TFN DDoS
Tribe Flood Network (TFN) utilizeaza un alt tip de arhitectura handler/agent.
Comenzile sunt trimise de la handler catre toti agentii din linia de comanda. Atacatorul nu se logheaza la handler ca la trinoo sau Stacheldracht. Agentii pot declansa un UDP flood, un TCP SYN flood, un ICMP Echo flood, sau Smurf care ataca porturile victimei sau la intamplare.
Atacatorul opereaza comenzi de la handler folosind oricate metode de conectare (Puncte de legatura de la distanta la un port TCP, puncte indepartate UDP client/server, puncte indepartate ICMP client/server precum, sesiuni terminale SSH sau sesiuni terminale TCP telnet normale). Controlul de la distanta al agentilor TFN este realizat via pachete ICMP Echo Reply. Toate comenzile de la handler la agenti prin intermediul pachetelor ICMP sunt codate, nu sunt text simplu, cu detectare obstructionata.
Figura 1. Configuratia folosita pentru simularea atacului TFN
Un atacator poate controla unul sau mai multi clienti, care la randul lor pot controla unul sau mai multi daemoni. Daemonii sunt instruiti sa coordoneze un atac catre una sau mai multe victime. Controlul remote se poate face prin telnet sau printr-o sesiune de ssh. Nu este ceruta nici o parola clientului, totusi este necesar sa avem o lista a daemonilor intr-un fisier bine cunoscut. Comunicarea intre clientul de TFN si dameni se face cu ajutorul pachetelor ICMP_ECHOREPLY. Nu este o comunicare TCP sau UDP intre client si daemoni.
Clientul si daemonul trebuiesc rulati cu drepturi de root, si amandoua deschid un socket AF_INET in modul SOCK_RAW.
Clientul necesita ca lista daemonilor sa fie existenta, deci gasind o singura lista fi sigur ca vei mai gasi si alti daemoni instalati pe alte masini.
Figura 2. Prezenta daemonului TFN
Clientul de TFN trimite daemonilor comenzi folosind pachete ICMP_ECHOREPLY si nu ICMP_ECHO, pentru a preveni ca sistemul pe care este instalat daemonul sa raspunda cu pachet de reply, acelasi lucru facand si daemonul in comunicarea cu clientul.
Clientul trimite comanda 0X01C8(decimal 456) in campul id, urmat de o secventa de 0X0000, urmata de un string ascii in care este specificat portul. Daemonul raspunde cu comanda reply 0X007B(decimal 123) - acestea sunt setate in fisierul de configurare al TFN config.h), urmata de 0X0000 si un string in care este precizta comanda.
Figura 3. Atacul TFN de tip UDP flood
Figura 4. Salutul dintre daemon si master, si trimiterea comenzii cu tcpdump
Figura 5. Salutul dintre daemon si master, si trimiterea comenzii de atac
catre 192.168.0.100 si 192.168.0.119
Figura 6. Trimiterea comenzii de atac tip UDP flood
Pachetele ce pleaca de la daemon catre victimele 192.168.0.119 si 192.168.0.102 arata:
Figura 7. Atacul UDP flood de la daemon spre victime
Pachetele ce pleaca de la, si vin inspre atacator&victima
Figura 8. Atacul UDP flood la victima 192.168.0.119
Cea de-a doua vitima(se observa ca pachetele pe care le primeste 192.168.0.100 sunt de tip UDP )
Figura 9. Atacul UDP flood la victima 192.168.0.100
Figura 10. Terminarea atacului UDP flood
Aceste articole vor fi folosite strict în scop educativ.