Antes de efetuar um ataque DDoS, uma rede deve ser montada.
Computadores devem ser identificados como possíveis vítimas a
fim de ganhar acesso administrativo ao maior número de sistemas
possíveis, estes computadores devem pertencer a diversas redes
ou endereços IP. A utilização de uma grande quantidade de
endereços IP dificulta a identificação e o bloqueio do ataque.
Implementações de Negação de Serviço
Trin00
O Trin00 utiliza os protocolos TCP e UDP para se comunicar com o
servidor, o que torna necessária a utilização de portas e faz
com que a troca de mensagens seja mais facilmente percebida. Os
agentes Trin00 podem ser instalados em sistemas
Linux e
Solaris.
A utilização do Trin00 pode ser detectada pela observação de
tráfego UDP tipo 17, que é utilizado para a comunicação entre
os mestres e os agentes. Os mestres mantém uma lista dos agentes
que poderão ser contactados.
As portas utilizadas pelo Trin00 podem ser usadas para a detecção
e mesmo para o bloqueio, impedindo que os computadores da rede
sejam utilizados para os ataques.
Uma vez executado o agente Trin00, ele anuncia a sua disponibilidade
pelo envio de um pacote UDP contendo a string "*HELLO*" para o
endereço IP de seu respectivo mestre. O mestre responde com outro
pacote UDP, desta vez com a string "PONG".
Tribe Flood Network
Esta foi a primeira ferramenta de ataque DDoS disponível
publicamente. O TFN foi escrito por Mixter. Os ataques efetuados
pelo TFN são:
- UDP Flooding;
- TCP SYN Flooding;
- ICMP Flooding;
- e Smurf.
O controle dos mestres é feito por linha de comando, e a execução
do programa deve ser acompanhada dos parâmetros desejados com a
sintaxe:
tfn <iplist> <type> [ip] [port]
onde:
- <iplist> é a lista dos agentes que podem ser utilizados;
- <type> é o tipo de ataque desejado;
- [ip] é o endereço da vítima;
- e [port] é a porta desejada para ataques TCP SYN flooding, que
pode ser definida como um número aleatório (parâmetro 0).
O TFN é bastante "discreto". A comunicação entre os mestres e os
agentes é feita por mensagens ICMP tipo 0, o que torna difícil o
monitoramento dessas comunicações, pois muitas ferramentas de
monitoramento não analisam o campo de dados de mensagens ICMP.