Data postarii 2012-06-04      Subiect: Trinoo DDoS      Categorie: Securitate server

Trinoo DDoS 

      Trinoo foloseste o arhitectura handler/agent in care atacatorul trimite comenzi catre handler via TCP, iar handlerii si agentii comunica via UDP. Atat handlerul cat si agentii sunt protejati cu parola pentru a nu fi preluati de atacator. Trinoo genereaza pachete UDP, si foloseste porturi randomizate la una sau mai multe adrese, pe o durata specifica a intervalului de atac.


      Pentru partea practica am folosit urmatoarea configuratie:

 

 

trinooo



Figura  1. Configuratia folosita pentru simularea atacului Trinoo

 

- pentru atacator si victima(sunt aceleasi, din cauza resurselor limitate, doar trei computere ) am ales calculatorul cu IP: 192.168.0.119(sistemul de operare - CentOS 5);
- pentru handler sau master am ales calculatorul cu IP: 192.168.0.100(sistemul de operare - Ubuntu 9);
- pentru daemon am ales calculatoarele cu IP: 192.168.0.102 (sistemul de operare - CentOS 5); si 89.114.xxx.xxx pe care nu l-am folosit la atac din motive de securitate pentru site-ul respectiv.


Dupa instalarea masterului pe calculatorul respectiv(parola ceruta pentru startarea acestui serviciu este"??gOrave"), se observa existenta acestuia prin prezenta porturilor 27665(portul de comunicare intre atacator si master) si 31335(portul de comunicare intre daemon si master).

Dupa instalarea daemon-ului se observa existenta acestuia prin prezenta portului 27444(portului de comunicare intre master si daemon) (parola pentru daemonul trinoo este "l44adsl").

 


1


Figura  2. Cum se starteaza handler-ului Trinoo



2


Figura  3. Prezenta handler-ului Trinoo 



1


Figura  4. Prezenta daemonului Trinoo



      Dupa ce au fost instalati masterul si daemonul se observa "salutul" dintre aceste doua ip-uri printr-un hello.


3



Figura  5. Procesul de identificare si salut intre master si daemon



      Atacatorul se va conecta la master cu ajutorul telnetului pe portul 27665 al serviciului trinoo, dar numai dupa ce atacatorul va fi introdus parola necesara conexiunii("betaalmostdone"), va putea regasi daemonii instalati("bcast") si binenteles pentru a incepe atacul(trinoo>dos 192.168.0.119).


1


Figura 6. Atacul a inceput


      
      Dupa comanda "dos 192.168.0.119" pentru inceperea atacului masterul ii va comanda daemonului sa produca denial of service ip-ului 192.168.0.119.
Pachetele care vor pleca spre victima vor arata in felul urmator(se observa in wireshark comanda care este primita de daemon: l44adsl 192.168.0.119):
- cu ajutorul comenzii tcpdump - i eth0:



6



Figura  7. Pahetele ce pleaca de la atacator "tcpdump - i eth0"

- cu wireshark pe interfata respectiva:


5



Figura  8. Pahetele ce pleaca de la atacator


      Pachetele pe care victima le va primi vor arata in felul urmator cu comanda "tcpdump -i eth0": (www.dlsit.ro este 192.168.0.119).



6


Figura  9. Pahetele ce ajung la victima "tcpdump -i eth0"


      In urma acestui atac care pot spune cu siguranta ca huruitul masinilor, care l-am precizat la inceputul acestei lucrari nu este deloc ceva imbucurator pentru site-ul tau, ci din contra poti fi sigur ca esti atacat foarte puternic, iar toate aceste pachete nu vor duce in final la decat la "doborarea" victimei, imposibilitatea accesarii acesteia la nivel retea si in cele din urma la ceea ce nu credeai ca o sa se intample vreodata, imposibilitatea accesarii masinii, care in final va duce la scoaterea cablului de retea din masina si restartarea acesteia in speranta ca toate problemele vor disparea, nicidecum.

 

Aceste articole vor fi folosite strict în scop educativ.

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne