Öncelikle forumunuzu uzun zamandır duyuyordum ama kayıt olmak anca nasıp oldu. Burda acılan konuların ve rahatsızlıkların genelde tek bır baslıkta bırlestıgını gordum 
Syn-flood’un ne oldugu yada nasıl yapıldıgını anlatmam yersız olucaktır, zira forumda bunla ılgılı hemen hemen bırbırıne yakın yeterınce başlık bulunmakta… Ben size syn-flood ların genelde 2 türlü yapıldıgından bahsedeyim bunlardan biri, kişisel bilgisayarlardan yada sunuculardan *p**t yada türevi programlar yardımı ıle, bir diğeri ise sunuculara, kısısel bilgisayarlara izinsiz yerleştirilen programlar sayesınde (ki biz bunu genelde botnet saldırıları olarak adlandırıyoruz) yapılmaktadır.
Botnet fazla yaygın olmamakla bırlıkte (en azından daha tefarruatlı ve bırıkım gerektıren bır yontem oldugundan) sayılı bır kesmın sahıp oldugu bır guctur. Genelde bu tarz saldırılar zombilerin sayıları ıle dogru orantılı olarak 100,1000 ve hatta 10 bınlerce farkli ip uzerınden gelen saldırılar oldugu için bu saldırıları tamamen korunabilmek ne yazıkki software lerle çok mumkun olmamaktadır. Bunlar için daha çok hardware firewallar tercıh edılmekte fakat bunlarında fıyatları neredeyse kıralanan sunucularla eşdeğer oldugundan kullanan birey yada kurumlar için extra bir malıyet oldugundan tercih edilmemektedir.
Yazıyı fazla uzatıp sizleri sıkmak yerine artık konuya geleyim yavas yavas Yukarıda bahsedılen ıkı yontemden bırını software yazılımlarla engelleyebılmek mumkun dıgerını ıse guclu bır makına ıle tam olarak durulamasa bile en azından alınan hasarı min. a indirebilmekde çok zor değil..
Sunucularıma artan syn-flood saldırıları ıcın birkaç ay önce kabuk programlama ile yazılmıs olan (d)dos-deflate scrıptınden yola cıkarak , işlevini normal istekler değilde syn-flood lar için düzenlediğim ve kurulum paketi haline getirdigim Syn-Flood Guard scrıptını belki bu dertten müzdarip arkadasların işine yarayacıgını tahmın ederek paylasmak ıstedım.
Scriptin özellikleri:
Script kurulumu başlangıç düzeyindeki kullanıcılarda düşünülerek en basite indirgenmiş halde
Script kurulumda kendini crontaba atıp her dk a netstat komutu ıle syn ıstek gonderen ip leri belirliyor.
Belirlenen ipler 10 (default) syn istegini aşıyorsa apf yada iptables yardımı ile sistemden uzaklastırılıyor
Uzaklastırılan ip lerin ne kadar süreyle sisteme girislerinin yasaklanacağı belirlenebiliyor
Uzaklastırılan ip ler loglanarak belirtilen mail adresine gönderilebiliyor.
Script Kurulumu
#wget http://www.hekhell.com/scripts/install.sh
#sh install.sh
Scriptin Sistemden Kaldırılması
#wget http://www.hekhell.com/scripts/uninstall.ddos
#sh uninstall.ddos
Script aslında sadece syn flood icin değil her türlü flood saldırılar için uyarlanabilir ve kullanilabilir. Farklı netstat komutları ıle iplerin farkli baglantı isteklerini degerlendirip loglatabilir ve belirlediginiz deger aşımlarından otomatik sistemden uzaklastırılmasını sağlayabilirsiniz. iyi forumlar...
Syn-flood’un ne oldugu yada nasıl yapıldıgını anlatmam yersız olucaktır, zira forumda bunla ılgılı hemen hemen bırbırıne yakın yeterınce başlık bulunmakta… Ben size syn-flood ların genelde 2 türlü yapıldıgından bahsedeyim bunlardan biri, kişisel bilgisayarlardan yada sunuculardan *p**t yada türevi programlar yardımı ıle, bir diğeri ise sunuculara, kısısel bilgisayarlara izinsiz yerleştirilen programlar sayesınde (ki biz bunu genelde botnet saldırıları olarak adlandırıyoruz) yapılmaktadır.Botnet fazla yaygın olmamakla bırlıkte (en azından daha tefarruatlı ve bırıkım gerektıren bır yontem oldugundan) sayılı bır kesmın sahıp oldugu bır guctur. Genelde bu tarz saldırılar zombilerin sayıları ıle dogru orantılı olarak 100,1000 ve hatta 10 bınlerce farkli ip uzerınden gelen saldırılar oldugu için bu saldırıları tamamen korunabilmek ne yazıkki software lerle çok mumkun olmamaktadır. Bunlar için daha çok hardware firewallar tercıh edılmekte fakat bunlarında fıyatları neredeyse kıralanan sunucularla eşdeğer oldugundan kullanan birey yada kurumlar için extra bir malıyet oldugundan tercih edilmemektedir.
Yazıyı fazla uzatıp sizleri sıkmak yerine artık konuya geleyim yavas yavas
Yukarıda bahsedılen ıkı yontemden bırını software yazılımlarla engelleyebılmek mumkun dıgerını ıse guclu bır makına ıle tam olarak durulamasa bile en azından alınan hasarı min. a indirebilmekde çok zor değil..Sunucularıma artan syn-flood saldırıları ıcın birkaç ay önce kabuk programlama ile yazılmıs olan (d)dos-deflate scrıptınden yola cıkarak , işlevini normal istekler değilde syn-flood lar için düzenlediğim ve kurulum paketi haline getirdigim Syn-Flood Guard scrıptını belki bu dertten müzdarip arkadasların işine yarayacıgını tahmın ederek paylasmak ıstedım.
Scriptin özellikleri:
Script kurulumu başlangıç düzeyindeki kullanıcılarda düşünülerek en basite indirgenmiş halde
Script kurulumda kendini crontaba atıp her dk a netstat komutu ıle syn ıstek gonderen ip leri belirliyor.
Belirlenen ipler 10 (default) syn istegini aşıyorsa apf yada iptables yardımı ile sistemden uzaklastırılıyor
Uzaklastırılan ip lerin ne kadar süreyle sisteme girislerinin yasaklanacağı belirlenebiliyor
Uzaklastırılan ip ler loglanarak belirtilen mail adresine gönderilebiliyor.
Script Kurulumu
#wget http://www.hekhell.com/scripts/install.sh
#sh install.sh
Scriptin Sistemden Kaldırılması
#wget http://www.hekhell.com/scripts/uninstall.ddos
#sh uninstall.ddos
Script aslında sadece syn flood icin değil her türlü flood saldırılar için uyarlanabilir ve kullanilabilir. Farklı netstat komutları ıle iplerin farkli baglantı isteklerini degerlendirip loglatabilir ve belirlediginiz deger aşımlarından otomatik sistemden uzaklastırılmasını sağlayabilirsiniz. iyi forumlar...
