УКОЛ СМЕРТИ С ШЕЛЛА

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #032, стр. 032-032-2

Для указания порта (при SYN-флуде) указывай значение параметра -p (порт для соединения).

Наконец мы добрались до типов DoS-атак. Рассмотрим самые популярные из них:

1. Флуд UDP-пакетами. Заваливает сервер UDP-мусором, так что, если фаерволл на тачке не пропускает UDP, сервер благополучно загнется. Для выбора этого типа установи значение опции -c равным 4.

2. TCP/SYN флуд. Механизм флуда, я думаю, понятен - создание многочисленных соединений на определенный порт с целью останова определенного сервиса. Значение этого типа равно 5.

3. ICMP флуд. Используя обычный ECHO REQUEST, tfn2k укладывает жертву на лопатки. Если хочешь испытать этот тип, установи значение параметра -c равным 6.

4. MIX флуд. Интеграция всех протоколов (ICMP, UDP и TCP в одном флаконе). После такого ассорти от сервера остается мокрое место ;). Тип флуда равен 8.

Помимо параметров флуда существуют полезные опции -c, позволяющие сделать следующие действия:

1. Остановить любой флуд на ip-адрес. Значение параметра выставить равным 0.

2. Установить иной размер пакета. Для этого нужно изменить значение -i (размер в байтах), а значение параметра -c поставить равным 3.

3. Выполнить команду на всех зазомбированных серверах. Значение -c равно 10, значение -i - нужной команде.

Вот, собственно, и все возможности флудера :). Осталось проверить их в действии. Конечно, два сервера для DDoS очень мало (обычно число серверов составляет от нескольких десятков до нескольких тысяч!), но за неимением большего ограничимся этим. Для начала установим и запустим демон на серверах server1.flood.net и server2.flood.net (все имена вымышлены, совпадение считать чистой случайностью ;)).

МУТИМ DDOS

Итак, распакуем архив tfn2k.tgz (командой tar zxf tfn2k.tgz), затем перейдем в папку tfn2k/src и напишем команду make. В моем случае компилятор ругнулся на переопределенную структуру in_addr в хеадере ip.h. После небольших надругательств над этим файлом (в виде комментария #ifndef конструкции) DDoS-ер испекся нормально (хоть и с кучей warning'ов).

Следующим шагом был запуск сервера-демона. Это бинарник td в папке src/. После запуска он не выдаст никаких слов, а молча упадет в бэкграунд. Ту же операцию проделываем и со вторым сервером.

После истязаний с сервером перейдем к клиенту. Создадим файл hosts, в котором будет находиться список зазомбированных серверов (в нашем случае файл будет содержать две записи).

Настало самое интересное. Попробуем отDDoSить кого-нибудь по самые помидоры. Для наглядности была выбрана тачка со слабым каналом. Меряем пинг до нее - 82 миллисекунды. Довольно слабый пинг, не так ли ;)? Теперь запустим клиент tfn2k. Командуем:

./tfn2k -P TCP -f ./hosts -i server3.flood.net -c 4

и наслаждаемся процессом UDP-флуда сервера.

Замеряем пинг в процессе флуда. И что мы видим? Среднее время ответа увеличилось почти в два раза и составило 153 миллисекунды. Эффект неплохой. А что если взять не два, а двадцать или даже двести зазомбированных серверов? Судя по тестированию, от сервера не останется даже мокрого места.