Opisy rozproszonych narzędzi typu „odmowa usługi”

Ta sekcja zawiera szczegółowe informacje o działaniu niektórych głównych narzędzi DDoS.

Trinoo (Trin00). Trinoo lub Trin00 to pierwsze znane narzędzie DDoS, które pojawiło się latem 1999 r. Typowa instalacja Trinoo jest podobna do scenariusza przedstawionego powyżej, w którym atakujący instaluje oprogramowanie obsługi w systemie, a ten z kolei ładuje oprogramowanie atakujące na agenci. Trinoo to rozproszony atak SYN DoS. Trinoo używa wielu portów TCP i UDP:

* Mistrzowie nasłuchują na porcie 27665 TCP w celu komunikacji między atakującym a głównym.

* Demony nasłuchują na porcie UDP 27444 w celu komunikacji master-to-demon.

* Mistrzowie nasłuchują na porcie UDP 31335 w celu komunikacji demon-master.

Są to domyślne numery portów, a warianty używane inne porty. Osoba atakująca może zdalnie sterować nadrzędnym Trinoo (programem obsługi) za pośrednictwem połączenia z portem TCP 27665. Po nawiązaniu połączenia osoba atakująca podaje oczekiwane hasło betaalmostdone. Program główny Trinoo zazwyczaj nosi nazwę master.c, a demonem jest ns.c. Komunikacja między urządzeniem głównym Trinoo (modułem obsługi) a demonami (agentami) odbywa się za pośrednictwem

UDP. Komunikacja master-to-demon wykorzystuje datagramy UDP na porcie 27444. Wszystkie polecenia zawierają hasło, domyślnie l44adsl. Wszystkie poprawne polecenia zawierają podciąg l44. Komunikacja z demonów Trinoo do urządzenia nadrzędnego korzysta z datagramów UDP na porcie 31335. Po uruchomieniu demona wysyła komunikat do urządzenia nadrzędnego zawierający ciąg ∗ CZEŚĆ ∗. Funkcja utrzymywania przy życiu Trinoo jest realizowana przez wymianę między urządzeniem głównym a demonem: Mistrz wysyła polecenie mping Trinoo, które wysyła ciąg png do demona; demon odpowiada, wysyłając ciąg PONG do mastera. Hasła mają uniemożliwić administratorom systemu przejęcie kontroli nad masterami i demonami tworzącymi sieć Trinoo. Inne domyślne hasła w początkowych atakach to gOrave, aby uruchomić serwer główny Trinoo i killme, aby kontrolować polecenie mdie mistrza, aby zabić procesy Trinoo. Podobnie jak numery portów, osoby atakujące mogą łatwo zmieniać hasła. Oprogramowanie do wykrywania włamań lub rutynowa analiza systemu może wyszukać wiele rzeczy, które mogą wskazywać na obecność Trinoo:

* System nasłuchujący na porcie UDP 27444 może być demonem Trinoo.

* Komunikacja demona Trinoo będzie zawierać ciąg l44.

* Mechanizm zalewania SYN wybiera port docelowy za pomocą funkcji generatora liczb losowych.

* Demon Trinoo wyśle ​​ciąg PONG, jeśli otrzyma polecenie png.

* System nasłuchujący na porcie TCP 27665 może być urządzeniem głównym Trinoo.

* System nasłuchujący na porcie UDP 27444 może być urządzeniem głównym Trinoo.

* Pakiety UDP będą zawierać ciąg l44adsl.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *