336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[DDoS] About Trinoo
# 최초의 DDoS Attack : 1999년 8월 17일 미네소타 대학 공격
# Trinoo
UDP Flooding을 일으키는 대표적인 툴
# 최초의 DDoS Attack : 1999년 8월 17일 미네소타 대학 공격
# Trinoo
UDP Flooding을 일으키는 대표적인 툴
- 사용하는 통신 포트
- attacker -> master : TCP 27665
- master -> daemons : UDP 27444
- daemons -> master : UDP 31335
- master가 daemons에게 명령을 보낼 때 사용되는 Default password(plain text)
- l44adsl - trinoo daemon password
- gOrave - trinoo master server startup
- betaalmostdone - trinoo master remote interface password
- killme - trinoo master password to control "mdie" command
- trinoo가 설치되는 파일 이름
- ns
- http
- rpc.trinoo
- rpc.listen
- trinix
- rpc.irix
- irix
- 주기적으로 trinoo daemon을 실행하기 위해 crontab에 등록한 예
- * * * * * /usr/sbin/rpc.listen
- 탐지 방법
- 네트워크 트래픽 체크 - tcpdump, snoop 등(UDP 트래픽 급증함)
- nmap 체크
nmap -PI -sT -p 27665 host
nmap -PI -sU -p 31335 host
nmap -PI -sU -p 27444 host - crontab 이나 디렉토리 검색
master : tserver1900
daemon : tsolnmb, ns, httpd, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix - lsof, ps, netstat 등을 통해 포트 확인
lsof | egrep "31335|27665"
lsof -p pid (파일경로 확인)
그림출처 : linuxfocus.org