Все, що ми писали про DDoS-атаках досі носило виключно теоретичний характер. Сьогодні ми вирішили відкрити завісу секретності і розповісти тобі, як такі атаки проводяться на практиці. Спеціально для тебе ми знайшли чола, який виконає разом з тобою всі кроки до створення DDoS-армії і проведе невелику атаку на один з вузлів Мережі.
Якщо ти часом страждаєш провалами в пам'яті і зовсім забув, що таке DDoS-атаки, нагадаю. Припустимо, мені закортіло вивести великий сервер ворога з ладу. Яким чином я можу це зробити? Звичайно, існує безліч різних способів реалізації моєї задумки. Наприклад, якщо мені вдасться поламати сервак, отримати root-shell, я зможу виконати і команду «cd /; rm -Rf *», в результаті чого всі файли, що знаходяться на серванті втечуть і комп'ютер природним чином перестане працювати. Але цей метод не так вже й ідеальний - отримати шелл-доступ з абсолютними привілеями не завжди просто. Тому часом буває доцільно використовувати інші, більш універсальні способи. Наприклад, можна послати сервера величезна кількість сміттєвого трафіку, повністю забивши входять пакетами канал жертви. В результаті цього атакується комп'ютер просто перестане відповідати на запити до тих пір, поки не припиниться флуд. Звичайно ж, для реалізації цієї технології загальна пропускна здатність каналів, з яких виробляється атака, повинна бути більше, ніж канал атакується тачки.
В общем-то, мета зрозуміла: мені потрібно заволодіти каналами, сумарна продуктивність яких перевищує або хоча б порівнянна зі швидкістю каналу жертви. Тут можна піти двома шляхами. Перший полягає ось у чому. Можна зламати кілька великих серверів, залити і зібрати на них спеціалізований софт, який реалізує одну з flood-атак, після чого віддати їм команду на початок DDoS-атаки. Так, наприклад, FIN / ACK flooder від 3APA3'и (security.nnov.ru/files/stream3.c) "на ура" валить сервера під Win2k. Але що б не говорили, поламати десяток великих серверів - складна, часом непосильне завдання. Саме з цієї причини сьогодні я піду іншим шляхом: влаштую масове протрояніваніе машин простих користувачів, що використовують скромні канали та юзающіх як операційки Windows. Зрозуміло, для цього я заюзать один з поширених віндовий багів, або банально проспамлю користувачів спеціальним, заздалегідь підготовленим трояном, щоб перетворити їх тачки в своїх ручних звірів. Абсолютно ясно, що канали зв'язку з инетом у більшості користувачів Мережі набагато вужче, ніж у великих серверів, тому, щоб створити потужну армію DDoS-ботів, доведеться поламати кілька тисяч користувачів. З таким загоном цілком вже можна завалити і велику здобич. Зараз я покажу тобі, як найкраще реалізувати цю атаку на практиці. Точи ковзани, поїхали!
Перш, ніж починати DDoS-атаку на Microsoft.com, необхідно як слід підготуватися. Перш за все потрібно знайти підходящого DDoS-трояна, яким я буду заражати зламані комп'ютери. Насправді, знайти щось вартісне в інтернеті - дохлий номер, в чому я сам наочно переконався за кілька годин безперервного серфінгу різних пошукових машин, форумів і хакерських архівів. Жодна з публічних тулз не підходила мені за всіма параметрами. Чого ж я вимагав від DDoS-софта? Перш за все, потрібно розуміти, що чим скромніше розмір виконуваного бінарники, тим краще: троян повинен бути маленьким і в'юнким, щоб його було простіше встановити і щоб він не впадав сильно в очі. Одночасно з цим тулза повинна ефективно флудить жертву, засинаючи її не по-дитячому пакетами, використовуючи одну з класичних ddos-технологій. Так само дуже важливо, щоб ботами можна було легко керувати - армія з тисячі бійців повинна бути мобільною і слухняною. На жаль, нічого путнього я в інеті не знайшов і поступово впритул підійшов до думки, що треба або шукати по знайомим щось приватне, або писати новий, оригінальний інструмент. Я витратив деякий час на те, щоб переконатися: розлучитися з готовим інструментом для ДДОС ніхто не поспішає і знайти підходящий варіант буде складно - простіше написати його самостійно. Однак я не знавець в системному програмуванні під Windows, тому звернувся до Горлуму, який по старій дружбі підігнав офігенний ddos-інструмент, повністю підходить під всі мої вимоги. Виконуваний файл важить всього 7 кілобайт, тому його буде легко впарювати. Втім, можливостей у тулзи мінімум: цей троян вміє організовувати icmp-flood атаки, виконувати будь-яку команду для cmd і виводити користувачеві текстове повідомлення в MsgBox. На перший погляд може здатися, що цього недостатньо. Справді, якщо вже захоплювати тисячу комп'ютерів, то може бути варто забезпечити якийсь більш продуманий контроль над тачками? Однак при найближчому розгляді виявляється, що і цього набору функцій більш ніж достатньо. Дійсно, за допомогою команди ftp можна закачати на вінчестер будь-який інший бінарник і легко його запустити. Так що ніяких проблем не виникне, якщо з'явиться бажання просунутися далі і по повній навантажити захоплені тачки.
