduğunu anlayıp kullanıcıya ban koyuyor, o zaman denyoyu 60/10 = 6 şar saniye aralıklarla çalıştırmak için bu bölüme 6000 yazın (milisaniye cinsinden yazmanız gerekiyor) Böylece script sizi banlamicak, eğer çok yavaş diyorsanız 10 tane kullanıcı hesabı ile giris yapip 10 tane denyo launch çalıştırın, aynı hesaba gelecektir, roket gibi bir saldırı...
Cookie Viewer : Denyo Launch'ın Attack tabından ulaşabileceğiniz bu faydalı araç ile PCnizdeki cookieleri görebilirsiniz. Saldırılar sırasında cookieler önemli rol oyniyacaktır, Nightmare editiondaki Denyo Wizard sizin için cookie ayarlarını otomatik yapmaktadır.
Request Viewer : Diyelim ki bi site için saldırı scriptinizi hazırladınız. bu saldırı scripti ile üye açmayı planlıyorsunuz diyelim. Bunu test etmek için options'dan "Display Server Replys" seçeneğini aktif hale getirip test tuşuna bastığınızda, çıktısını konsol ekranında sağdaki panelde görebilirsiniz. ("Display Server Replys" seçeneğini sadece test amaçlı kullanın, eğer serverdan cevap beklerseniz saldırı çok yavaş ve etkisiz olacaktır. işiniz bittiğinde bu seçeneği kapatmayı unutmayın.) Bu panelden dilerseniz gelen yanıttaki html sayfasının kodunu görebilir yada çift tıklayarak explorer içinde görebilirsiniz..
DOS(Denial Of Services) ve DDOS(Distributed Denial Of Services) Atakları
Konu başlıkları
DoS atakları Nedir?
DDoS atakları Nedir?
DoS Ataklarının Türleri?
DoS Atakları için kullanılan programlar?
DDoS Atakları için kullanılan programlar?
DoS atakları Nedir?
DoS yani açılımı Denial of Sevice olan bu saldırı çeşidi bir hizmet aksatma yöntemidir.Bir kişinin bir sisteme düzenli veya arka arkaya yaptığı saldırılar sonucunda hedef sistemin kimseye hizmet veremez hale gelmesi veya o sisteme ait tüm kaynakların tüketimini amaçlayan bir saldırı çeşididir.Birçok Yöntemle Hizmet aksatma saldırıları gerçekleştirilebilir.
Genellikle kullanılan yöntemler üç sınıf altında toplanabilir.
Bant Genişliğine Yönelik Ataklar
Protokol Atakları
Mantıksal Ataklar.
DDoS atakları Nedir?
Bir saldırgan daha önceden tasarladığı BİR ÇOK makine üzerinden hedef bilgisayara saldırı yaparak hedef sistemin kimseye hizmet veremez hale gelmesini amaçlayan bir saldırı çeşididir. Koordineli olarak yapılan bu işlem hem saldırının boyutunu artırır hem de saldırıyı yapan kişinin gizlenmesini sağlar. Bu işlemleri yapan araçlara Zombi denir.
Bu saldırı çeşidinde saldırganı bulmak zorlaşır. Çünkü saldırının merkezinde bulunan saldırgan aslında saldırıya katılmaz. Sadece diğer ip numaralarını yönlendirir.Eğer saldırı bir tek ip adresinden yapılırsa bir Firewall bunu rahatlıkla engelliyebilir. Fakat saldırı daha yüksek sayıdaki ip adresinden gelmesi Firewall un devre dışı kalmasını sağlar(Log taşması firewall servislerini durdurur).İşte bu özelliği onu DoS sadırısından ayıran en önemli özelliğidir.
DoS Ataklarının Türleri?
Service Overloading: Bu atak tipi belirli host ve servisleri düşürmek için kullanılır. Atak yapan kişi özel port ve host a bir çok ICMP paketi gönderir.Bu olay network monitör ile kolayca anlaşılır
Message flooding: Service Overloading den farkı sistemin normal çalışmasını engellemez. Yine aynı şekilde gönderilen paketler bu sefer normal olarak algılanır. Örnek Nis serverında flood yapılırsa (Unix network) Nis bunu şifre şifre isteği gibi görür. Ve saldırganın host a hükmetmesi sağlanır.
Clogging: Saldırganın SYN gönderip ACK alıp ondan sonrada gelen ACK ya cevap vermeyip sürekli syn göndermesinden oluşur. Bu durum defalarca kez tekrarlanırsa server artık cevap veremez hale gelir. Bu paketler sahte ip ile gönderildiğinden sistem bunu anlayamaz ve hizmeti keser. Anlasa ne olur, anlasa aynı ip den gelen o kadar istege cevap vermez. Kurtuluş yolu bunları tarayan firewall lardır.
DoS Atakları için kullanılan programlar?
Ping Of Death
Bir saldırgan hedef aldığı bir makineye büyük ping paketleri gönderir. Birçok işletim sistemi gelen bu maksimum derecede paketleri anlayamaz, cevap vermez duruma gelir ve işletim sistemi ya ağdan düşer ya da çöker.
SSPing
SSPing bir DoS aracıdır.SSPing programı hedef sisteme yüksek miktarda ICMP veri paketleri gönderir. İşletim sistemi bu aldığı data paketlerini birbirinden ayırmaya çalışır.Sonuç olarak bir hafıza taşması yaşar ve hizmet vermeyi durdurur.
Land Exploit
Land Exploit bir DoS atak programıdır. TCP SYN paketiyle hedef sisteme saldırıdır. Saldırı aynı port numarasına sürekli olarak yapılır. Land Expoit aynı kaynak ve hedef portları kullanarak SYN paketleri gönderir.
Bir Çok Makine bu kadar yüklenmeyi kaldıramayacağı için Buffer overflow yaşar ve hiçbir bağlantıyı kabul edemeyecek duruma gelir.
Smurf
Smurf broadcast adreslere ICMP paketleri gönderen bir DoS Saldırı programıdır.Saldırgan ICMP echo istekleri yapan kaynak adresi değiştirerek ip broadcast a gönderir. Bu broadcast network üzerindeki her makinenin bu istekleri almasına ve her makinenin bu sahte ipli adrese cevap vermesini sağlar.Bu sayede yüksek seviyede network trafiği yaşanır. Sonuç olarak bir DoS saldırısı gerçekleşmiş olur.
Bir TCP bağlantısının başında istekte bulunan uygulama SYN paketi gönderir. Buna cevaben alıcı site SYN-ACK paketi göndererek isteği aldığını teyit eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alıcı site bunları biriktirir ve periyodik olarak göndermeye çalışır.
Zombilerde kullanılarak, kurban siteye dönüş adresi kullanımda olmayan bir IP numarası olan çok fazla sayıda SYN paketi gönderilirse hedef sistem SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim kuyrukların dolup taşmasına sebep olur ve hedef sistem normal kullanıcılarına hizmet verememeye başlar.
WinNuke
WinNuke programı hedef sistemin 139 nolu portuna “out of band” adı verilen verileri gönderir. Hedef bunları tanımlayamaz ve sistem kilitlenir.
KullanımıWNUKE4 -c XXX.com 10000 0 450
(hedefe 10,000 adet 450 byte lık icmp paketleri gönderir.)
WNUKE4 -n XXX.com 0 1024-2024 6667-6668 UNPORT
Jolt2
Jolt2 kendisini farklı segmentte bulunuyormuş izlenimi vererek NT/2000 makinelere DoS atak yapabilen bir programdır. İllegal paketler göndererek hedefin işlemcisini %100 çalıştırıp kilitlenmesine yol açar.
c: \> jolt2 1.2.3.4 -p 80 4.5.6.7
Komut satırında görülen, 1.2.3.4 ip numarası saldırganın spoof edilmiş adresidir. Hedef adresin 4.5.6.7 80 nolu portuna saldırı yapar.
CPU kaynaklarını tamamını harcar ve sistemi aksatır.
Bubonic.c
Bubonic.c Windows 2000 makineleri üzerinde DoS exploit lerinden faydalanarak çalışan bir programdır.
Hedefe düzenli olarak TCP paketlerini gönderir.
c: \> bubonic 12.23.23.2 10.0.0.1 100
Targa
Targa 8 farklı modül içinde saldırı yapabilen bir Denial of Service Programıdır.
DDoS Atakları için kullanılan programlar?
1.Trinoo
2.TFN
3.Stacheldraht
4.Shaft
5.TFN2K
6.mstream
DDOS – Saldırı Yöntemi
Tüm DDoS programları iki safhada çalışır.
Mass-intrusion Phase – Bu safhada DoS saldırısı yapacak olan sistemlere ulaşılır ve saldırıyı gerçekleştirecek olan programlar yüklenir. Bunlar birincil kurbanlardır.
DDoS Attack Phase – Bu safhada hedef sitelere saldırı yapılır bunun içinde birincil kurbanlar kullanılarak hedefe yüklenilir.
Trinoo
Trinoo DDoS yöntemini kullanan ilk programdır.
Kullandığı TCP Portları:
Attacker to master: 27665/tcp
Master to daemon: 27444/udp
Daemon to master: 31335/udp
TFN2K
Zombilerin yüklendiği makineler listening modda çalışır. Her an karşıdan gelecek komutlara hazırdır.
Running the server
#td
Running the client
#tn -h 23.4.56.4 -c8 -i 56.3.4.5 bu komut 23.4.56.4 nolu ipden 56.3.4.5 nolu ip ye saldırı başlatır.
Stacheldraht
TFN ve Trinoo gibi çalışır fakat modüllerine paketleri kriptolu gönderebilir.
Kullandığı portlar TCP ve ICMP
Client to Handler: 16660 TCP
Handler to and from agents: 65000 ICMP[/b]
BOTNET (BOT NETWORK)
Yönetenler ve Yönetilenler
IRC(Internet Relay Chat) sadece kişilerin bir araya toplanıp konuştukları iletişim ağları konumundan çıkıp Bilgisayarların kontrollerinin sağlandığı
ortam olarak ön plana çıkmaya başladı. Bot, genel olarak IRC ortamlarında kullanılan bir terim. Bot, kendisine tanımlanan komutları belirli bir
çerçevede gerçekleştiren bir programdır. Böylece IRC ortamındaki kanallar, botlar vasıtasıyla kontrolü sağlanır.
Son zamanlarda Bot kavramı daha çok saldırı amaçlı kullanılan sistemler için kullanılmaya başlandı. Bu tür bilgisayarların çoğunluğunu internet
kullanıcılarına ait sistemler oluşturmaktadır. Bir internet kullanıcısının sisteminde kurulu olan Windows işletim sisteminde güncel yamalar kurulu
değil ise bu sistemin uzaktan kontrolü kaçınılmaz olur. Uzaktan kontrolu sağlayıp, belirli bir IRC ağına bağlanıp bir kanalda toplanmasını sağlayan
çeşitli tehlikeli uygulamalar vardır. Bu tür tehlikeli programcıkların çoğu güncel sistem açıklarını bünyesinde bulundurur ve tarama modu ile
IP(Internet Protocol) adreslerine göre tarama gerçekleştirirler.
Amaç
BotNet sahibi bir saldırgan aynı anda 4-5 bilgisayarı kontrol edebileceği gibi binlerce bilgisayarıda kontrol edebilir.
Tehlikeli botların kullanım amaçları:
DDoS şeklinde saldırılar gerçekleştirme ,SPAM ve kullanıcıların bilgisayarlarını etkileyecek zararlı programları dağıtmak ,Network trafiğini
kontrol etme(sniffer) …
Bir çatı altına toplanmış sistemler(kullanıcının haberi olmadan sisteme sızan tehlikeli yazılım[bot] sistemi bir IRC sunucusuna bağlar) genellikle
başka bir sisteme saldırı amacıyla kullanılır. Güvenlik açığı olan bir sistem(güncel yamalardan yoksun) internet ortamına girdiğinde başka bir makine
tarafından algılandığında(bu işlemi Bot yazılımının otomatik IP tarama fonksiyonu gerçekleştirir) sistem kullanıcının haberi olmadan kontrol altına alınır.
Böylece bot ve güvenlik açıkları olan sistemler arasında bir diyalog başlar. Hepsinin koordinasyonunu sağlayan, Bot yazılımını düzenleyip IRC ortamında
toplanmasını ayarlayan kişidir. BOTNET üzerinde araştırma yaparken dikkatimi çeken bazı noktalar oldu.
Özellikle bazı sunucuların botlar için ayarlandığını gördüm. Yani; Bot, güvenlik açığı tespit ettiği sisteme atak yaparak sistemin bir sunucudan
dosya(bu bot yada başka zararlı dosya olabilir) çekip otomatik olarak çalışmasını sağlar. Bu sunucu, bu işin gerçekleşmesi için daha önceden ayarlanmıştır..
Bot Avı
Güncel yamaları barındırmayan işletim sistemi ,Anti-Virus ve Firewall yazılımı kullanmayan kullanıcıların büyük çoğunluğu çeşitli saldırılara maruz kalır
ve Virüs/Trojan/Solucan tehlikeleriyle baş başa kalırlar(her ne kadar anti-virüs yazılımı kullanılsa da gerekli güncellemeler yapılmazsa tehlike kapıdadır).
Uzaktan kontrol sağlayan bu botlar nelerdir?
Ne tür etkileri vardır?
IRC üzerinden makineler nasıl kontrol edilir?
Bu tür sorulara yanıtını vermeden önce tehlikeli olan bu botları nasıl tespit ettiğimi belirteyim.
Bunun için modemde gerekli ayarlar yaptığımı belirtmem gerekir. Gerekli ayarlar port yönlendirme ve Firewall kısmında bulunmaktadır.
Atak yapılan portların başında 139. / 135. / 445. portlar gelmektedir. Bir çok saldırı bu port üzerine gerçekleşmekte.
Modem üzerinde bu portlara ilişkin ayarlar yapıldıktan sonra, Portları uygun şekilde ayarlanan honeypot sisteme yönlendirdim.
Takip
IRC ağına bağlanarak bir BOTNET bünyesine katılan bir sistemin işleyişinde yavaşlama meydana gelme olasılığı çoktur. Sistemin yavaşlamasında
en büyük rolü, otomatik ip tarama işlemi esnasında gerçekleşir. BOTNET kurallarını kabul eden bir bilgisayar, yerel ağın(LAN) bir parçası ise
sistemde bulunan bu tehlikeli bot yerel ağıda etkileyecektir(Tara --> Güvenlik açığı varsa ne türde bir açık var? --> BOTNET).
Bu nedenle yerel ağdaki dosya paylaşımlarına dikkat etmek gerekir. Yerel ağda zayıf şifre politikası, botlar için mükemmel bir seçimdir.
Saldırganlar sistemleri neden IRC üzerinden kontrol yolunu seçerler?
• Rahat bağlantı
• Kolay yönetim
Saldırganın BOTNETine katılan makine uzaktan kolay kontrol edileceği için bu sistem üzerinde çalışan kullanıcı kolay takip edilebilir. Kullanıcı
hangi dosya üzerinde çalışıyor, kullanıcıya ait şifrelerin alınması gibi işlemlerde gerçekleştirebilir. Ayrıca saldırgan, bilgisayarın teknik özelliklerini
tek bir komutla öğrenebilir. Bir çok kullanıcı, bilgisayarlarının bir BotNetin parçası olduğunun farkına değil. Bilgisayar sahipleri çoğunlukla güncel
yamalardan habersiz internete bağlanır ve sistemine entegre olan bir bot vasıtasıyla kontrolün başkasında olduğundan habersiz işlemlerini
gerçekleştirmeye çalışır. Sisteme ilişkin yeni bir güvenlik açığı ortaya çıktıktan sonra bu istismarı kullanan bir botta internette kurban aramaya çıkar.
Botların kullanım şekilleri birbirine çok benzer. Sistem, IRC ağına bağlanıp kanala girdiğinde(bu kanal genellikle şifrelidir) komutlarla yönetilir.
