Data postarii 2012-06-04      Subiect: TFN DDoS      Categorie: Securitate server

TFN DDoS 

      Tribe Flood Network (TFN) utilizeaza un alt tip de arhitectura handler/agent.

 

      Comenzile sunt trimise de la handler catre toti agentii din linia de comanda. Atacatorul nu se logheaza la handler ca la trinoo sau Stacheldracht. Agentii pot declansa un UDP flood, un TCP SYN flood, un ICMP Echo flood, sau Smurf care ataca porturile victimei sau la intamplare.


      Atacatorul opereaza comenzi de la handler folosind oricate metode de conectare (Puncte de legatura de la distanta la un port TCP, puncte indepartate UDP client/server, puncte indepartate ICMP client/server precum, sesiuni terminale SSH sau sesiuni terminale TCP telnet normale). Controlul de la distanta al agentilor TFN este realizat via pachete ICMP Echo Reply. Toate comenzile de la handler la agenti prin intermediul pachetelor ICMP sunt codate, nu sunt text simplu, cu detectare obstructionata.

 

tfn


Figura 1. Configuratia folosita pentru simularea atacului TFN

      Un atacator poate controla unul sau mai multi clienti, care la randul lor pot controla unul sau mai multi daemoni. Daemonii sunt instruiti sa coordoneze un atac catre una sau mai multe victime. Controlul remote se poate face prin telnet sau printr-o sesiune de ssh. Nu este ceruta nici o parola clientului, totusi este necesar sa avem o lista a daemonilor intr-un fisier bine cunoscut. Comunicarea intre clientul de TFN si dameni se face cu ajutorul pachetelor ICMP_ECHOREPLY. Nu este o comunicare TCP sau UDP intre client si daemoni.


Clientul si daemonul trebuiesc rulati cu drepturi de root, si amandoua deschid un socket AF_INET in modul SOCK_RAW.
Clientul necesita ca lista daemonilor sa fie existenta, deci gasind o singura lista fi sigur ca vei mai gasi si alti daemoni instalati pe alte masini.


1



Figura 2. Prezenta daemonului TFN


      Clientul de TFN trimite daemonilor comenzi folosind pachete ICMP_ECHOREPLY si nu ICMP_ECHO, pentru a preveni ca sistemul pe care este instalat daemonul sa raspunda cu pachet de reply, acelasi lucru facand si daemonul in comunicarea cu clientul.

      Clientul trimite comanda 0X01C8(decimal 456) in campul id, urmat de o secventa de 0X0000, urmata de un string ascii in care este specificat portul. Daemonul raspunde cu comanda reply 0X007B(decimal 123) - acestea sunt setate in fisierul de configurare al TFN config.h), urmata de 0X0000 si un string in care este precizta comanda.


2


Figura 3. Atacul TFN de tip UDP flood



3



Figura 4. Salutul dintre daemon si master, si trimiterea comenzii cu tcpdump



4



Figura 5. Salutul dintre daemon si master, si trimiterea comenzii de atac


catre 192.168.0.100 si 192.168.0.119




5



Figura 6. Trimiterea comenzii de atac tip UDP flood


      Pachetele ce pleaca de la daemon catre victimele 192.168.0.119 si 192.168.0.102 arata:



6



Figura 7. Atacul UDP flood de la daemon spre victime


      Pachetele ce pleaca de la, si vin inspre atacator&victima


7



Figura 8. Atacul UDP flood la victima 192.168.0.119


      Cea de-a doua vitima(se observa ca pachetele pe care le primeste 192.168.0.100 sunt de tip UDP )


8



Figura 9. Atacul UDP flood la victima 192.168.0.100


9



Figura 10. Terminarea atacului UDP flood

 

      Aceste articole vor fi folosite strict în scop educativ.

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne