July 29, 2013

Whois Servisine DDos/Yük Test Aracı

İnternette ufak bir gezinti yaparken dikkatimi çeken Gökhan ALKAN beyin paylaşmış olduğu güzel bir makaleyi sizlere sunuyorum

Servis dışı bırakma saldırıları günümüzde oldukça fazla gerçekleştirilen ve etkisi yüksek olan saldırı türüdür. Bu saldırı sonucunda ise muhtemel olarak kaynakların tüketilmesi sonucunda hedef sistemin servisi dışı kalması ile sonlanmaktadır.

Gerçekleştirilen saldırılar genellikle HTTP ve DNS protokollerini hedef almaktadır. Ancak bunun yanında gerçekleştirilmesi muhtemelen farklı DoS saldırı türleri de bulunmaktadır. İşte bu noktada whois sunucular saldırıya açık hale gelmektedir. Bu yazıda saldırı amacından ziyade Whois servisine yönelik yük testi gerçekleştirilmesi amaçlanmaktadır.

Genellikle yük testi/DoS saldırıları için hping, mz, jmeter, ab gibi araçlar kullanılmaktadır. Ancak bilindik yazılımlar whois sunucularına yönelik yük testlerinde yetersiz kalabilmektedir. Bu noktada whois_ddos.pyadresinden temin edilecek yazılım ile bu yük testi/saldırı gerçekleştirilebilmektedir. Yazılım temin edildikten sonra aşağıda belirtilen parametreler ile kullanılabilmektedir.

# ./whois_ddos.py -h whois.nicproxy.com test.net 20
0 : thread is started ...
1 : thread is started ...
2 : thread is started ...
3 : thread is started ...
4 : thread is started ...
5 : thread is started ...
6 : thread is started ...
7 : thread is started ...
8 : thread is started ...
9 : thread is started ...
10 : thread is started ...
11 : thread is started ...
12 : thread is started ...
13 : thread is started ...
14 : thread is started ...
15 : thread is started ...
16 : thread is started ...
17 : thread is started ...
18 : thread is started ...
19 : thread is started ...

Yazılım 3 adet parametre almaktadır:

  1. parametre sorgulamanın gerçekleştirileceği whois sunucusunu,
  2. parametre sorgulanacak domain adını ve son parametre kaç adet thread açılacağının belirtmektedir.

dipnot: kendimde bu exploiti 2-3 sitede ufakda olsa deneme fırsatı buldum exploitin yaklaşık 2 ay önce bulunmuş olmasına rağmen gerçekten çalışıyor olması ve bazı sistemlerde bu sorunların devam etmesi gerçekten ilginç