Nping Kullanarak TCP Connection Flood DoS/DDoS Testleri

TCP tabanlı DoS saldırılar genelde aşağıdaki alt başlıklarda incelenir:

  • SYN Flood
  • ACK Flood
  • FIN Flood
  • RST Flood
  • Connection flood 

tüm bu başlıklarda(son satır hariç) saldırgan sahte ip adresleri kullanarak hedef sisteme paketler gönderir. Amaç hedef sistemin kapasitesini zorlamak ve daha fazla paket alamamasını sağlamaktır.

SYN flood haric diğer TCP bayrakları kullanılarak gerçekleştirilecek flood saldırılarının güvenlik sistemleri üzerinde etkisi yok denecek kadar azdır. SYN flood saldırılarından syn cookie ve syn proxy kullanılarak rahatlıkla korunulabilmektedir.
 TCP güvenilir bir protokol olması nedeniyle internet üzerinden IP spoofinge açık değildir. Bu nedenle Hping, scapy gibi araçlar kullanılarak gerçekleştirilecek saldırılarda üçlü el sıkışma sahte ip adreslerinden tamamlanamaz ve connection flood saldırıları gerçekleştirilemez.

TCP connection flood saldırıları/testleri hedef sistemin oturum limitlerini ölçmek/görmek için kullanılabilir.

nping –tcp-connect 4.27.0.3 -p 80 –rate 5000 -c 100000000 

yukardaki komutla eş zamanlı 5000 TCP bağlantısı isteği gönderilmekte ve eğer rate limiting sistemi yoksa çok kısa sürede hedef sistemin oturum limitlerini doldurabilmektedir(SYN cookie vs olsa dahi)

Diğer yazılımlar gibi Nping de sahte ip adreslerinden Botnet simulasyonu yapamadığı için tam manasıyla bir DDoS değil, DoS olmaktadır. Yerel ağda lab ortamında gerçekleştirilecek testlerde kurban sistemin varsayılan ağ geçidi attacker sistemi olarak ayarlanabilirse istenilen türde atak için Botnet simulasyonu yapılabilir (HTTP GET/POST Flood vs). Netstress yeni sürümüyle sahte ip adreslerinden uygulama seviyesi DDoS saldırılarını yerel ağda test ortamlarında simule edebilmektedir.