ИНСТРУМЕНТАРИЙ DDoS`ЕРА

Спецвыпуск Xakep, номер #021, стр. 021-018-1


один толстый конец - хорошо, а два - еще лучше

Bug

В основном все DDoS-тулзы работают по такой схеме: хакер получает доступ к машине, устанавливает на нее программу-демона из комплекта своей DDoS-тулзы - проделывает то же самое еще с несколькими машинами. Машина, на которую установили демона, называется "зомби" (а процесс этот называется - "зомбировать"). Потом он запускает программу-мастера (тоже из комплекта DDoS-тулзы) на своем компе (иногда мастера, как и демона, можно установить на удаленную машину) и командует ей начать атаку на такой-то IP. Мастер в свою очередь командует всем демонам пинговать жертву. Получается, что несколько машин из разных точек нета атакуют одну, и, если зомбированных компов достаточно, жертве скоро настает 3.14zDoS, а вернее - 3.14zDDoS, так как атака распределенная ;). Это теория. А мы сейчас поглядим, что собой представляют эти самые DDoS-тулзы на самом деле. Let`s do it!

TFN

Tribe Flood Net Project - одна из первых DDoS-тулз. Арсенал TFN состоит из udp flood, syn flood, icmp flood и smurf`а. TFN был разработан хацкером под ником Mixter, который считается одним из наиболее грамотных людей, шарящих в DDoS-атаках (его статью о будущем DDoS-атак можно почитать тут: http://packetstorm.linuxsecurity.com/distributed/tfn3k.txt). Сам TFN можно утянуть по этой ссылке: http://packetstorm.linuxsecurity.com/distributed/tfn.tgz. После распаковки появится директория TFN. Чтоб скомпилировать тулзу, надо перейти в эту директорию и ввести "make". После этого появится три исполняемых файла: td, tfn и tfn-rush. td - это демон, tfn - мастер, а tfn-rush - тоже мастер, но работающий в каком-то rush-mode. Итак, давай установим у себя на машине демона, чтоб посмотреть, как все это работает, - вводим в командной строке:

./td

На этом тяжелейшая задача по установке демона решается ;). Теперь надо создать iplist - файл, в котором должны лежать IP-адреса зомбированных компов. Так как зомби у нас один (наша же тачка), открываем любой текстовый редактор, пишем в нем одну строку - 127.0.0.1 - и сохраняем его под именем iplist в директорию, куда разархивировался TFN. Теперь можно атаковать ;). Вводим:

./tfn ./iplist 3 127.0.0.1

Это мы, типа, атаковали пингом. Если хочешь узнать, какие еще есть способы, запусти tfn без параметров.

Чтоб подвести итог, могу сказать, что TFN - отличный инструмент, четкий, понятный, простой и безглючный. Но уже достаточно древний (от чего он не стал хуже - просто его потомки стали лучше)...

TFN2K

Это современная версия обычного TFN (от того же Maxter`а). Отличий очень много - появилась куча наворотов. Теперь тулза позволяет при каждом соединении мастера с демоном произвольно менять порты и методы атаки - так что блокировка firewall`ом одного из портов уже не спасает. Появилась куча новых атак, пароль на доступ к демону (чтоб левые перцы не могли воспользоваться зазомбированной тобой тачкой) и т.д. Кроме того, TFN2k умеет по-человечески спуфить IP`шники (если ничего не задавать специально, IP будет спуфиться random`ом).

Одно плохо - при компилировании этой тулзы полезли баги :(. Пришлось лезть в исходники и искать ошибки. Все запахало нормально, когда я заменил везде в файлах ip.h, ip.c и tribe.c "in_addr" на "in_addr_". Ну ладно, будем считать, что когда ты сидишь под линухом, лезть постоянно в исходники - это в порядке вещей (а это разве плохо? нужна тебе прога - лезь в исходники. Под виндами такой возможности вообще нет - если прога глючит и не работает, то можно забыть про нее насовсем - прим. ред.). Зато после моих ковыряний все нормально откомпилировалось (во время компиляции меня попросили задать пароль), и в директории появилось несколько бинарников, из которых нас интересуют только td (демон) и tfn (мастер). Как и раньше, запускаем демона (./td), а потом мастера:

Содержание  Вперед на стр. 021-018-2