336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
[DDoS] About Trinoo

# 최초의 DDoS Attack : 1999년 8월 17일 미네소타 대학 공격

# Trinoo
UDP Flooding을 일으키는 대표적인 툴
  • 사용하는 통신 포트
    • attacker -> master : TCP 27665
    • master -> daemons : UDP 27444
    • daemons -> master : UDP 31335
  • master가 daemons에게 명령을 보낼 때 사용되는 Default password(plain text)
    • l44adsl - trinoo daemon password
    • gOrave - trinoo master server startup
    • betaalmostdone - trinoo master remote interface password
    • killme - trinoo master password to control "mdie" command
  • trinoo가 설치되는 파일 이름
    • ns
    • http
    • rpc.trinoo
    • rpc.listen
    • trinix
    • rpc.irix
    • irix
  • 주기적으로 trinoo daemon을 실행하기 위해 crontab에 등록한 예
    • * * * * *  /usr/sbin/rpc.listen
  • 탐지 방법
    • 네트워크 트래픽 체크 - tcpdump, snoop 등(UDP 트래픽 급증함)
    • nmap 체크
      nmap -PI -sT -p 27665 host
      nmap -PI -sU -p 31335 host
      nmap -PI -sU -p 27444 host
    • crontab 이나 디렉토리 검색
      master : tserver1900
      daemon : tsolnmb, ns, httpd, rpc.trinoo, rpc.listen, trinix, rpc.irix, irix
    • lsof, ps, netstat 등을 통해 포트 확인
      lsof | egrep "31335|27665"
      lsof -p pid (파일경로 확인)

그림출처 : linuxfocus.org


+ Recent posts