Data postarii 2012-06-06      Subiect: Trinity DDoS      Categorie: Securitate server

Trinity DDoS

 

Trinity este prima unealta DDoS controlata via IRC.

 

      Dupa ce a fost compromisa si infectata cu  Trinity, fiecare masina urmeaza un canal IRC specific si asteapta comenzi. Folosirea unui serviciu IRC legitim pentru comunicatiile intre atacator si agenti inlocuieste clasicul handler independent si ridica nivelul amenintarii. Trinity este capabil sa lanseze mai multe tipuri de atacuri flooding pe site-ul victimei, inclusive UDP, IP fragment, TCP SYN, TCP RST, TCP ACK si alte flood-uri.
Din perspective Windows, un mare numar de atacuri DDoS s-au realizat cu TFN2K care a fost codat special ca sa lucreze pe Windows NT, iar pe sistemele Windows au fost vazute si versiuni ale agentului trinoo. De fapt, knight.ca fost initial codat pentru sistemele Unix, dar poate fi compilat cu bibliotecile Cygwin.


      Cu aceasta metoda, aproape orice program DDoS Unix poate fi multumitor portat pe Windows.

 

      Agobot si urmasele sale Phatbot au cunoscut o larga raspândire in anii 2003 si 2004.


      Acesti virusi sunt strâsi intr-un singur program numit de unii unelata de atac “Briceagul elvetian” (Swiss Army Knife). Phatbot implementeaza doua tipuri de SYN flood-uri, un UDP flood, un ICMP flood, Targa flood (protocol IP randomizat, fragmentare valorii de offset si adrese sursa falsificate), wonk flood (un SYN packet, urmat de 1.023 de pachete ACK) si un HTTP GET flood recursiv sau un singur HTTP GET cu o intârziere incorporata, in ore (setata fie de utilizator, fie aleasa la intâmplare).


      Ultima dintre ele, atunci când e distribuita intr-o retea de zeci de mii de gazde, ar arata ca un trafic normal de HTTP care ar fi foarte greu de detectat si blocat de unele dintre mecanismele de aparare.

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne