黑客工具介绍之DDoS攻击工具Trinoo分析

　　从trinoo主服务器到守护程序的连接是在27444/UDP端口上实现。ming令行格式如下：

　　arg1 passWord arg2

　　其中缺省的口令是"l44adsl"，只有包含此口令子串"l44"的ming令行会被执行。

　　从trinoo守护程序到主服务器的连接是在31335/UDP端口上实现。

　　当守护程序启动时，它将发送初始化字符串"*HELLO*"到主服务器。主服务器会（通过"sniffit"程序捕获）记录并维护已激活的守护程序清单：

　　UDP Packet ID (from_IP.port-to_IP.port): 192.168.0.1.32876-10.0.0.1.31335
　　45 E 00 . 00 . 23 # B1 . 5D ] 40 @ 00 . F8 . 11 . B9 . 27 . C0 . A8 . 00 . 01 .
　　0A . 00 . 00 . 01 . 80 . 6C l 7A z 67 g 00 . 0F . 06 . D4 . 2A * 48 H 45 E 4C L
　　4C L 4F O 2A *

　　如果trinoo主服务器通过27444/UDP端口向一个守护程序发送"png"ming令，该守护程序将通过31335/UDP端口向发送"png"ming令的主机返回字符串"PONG"：

　　UDP Packet ID (from_IP.port-to_IP.port): 10.0.0.1.1024-192.168.0.1.27444
　　45 E 00 . 00 . 27 ' 1A . AE . 00 . 00 . 40 @ 11 . 47 G D4 . 0A . 00 . 00 . 01 .
　　C0 . A8 . 00 . 01 . 04 . 00 . 6B k 34 4 00 . 13 . 2F / B7 . 70 p 6E n 67 g 20
　　6C l 34 4 34 4 61 a 64 d 73 s 6C l
　　UDP Packet ID (from_IP.port-to_IP.port): 192.168.0.1.32879-10.0.0.1.31335
　　45 E 00 . 00 . 20　 13 . 81 . 40 @ 00 . F8 . 11 . 57 W 07 . C0 . A8 . 00 . 01 .
　　0A . 00 . 00 . 01 . 80 . 6F o 7A z 67 g 00 . 0C . 4E N 24 $ 50 P 4F O 4E N 47 G

　　口令保护

　　主服务器和守护程序都有口令保护，以阻止系统管理员（或其他黑客组织）得到该trinoo网络的控制权。口令使用crypt()函数加密。这是一种对称式加密方式。经过加密的口令保存在已编译的主服务器和守护程序中，并与以明文方式在网络中传输的口令比较（目前的版本并没有加密通讯会话，因此不难截获在主服务器TCP控制会话中传送的明文口令。

　　初始化运行时，出现主守护进程提示符，将等待输入口令。如果口令不正确，程序退出；如果口令正确，提示进程正在运行，然后产生子进程在后台运行，最后退出：

　　# ./master
　　?? wrongpassword
　　#
　　　. . .
　　# ./master
　　?? gOravev1.07d2+f3+c [Sep 26 1999:10:09:24]
　　#

　　与此类似地，当连接到远程ming令端口（27665/TCP）时，你也必须输入口令：

　　attacker$ telnet 10.0.0.1 27665
　　Trying 10.0.0.1
　　Connected to 10.0.0.1
　　Escape character is '^]'.
　　kwijibo
　　Connection closed by foreign host.
　　. . .
　　attacker$ telnet 10.0.0.1 27665
　　Trying 10.0.0.1
　　Connected to 10.0.0.1
　　Escape character is '^]'.
　　betaalmostdone
　　trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/]

　　从主服务器发送到trinoo守护程序的某些ming令也会有口令保护。这些口令在主服务器与守护程序间又明文形式传送。

　　缺省的口令如下：

　　"l44adsl"　 trino守护程序口令
　　"gOrave"trinoo主服务器启动（提示"?? "）
　　"betaalmostdone"trinoo主服务器远程接口口令
　　"killme"trinoo主服务器控制指令"mdie"验证口令

　　主服务器ming令

　　rinoo主服务器支持以下ming令：

　　　die 关闭主服务器
　　　quit退出主服务器登录
　　　mtimer N设置DoS定时器为N秒。N的取值范围从1到1999秒。如果N<1，2000，则使用缺省值500。
　　　mdie pass　 如果口令验证通过，则停止所有广播（Bcast）主机。ming令
　　　"d1e 144adsl"被发送到每一个广播主机，使它们停止。此命

　　　令需要一个单独的口令。

　　　mping　 发送PINGming令"png 144adsl"到每一台已激活的广播主机。
　　　mdos

　　　向每一个广播主机发送多DoS攻击ming令

　　　（"xyz 144adsl 123:ip1:ip2:ip3"）。
　　　info打印版本和编译信息。如：
　　This is the "trinoo" AKA DoS PRoject master server version v1.07d2+f3+c
　　Compiled 15:08:41 Aug 16 1999
　　　msize　 设置DoS攻击时使用的数据包缓冲区大小。

　　　nslookup host对指定的主机进行域名查询。

　　　killdead尝试清除死锁的广播主机。首先向所有已知的广播主机发送

　　　"shi l44adsl"ming令。（任何处于激活状态的守护程序会回

　　　送初始化字符串"*HELLO*"。）然后（通过-b参数）修改广

　　　播主机清单文件名字。这样当"*HELLO*"包被接收后能够重

　　　新初始化。

　　　usebackup　 切换到由"killdead"ming令建立的广播主机备份文件。
　　　bcast　 列出所有激活的广播主机。
　　　help [cmd]　服务器或ming令的帮助信息，
　　　mstop　 试图停止一个DoS攻击（此现在尚未实现，但在helpming令中列出。）

　　守护程序ming令

　　Trinoo守护程序支持以下ming令：

　　　aaa pass IP　 攻击指定的IP地址。按固定的时间间隔（缺省为120秒，或

　　"bbb"ming令设定的1-1999值）向指定IP地址的随机UDP端口

　　（0-65534）发送UDP数据包。数据包大小由"rsz"ming令指定，

　　缺省为1000字节。noo守护程序

　　　rsz N 设置DoS攻击的缓冲区大小为N字节。（Trinoo守护程序调

　　用malloc()分配该大小的缓冲区，然后发送随机的数据包

　　内容进行攻击。）

　　　xyz pass 123:ip1:ip2:ip3

　　多个DoS攻击。类似"aaa"ming令，但可以同时攻击多个IP地址。

　　工 具 特 征

　　-----------

　　最常使用的安装trinoo守护程序的方法是在系统中添加crontab项，以使守护程序能在每分钟均在运行。检查crontab文件会发现如下内容：

　　* * * * * /usr/sbin/rpc.listen

　　主服务器程序会建立一个包含广播主机清单的文件（缺省文件名为"..."）。如果使用了"killdead"，向"..."文件中的所有守护程序发送"shi"ming令会使这些守护程序向所有的主服务器发送初始化字符串"*HELLO*"。然后这个清单文件被改名（缺省为"...-b"），而根据每一个发送了"*HELLO*"字符串（激活状态）的守护程序生成新的清单文件。

　　源代码（"master.c"）包含以下程序行：

　　. . .
　　/* crypt key encrypted with the key 'bored'(so h