Основы
DDoS-атака
- распределенная атака типа отказ в обслуживании (DDoS - Distributed
Denial of Service). Сегодня она является одной из самых распространенных
и опасных сетевых атак. Ежегодно атаки DDoS стоят различным компаниям и
госструктурам миллиарды долларов и таят в себе серьезную угрозу для
любой компьютерной системы. По существу, атака DoS нарушает или
полностью блокирует обслуживание законных пользователей, сетей, систем и
иных ресурсов. Результат таких атак - длительные простои системы,
потерянная прибыль, большие объемы работ по идентификации атак и
подготовка адекватных ответных мер.
По данным Computer Emergency
Response Team (CERT) - авторитетной международной организации в области
безопасности Интернета, количество DDoS-атак резко возросло именно в
последние годы, хотя сама технология известна уже достаточно давно.
Новейшие информационные технологии теперь активно используются
организованными преступными группировками. Впрочем, мотивация атакующих
может быть самой различной: мелкая месть, чрезмерно рьяная конкуренция
или вымогательство. Независимо от конкретных причин, цель атакующих -
поставить систему-мишень на колени, задействовав множество атак в
диапазоне от локального прекращения сервиса до массивного
DDoS-"наводнения".
Большинство DDoS-атак базируется на
использовании уязвимостей в основном протоколе Internet (TCP/IP), в
частности, на способе обработки системами запроса SYN. Эта ситуация
усугубляется еще и тем, что взломщики, чтобы сохранить свою анонимность,
используют ложные исходные адреса. Таким образом, значительно
затрудняется выявление реальных злоумышленников. Кроме того, широкое
распространение DDoS-атак показало несостоятельность традиционно
применявшихся в глобальной Сети технологий обеспечения безопасности.
Многие эксперты по вопросам безопасности считают, что число таких атак
возрастает из-за быстрого распространения систем Windows NT/XP и роста
Интернета. Операционная система Windows - мишень для абсолютного
большинства взломщиков. Кроме того, многие средства DDoS очень
легкодоступны, и для их использования не требуется высокая квалификация.
Типы атак DDoS
Существует
два основных типа атак, вызывающих отказ в обслуживании. Первый тип
приводит к остановке всей работы системы или сети. Если взломщик
посылает жертве данные или пакеты, которые она не ожидает, и это
приводит либо к остановке системы, либо к ее перезагрузке, значит,
взломщик проводит атаку DDoS, поскольку никто не сможет получить доступ к
ресурсам. С точки зрения взломщика, эти атаки хороши тем, что с помощью
нескольких пакетов можно сделать систему неработоспособной. В
большинстве случаев для того, чтобы вернуть систему в нормальный режим
работы, необходима перезагрузка системы администратором. Таким образом,
первый тип атак является наиболее разрушительным, поскольку осуществить
атаку легко, а для устранения ее последствий требуется вмешательство
оператора.
Второй (более распространенный) тип атак приводит к
переполнению системы или локальной сети с помощью такого большого
количества информации, которое невозможно обработать. Например, если
система может обрабатывать только 10 пакетов в секунду, а взломщик
отправляет 20 пакетов в секунду, то когда законные пользователи пытаются
подключиться к системе, они получают отказ в обслуживании, поскольку
все ресурсы заняты. При такой атаке злоумышленник должен постоянно
переполнять систему пакетами. После того как он перестает заполнять
систему пакетами, проведение атаки прекращается, и система возобновляет
нормальную работу. Этот тип атаки требует больше усилий со стороны
взломщика, поскольку ему необходимо постоянно активно воздействовать на
систему. Иногда этот тип атаки приводит к остановке системы, однако в
большинстве случаев восстановление после проведения этой атаки требует
минимального вмешательства человека.
При проведении DDoS-атаки
второго типа подвергшаяся нападению машина (чаще всего это сервер)
получает пакеты одновременно от большого количества машин, хозяева
которых сами могут и не подозревать о происходящем. Кроме того,
поскольку эти атаки проводятся с широкого диапазона IP-адресов,
становится гораздо сложнее блокировать и обнаруживать нападение по той
причине, что небольшое количество пакетов с каждой машины может не
вызвать реакции со стороны систем обнаружения вторжений. Если атака
проводится с одного IP-адреса, его можно блокировать с помощью
брандмауэра. Если же задействовано 1000 машин, то блокировать их
становится чрезвычайно трудно.
