Antes de efetuar um ataque DDoS, uma rede deve ser montada. Computadores devem ser identificados como possíveis vítimas a fim de ganhar acesso administrativo ao maior número de sistemas possíveis, estes computadores devem pertencer a diversas redes ou endereços IP. A utilização de uma grande quantidade de endereços IP dificulta a identificação e o bloqueio do ataque.

Implementações de Negação de Serviço

Trin00

O Trin00 utiliza os protocolos TCP e UDP para se comunicar com o servidor, o que torna necessária a utilização de portas e faz com que a troca de mensagens seja mais facilmente percebida. Os agentes Trin00 podem ser instalados em sistemas Linux e Solaris.

A utilização do Trin00 pode ser detectada pela observação de tráfego UDP tipo 17, que é utilizado para a comunicação entre os mestres e os agentes. Os mestres mantém uma lista dos agentes que poderão ser contactados.

As portas utilizadas pelo Trin00 podem ser usadas para a detecção e mesmo para o bloqueio, impedindo que os computadores da rede sejam utilizados para os ataques.

Uma vez executado o agente Trin00, ele anuncia a sua disponibilidade pelo envio de um pacote UDP contendo a string "*HELLO*" para o endereço IP de seu respectivo mestre. O mestre responde com outro pacote UDP, desta vez com a string "PONG".

Tribe Flood Network

Esta foi a primeira ferramenta de ataque DDoS disponível publicamente. O TFN foi escrito por Mixter. Os ataques efetuados pelo TFN são:

• UDP Flooding;
• TCP SYN Flooding;
• ICMP Flooding;
• e Smurf.

O controle dos mestres é feito por linha de comando, e a execução do programa deve ser acompanhada dos parâmetros desejados com a sintaxe:

tfn <iplist> <type> [ip] [port]

onde:

• <iplist> é a lista dos agentes que podem ser utilizados;
• <type> é o tipo de ataque desejado;
• [ip] é o endereço da vítima;
• e [port] é a porta desejada para ataques TCP SYN flooding, que pode ser definida como um número aleatório (parâmetro 0).

O TFN é bastante "discreto". A comunicação entre os mestres e os agentes é feita por mensagens ICMP tipo 0, o que torna difícil o monitoramento dessas comunicações, pois muitas ferramentas de monitoramento não analisam o campo de dados de mensagens ICMP.