Trin00
O Trin00 é uma ferramenta distribuída usada para lançar ataques Dos coordenados, especificamente, ataques do tipo UDP flood. Para maiores informações a respeito de ataques deste tipo, veja em: http://www.cert.org/advisories/CA-96.01.UDP_service_denial.html.
Uma rede Trinoo é composta por um número pequeno de masters e um grande número de agentes.
O controle remoto do master Trin00 é feito através de uma conexão TCP via porta 27665/tcp. Após conectar, o atacante deve fornecer uma senha (tipicamente, "betaalmostdone").
A comunicação entre o master Trin00 e os agentes é feita via pacotes UDP na porta 27444/udp ou via pacotes TCP na porta 1524/tcp. A senha padrão para usar os comandos é "l44adsl" e só comandos que contêm a sub string "l44" serão processados.
A comunicação entre os agentes e o master Trin00 também é através de pacotes UDP, mas na porta 31335/udp. Quando um daemon é inicializado, ele anuncia a sua disponibilidade enviando uma mensagem ("*HELLO*") ao master, o qual mantém uma lista dos IPs das máquinas agentes ativas, que ele controla.
Tipicamente, a aplicação cliente que roda no master tem sido encontrado sob o nome de master.c, enquanto que os daemons do Trin00 instalados em máquinas comprometidas têm sido encontrados com uma variedade de nomes, dentre eles: ns, http, rpc.trinoo, rpc.listen, trinix, etc. Tanto o programa cliente (que roda no master) quanto o daemon (que roda no agente) podem ser inicializados sem privilégios de usuário root. TFN – TRIBE FLOOD NETWORK
O TFN é uma ferramenta distribuída usada para lançar ataques DoS coordenados a uma ou mais máquinas vítimas, a partir de várias máquinas comprometidas. Além de serem capazes de gerar ataques do tipo UDP flood como o Trin00, uma rede TFN pode gerar ataques do tipo SYN flood, ICMP flood e Smurf/Fraggle. Maiores informações a respeito deste tipo de ataques podem ser encontradas em:
http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html