Отже, через пару годин після того, як я постукав до Горлуму в icq, мені прийшов лист з вихідними кодами і зібраним бінарники DDoS-бота. Настав час протестувати його в роботі і розібратися хоча б поверхово, як він працює. Після нетривалого вивчення початкових кодів та роботи програми, на моєму обличчі виникла задоволена усмішка: все працює просто офигительно. На самому початку коду визначається кілька ключових параметрів, які тобі треба буде поміняти, якщо ти, всупереч застереженням, захочеш повторити мої дії. Але перш ніж вставати на цю хистку доріжку, знай, що все це незаконно і потрапляє відразу під кілька статей кримінального кодексу нашої великої держави. Крім того, слід знати, весь мій розповідь - чистої води вигадка вколовшись наркомана, а будь-які збіги - чистої води випадковість. Отже, на самому початку исходника є такі рядки:
Основні параметри DDoS-бота
#define WEBADDRESS "ired.inins.ru"
#define WEBFILE "flood"
#define PACKETSIZE 1 000
// частота відсилання пакетів
#define FREQ 100
Скажу кілька слів про кожний параметр. Як я вже зазначав вище, троян самостійно отримує команду, підключаючись до веб-сервера, урл якого визначається константою WEBADDRESS. Бот запитує на цьому сервері документ з ім'ям, що зберігаються в WEBFILE і, виходячи з отриманої там команди, виконує деяку дію. Як варіант - починає флудить жертву пакетами довгою PACKETSIZE, відсилаючи їх 1 раз у часовий проміжок, який визначається параметром FREQ. Дефолтні параметри відмінно працюють для середньої паршивості кабельних каналів, при використанні модемного з'єднання можуть виникнути деякі проблеми, тому доцільно може бути зменшити довжину пакета і збільшити параметр FREQ. Але це вже твоя справа -. Як тобі, сподіваюся, зрозуміло, в якості файлу із завданням може виступати не просто текстовік, але і будь-який сценарій - адже web-сервер віддає клієнту текстовий висновок цього скрипта, а DDoS-боту немає ніякої різниці, з чим працювати. З цієї причини доцільно для зручності написати нескладний php-сценарій для управління ботами і збірки статистики. Я не стану тебе особливо вантажити і просто приведу тут вміст цього скрипта, який я написав за 5 хвилин:
Скрипт для управління ботами.
if (isset ($ _ GET [sta]))
Echo "";
if (isset ($ _ GET [sub]))
if (fwrite ($ fp, $ _GET [cmd])) echo "Command updated!
";
$ Fp = fopen ( "command.db", "r"); / * Виводимо форму для зміни поточної команди * /
echo "
";Отже, ми створили систему контролю за роботою ботів і збору статистики. Тепер настав час підготувати код експлойта для затрояніванія користувачів. Це зовсім не складно, ось побачиш -.
Після того, як я відредагував за потрібне чином код експлойта, я вибрав один зі своїх поламаних сайтів і змінив головну сторінку, вставивши злий код. Хоча сплоіт і палить свою роботу, користувачі не побачать нічого підозрілого і продовжать юзати популярний ресурс. А в цей час в утробі windows відбуватимуться незворотні процеси: завантажитися і виконатися наш троян, який надійно пропишеться в системі. Після перезавантаження він підключиться до сервера, отримає команду і почне її методично виконувати. Тепер залишалося тільки чекати, поки затроянітся достатню кількість користувачів. За моїми розрахунками, приблизно 20% відвідувачів використовують уразливі браузери і є моїми клієнтами. Це не так вже й мало, якщо вдуматися: в день сайт відвідувало приблизно 15000 користувачів, виходило, що за добу до моєї армії має додаватися приблизно 3000 бійців.