DoS ve DDoS Saldırıları: Temel Kavramlar ve Mücadele Yöntemleri

-

Günümüz dijital dünyasında, kurumların ve bireylerin çevrimiçi hizmetlere kesintisiz erişimi hayati bir önem taşır. Ancak siber saldırganlar, sistemleri çalışamaz hale getirmek için çeşitli yöntemler geliştirmişlerdir. En yaygın ve yıkıcı siber tehditlerden biri olan Hizmet Aksatma (DoS - Denial of Service) saldırılarını, bu saldırıların nasıl çalıştığını ve onlarla nasıl mücadele edileceğini inceleyeceğiz.


1. DoS ve DDoS Nedir?

DoS (Denial of Service), bir sunucuyu, ağı veya web sitesini aşırı trafikle boğarak meşru kullanıcıların sisteme erişimini engellemeyi amaçlayan bir siber saldırı türüdür. Sistem, kapasitesinin üzerinde istek aldığında yavaşlar veya tamamen çöker.

DDoS (Distributed Denial of Service) ise bu saldırının daha gelişmiş bir versiyonudur. Saldırgan, ele geçirdiği (botnet olarak adlandırılan) binlerce veya milyonlarca farklı cihazı kullanarak hedefe eşzamanlı olarak saldırır. Trafik birçok farklı kaynaktan geldiği için DDoS saldırılarını durdurmak, standart DoS saldırılarına göre çok daha zordur.

2. DoS/DDoS Saldırı Türleri

Saldırganlar sistemleri çökertmek için farklı katmanları ve zafiyetleri hedef alırlar. Bu saldırıları üç ana kategoride inceleyebiliriz:

Saldırı KategorisiTemel HedefSık Karşılaşılan Örnekler
Hacim Odaklı (Volumetric)Hedefin bant genişliğini devasa miktarda çöp veri ile doldurarak tüketmek.UDP Flood, ICMP (Ping) Flood, DNS Amplification
Protokol (Protocol)Sunucu kaynaklarını veya yönlendirici, güvenlik duvarı gibi ağ altyapısı cihazlarını tüketmek.SYN Flood, Smurf Attack, Ping of Death
Uygulama Katmanı (Application)Ağın tamamından ziyade belirli bir web uygulamasını veya servisi (örneğin Apache, Windows IIS) yormak.HTTP Flood, Slowloris, DNS Query Flood

Not: Uygulama katmanı saldırıları, çok düşük bir bant genişliği kullanarak bile sistemleri çökertebileceği için tespit edilmesi en zor saldırı türlerindendir. Zira gelen istekler, normal kullanıcı davranışlarına çok benzer.

3. DoS Saldırıları ile Mücadele Yöntemleri

Bir DoS veya DDoS saldırısını tamamen engellemek her zaman mümkün olmasa da, etkilerini minimize etmek ve sistemin ayakta kalmasını sağlamak için proaktif bir savunma stratejisi şarttır. İşte temel mücadele yöntemleri:

A. Ağ İzleme ve Anomali Tespiti

Saldırıları durdurmanın ilk adımı, onları erken fark etmektir.

  • Sürekli İzleme: Ağ trafiğinizi 7/24 izleyin.

  • Normal Trafik Profilini Çıkarma: Sisteminizin günlük normal trafik akışını (baseline) belirleyin. Böylece ani trafik artışlarını veya garip IP davranışlarını (anomalileri) hızla tespit edebilirsiniz.

B. Bant Genişliği ve Kapasite Artırımı (Overprovisioning)

Saldırılara karşı koyabilmek için ihtiyacınız olandan daha fazla bant genişliğine ve sunucu kapasitesine sahip olmak (overprovisioning) faydalıdır. Bu, hacim odaklı bir saldırı başladığında size tepki vermek ve gerekli savunma mekanizmalarını devreye sokmak için kritik bir zaman kazandırır.

C. CDN (İçerik Dağıtım Ağı) ve Yük Dengeleyiciler (Load Balancers) Kullanımı

  • CDN'ler: Web sitenizin statik içeriklerini dünya çapındaki farklı sunucularda önbellekler. Bir saldırı anında trafik, tek bir merkez yerine devasa veri merkezlerine dağıtılır.

