Truva atları sık sık, hedeflenen sistemlere yönelik Dağıtılmış Hizmet Reddi (DDoS) saldırılarını başlatmak için kullanılır, ancak bir DDoS saldırısı nedir ve nasıl yapılır?
En temel seviyesinde, Dağıtılmış Hizmet Reddi (DDoS) saldırısı, hedef sistemden gelen verileri veriyle karşı karşıya getirir, böylece hedef sistemden gelen yanıt yavaşlatılır veya tamamen durdurulur. Gerekli miktarda trafik oluşturmak için, bir zombi ağı veya bot bilgisayarları ağı sıklıkla kullanılır.
Zombiler veya botnet'ler, saldırganlar tarafından tehlikeye atılan, genellikle Truva atlarının kullanımı yoluyla ele geçirilen bilgisayarlardır ve bu risk altındaki sistemlerin uzaktan kontrol edilmesine izin verir. Toplu olarak, bu sistemler bir DDoS saldırısı oluşturmak için gerekli olan yüksek trafik akışını oluşturmak için manipüle edilir.
Bu botnet'lerin kullanımı genellikle saldırganlar arasında açık artırma ve alım satım işlemlerine tabi tutulmakta, dolayısıyla da tehlikeye girmiş bir sistem birden fazla suçlunun kontrolü altında olabilir - her biri farklı bir amaç doğrultusunda. Bazı saldırganlar botnet'i bir spam-röle olarak kullanabilirler, diğerleri kötü amaçlı kod için bir indirme sitesi olarak hareket edebilirler, bazıları da kimlik avı dolandırıcılığını ve diğerleri için yukarıda belirtilen DDoS saldırılarını barındırırlar.
Dağıtılmış Hizmet Reddi saldırısını kolaylaştırmak için çeşitli teknikler kullanılabilir. Daha yaygın olan iki tanesi, HTTP GET istekleri ve SYN Flood'larıdır. Bir HTTP GET saldırısının en kötü şöhretli örneklerinden biri, SCO.com web sitesini hedefleyen MyDoom solucusundan geldi. GET saldırısı isminden de anlaşılacağı gibi çalışır - belirli bir sayfa için (genellikle ana sayfa) hedef sunucuya bir istek gönderir. MyDoom solucanı durumunda, her enfekte sistemden her saniye 64 istek gönderildi. MyDoom tarafından enfekte olduğu tahmin edilen onbinlerce bilgisayarla, saldırı birkaç günlüğüne çevrimdışı olarak çalınarak SCO.com'a karşı çok hızlı bir şekilde kanıtladı.
Bir SYN Flood temelde iptal edilmiş bir el sıkışmadır. İnternet iletişimi üç yönlü bir el sıkışma kullanıyor. Başlayan istemci bir SYN ile başlatır, sunucu bir SYN-ACK ile yanıt verir ve istemcinin bir ACK ile yanıt vermesi beklenir. Sahte IP adreslerini kullanarak, bir saldırgan SYN-ACK'nin istekte olmayan (ve genellikle mevcut olmayan) bir adrese gönderilmesini sağlayan SYN'yi gönderir. Sunucu daha sonra boşuna ACK yanıtını bekler. Bu iptal edilen SYN paketlerinin büyük sayıları bir hedefe gönderildiğinde, sunucu kaynakları tükenir ve sunucu SYN Flood DDoS'a geri döner.
UDP Fragman Saldırıları, ICMP Taşkınları ve Ölüm Ping'i de dahil olmak üzere çeşitli DDoS saldırıları başlatılabilir. DDoS saldırılarının türleri hakkında daha fazla bilgi için, Gelişmiş Ağ Yönetim Laboratuvarı'nı (ANML) ziyaret edin ve Dağıtılmış Hizmet Reddi Saldırıları (DDoS) Kaynaklarını inceleyin.
Ayrıca bakınız: PC'niz zombi mi?