Причем, как правило, атака против
единственной жертвы проводится с множества компьютеров, разбросанных по
всему миру. Если даже проводимые с одного источника атаки DDoS бывает
сложно предотвращать, то можно себе представить, насколько сложнее
защищаться от таких атак, которые проводятся с множества машин,
расположенных в разных местах. К тому же от атак DDoS защититься
довольно сложно еще и потому, что жертва никогда не может исключить
полностью возможность ее проведения. Если компьютерная система
подключается к Интернету, то всегда есть вероятность того, что взломщик
может отправить в нее такое количество данных, которое она будет не в
состоянии обрабатывать.
Вот конкретный пример того, как
организовываются DDoS-атаки в наши дни - посредством комбинирования
компьютерных технологий и приемов социальной инженерии. В Интернете в
начале января 2005 года компьютерной компанией Sophos была зафиксирована
рассылка почтового вируса, маскирующегося под просьбу помочь жертвам
цунами в Юго-Восточной Азии. Вирус приходил в виде письма с заголовком
"Tsunami dotation! Please help!" ("Пожертвования на цунами, пожалуйста,
помогите") и приложенным исполняемым файлом "tsunami.exe". Собственно,
этот файл и содержал вирус. При активации он заражал компьютер
пользователя, рассылал свои копии по всем найденным в компьютере адресам
и готовился совершить DDoS-атаку на один из немецких хакерских сайтов.
Метода защиты от DDoS-атак
DDoS
нападение распознать просто – замедление работы сети и серверов,
заметное как администратору системы, так и обычному пользователю. Первым
шагом в нашей защите мы должны идентифицировать тип трафика, который
загружает нашу сеть. Большинство нападений DDoS посылает очень
определенный тип трафика - ICMP, UDP, TCP, часто с поддельными IP
адресами. Нападение обычно характеризует необычно большое количество
пакетов некоторого типа. Исключением к этому правилу являются DDoS
нападения, направленные против определенных служб, типа HTTP, используя
допустимый трафик и запросы.
Чтобы идентифицировать и изучить пакеты,
мы должны анализировать сетевой трафик. Это можно сделать двумя
различными методами в зависимости от того, где исследуется трафик.
Первый метод может использоваться на машине, которая расположена в
атакуемой сети. Tcpdump - популярный сниффер, который хорошо подойдет
для наших целей. Анализ трафика в реальном масштабе времени невозможен
на перегруженной сети, так что мы будем использовать опцию "-w", чтобы
записать данные в файл. Затем, используя инструмент типа tcpdstat или
tcptrace, мы проанализируем результаты. Результаты работы tcpdstat, на
нашем tcpdump файле:
Код DumpFile: test
FileSize: 0.01MB
Id: 200212270001
StartTime: Fri Dec 27 00:01:51 2002
EndTime: Fri Dec 27 00:02:15 2002
TotalTime: 23.52 seconds
TotalCapSize: 0.01MB CapLen: 96 bytes
# of packets: 147 (12.47KB)
AvgRate: 5.56Kbps stddev:5.40K PeakRate: 25.67Kbps
### IP flow (unique src/dst pair) Information ###
# of flows: 9 (avg. 16.33 pkts/flow)
Top 10 big flow size (bytes/total in %):
26.6% 16.5% 14.7% 11.6% 9.8% 7.6% 5.4% 5.4% 2.5%
### IP address Information ###
# of IPv4 addresses: 7
Top 10 bandwidth usage (bytes/total in %):
97.5% 34.1% 31.2% 21.4% 10.7% 2.5% 2.5%
### Packet Size Distribution (including MAC headers) ###
<<<<
[ 32- 63]: 79
[ 64- 127]: 53
[ 128- 255]: 8
[ 256- 511]: 6
[ 512- 1023]: 1
>>>>
### Protocol Breakdown ###
<<<<
protocol packets bytes bytes/pkt
------------------------------------------------------------------------
[0] total 147 (100.00%) 12769 (100.00%) 86.86
[1] ip 147 (100.00%) 12769 (100.00%) 86.86
[2] tcp 107 ( 72.79%) 6724 ( 52.66%) 62.84
[3] telnet 66 ( 44.90%) 3988 ( 31.23%) 60.42
[3] pop3 41 ( 27.89%) 2736 ( 21.43%) 66.73
[2] udp 26 ( 17.69%) 4673 ( 36.60%) 179.73
[3] dns 24 ( 16.33%) 4360 ( 34.15%) 181.67
[3] other 2 ( 1.36%) 313 ( 2.45%) 156.50
[2] icmp 14 ( 9.52%) 1372 ( 10.74%) 98.00
Как
видно, эти простые утилиты могут быстро помочь определить тип
преобладающего трафика в сети. Они позволяют сэкономить много времени,
анализируя и обрабатывая зафиксированные пакеты.
Для контроля
входящего трафика может использоваться маршрутизатор. С помощью списков
ограничения доступа, маршрутизатор может служить основным пакетным
фильтром. Скорее всего он также служит шлюзом между вашей сетью и
интернетом. Следующий пример от Cisco иллюстрирует очень простой способ
использовать списки доступа, чтобы контролировать входящий трафик:
Код access-list 169 permit icmp any any echo
access-list 169 permit icmp any any echo-reply
access-list 169 permit udp any any eq echo
access-list 169 permit udp any eq echo any
access-list 169 permit tcp any any established
access-list 169 permit tcp any any
access-list 169 permit ip any any
interface serial 0
ip access-group 169 in
Используя команду "show access-list", система покажет количество совпавших пакетов для каждого типа трафика:
Код Extended IP access list 169
permit icmp any any echo (2 matches)
permit icmp any any echo-reply (21374 matches)
permit udp any any eq echo
permit udp any eq echo any
permit tcp any any established (150 matches)
permit tcp any any (15 matches)
permit ip any any (45 matches)
Результаты
просты, но эффективны – обратите внимание на высокое число ICMP
echo-reply пакетов. Подробная информация может быть собрана о
подозреваемых пакетах, добавляя в конец команду "log-input" к
специфическому правилу. Это правило будет регистрировать информацию о
любом ICMP трафике:
access-list 169 permit icmp any any echo-reply log-input
Маршрутизатор
теперь более подробно регистрирует собранные данные (которые можно
посмотреть используя "show log") о соответствующих пакетах. В пример
ниже, файл регистрации показывает несколько пакетов, соответствующих
правилу DENY ICMP:
Код %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.142 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.113 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.72 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.154 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.15 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.142 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.47 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.35 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.113 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.59 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.82 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.56 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.84 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.47 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.35 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.15 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
%SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.33 (Serial0 *HDLC*) -> 10.2.3.7 (0/0), 1 packet
Обратите
внимание на информацию, содержавшуюся в каждой строке: источник и адрес
назначения, интерфейс и правило, которому оно соответствует. Этот тип
детальной информации поможет определить нашу защиту.
Реакция
После
того, как мы идентифицировали подозреваемый трафик, пришло время
исследовать, как нам ответить на нападение. К сожалению, варианты
несколько ограничены, потому что большинство DDoS нападений использует
поддельные исходные IP адреса, которые вероятно сгенерированы случайным
образом. Так что же нам делать?
Отслеживаем источник атаки
Первое,
что приходит в голову, это попытаться "проследить" источник атаки.
Однако DDoS, в отличие от традиционного DoS, исходит из множественных
источников. Поэтому неплохо было бы определить транзитный маршрутизатор,
через который проходят большинство пакетов. К сожалению, для этого
потребуется сотрудничать с несколькими источниками, так как вы не
способны исследовать пакеты на вышестоящих маршрутизаторах. Каждый
участник процесса (главным образом ISP провайдеры) будут использовать
очень похожие методы. Идентифицировав злонамеренный тип трафика,
используя вышеописанные методы, будет создан новый список ограничения
доступа. Добавив его к правилам, которые применены к интерфейсу, который
посылает трафик атакуемому адресату, мы снова используем команду
"log-input". Регистрация подробно запишет информацию об исходном
интерфейсе и MAC адресе источника атаки. Эти данные могут
использоваться, чтобы определить IP адрес маршрутизатора, отправляющего
злонамеренный трафик. Процесс будет повторен на следующем маршрутизаторе
в цепочке. После нескольких итераций, источник (или один из них) будет
обнаружен. Тогда можно создать соответствующий фильтр, который
заблокирует атакующего. Недостаток в этом методе защиты от DDoS
нападения – время и сложность. Получение таких данных требует работы с
несколькими сторонами, и иногда использование правового принуждения.
Ограничение допустимого предела ("rate limit”)
Лучший
способ немедленной помощи, доступный большинству ISP провайдеров,
должно быть "ограничение допустимого предела” злонамеренного типа
трафика. Ограничение допустимого предела ограничивает пропускную
способность, которую определенный тип трафика может потреблять в данный
момент времени. Это может быть достигнуто, удаляя полученные пакеты,
когда превышен некоторый порог. Полезно, когда определенный пакет
используется в нападении. Cisco предлагает способ, который позволяет
ограничить ICMP пакеты, используемые в нападении:
Код interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
Этот
пример поднимает интересную проблему, которая была отмечена ранее. Что,
если злонамеренный трафик полностью законный? Например, ограничение SYN
flood, направленное на Web сервер, отклонит и хороший и плохой трафик,
так как все законные подключения требуют начального установления связи.
Это трудная проблема, не имеющая простого ответа. Нельзя просто
защитится от таких типов хитрых DDoS нападений, не принося в жертву
часть законного трафика.
Фильтрация черной дыры
ISP
провайдеры могут использовать другие способы защиты, которые зависят от
изменения маршрутизации, типа фильтрации "черных дыр”. "Black hole”
фильтрация отправляет злонамеренный трафик к воображаемому интерфейсу,
известному как Null0 – подобный /dev/null на Unix машинах. Так как Null0
- не существующий интерфейс, трафик, направленный к Null0, по существу
удаляется. Кроме того, эта методика минимизирует воздействие
производительности, так как остальная часть сети остается устойчивой при
тяжелых загрузках.
Важно отметить, что адресная фильтрация - не
лучший способ защиты против DDoS нападений. Даже если вы заблокировали
нападение на своем маршрутизаторе или межсетевой защите – все еще
большие порции входящего трафика могут затруднить прохождение законного
трафика. Чтобы действительно облегчить эффект от DDoS нападения, трафик
должен быть блокирован в вышестоящей цепочке – вероятно на устройстве,
управляемом большим провайдером. Это означает, что многие из программ,
которые утверждают, что предотвращают DDoS нападения, в конечном счете,
бесполезны для маленьких сетей и их конечных пользователей. Кроме того,
это означает, что предотвращение DDoS нападения, в некоторый момент, не
зависит от нас. Это печальная правда, понятная любому, кто когда-либо
имел дело с проблемой.
Предотвращение
Если
вы удачно защитились от DDoS нападения, удостоверьтесь, что вы
используете следующие предосторожности, которые будут препятствовать
вашей собственной сети участвовать в DDoS нападениях.
Нужно включить
команду "ip verify unicast reverse-path" (или не Cisco эквивалент) на
входном интерфейсе подключения восходящего потока данных. Эта
особенность удаляет поддельные пакеты, главную трудность в защите от
DDoS нападений, прежде, чем они будут отправлены. Дополнительно,
удостоверьтесь, что блокирован входящий трафик с исходными адресами из
зарезервированных диапазонов (то есть, 192.168.0.0). Этот фильтр удалит
пакеты, источники которых очевидно неправильны.
Входящие и
исходящие методы фильтрации, также критичны для предотвращения DDoS
нападений. Эти простые списки ограничения доступа, если внедрены всеми
ISP провайдерами и большими сетями, могли бы устранить пересылку
поддельных пакетов в общедоступный интернет, сокращая тем самым время,
требуемое для розыска атакующего. Фильтры, помещенные в граничные
маршрутизаторы, гарантируют, что входящий трафик не имеет исходного
адреса, происходящего из частной сети и что еще более важно, что трафик
на пересекающихся курсах действительно имеет адрес, происходящий из
внутренней сети. RFC2267 - большой основа для таких методов фильтрации.
"Коммерческий" DDoS
Аналитики
уже давно предсказывают, что в будущем DDoS-атаки будут одним из
основных видов оружия в кибервойнах. В Интернете уже давно бушуют
конфликты - от дилетантских взломов сайтов небольших фирм до хакерского
проникновения в сети транснациональных корпораций и крупных госструктур.
Но пока DDoS-атаки все же чаще используются организованными
преступниками в своих целях.
Спрос порождает предложение. По
сообщению ряда СМИ, уже и в Рунете появилась своеобразная "услуга",
когда киберпреступники предлагают заблокировать доступ пользователей
Интернета к тому или иному сайту за 150 - 250 USD в сутки. Правда,
многие эксперты утверждают, что за предложением "убить" веб-страницу по
предоплате может скрываться обычное мошенничество.
Типичное
рекламное предложение этой "услуги" выглядит примерно так: "Мы рады вам
предоставить качественный сервис по устранению сайтов, мы можем положить
любой сайт нашей атакой, которая называется DDoS-атака". Согласно
прайс-листу, шестичасовой простой веб-сайта обойдется заказчику в 60
USD, а суточный - в 150 USD. По предоплате. Однако, судя по всему,
серьезные организаторы DDoS-атак свою деятельность не афишируют, а
заказчиков им поставляют организованные криминальные структуры.
DDoS-"невидимка"
Специалисты
хорошо знают: преступления в сфере компьютерных технологий специфичны
прежде всего тем, что имеют высокий уровень латентности. Так, по данным
Национального отделения ФБР по компьютерным преступлениям, от 85% до 97%
компьютерных посягательств не выявляются либо не предаются огласке. По
оценкам других экспертов, латентность компьютерных преступлений в США
достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более
90%.
Причина такой ситуации в том, что многие организации, по тем
или иным мотивам, разрешают конфликт своими силами, не обращаясь к
правоохранительным органам. Чаще всего это боязнь огласки и, как
следствие, потери репутации в деловых кругах. Другой распространенный
вариант - опасения топ-менеджеров, что начавшееся расследование вскроет и
их собственные грязные делишки. В результате пострадавшие от DDoS-атак
бизнес-структуры в большинстве случаев решают эту проблему исключительно
организационно-техническими методами. И, как следствие, способствуют
тому, что организаторы DDoS-атак остаются безнаказанными.
Проги для DDos
Bug
В
основном все DDoS-тулзы работают по такой схеме: хакер получает доступ к
машине, устанавливает на нее программу-демона из комплекта своей
DDoS-тулзы - проделывает то же самое еще с несколькими машинами. Машина,
на которую установили демона, называется "зомби" (а процесс этот
называется - "зомбировать"). Потом он запускает программу-мастера (тоже
из комплекта DDoS-тулзы) на своем компе (иногда мастера, как и демона,
можно установить на удаленную машину) и командует ей начать атаку на
такой-то IP. Мастер в свою очередь командует всем демонам пинговать
жертву. Получается, что несколько машин из разных точек нета атакуют
одну, и, если зомбированных компов достаточно, жертве скоро настает
3.14zDoS, а вернее - 3.14zDDoS, так как атака распределенная  . Это теория. А мы сейчас поглядим, что собой представляют эти самые DDoS-тулзы на самом деле. Let`s do it!
TFN
Tribe
Flood Net Project - одна из первых DDoS-тулз. Арсенал TFN состоит из
udp flood, syn flood, icmp flood и smurf`а. TFN был разработан хацкером
под ником Mixter, который считается одним из наиболее грамотных людей,
шарящих в DDoS-атаках (его статью о будущем DDoS-атак можно почитать
тут: http://packetstorm.linuxsecurity.com/distributed/tfn3k.txt). Сам TFN можно утянуть по этой ссылке: http://packetstorm.linuxsecurity.com/distributed/tfn.tgz.
После распаковки появится директория TFN. Чтоб скомпилировать тулзу,
надо перейти в эту директорию и ввести "make". После этого появится три
исполняемых файла: td, tfn и tfn-rush. td - это демон, tfn - мастер, а
tfn-rush - тоже мастер, но работающий в каком-то rush-mode. Итак, давай
установим у себя на машине демона, чтоб посмотреть, как все это
работает, - вводим в командной строке:
./td
На этом
тяжелейшая задача по установке демона решается. Теперь надо создать
iplist - файл, в котором должны лежать IP-адреса зомбированных компов.
Так как зомби у нас один (наша же тачка), открываем любой текстовый
редактор, пишем в нем одну строку - 127.0.0.1 - и сохраняем его под
именем iplist в директорию, куда разархивировался TFN. Теперь можно
атаковать.
Вводим:
./tfn ./iplist 3 127.0.0.1
Это мы, типа, атаковали пингом. Если хочешь узнать, какие еще есть способы, запусти tfn без параметров.
Чтоб
подвести итог, могу сказать, что TFN - отличный инструмент, четкий,
понятный, простой и безглючный. Но уже достаточно древний (от чего он не
стал хуже - просто его потомки стали лучше)...
TFN2K
Это
современная версия обычного TFN (от того же Maxter`а). Отличий очень
много - появилась куча наворотов. Теперь тулза позволяет при каждом
соединении мастера с демоном произвольно менять порты и методы атаки -
так что блокировка firewall`ом одного из портов уже не спасает.
Появилась куча новых атак, пароль на доступ к демону (чтоб левые перцы
не могли воспользоваться зазомбированной тобой тачкой) и т.д. Кроме
того, TFN2k умеет по-человечески спуфить IP`шники (если ничего не
задавать специально, IP будет спуфиться random`ом).
Одно плохо - при компилировании этой тулзы полезли баги  .
Пришлось лезть в исходники и искать ошибки. Все запахало нормально,
когда я заменил везде в файлах ip.h, ip.c и tribe.c "in_addr" на
"in_addr_". Ну ладно, будем считать, что когда ты сидишь под линухом,
лезть постоянно в исходники - это в порядке вещей (а это разве плохо?
нужна тебе прога - лезь в исходники. Под виндами такой возможности
вообще нет - если прога глючит и не работает, то можно забыть про нее
насовсем - прим. ред.). Зато после моих ковыряний все нормально
откомпилировалось (во время компиляции меня попросили задать пароль), и в
директории появилось несколько бинарников, из которых нас интересуют
только td (демон) и tfn (мастер). Как и раньше, запускаем демона (./td),
а потом мастера:
./tfn -f ./iplist -c 6 -i 127.0.0.1
И
вводим пароль, который задали во время компиляции. Это опять icmp flood.
Чтоб узнать, как делаются другие атаки, запусти tfn без параметров.
Итог:
TFN2k - хоть и немного подглючил при установке, оказался очень мощным и
гибким DDoS-инструментом. Наверное, самым лучшим на сегодняшний день.
Да, чуть не забыл - TFN2k качается тут: http://packetstorm.linuxsecurity.com/distributed/tfn2k.tgz.
STACHELDRAHT
У
этой тулзы печальная история - ее сначала зарезили в нерабочем виде
(некто Randomizer), и только потом некто Psychoid отфиксил баги и
добавил новых возможностей. Посмотрим, что получилось. К достоинствам
можно отнести то, что трафик между демоном и мастером шифруется. Ну и,
конечно, куча доступных атак - тоже немаловажное достоинство. И еще:
Stacheldraht состоит не из двух частей, а из трех. Демон ставится на
зазомбированной тачке, мастер-сервер ставится на любой удаленной тачке, а
мастер-клиент - на тачке хацкера. Такой подход сводит к нулю
возможность поймать взломщика и надавать ему по ушам.
Взять можно тут: http://packetstorm.linuxsecurity.com/distr...elantigl.tar.gz. Распаковываем архивчик в директорию ./stachel и идем компилировать:
cd ./stachel
make
Попросят ввести пароль. Вводим и идем компилить дальше (в поддиректориях):
cd ./client
make
Попросят ввести IP-адрес сервака, на котором висит мастер. Вводим 127.0.0.1 и идем дальше:
cd ../telnetc
make
Все
должно пройти нормально. Если все ок, лезем в папку ./client и
запускаем бинарник td (демон). Потом возвращаемся обратно в ./stachel и
вводим:
./mserv 127.0.0.1
Прога (это мастер-сервер)
отрапортует, что нашла одного клиента. Теперь можно потирать ручки и
приступать к действиям. Идем в директорию ./telnetc и вводим:
./client 127.0.0.1
Это
и есть мастер-клиент. Прямо на входе он попросит ввести пароль. Вводим и
попадаем в интерактивное меню тулзы. Кроме всего прочего, тут куча
приколов. Например, прога пишет: "type .help if youare lame", а к тебе
обращается примерно так: "no packet action at the moment, sir". Не
DoS-тулза, а шут какой-то. Ок, давай традиционно попингуем самих себя и
оставим Stacheldraht в покое:
.micmp 127.0.0.1
Для остальных атак введи ".help".
Итог: рулезнейшая прога! Достаточно продвинутая, обладает кучей функций, знает кучу атак.
MSTREAM
Эта
тулза досталась мне в виде одного большого текстового файла: в нем
содержится код Makefile`а, код master.c и код server.c. Если тебя не
заломает выковыривать все из этого файла, можешь забрать его отсюда: http://packetstorm.linuxsecurity.com/distributed/mstream.txt.
Меня не ломает, так что я запустил текстовый редактор, аккуратно
порезал и разложил все как надо. В итоге у меня получилась директория с
тремя файлами внутри: Makefile, master.c и server.c. Компилирую:
make
Как ни странно, все сошлось с первого раза, и в папке появилось два бинарника: master и server. Запускаю демона:
./server
Молча запускается и уходит в бэкграунд. Теперь запускаю мастера:
./master
И этот уходит в бэкграунд... И что? И как? А как же DDoS-атаки и все такое? Ничего не понял...
Итог: если бы что-нибудь запустилось, можно было бы подвести итог...
TRIN00
Еще одна DDoS-тулза. Копируем отсюда архив: http://packetstorm.linuxsecurity.com/distributed/trinoo.tgz, распаковываем в какую-нибудь директорию и заходим в нее.
Две папочки: ./daemon и ./master с соответствующими составляющими Trin00 внутри. Сначала займемся мастером. Заходим в его папку:
cd ./master
и компиллируем мастера:
make
После этого в папке появится бинарник ./master. Все, мастер готов.
Теперь лезем в папку с демоном
cd ../daemon
Там лежит всего один исходник - ns.c. Его придется править. Открываем и ищем следующий фрагмент:
Это, типа, настройки мастера. Я настроил все вот так:
Далее надо откомпилировать ns.c следующей командой:
gcc -o daemon ns.c
но
что-то он у меня не захотел компилироваться. Пришлось лезть в исходник
еще раз и смотреть, в чем проблема. А проблема в том, что компилятор не
может найти функцию "crypt", которая заюзана в исходнике.
Ковыряться неохота, поэтому просто убираю эту функцию на фиг, заменив ее на дурацкое сравнение следующим образом:
Хреново,
конечно, так делать, зато после этого все нормально откомпилировалось. В
папке ./daemon появился бинарник daemon. Запускаем его:
./daemon
Теперь можно запустить и мастер:
../master/master
Появится два вопросительных знака:
Это,
типа, мастер просит ввести пароль на запуск: вводим "gOrave". Все,
мастер запущен. Теперь, чтоб с ним работать, надо прителнетиться к порту
27665.
telnet 127.0.0.1 27665
Видим следующую штуку:
Мастер ждет ввода пароля на соединение: вводим "betaalmosdone" и попадаем в командную строку Trin00:
Вот теперь можно развлекаться  .
Нет... кое-что забыли. В директории мастера надо создать файл, название
которого состоит просто из трех точек ("...") - это аналог TFN`овского
iplist`а. Пишем в него одну строчку (т.к. у нас только один демон) -
127.0.0.1 - и сохраняем. Теперь можно вернуться в меню проги. Если не
знаешь, что делать, можно ввести "help", и программа выплюнет список
доступных команд. Пингуем:
mping 127.0.0.1
Итог: довольно
глючная тулза, работает как-то криво (пакеты шлет, но почему-то очень
вяло). В общем, лучше пользоваться чем-нибудь другим, благо DDoS-тулз
достаточно.
Данная статья Выложена Только для ознакомления!
|