  • Yük Dengeleyiciler: Gelen trafiği birden fazla sunucuya dağıtarak tek bir sunucunun aşırı yüklenmesini ve çökmesini engeller.

D. Rate Limiting (Hız Sınırlandırma)

Bir IP adresinin belirli bir zaman diliminde yapabileceği istek sayısını sınırlamak, özellikle kaba kuvvet (brute force) ve belirli uygulama katmanı saldırılarına karşı son derece etkilidir. İstek sınırını aşan IP adresleri geçici olarak engellenir veya hızları düşürülür.

E. Güvenlik Duvarları (WAF) ve IPS Sistemleri

  • WAF (Web Application Firewall): Özellikle Katman 7 (Uygulama Katmanı) saldırılarına karşı koruma sağlar. Zararlı HTTP trafiğini filtreler ve SQL Injection veya HTTP Flood gibi saldırıları engeller.

  • IPS/IDS (Saldırı Tespit ve Önleme Sistemleri): Bilinen DoS saldırı imzalarını tanıyarak zararlı paketleri ağa girmeden önce düşürür.

F. Profesyonel DDoS Koruma Servisleri

Büyük çaplı ve karmaşık DDoS saldırılarıyla tek başınıza başa çıkmak genellikle imkansızdır. Cloudflare, Akamai, AWS Shield, veya yerel telekomünikasyon sağlayıcıları tarafından sunulan bulut tabanlı DDoS koruma hizmetleri (Scrubbing Centers) kullanmak en etkili yöntemdir. Bu servisler, trafiği önce kendi üzerlerine alır, temizler ve sadece meşru trafiği sizin sunucularınıza iletir.

4. Sonuç

DoS ve DDoS saldırıları, kurumlar için hem finansal kayıplara hem de ciddi itibar zedelenmelerine yol açabilir. Bu saldırılarla başarılı bir şekilde mücadele etmek; doğru donanım, güncel yazılım, bulut tabanlı koruma servisleri ve önceden hazırlanmış bir Acil Durum Müdahale Planı (Incident Response Plan) gerektirir. Sistemlerinizi düzenli olarak test etmek ve siber güvenlik trendlerini yakından takip etmek, savunmanızı her zaman bir adım önde tutacaktır.

Siber güvenlik eğitimlerinde teorik bilginin ötesine geçmek ve ağ trafiklerini gerçek dünya koşullarında analiz etmek, sistem yöneticileri ve ağ uzmanları için kritik bir adımdır. Bu ayrıntılı makalede, DoS (Hizmet Aksatma) saldırılarını bir Kırmızı Takım (Saldırı) - Mavi Takım (Savunma) simülasyonu üzerinden, ağ paket analizi ve sunucu yapılandırmaları ekseninde inceleyeceğiz.

Bu rehber, bir laboratuvar ortamında siber güvenlik konseptlerini uygulamalı olarak kavramak için hazırlanmıştır.

1. Hedef: TCP SYN Flood Saldırısının Anatomisi

TCP protokolünde iki cihaz arasındaki iletişim, Üçlü El Sıkışma (3-Way Handshake) adı verilen bir süreçle başlar.

  1. İstemci sunucuya bir SYN (Senkronizasyon) paketi gönderir.

  2. Sunucu bu isteği alır, hafızasında bir oturum açar ve istemciye SYN-ACK paketiyle yanıt verir.

  3. İstemcinin son olarak bir ACK (Onay) paketi göndermesi beklenir.

SYN Flood saldırısında, Kırmızı Takım sahte IP adreslerinden (spoofed) binlerce SYN paketi gönderir. Sunucu her biri için kaynak ayırır ve SYN-ACK göndererek ACK yanıtını beklemeye başlar. Ancak o ACK paketleri asla gelmez. Kısa süre içinde sunucunun bağlantı tablosu dolar ve meşru kullanıcılara hizmet veremez hale gelir.

