메뉴펼치기
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
해당 자료는 2페이지 까지만 미리보기를 제공합니다.
2페이지 이후부터 다운로드 후 확인할 수 있습니다.
2페이지 이후부터 다운로드 후 확인할 수 있습니다.
목차
DDOS란
Trinoo의 구조
TFN 이란
Trinoo의 구조
TFN 이란
본문내용
IP로 DOS공격 시작
위의 명령어들은 직접 Attacker가 사용되지 않는다. 단지 Attacker의 명령을 통해서 Handler에서 생성된 Daemon제어용 명령어이다.
TFN (Tribe Flood Network)
Trinoo와는 달리 Attacker가 Master로 접속하기 위한 별도의 Port#가 준비되어 있지는 않다.
Attacker가 Master로 접근하려면 TELNET등의 프로그램을 사용해서 Master내에서
Hhandler를 직접 실행해야 한다
또한, Trinoo와는 달리 실행에 필요한 별도의 암호가 없지만, Master와 Agent모두 ICMP를
사용하므로 root권한을 필요로 한다.
공격방법은 매우 다양하며, ICMP/TCP SYN/UDP floods, 그리고, Smurf공격이 가능하다.
Master와 Agent의 통신에는 ICMP ECHO_REPLY메시지를 사용하므로 별도의 Port#를
열어둘 필요가 없으므로 쉽게 탐지되지 않는다.
Client프로그램과 Daemon사이의 통신은 ICMP_ECHOREPLY를 사용하며, ICMP패킷의 ID(identifier)필드에 COMMAND를 DATA필드에 argument정보를 실어서 보낸다.
type(0/8)
1byte
code(0)
1byte
checksum
2byte
identifier
2byte
sequence number
2byte
optional data
ICMP패킷의 ID필드의 값을 정의방법
사용방법
Trinoo에서는 Handler와 Daemon간의 상호인식과정이 있어서 Daemon은 자신을 통제하도록 지정된 Handler이외에는 연결될 수 없었다. 하지만, TFN은 Daemon이 설치된 Agent들의
주소만 알고 있으면 어떤 Handler프로그램에서도 통제할 수 있다.
Handler프로그램이 실행된다
지정된로 각각 ICMP_ECHOREPLY패킷이 전송된다.
(ID필드: COMMAND, DATA필드: argument)
DoS공격명령을 받은 각각의 Daemon프로그램은 target IP를 향해서 일제히 DoS공격을 시작한다
Master
210.107.198.140
Agent
127.0.0.1(210.107.198.140)
210.107.198.119
Target
210.107.198.144
공격유형
SYN floods
(RANDOM port#)
공격명령에 대해서 Agent(210.107.198.119)와의 통신에 사용되는 ICMP ECHO_REPLY
패킷을 캡쳐한 모습
ID: 0x02a6 (678=ID_SYNPORT)
DATA: 30 00 (RANDOM Port#의 의미)
< Agent(210.107.198.119)에게 SYN공격의 Target(210.107.198.144)을 지정하는 모습 >
ID: 0x0159 (345=ID_SENDSYN)
DATA: 210.107.198.144
< Agent(210.107.198.119)로부터 ID_ACK를 응답 받는 모습 >
ID: 0x7b (123=ID_ACK)
DATA: SYN flood: port 0, multiple targets
위의 명령어들은 직접 Attacker가 사용되지 않는다. 단지 Attacker의 명령을 통해서 Handler에서 생성된 Daemon제어용 명령어이다.
TFN (Tribe Flood Network)
Trinoo와는 달리 Attacker가 Master로 접속하기 위한 별도의 Port#가 준비되어 있지는 않다.
Attacker가 Master로 접근하려면 TELNET등의 프로그램을 사용해서 Master내에서
Hhandler를 직접 실행해야 한다
또한, Trinoo와는 달리 실행에 필요한 별도의 암호가 없지만, Master와 Agent모두 ICMP를
사용하므로 root권한을 필요로 한다.
공격방법은 매우 다양하며, ICMP/TCP SYN/UDP floods, 그리고, Smurf공격이 가능하다.
Master와 Agent의 통신에는 ICMP ECHO_REPLY메시지를 사용하므로 별도의 Port#를
열어둘 필요가 없으므로 쉽게 탐지되지 않는다.
Client프로그램과 Daemon사이의 통신은 ICMP_ECHOREPLY를 사용하며, ICMP패킷의 ID(identifier)필드에 COMMAND를 DATA필드에 argument정보를 실어서 보낸다.
type(0/8)
1byte
code(0)
1byte
checksum
2byte
identifier
2byte
sequence number
2byte
optional data
ICMP패킷의 ID필드의 값을 정의방법
사용방법
Trinoo에서는 Handler와 Daemon간의 상호인식과정이 있어서 Daemon은 자신을 통제하도록 지정된 Handler이외에는 연결될 수 없었다. 하지만, TFN은 Daemon이 설치된 Agent들의
주소만 알고 있으면 어떤 Handler프로그램에서도 통제할 수 있다.
Handler프로그램이 실행된다
지정된
(ID필드: COMMAND, DATA필드: argument)
DoS공격명령을 받은 각각의 Daemon프로그램은 target IP를 향해서 일제히 DoS공격을 시작한다
Master
210.107.198.140
Agent
127.0.0.1(210.107.198.140)
210.107.198.119
Target
210.107.198.144
공격유형
SYN floods
(RANDOM port#)
공격명령에 대해서 Agent(210.107.198.119)와의 통신에 사용되는 ICMP ECHO_REPLY
패킷을 캡쳐한 모습
ID: 0x02a6 (678=ID_SYNPORT)
DATA: 30 00 (RANDOM Port#의 의미)
< Agent(210.107.198.119)에게 SYN공격의 Target(210.107.198.144)을 지정하는 모습 >
ID: 0x0159 (345=ID_SENDSYN)
DATA: 210.107.198.144
< Agent(210.107.198.119)로부터 ID_ACK를 응답 받는 모습 >
ID: 0x7b (123=ID_ACK)
DATA: SYN flood: port 0, multiple targets
추천자료
- 가격1,000원
- 페이지수8페이지
- 등록일2005.03.28
- 저작시기2005.03
- 파일형식한글(hwp)
- 자료번호#290475
본 자료는 최근 2주간 다운받은 회원이 없습니다.