Bu botlarda komutlar birbirine çok yakındır.
Örneğin:
.login $iFRe
[MAIN]: Password accepted.
.capture screen C:\ekran.jpg
[CAPTURE]: Screen capture saved to: C:\ekran.jpg.
.execute 1 notepad.exe
[SHELL]: File opened: notepad.exe
.netinfo
[NETINFO]: [Type]: LAN (LAN Connection). [IP Address]: 192.168.1.32. [Hostname]: herakleia.localhost.
Botların yayılması için kullanılan bazı portlar:
Plug'n'Play - TCP/445, TCP/139
RPC-DCOM - TCP/135, TCP/445, TCP/1025
LSASS - TCP/445
Arkeia - TCP/617
Veritas - TCP/6101
Veritas - TCP/10000
WINS - TCP/42
Arcserve - TCP/41523
NetBackup - TCP/13701
WebDaV - TCP/80
DameWare - TCP/6129
MyDoom-Backdoor - TCP/3127
Bagle-Backdoor - TCP/2745
IIS 5.x SSL - TCP/443
Sistemi tehlikeye düşüren ve botların kullandığı güvenlik açıklarına ilişkin bazı güvenlik yamaları:
MS03-007 {Unchecked Buffer In Windows Component Could Cause Server Compromise}
http://www.microsoft.com/technet/sec.../MS03-007.mspx
MS03-026 {Buffer Overrun In RPC Interface Could Allow Code Execution}
Microsoft Security Bulletin MS03-026
MS04-011 {Security Update for Microsoft Windows}
Microsoft Security Bulletin MS04-011: Security Update for Microsoft Windows (835732)
MS04-045 { Vulnerability in WINS Could Allow Remote Code Execution}
Microsoft Security Bulletin MS04-045: Vulnerability in WINS Could Allow Remote Code Execution (870763)
MS01-059 {Unchecked Buffer in Universal Plug and Play can Lead to System Compromise}
Microsoft Security Bulletin MS01-059
Çeşitli portlara yapılan atakları izlemeye aldığımda, yapılan bu atakların çoğu güncel sistem açıklarını barındıran botların oluşturduğu saldırılardır.
Bazı botlar sistemde çeşitli servisleri açtıktan sonra(ftp, http, tftp) güvenlik açıklarını tespit ettikleri sisteme bu servisler aracılığı dosyayı
aktarır..
Sonuç
BOTNET kontrolünü sağlan bir saldırgan aynı anda bilgisayarları kontrol ederek istediği internet adresine DDoS saldırısı gerçekleştirebilmektedir.
BOTNET sahipleri kendi aralarında yada çeşitli kişilere para karşılığında makinelerin toplandığı kanalları kiralayabilir. Hatta kullandığı tehlikeli bot
programını bir ücret karşılığında satma yolunu tercih etmektedir.
Dikkat edilmesi gereken husular:
- Antivirüs kullanın. Kullandığınız antivirüs yazılımını güncellemeyi unutmayın.
- E-Posta ile gelen dosyalara devamlı şüphe ile yaklaşın. Dosya uzantısı .pif, .scr, .bat , .exe , .zip , .rar ise dikkatli olun(tanıdığınızdan gelen bir dosya
olsa dahi şüpheden vazgeçmeyin).
- IRC ortamında sohbet ederken dikkatli olun. Bu sohbet ortamında size verilen internet adreslerine girmeyin(bu adresler genellikle otomatik olarak
IRCde kişilere gönderilir).
- Dosya paylaşım programı(p2p) kullanarak bilgisayarınıza çektiğiniz dosyalara dikkat edin.
Son olarak dikkat etmeniz gereken nokta;
Klasör seçeneklerindeki Görünüm bölümünde bulunan “Bilinen dosya türleri için uzantıları gizle” seçeneği aktif olmasın. Böylece dosya uzantılarını
görürsünüz. Bu da sizin ne tür dosyalarla uğraştığınızı anlamınıza yardımcı olur. E-Posta ile gelen dosya .doc gibi görünür ama gerçekte
“Belge.doc .exe” olabilir.
|