2. Kırmızı Takım: hping3 ile Saldırı Simülasyonu

Saldırganlar, ağ paketlerini özel olarak oluşturmak ve manipüle etmek için çeşitli araçlar kullanırlar. Bu simülasyonda, paket üretimi ve ağ sızma testleri için yaygın olarak kullanılan hping3 aracını ele alacağız.

Hedef bir web sunucusuna (örneğin Nginx) 80. port üzerinden bir SYN Flood başlatmak için şu komut kullanılır:

Bash
sudo hping3 -S --flood -V -p 80 <hedef_sunucu_ip>

Parametrelerin Anlamı:

  • -S: Paketlerin sadece SYN bayrağı (flag) taşımasını sağlar.

  • --flood: Paketleri olabildiğince hızlı, yanıt beklemeden gönderir.

  • -V: (Verbose) Ekranda ayrıntılı çıktı gösterir.

  • -p 80: Hedef portu (HTTP) belirtir.

Ekstra Gizlenme: Kırmızı takım, --rand-source parametresini ekleyerek paketlerin rastgele sahte IP adreslerinden geliyormuş gibi görünmesini sağlayabilir. Bu, savunma tarafının tek bir IP'yi engelleyerek kurtulmasını zorlaştırır.

3. Mavi Takım: Tshark ve Wireshark ile Paket Analizi

Bir saldırı anında Mavi Takım'ın ilk görevi, anomaliyi tespit etmek ve ağ trafiğini analiz etmektir. Grafik arayüzde Wireshark, terminal ortamında ise Tshark bu iş için biçilmiş kaftandır.

Sunucu üzerinde terminalden trafiği dinlemek için Tshark kullanılabilir:

Bash
sudo tshark -i eth0 -f "tcp port 80"

Wireshark Üzerinde Anomali Tespiti: Mavi takım, Wireshark arayüzünde trafiği incelerken şu filtreyi kullanarak sadece SYN isteklerini filtreleyebilir: tcp.flags.syn == 1 and tcp.flags.ack == 0

Eğer saniyeler içinde farklı IP adreslerinden binlerce eşzamanlı SYN paketi geliyorsa ve buna karşılık bir ACK trafiği yoksa, başarılı bir TCP SYN Flood saldırısı tespit edilmiş demektir.

4. Mavi Takım: Çok Katmanlı Savunma Mimarisi

Saldırıyı tespit ettikten sonra, sunucuyu ayakta tutmak için çeşitli katmanlarda önlemler alınmalıdır.

Katman 1: Linux Çekirdek Koruması (SYN Cookies)

İlk savunma hattı işletim sistemi çekirdeğidir. Linux tabanlı sunucularda (Pardus, Debian, Ubuntu vb.) TCP SYN Cookies mekanizmasını aktif etmek, sunucunun bağlantı tablosunun dolmasını engeller.

Sistemin TCP SYN Cookie ayarını aktif etmek için sysctl kullanılır:

Bash
sudo sysctl -w net.ipv4.tcp_syncookies=1

Bu sayede sunucu, SYN paketi aldığında hafızasında yer ayırmak yerine, gelen paketin bilgilerini kriptografik olarak hesaplayıp SYN-ACK paketinin içine gömer (cookie). Eğer istemci gerçekse ve ACK ile dönerse, sunucu hesaplamayı doğrular ve bağlantıyı o zaman kurar.

Katman 2: Suricata ile IDS/IPS Yapılandırması

Ağ trafiğini derinlemesine analiz eden bir Saldırı Tespit/Önleme Sistemi (IDS/IPS) olan Suricata, bu tür flood saldırılarını otomatik olarak tespit edip düşürebilir.

Suricata kural dosyasına (/etc/suricata/rules/local.rules) eklenebilecek temel bir DoS kuralı örneği:

Plaintext
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"Muhtemel TCP SYN Flood Saldırısı"; flow:stateless; flags:S,12; threshold:type both, track by_dst, count 1000, seconds 1; classtype:attempted-dos; sid:100001; rev:1;)

Bu kural, 1 saniye içinde 1000'den fazla SYN paketi geldiğinde sistem yöneticisini uyarır. IPS modunda çalıştırıldığında bu paketler otomatik olarak düşürülür (drop).

