Stacheldraht DDoS

      Stacheldraht (termen care in limba germana inseamna “sarma ghimpata”) combina caracteristicile uneltelor trinoo

si ale TFN si adauga o comunicatie criptata intre atacator si handleri. Stacheldraht foloseste TCP pentru comunicatia intre atacator si handleri si TCP ori ICMP pentru comunicatia intre handler si agenti. O alta caracteristica in plus este capacitatea de a realiza update-uri automate ale codului agent. Atacurile realizate sunt UDP flood, TCP SYN flood, ICMP Echo flood si Smurf.


stacheldraht



Figura 1. Configuratia folosita pentru simularea atacului Stacheldraht



      Comunicarea intre handler si client(atacator) se face cu ajutorul pachetelor TCP si anume handler-ul asculta pe portul 60001. Acestea pot fi schimbate modificand MSERVERPORT  in fisierul mserv.c si MASTERSERVERPORT in fisierul client.c.   Aceasta conexiune cere autentificare si este criptata cu ajutorul  functiei crypt() din Unix, la versiunile mai vechi de stacheldraht parola era “sicken” acum parola este setata la instalarea handler-ului.


stacheldraht




Figura 2. Startarea handler-ului Stacheldraht

 

stacheldraht



Figura 3. Handler-ul asculta pe portul 60001 la acesta versiune



stacheldraht




Figura 4. Startarea daemonului Stacheldraht prin comanda simpla ./td,

dupa ce ati trecut de setup-ul daemonului




stacheldraht



Figura 5. Prezenta daemonului Stacheldraht


      Comunicarea intre handler si agent se face cu ajutorul pachetelor ICMP si TCP. Cand agentul este startat, acesta incearca sa ia legatura cu handlerul sa vada daca va raspunde. Agentul trimite catre handler un pachet ICMP Echo Reply  cu campul ID 0X1a0a(6666 sau 666 in versiuni mai vechi) si de-asemenea  se gaseste in  mesajul ICMP un string “skillz(0X 736b696c7a)”, iar acesta la randul lui va trimite inapoi un ICMP Echo Reply cu campul ID 0x 1a0b(6667 sau 667 in versiuni mai vechi) si cu stringul “ficken (0x 6669636b656e)” in mesajul ICMP.


      De-asemenea se verifica si daca modulul de spoofing functioneaza si anume este trimis un ICMP Echo Request cu sursa pachetului falsificata: 3.3.3.3 si agentul este considerat ca fiind 127.0.1.1(0X3132372e302e302e31) in mesajul ICMP, catre handler-ul 192.168.0.102. Acesta raspunde cu un ICMP Echo Reply in care campul ID este predefinit setat de catre Macro SPOOF_REPLY cu valoarea 9000(0X2328), si un string “spoofworks”(0X73706f6f66776f726b73).

 

stacheldraht




Figura  6. Agentul trimite catre handler un pachet ICMP Echo Reply

 

 

stacheldraht



 Figura  7. Handler-ul trimite catre agent un pachet ICMP Echo Reply



stacheldraht



 Figura  8. Verificarea modului de falsificare a sursei(spoofing)





stacheldraht



Figura  9. Startarea clientuluiStacheldraht de pe calculatorul atacatorului si inceperea atacului de tip UDP

 




stacheldraht




Figura 10. Pachetele de tip UDP ce parasesc daemonul 192.168.0.100, cu sursa falsificata

 

 

 

stacheldraht




Figura 11 Pachetele de tip UDP ce ajung la victima/atacator 192.168.0.119

 



 

stacheldraht

 

Figura  12. Pachetele ce ajung la handler-ul 192.168.0.102, se observa


reactia normala a victimei necunoscand provenienta acelor pachete

 

       Aceste articole vor fi folosite strict în scop educativ.

Stacheldraht DDoS
  • Avem nevoie de ajutorul vostru, am trimis mai multe articole, astept raspuns 1 days ago