DDoS攻击工具 Trinoo分析及实战演练
守护程序命令
Trinoo守护程序支持以下命令:
aaa pass IP 攻击指定的IP地址。按固定的时间间隔(缺省为120秒,或
"bbb"命令设定的1-1999值)向指定IP地址的随机UDP端口
(0-65534)发送UDP数据包。数据包大小由"rsz"命令指定,
缺省为1000字节。noo守护程序
rsz N 设置DoS攻击的缓冲区大小为N字节。(Trinoo守护程序调
用malloc()分配该大小的缓冲区,然后发送随机的数据包
内容进行攻击。)
xyz pass 123:ip1:ip2:ip3
多个DoS攻击。类似"aaa"命令,但可以同时攻击多个IP地址。
工 具 特 征
-----------
最常使用的安装trinoo守护程序的方法是在系统中添加crontab项,以使守护程序能在每分钟均在运行。检查crontab文件会发现如下内容:
* * * * * /usr/sbin/rpc.listen
主服务器程序会建立一个包含广播主机清单的文件(缺省文件名为"...")。如果使用了"killdead",向"..."文件中的所有守护程序发送"shi"命令会使这些守护程序向所有的主服务器发送初始化字符串"*HELLO*"。然后这个清单文件被改名(缺省为"...-b"),而根据每一个发送了"*HELLO*"字符串(激活状态)的守护程序生成新的清单文件。
源代码("master.c")包含以下程序行:
. . .
/* crypt key encrypted with the key 'bored'(so hex edit cannot get key easily?)
comment out for no encryption... */
#define CRYPTKEY "ZsoTN.cq4X31"
. . .
如果程序编译时指定了解CRYPTKEY变量,则广播主机的IP地址将使用Blowfish算法加密:
# ls -l ... ...-b
-rw------- 1 root root 25 Sep 26 14:46 ...
-rw------- 1 root root 50 Sep 26 14:30 ...-b
# cat ...
JPbUc05Swk/0gMvui18BrFH/
# cat ...-b aE5sK0PIFws0Y0EhH02fLVK.
JPbUc05Swk/0gMvui18BrFH/
假设没有使用rootkit隐藏进程,主服务器可以显示出以下网络套接字特征指纹(当然,程序的名称和路径名会有所不同。):
# netstat -a --inet
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp0 0 *:27665 *:* LISTEN
. . .
udp0 0 *:31335 *:*
. . .
# lsof | egrep ":31335|:27665"
master 1292 root3u inet 2460 UDP *:31335
master 1292 root4u inet 2461 TCP *:27665 (LISTEN)
# lsof -p 1292
COMMAND PID USER FD TYPE DEVICESIZE NODE NAME
master 1292 root cwdDIR3,11024 14356 /tmp/...
master 1292 root rtdDIR3,11024 2 /
master 1292 root txtREG3,1 30492 14357 /tmp/.../master
master 1292 root memREG3,1 342206 28976 /lib/ld-2.1.1.so
master 1292 root memREG3,1 63878 29116 /lib/libcrypt-2.1.1.so
master 1292 root memREG3,1 4016683 29115 /lib/libc-2.1.1.so
master 1292 root0u CHR4,1 2967 /dev/tty1
master 1292 root1u CHR4,1 2967 /dev/tty1
master 1292 root2u CHR4,1 2967 /dev/tty1
master 1292 root3u inet 2534 UDP *:31335
master 1292 root4u inet 2535 TCP *:27665 (LISTEN)
而运行了守护程序的系统会显示以下特征指纹:
# netstat -a --inet
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
. . .
udp0 0 *:1024 *:*
udp0 0 *:27444 *:*
. . .
# lsof | egrep ":27444"
ns 1316 root3u inet 2502 UDP *:27444
# lsof -p 1316
COMMAND PID USER FD TYPE DEVICESIZE NODE NAME
ns 1316 root cwdDIR3,11024 153694 /tmp/...
ns 1316 root rtdDIR3,11024 2 /
ns 1316 root txtREG3,16156 153711 /tmp/.../ns
ns 1316 root memREG3,1 342206 28976 /lib/ld-2.1.1.so
ns 1316 root memREG3,1 63878 29116 /lib/libcrypt-2.1.1.so
ns 1316 root memREG3,1 4016683 29115 /lib/libc-2.1.1.so
ns 1316 root0u CHR4,1 2967 /dev/tty1
ns 1316 root1u CHR4,1 2967 /dev/tty1
ns 1316 root2u CHR4,1 2967 /dev/tty1
ns 1316 root3u inet 2502UDP *:27444
ns 1316 root4u inet 2503UDP *:1024
最新相关文章发表评论