Katman 3: Nginx Ters Vekil Sunucu (Reverse Proxy) ile Hız Sınırlandırma

Uygulama katmanında (Örn: HTTP Flood), ters vekil sunucu olarak yapılandırılmış Nginx, Rate Limiting (Hız Sınırlandırma) ile sunucuyu korur. Nginx yapılandırma dosyasında (nginx.conf) belirli bir IP'den gelen saniyelik istek sınırlandırılabilir:

Nginx
# Bellekte 10 MB'lık bir alan açar ve IP başına saniyede 5 isteğe izin verir
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;
server {
    location / {
        limit_req zone=mylimit burst=10 nodelay;
        proxy_pass http://backend_sunucular;
    }
}

Sonuç

Etkili bir siber güvenlik stratejisi, yalnızca saldırıları teorik olarak bilmeyi değil; ağdaki paket düzeyindeki davranışlarını okuyabilmeyi ve doğru araçlarla (hping3, Wireshark, Suricata) müdahale edebilmeyi gerektirir. Savunma hiçbir zaman tek bir katmanda yapılmaz; işletim sistemi (Kernel), Ağ (IPS/IDS) ve Uygulama (Reverse Proxy) katmanlarının entegre çalışmasıyla sağlanır.

Bu laboratuvar ortamını 15 farklı bilgisayara tek tek kurmak ciddi bir zaman kaybı olacaktır. SSH (Secure Shell) bağlantısı ve bir döngü yardımıyla bu süreci tamamen otomatikleştiren bir Bash betiğini (script) aşağıda bulabilirsiniz.

Bu betik, belirttiğiniz IP adreslerine sırayla bağlanacak, Kırmızı ve Mavi takım araçlarını (hping3, tshark, suricata, nginx) kuracak ve temel yapılandırmaları yapacaktır.

Ön Koşullar (Çok Önemli)

Betiğin kesintisiz çalışması için ana bilgisayarınızdan diğer 15 bilgisayara parolasız SSH erişiminizin (SSH Key-Based Authentication) olması gerekir. Aksi takdirde betik her makine için sizden parola isteyecektir. (Bağlantıların root kullanıcısı veya parolasız sudo yetkisine sahip bir kullanıcı ile yapıldığı varsayılmıştır).

Toplu Kurulum Betiği (lab_kurulum.sh)

Aşağıdaki kodu lab_kurulum.sh adında bir dosyaya kaydedin:

Bash
#!/bin/bash
# Laboratuvar bilgisayarlarının IP adreslerini bu diziye ekleyin
IP_ADRESLERI=(
    "192.168.1.101"
    "192.168.1.102"
    "192.168.1.103"
    "192.168.1.104"
    # Diğer IP adreslerini buraya eklemeye devam edin...
)
# SSH bağlantısı için kullanılacak kullanıcı adı (Kurulum için root yetkisi gerekir)
KULLANICI="root"
echo "Kırmızı/Mavi Takım Laboratuvar Kurulumu Başlıyor..."
echo "Toplam Hedef Makine: ${#IP_ADRESLERI[@]}"
echo "---------------------------------------------------"
for IP in "${IP_ADRESLERI[@]}"; do
    echo ">>> Kurulum yapılıyor: $IP"
    # SSH üzerinden uzak makineye bağlanıp komutları (EOF blokları arasını) çalıştırıyoruz
    # -o StrictHostKeyChecking=no: İlk bağlantıdaki "Are you sure?" uyarısını atlar
    # -o BatchMode=yes: Parola sormayı devre dışı bırakır (Hata almamak için parolasız SSH şart)
    
    ssh -o StrictHostKeyChecking=no -o BatchMode=yes "$KULLANICI@$IP" << 'EOF'
        
        echo "[+] Paket listeleri güncelleniyor..."
        apt-get update -qq
        echo "[+] Kırmızı ve Mavi Takım araçları kuruluyor..."
        # DEBIAN_FRONTEND=noninteractive parametresi, kurulum sırasındaki onay ekranlarını (örn. tshark/wireshark uyarıları) atlar
        DEBIAN_FRONTEND=noninteractive apt-get install -y -qq hping3 tshark suricata nginx
        echo "[+] İşletim Sistemi TCP SYN Cookies koruması aktif ediliyor..."
        sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
        
