DDoS攻击工具——Trinoo详细分析

本文是对拒绝服务攻击工具包trinoo中主/从程序服务器的一些分析。

Trinoo守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞"statd"、"cmsd"和"ttdbserverd"入侵的。关于这些漏洞的详细资料请参阅CERT事件记录99-04：

http://www.cert.org/incident_notes/IN-99-04.html

最初的trinoo守护程序来源于某些基于UDP协议和有访问控制的远程命令shell，并很有可能附带有能自动记录的嗅探器（sniffer）。

在研究这个工具包的过程中，捕获到了Trinoo攻击网络的安装过程及一些源代码。我们就是利用这些捕获到的源代码进入了深入的分析。

对这些源代码的任何修改，如提示、口令、命令、TCP/UDP端口号或所支持的攻击方法、签名和具体功能，都可能使分析的结果与本文不同。

该守护程序是在Solaris 2.5.1和Red Hat Linux 6.0上编译并运行。主服务器（master）在Red Hat Linux 6.0上编译和运行。但也许守护程序和主服务器都可在其它同类平台中使用。

Trinoo网络可能包含几百、甚至几千台已被入侵的互联网主机组成。这些主机很可能都被装上了各种"后门"以方便再次进入系统。

在1999年8月17日，一个由至少227台主机（其中114台属于Internet2主机）组成的trinoo网络攻击了位于明尼苏达（Minnessota）大学的一台主机，其结果是该主机网络崩溃超过两天。而在调查这次攻击期间，又有至少16台其它主机被攻击，其中包括了一些美国以外的主机。（请参阅附录D以了解此次trinoo攻击的报告。

【内容导航】
第1页：DDoS攻击工具——Trinoo详细分析	第2页：攻击过程
第3页：工具特征	第4页：缺陷及弱点
第5页：Trinot脚本

聊天的危险看即时通讯常见安全问题播种者植入恶意后门黑客程序危害电脑相关资讯 DDoS Trinoo

利用物联网发动DDoS攻击的恶意程序（今 05:41）
ProtonMail付了6千美元赎金，但仍（11/06/2015 14:13:15）
浅谈JS DDoS攻击原理与防御（05/17/2015 14:03:13）

OVH 遭遇创纪录的 1Tbps DDoS 攻击（09月28日）
2015年第三季度46%的DDoS攻击都来（11/06/2015 09:35:24）
家庭和办公路由器被劫持以发动（05/13/2015 07:29:28）

本文评论查看全部评论（0）