Trinoo DDOS 攻击软件分析
一、软件组成
Trinoo DDOS 工具有两个程序组成,
1、master 主控端程序,主要功能是通过telnet协议接收远程控制者的指令,向被控肉鸡端发送攻击指令。
该程序的源代码共由5个文件组成。分别是:
(1)、strfix.h 通过宏定义的方式,变相定义了strcpy和strcat 两个函数
(2)、blowfish.h和 blowfish.c 用来实现blowfish加密算法的程序代码
(3)、bf_tab.h 定义了blowfish加密算法所用到的多个数据表
(4)、master.h 实现DDOS主控功能的核心实现代码。
2、 daemon肉鸡端被控程序,主要功能是:接受攻击指令,对目标电脑发起DDOS攻击。
该程序源代码只有一个文件组成。
ns.c 文件,实现功能,接收并解析攻击指令,发起DDOS攻击,
这里有一个局限性是,Trinoo所支持的DDOS攻击种类只有基于UDP数据包一种。
二、网络拓扑结构
三、 Trinoo的使用方法
其中:红色部分为控制台输出,蓝色部分为输入的指令,绿色部分为相应部分的解释
1、主控端程序的使用。
2、肉鸡端被控程序的启动,被控端启动非常简单,无论采用什么方式,只要成功运行,被控端的deamon程序即可。
在试验阶段可以直接运行
3、ddos网络控制者使用telnet控制整个网络的方法
四、Trinoo工具的操作指令
1、die 指令
功能:关闭主控程序
思考:可以考虑通过该指令,来关闭有trinoo工具构建的DDOS网络。优点: 擒贼擒王,终止主控程序后,其下面的被控程序将不能进行有效的 攻击,缺点:对DDOS网路的破坏不彻底,很容易死灰复燃。
2、quit指令
功能:退出主控端的登录
3、mtimer 指令
功能:设置dos攻击的时间,有一个参数,参数的合法值是1至2000的整 数,如果设置的值超过2000,系统会自动设为500,如果设置的值 小于1,则系统自动设置为300,
其中:<second to DOS>表示攻击的时间
由主控程序转换后发给肉鸡的指令是:
bbb 【PASS】 <second to DOS>
4、dos IP 指令
功能:设置发动DOS攻击的目标计算机的IP,参数为:IP地址
命令格式:dos <IP>
5、mdie pass 指令
功能:终止使所有肉鸡端的受控程序。参数为一验证密码,这里使用的密码 和master程序运行时的验证密码不同,也和telnet登录时的验证 密码不同,是一个单独的密码。验证密码三
命令格式:mdie<password>
思考:一但掌握了DDOS网络的控制权,就可以通过指向该指令,使整个ddos 网络中的ddos攻击程序全部终止,使该网络彻底被破坏。但是这需要一 个前提条件是,必须知道着第三个验证密码,也正是因为该指令有如此 大的威力,所以才需要令设一个验证指令来验证,以防止该命令被乱用。
6、mping 指令
功能:命令肉鸡向主控程序所在计算机发送ping指令
命令格式:mping
7、mdos 指令
功能:发送的是多IP攻击指令,特点是有多个攻击目标,攻击目标个数没 有具体限制
命令格式:mdos <ip1: ip2: ip3:>
8、msize指令
功能:设置DoS攻击时使用的UDP数据包的长度。
命令格式:msize <size>
9、nslookup 指令
功能:对指定的主机进行域名查询。
命令格式:nslookup <host>
10、killdead 指令
功能:用是清除已经死掉的肉鸡,更新肉鸡信息列表文件,无参数
命令格式:killdead
11、usebackup 指令
功能:切换到由"killdead"命令建立的广播主机备份文件。
12、bcast 指令
功能:获取被控端计算机IP地址列表,返回到telnet端,
13、help 指令
功能: 服务器或命令的帮助信息,
命令格式:help <cmd>
14、mstop 指令
功能:停止一个DoS攻击(此现在尚未实现,但在help命令中列出。)守护 程序命令
15、Info指令
功能: 返回ddos攻击攻击版本信息的zhiling
命令格式:info
五、通信端口特征
1. 攻击者到主服务器: 27665/TCP;
2. 主服务器到守护程序:27444/UDP;
3. 守护程序到主服务器:31335/UDP。
六、软件的构架设计
1、主控端master程序总流程图
2、主控程序端,使用telnet通讯子模块的流程图
3、主控程序端,与肉鸡端通信子模块的流程图
4、demon受控肉鸡端程序流程图
七、trinoo DDOS攻击工具源代码导读
由于文本文件不适合显示代码,该部分暂不写到文件中。
3712
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
