DDoS攻击工具

DDoS攻击工具
目前常见的DDos攻击工具有Trinoo[36]!TFN[37]!TFNZk[38]和stacheldraht[39,40]
等"感染了这些恶意软件的主机通常组成一个由客户端(Client,攻击者发送各种
攻击命令的主机)到主控端(Master,运行主控程序的主机)再到代理端(Agent,
运行守护程序的主机)的三层网络结构"攻击者从客户端连接主控端,主控端将
来自客户端的命令传达到每一个代理端,最后由代理端发起对目标的攻击"
(l)Trinoo
Trinoo的主要攻击方式是UDPnooding攻击,它向攻击目标的随机端口发送
大量4个字节全零的UDP报文"
Trinoo由主控程序(master.c)和守护程序(ns.c)组成"攻击者采用标准的
TCP连接程序(如Telnet,Netcat等)通过27665/TCP端口连接Master,并发出攻
击指令"Master根据其保存的Agent列表进行指令转发"Agent收到攻击指令后,
遂向指定目标实施攻击"Master与Agent之间的通信是双向的,采用的默认端口
是27444几JDP和31335几JDP,通信内容受到口令保护,但口令是以明文形式发送
的,并且从Master到Agent的通信通常包含/1440字符串"
(2)TFN
TFN的功能t匕较丰富,可以采取sYNflooding!UDpflooding!ICMpflooding
和Smurf等多种攻击方式,且具有伪造源IP地址的能力"
TFN由主控程序(tribe.c)和守护程序(td.c)组成"攻击者可以通过多种方
式(比如绑定到TCP端口的远程Shell,基于UDP的客户/服务器远程Shell,基于
ICMP的客户/服务器远程Shell,SSH终端会话等)与Master建立连接"Master与
Agent之间的通讯通过ICMp协议完成"Master向Agent发送一个ICMpEchoReply
数据包(序列号总是Ox000O,使得看上去象对/ping0命令发送的初始包的回应
包),将控制命令及相关参数分别放置在16字节的ID字段和数据部分,随后由
Agent对命令进行解析!执行"此外,Master会使用blowfish算法对Agent列表文
件iphst进行加密,以保护Agent不被发现"
(3)TFNZK
TFNZK是由TFN发展而来的,在TFN基础上增加了一些新的功能"首先,
除了TFN已有的攻击方式外,TFNZK还能够发送畸形报文,导致系统瘫痪或死锁;
能够发送由多种攻击方式组成的混合攻击"其次,所有命令经过CAST一256算法加
密,其关键字即编译程序时的输入的口令,并且这个口令作为唯一认证凭证"最
后,采取单向通信的方式"Master重复向Agent发送20次命令,Agent接收到命
令后,为每一个攻击产生子进程,但不对命令做任何回应"
(4)Stacheldraht
stacheldraht结合了Trinoo和TFN早期版本的功能,具备实施sYNflooding!
UDpflooding!ICMpflooding和Smurf等攻击的能力"同时在它们的基础上新增
了一些特点"例如Mastct对攻击者的认证需要攻击者提供口令,并且这个口令在
发送时经过Blowfish算法加密;其次,Master和Agent之间的通信也采用Blowfish
加密;stacheldrah中有一个内嵌的基于远程复制(remotecopy,rcp)技术的代理
升级模块,Agent程序可以自动更新"