Trinoo (три-ноль-ноль) представляет собой конструкцию из трех звеньев: хакер-клиент-демон (см. рис. 2.3). Славу этой разработке принесла удачная атака на университет Миннесоты в августе 1999 года. Тогда университетская сеть серьезно пострадала в результате переполнения трафика UDP-пакетами. Trinoo не скрывает IP-адреса отправителей, благодаря чему администраторы достаточно быстро отследили зомби, на которых были установлены атакующие демоны (правда, после подавления этих демонов атака возобновилась с других зомбированных машин).
Сначала trinoo была написана для работы на платформах Linux и Solaris, но немного позже появилась и Windows-версия. В ряду других DDoS-программ trinoo выглядит самой безобидной: используется только один тип атаки, действие программы относительно легко определяется й отслеживается. Как и в случае с любой другой DDoS-конструкцией, состоящей из нескольких звеньев, атака trinoo начинается с компрометации будущих мастер-компьютеров. Затем на мастер устанавливаются соответствующие утилиты и, без сомнения, управляющая trinoo-программа. Далее мастеру передается список удаленных машин, имеющих специфические уязвимости в защите. После получения контроля над этими компьютерами (и установки на них демонов) они будут выступать в роли подчиненных зомби. Список всех зомбированных компьютеров того или иного мастера хранится в специальном скрытом файле, доступ к которому атакующий может получить, используя telnet-соединение с 27665-м портом1. Согласно этому файлу-списку хакер может инструктировать зомби посредством соответствующего мастера. Инструкции передаются в открытом виде на 27444-й UDP-порт, с которым работает демон. Обратные соединения «зомби-мастер» осуществляются также по UDP-протоколу (порт 31335). Во время атаки жертве посылаются UDP-пакеты на случайным образом выбранные порты. Все эти пакеты отправляются с одного порта зомби и имеют 4 байта данных. Двумя основными исполняемыми модулями trinoo являются Master И Ns, клиентская часть и демон, соответственно. Если хакер находится на соединении с мастером (ТСР-порт 27665) и одновременно с этим мастер получает запрос на установление еще одной сессии, то IP-адрес второго соединения будет передан хакеру. Другими словами, будьте осторожны при нахождении действующего мастера, иначе злоумышленник быстро обнаружит слежку.
%20%D0%BF%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82%20%D1%81%D0%BE%D0%B1%D0%BE%D0%B9%20%D0%BA%D0%BE%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8E%20%D0%B8%D0%B7%20%D1%82%D1%80%D0%B5%D1%85%20%D0%B7%D0%B2%D0%B5%D0%BD%D1%8C%D0%B5%D0%B2%3A%20%D1%85%D0%B0%D0%BA%D0%B5%D1%80-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82-%D0%B4%D0%B5%D0%BC%D0%BE%D0%BD%20(%D1%81%D0%BC.%20%D1%80%D0%B8%D1%81.%202.3).%20%D0%A1%D0%BB%D0%B0%D0%B2%D1%83%20%D1%8D%D1%82%D0%BE%D0%B9%20%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B5%20%D0%BF%D1%80%D0%B8%D0%BD%D0%B5%D1%81%D0%BB%D0%B0%20%D1%83%D0%B4%D0%B0%D1%87%D0%BD%D0%B0%D1%8F%20%D0%B0){kind=small}
