DDoS 攻擊工具

為了能更方便及快速的進行攻擊，許多駭客們把攻擊的程序編寫成 了軟體，藉由軟體的簡易操作，往往只需幾個按鍵就能輕易地發動攻 擊，大量的縮短了攻擊時的指令步驟，也縮短了受害端主機之存活時 間。這一方面是為了提高了攻擊的成功率，另一方面也是為了證實自己 的能力。目前較有名的DDoS軟體工具有以下幾種[16] :

1. Trinoo

Trinoo 是一個主從式架構的分散式阻斷服務攻擊程式，它使用

「master 程式」對實際實施攻擊的「代理(agent) 程式」實現了自動 控制。攻擊者首先連接到已安裝了master 程式的主機，啟動 master 程式，然後根據一個 IP 位址的列表，裡面記載所有要進行通訊的 agent 主機 IP位址，由master 程式負責啟動所有的代理(agent) 程式 並下達攻擊命令(如攻擊目標的IP 位址，何時發動攻擊和其它參數)。

接著，代理程式將會使用UDP 封包對受害端目標進行攻擊。在攻擊 之前，攻擊者為了安裝軟體，必需先取得攻擊主機之控制權。

Trinoo的攻擊方法是向被攻擊目標主機的隨機端口發出全部為零 的4位元組UDP 封包，在處理這些超出其處理能力的垃圾封包的過程 中，被攻擊主機的網路性能會不斷下降，直到不能提供正常服務，最 後崩潰。它對IP位址不進行偽造，採用的通訊埠號如表2-1 所示。

表 2-1 Trinoo 通訊埠號

主機 協定 埠號

攻擊者主機到主控端(Master)主機 TCP 27665 主控端主機(master)到代理端(agent)主機 UDP 27444 代理端(agent)主機到主控端(master)主機 UDP 31335

2. Tribe Flood Network :

TFN與trinoo一樣，由主控端程式和代理端程式兩部分組成，使 用一個「master程式」與位於多個網路上的攻擊代理主機(agent) 進 行通訊。TFN可以並行發動數個DoS攻擊，而且還可產生偽裝來源 位址的訊息封包。可以由TFN發動的攻擊包括︰UDP Flood、TCP SYN Flood、ICMP Echo Request Flood 以及 SMURF，並且具有偽 造封包的能力。攻擊者、主控端和代理端主機相互通訊時使用ICMP Echo和ICMP Echo Reply封包。但TFN對ICMP的通訊訊息並沒有進 行加密。

3. Tribe Flood Network 2000 :

TFN2K 是由 TFN 發展而來的，在 TFN 所具有的特性上，TFN2K 又新增一些特性 :

(1) 在 TFN2K 下，主控端(Master)與代理端(Agent) 之間的通訊 可以使用許多協定，例如 TCP、UDP 或 ICMP，這使得利用 協定進行過濾變得不可能實現。並且攻擊者、主控端及代理 程式之間的網路通訊是經過加密的，中間可能還混雜了許多 虛假封包，將使得我們更加難以攔截軟體間之通訊活動。

(2) TFN2K 能夠發送破壞訊息封包，導致系統癱瘓或不穩定。

(3) TFN2K 偽造來源位址，讓訊息封包看起來好像是從 LAN 上 的一個臨近機器來的，以抵抗 Ingress Filtering 及 Egress Filtering。

(4) 攻擊方法增加了 Mix 和 Targa3。

4. Stacheldraht

Stacheldraht 是從 TFN 衍生出來的，所以它跟 TFN 及 trinoo 一 樣都是伺服器/客戶端模式，也因此它具有 TFN 的特性，同樣利用 Master 程式與潛在的成千個代理程式進行通訊。此外它增加了主控 端與代理端的加密通訊能力，在下命令時的來源位址是偽造的，可 以防範一些路由器的 RFC2267 過濾。此外，Stacheldrah 中有一個內 嵌的代理升級模塊，可以自動下載並安裝最新的代理程式。

Stacheldraht 跟 TFN一樣，可以並行發動多種的DoS攻擊，類型 繁多，而且還可產生帶有偽裝來源IP位址的封包。Stacheldraht所可 以發動的攻擊包括UDP Flood、TCP SYN Flood、ICMP Echo request 以及SMURF。而攻擊者與主控端(Master)和代理端(Agent)間相互通

ICMP echo reply 65000

表 2-3 為 DDoS 攻擊軟體可實現之攻擊方法整理 :