Stacheldraht (termen care in limba germana inseamna “sarma ghimpata”) combina caracteristicile uneltelor trinoo
si ale TFN si adauga o comunicatie criptata intre atacator si handleri. Stacheldraht foloseste TCP pentru comunicatia intre atacator si handleri si TCP ori ICMP pentru comunicatia intre handler si agenti. O alta caracteristica in plus este capacitatea de a realiza update-uri automate ale codului agent. Atacurile realizate sunt UDP flood, TCP SYN flood, ICMP Echo flood si Smurf.
Figura 1. Configuratia folosita pentru simularea atacului Stacheldraht
Comunicarea intre handler si client(atacator) se face cu ajutorul pachetelor TCP si anume handler-ul asculta pe portul 60001. Acestea pot fi schimbate modificand MSERVERPORT in fisierul mserv.c si MASTERSERVERPORT in fisierul client.c. Aceasta conexiune cere autentificare si este criptata cu ajutorul functiei crypt() din Unix, la versiunile mai vechi de stacheldraht parola era “sicken” acum parola este setata la instalarea handler-ului.
Figura 2. Startarea handler-ului Stacheldraht
Figura 3. Handler-ul asculta pe portul 60001 la acesta versiune
Figura 4. Startarea daemonului Stacheldraht prin comanda simpla ./td,
dupa ce ati trecut de setup-ul daemonului
Figura 5. Prezenta daemonului Stacheldraht
Comunicarea intre handler si agent se face cu ajutorul pachetelor ICMP si TCP. Cand agentul este startat, acesta incearca sa ia legatura cu handlerul sa vada daca va raspunde. Agentul trimite catre handler un pachet ICMP Echo Reply cu campul ID 0X1a0a(6666 sau 666 in versiuni mai vechi) si de-asemenea se gaseste in mesajul ICMP un string “skillz(0X 736b696c7a)”, iar acesta la randul lui va trimite inapoi un ICMP Echo Reply cu campul ID 0x 1a0b(6667 sau 667 in versiuni mai vechi) si cu stringul “ficken (0x 6669636b656e)” in mesajul ICMP.
De-asemenea se verifica si daca modulul de spoofing functioneaza si anume este trimis un ICMP Echo Request cu sursa pachetului falsificata: 3.3.3.3 si agentul este considerat ca fiind 127.0.1.1(0X3132372e302e302e31) in mesajul ICMP, catre handler-ul 192.168.0.102. Acesta raspunde cu un ICMP Echo Reply in care campul ID este predefinit setat de catre Macro SPOOF_REPLY cu valoarea 9000(0X2328), si un string “spoofworks”(0X73706f6f66776f726b73).
Figura 6. Agentul trimite catre handler un pachet ICMP Echo Reply
Figura 7. Handler-ul trimite catre agent un pachet ICMP Echo Reply
Figura 8. Verificarea modului de falsificare a sursei(spoofing)
Figura 9. Startarea clientuluiStacheldraht de pe calculatorul atacatorului si inceperea atacului de tip UDP
Figura 10. Pachetele de tip UDP ce parasesc daemonul 192.168.0.100, cu sursa falsificata
Figura 11 Pachetele de tip UDP ce ajung la victima/atacator 192.168.0.119
Figura 12. Pachetele ce ajung la handler-ul 192.168.0.102, se observa
reactia normala a victimei necunoscand provenienta acelor pachete
Aceste articole vor fi folosite strict în scop educativ.