DDoS攻击工具 Trinoo分析及实战演练
通讯端口
攻击者到主服务器: 27665/TCP
主服务器到守护程序:27444/UDP
守护程序到主服务器:31335/UDP
Trinoo主服务器的远程控制是通过在27665/TCP端口建立TCP连接实现的。在连接建立后时,用户必须提供正确的口令("betaalmostdone")。如果在已有人通过验证时又有另外的连接建立,则一个包含正在连接IP地址的警告信息会发送到已连接主机(程序提供的IP地址似乎有错,但警告信息仍被发送)。毫无疑问地,这个功能最终的完整实现将能给予攻击者足够的时间在离开之前清除痕迹。
从trinoo主服务器到守护程序的连接是在27444/UDP端口上实现。命令行格式如下:
arg1 password arg2
其中缺省的口令是"l44adsl",只有包含此口令子串"l44"的命令行会被执行。
从trinoo守护程序到主服务器的连接是在31335/UDP端口上实现。
当守护程序启动时,它将发送初始化字符串"*HELLO*"到主服务器。主服务器会(通过"sniffit"程序捕获)记录并维护已激活的守护程序清单:
UDP Packet ID (from_IP.port-to_IP.port): 192.168.0.1.32876-10.0.0.1.31335
45 E 00 . 00 . 23 # B1 . 5D ] 40 @ 00 . F8 . 11 . B9 . 27 . C0 . A8 . 00 . 01 .
0A . 00 . 00 . 01 . 80 . 6C l 7A z 67 g 00 . 0F . 06 . D4 . 2A * 48 H 45 E 4C L
4C L 4F O 2A *
如果trinoo主服务器通过27444/UDP端口向一个守护程序发送"png"命令,该守护程序将通过31335/UDP端口向发送"png"命令的主机返回字符串"PONG":
UDP Packet ID (from_IP.port-to_IP.port): 10.0.0.1.1024-192.168.0.1.27444
45 E 00 . 00 . 27 ' 1A . AE . 00 . 00 . 40 @ 11 . 47 G D4 . 0A . 00 . 00 . 01 .
C0 . A8 . 00 . 01 . 04 . 00 . 6B k 34 4 00 . 13 . 2F / B7 . 70 p 6E n 67 g 20
6C l 34 4 34 4 61 a 64 d 73 s 6C l
UDP Packet ID (from_IP.port-to_IP.port): 192.168.0.1.32879-10.0.0.1.31335
45 E 00 . 00 . 20 13 . 81 . 40 @ 00 . F8 . 11 . 57 W 07 . C0 . A8 . 00 . 01 .
0A . 00 . 00 . 01 . 80 . 6F o 7A z 67 g 00 . 0C . 4E N 24 $ 50 P 4F O 4E N 47 G
口令保护
主服务器和守护程序都有口令保护,以阻止系统管理员(或其他黑客组织)得到该trinoo网络的控制权。口令使用crypt()函数加密。这是一种对称式加密方式。经过加密的口令保存在已编译的主服务器和守护程序中,并与以明文方式在网络中传输的口令比较(目前的版本并没有加密通讯会话,因此不难截获在主服务器TCP控制会话中传送的明文口令。
初始化运行时,出现主守护进程提示符,将等待输入口令。如果口令不正确,程序退出;如果口令正确,提示进程正在运行,然后产生子进程在后台运行,最后退出:
# ./master
?? wrongpassword
#
. . .
# ./master
?? gOravev1.07d2+f3+c [Sep 26 1999:10:09:24]
#
与此类似地,当连接到远程命令端口(27665/TCP)时,你也必须输入口令:
attacker$ telnet 10.0.0.1 27665
Trying 10.0.0.1
Connected to 10.0.0.1
Escape character is '^]'.
kwijibo
Connection closed by foreign host.
. . .
attacker$ telnet 10.0.0.1 27665
Trying 10.0.0.1
Connected to 10.0.0.1
Escape character is '^]'.
betaalmostdone
trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/]
从主服务器发送到trinoo守护程序的某些命令也会有口令保护。这些口令在主服务器与守护程序间又明文形式传送。
缺省的口令如下:
"l44adsl" trino守护程序口令
"gOrave"trinoo主服务器启动(提示"?? ")
"betaalmostdone"trinoo主服务器远程接口口令
"killme"trinoo主服务器控制指令"mdie"验证口令
主服务器命令
rinoo主服务器支持以下命令:
die 关闭主服务器
quit退出主服务器登录
mtimer N设置DoS定时器为N秒。N的取值范围从1到1999秒。如果N<1,2000,则使用缺省值500。
mdie pass 如果口令验证通过,则停止所有广播(Bcast)主机。命令
"d1e 144adsl"被发送到每一个广播主机,使它们停止。此命
令需要一个单独的口令。
mping 发送PING命令"png 144adsl"到每一台已激活的广播主机。
mdos
向每一个广播主机发送多DoS攻击命令
("xyz 144adsl 123:ip1:ip2:ip3")。
info打印版本和编译信息。如:
This is the "trinoo" AKA DoS Project master server version v1.07d2+f3+c
Compiled 15:08:41 Aug 16 1999
msize 设置DoS攻击时使用的数据包缓冲区大小。
nslookup host对指定的主机进行域名查询。
killdead尝试清除死锁的广播主机。首先向所有已知的广播主机发送
"shi l44adsl"命令。(任何处于激活状态的守护程序会回
送初始化字符串"*HELLO*"。)然后(通过-b参数)修改广
播主机清单文件名字。这样当"*HELLO*"包被接收后能够重
新初始化。
usebackup 切换到由"killdead"命令建立的广播主机备份文件。
bcast 列出所有激活的广播主机。
help [cmd] 服务器或命令的帮助信息,
mstop 试图停止一个DoS攻击(此现在尚未实现,但在help命令中列出。)
最新相关文章发表评论