        # Yeniden başlatmalarda kalıcı olması için sysctl.conf dosyasına yazıyoruz
        if ! grep -q "net.ipv4.tcp_syncookies" /etc/sysctl.conf; then
            echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
        fi
        echo "[+] Suricata ve Nginx servisleri başlatılıyor..."
        systemctl enable suricata > /dev/null 2>&1
        systemctl restart suricata
        systemctl enable nginx > /dev/null 2>&1
        systemctl restart nginx
        echo "[+] $IP için kurulum tamamlandı!"
        echo "---------------------------------------------------"
EOF
    # Eğer makineye bağlantı başarısız olursa kullanıcıyı bilgilendir
    if [ $? -ne 0 ]; then
        echo "[HATA] $IP adresine bağlanılamadı veya kurulum tamamlanamadı. Lütfen SSH erişimini kontrol edin."
        echo "---------------------------------------------------"
    fi
done
echo "Tüm makineler için dağıtım süreci sona erdi."

Betiği Çalıştırma Adımları

1. Çalıştırma İzni Verin: Dosyayı oluşturduktan sonra terminalde şu komutla betiğe çalışma izni vermeniz gerekir:

Bash
chmod +x lab_kurulum.sh

2. Betiği Başlatın:

Bash
./lab_kurulum.sh

Betikte Kullanılan Kritik Parametreler ve Açıklamaları

  • << 'EOF' (Here-Document): Bu yapı, SSH ile bağlandığınız uzak makinede birden fazla komutu tek seferde bir metin bloğu olarak çalıştırmanızı sağlar. EOF satırına gelene kadar olan her şey uzak makinenin terminalinde işlenir.

  • DEBIAN_FRONTEND=noninteractive: Özellikle tshark ve wireshark kurulumlarında işletim sistemi, "Sıradan kullanıcılar paket yakalayabilsin mi?" diye bir onay ekranı çıkarır. Otomatik kurulumlarda bu ekran çıkarsa betik takılır ve sonsuza kadar bekler. Bu parametre, tüm sorulara varsayılan yanıtı vererek kurulumun sessizce (silent) tamamlanmasını sağlar.

  • -o StrictHostKeyChecking=no: Bilgisayarlara ilk kez SSH yapıyorsanız, sistem size makinenin parmak izini kabul edip etmediğinizi sorar. Bu parametre, bu soruyu "Evet" olarak geçmenizi sağlar, böylece otomasyon kesintiye uğramaz.

Laboratuvarınızdaki Pardus altyapısı üzerinde Kırmızı ve Mavi takım mantığıyla çalıştırabileceğiniz, özellikle siber güvenlik yarışmalarına ve CTF etkinliklerine hazırlık seviyesinde 3 farklı uygulamalı DoS/DDoS senaryosu aşağıda yapılandırılmıştır.

Bu senaryolar, işletim sistemi çekirdeğinden uygulama katmanına kadar farklı savunma mekanizmalarının test edilmesini sağlar.

Senaryo 1: Uygulama Katmanı (Layer 7) - HTTP GET Flood ve Nginx Savunması

Bu senaryoda amaç, ağ bant genişliğini doldurmak yerine doğrudan web sunucusunun (Nginx) işlemci ve RAM kaynaklarını tüketerek hizmet veremez hale getirmektir.

  • Kırmızı Takım Görevi: Hedef web sunucusuna saniyeler içinde binlerce geçerli HTTP GET isteği göndererek sistemi yormak.

    • Kullanılacak Araç: Kırmızı takım, bir Python betiği (örneğin arka planda requests kütüphanesi kullanarak döngüye sokulmuş bir script) veya doğrudan hping3 kullanabilir.

    • Saldırı Komutu: hping3 -c 10000 -d 120 -S -w 64 -p 80 --flood --rand-source <hedef_sunucu_ip> (Bu komut rastgele IP'lerden HTTP portuna sürekli yüklenir).

  • Mavi Takım Görevi: Web sunucusunun yavaşladığını tespit etmek ve ters vekil (reverse proxy) seviyesinde koruma sağlamak.

    • Tespit: Mavi takım tail -f /var/log/nginx/access.log komutuyla logları izleyerek aynı veya farklı IP'lerden saniyede yüzlerce istek geldiğini fark eder.

    • Savunma: Nginx yapılandırma dosyasına (/etc/nginx/nginx.conf) giderek Rate Limiting (Hız Sınırlandırma) kuralını devreye alır.

    • Çözüm Uygulaması:

      Nginx
      # Nginx http bloğuna eklenecek:
limit_req_zone $binary_remote_addr zone=koruma:10m rate=10r/s;

# server bloğuna eklenecek:
limit_req zone=koruma burst=20 nodelay;

    • Sonuç: Nginx yeniden başlatıldığında, saniyede 10'dan fazla istek gönderen kaynaklara sunucu 503 Service Unavailable hatası döndürür ve kendi kaynaklarını korur.

Senaryo 2: Ağ Katmanı (Layer 3) - ICMP Flood ve Çekirdek (Kernel) Koruması

Bu hacimsel (volumetric) saldırı türünde amaç, hedefin ağ kartını devasa boyutta "Ping" paketleriyle boğarak diğer bağlantılara yanıt veremez hale getirmektir.

  • Kırmızı Takım Görevi: Hedef sunucunun bant genişliğini ICMP Echo Request (Ping) paketleriyle doldurmak.

    • Saldırı Komutu: sudo hping3 -1 --flood -a 10.0.0.5 <hedef_sunucu_ip>

    • (Not: -1 ICMP modunu, -a ise kaynak IP'yi gizleyerek sahte (spoofed) bir IP'den geliyormuş gibi göstermeyi sağlar. Bu durum savunmayı zorlaştırır.)

  • Mavi Takım Görevi: Ağdaki anormalliği Wireshark/Tshark ile tespit etmek ve Pardus Linux çekirdek parametreleriyle trafiği engellemek.

    • Tespit: Sunucuda CPU kullanımının aniden fırlaması üzerine Mavi Takım terminalden sudo tshark -i eth0 -Y "icmp" komutunu çalıştırır ve devasa bir ICMP trafiği aktığını görür.

    • Savunma 1 (Kernel Seviyesi): Mavi takım, sunucunun hiçbir ping isteğine yanıt vermemesi için sysctl kullanır. sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1

    • Savunma 2 (Iptables Seviyesi): Ping'i tamamen kapatmak yerine sınırlandırmak isterlerse: sudo iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    • Sonuç: Hedef sunucu paketleri doğrudan ağ katmanında veya işletim sistemi çekirdeğinde düşürerek meşru trafiğe yer açar.

Senaryo 3: Taşıma Katmanı (Layer 4) - UDP Flood ve Suricata IPS Kuralı

UDP, bağlantısız (stateless) bir protokol olduğu için DoS saldırılarında hedefin portlarını kontrol etmeye zorlayarak yormak için sıklıkla kullanılır.

  • Kırmızı Takım Görevi: Hedef sunucunun rastgele UDP portlarına devasa boyutta çöp veri göndermek.

    • Saldırı Komutu: sudo hping3 --udp -p ++1000 --flood <hedef_sunucu_ip>

    • (Bu komut 1000. porttan başlayarak ardışık UDP portlarına sürekli veri pompalar).

  • Mavi Takım Görevi: Suricata'yı IPS (Inline) modunda kullanarak zararlı UDP trafiğini otomatik kesmek.

    • Tespit: Ağ izleme ekranlarında UDP trafiğinde olağandışı bir yükseliş (spike) görülür.

    • Savunma: Mavi takım, /etc/suricata/rules/local.rules dosyasına spesifik bir engelleme kuralı yazar.

    • Çözüm Uygulaması:

      Plaintext
      drop udp $EXTERNAL_NET any -> $HOME_NET any (msg:"UDP Flood Tespit Edildi ve Engellendi"; threshold:type both, track by_dst, count 500, seconds 2; classtype:attempted-dos; sid:1000051; rev:1;)

    • Sonuç: Suricata servisi yeniden başlatıldığında, hedef sunucuya 2 saniye içinde 500'den fazla UDP paketi gelirse, IPS bu paketleri otomatik olarak düşürür (drop) ve saldırıyı kaynağında keser.

Öğrencilerin uyguladıkları senaryoları profesyonel bir standartta belgelemeleri, hem konuların pekişmesi içi yarışmalardaki raporlama aşamalarına alışmaları açısından mükemmel bir adımdır.


SİBER GÜVENLİK LABORATUVAR RAPORU

Proje/Görev Adı: [Örn: DoS Saldırıları ve Ağ Savunması Simülasyonu]

Tarih: .... / .... / 2026

1. Takım ve Görev Bilgileri

Bilgi TürüDetay
Öğrenci Adı Soyadı
Öğrenci Numarası
Üstlenilen Rol[ ] Kırmızı Takım (Saldırı)     [ ] Mavi Takım (Savunma)
İncelenen Senaryo[Örn: Uygulama Katmanı - HTTP GET Flood]

2. Laboratuvar Topolojisi ve Ortam

  • Hedef İşletim Sistemi: [Örn: Pardus Server 25]

  • Hedef IP Adresi / Port: .....................................................

  • Saldırgan IP Adresi (Varsa Spoofed IP): .....................................................

  • Kullanılan Temel Araçlar: (Örn: hping3, Wireshark, Suricata, Nginx, iptables)

      1. .....................................................

      1. .....................................................

3. KIRMIZI TAKIM: Saldırı (Red Team Operations)

(Bu bölüm saldırı adımlarını uygulayan veya analiz eden öğrenci tarafından doldurulacaktır.)

A. Uygulanan Saldırı Vektörü

Saldırının amacı neydi? Hangi zafiyet veya ağ katmanı hedef alındı? Kısaca açıklayınız.

[Buraya yazınız...]

B. Kullanılan Komutlar ve Parametreleri

(Terminalde çalıştırılan komutları ve kullanılan parametrelerin (örn: -S, --flood, -p) ne işe yaradığını yazınız.)

  • Komut: * Parametre Açıklamaları: * * ### C. Gözlemlenen Etki

    (Saldırı başladıktan sonra hedef sistemde ne gibi değişiklikler oldu? Yavaşlama, CPU artışı, servis kesintisi vb.)

    [Buraya yazınız...]

4. MAVİ TAKIM: Savunma (Blue Team Operations)

(Bu bölüm savunma adımlarını uygulayan veya logları inceleyen öğrenci tarafından doldurulacaktır.)

A. Tespit Yöntemi ve Log Analizi

(Saldırı ilk olarak nasıl fark edildi? Tshark/Wireshark filtreleri veya Nginx/Suricata loglarında hangi anormallikler görüldü?)

  • Kullanılan Tespit Komutu/Filtresi: * Log Çıktısı Örneği (Kısa bir satır kopyalayınız): ### B. Uygulanan Savunma Stratejisi

    (Sistemi korumak için hangi önlemler alındı? Çekirdek parametreleri, Suricata IPS kuralı veya Rate Limiting gibi adımları açıklayınız.)

    [Buraya yazınız...]

C. Savunma Komutları / Kuralları

(Uygulanan Suricata kuralını, iptables komutunu veya Nginx yapılandırmasını buraya ekleyiniz.)

Plaintext

[Yazılan kod veya kuralı buraya yapıştırınız]

D. Savunma Sonrası Durum

(Alınan önlem başarılı oldu mu? Kırmızı takımın trafiği kesildi mi? Meşru kullanıcılar sisteme erişebiliyor mu?)

[Buraya yazınız...]

5. SONUÇ VE ÇIKARIMLAR

(Bu laboratuvar senaryosundan ne öğrendiniz? Gerçek dünyada bu tür bir saldırı kurum ağlarında ne gibi zararlara yol açabilir ve en iyi korunma yöntemi nedir? Kendi cümlelerinizle özetleyiniz.)

[Buraya yazınız...]

Öğrenci İmzası:                                                 Değerlendirme Puanı:

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı