Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
© FUOC • P06/M2107/01769<br />
Atacante<br />
Master<br />
Atacante Master<br />
27665/<strong>TCP</strong><br />
Slave 31335/UDP<br />
Tribe Flood Network<br />
Esquema de comunicaciones de TRIN00<br />
44 <strong>Ataques</strong> <strong>contra</strong> <strong>redes</strong> <strong>TCP</strong>/<strong>IP</strong><br />
Slave<br />
27444/UDP<br />
Tribe Flood Network (TFN) es otra de las herramientas existentes para realizar ataques de<br />
denegación de servicio distribuidos que utiliza un esquema master-slave para coordinar<br />
ataques de denegación tradicionales (ICMP Flooding, SYN Flooding, UDP Flooding y<br />
Smurf ). Al igual que TRIN00, permite dejar abierta una consola de administración a la<br />
máquina de origen (escuchando por un puerto <strong>TCP</strong> determinado) ofreciendo un acceso<br />
ilimitado a los equipos infectados.<br />
.<br />
La arquitectura de funcionamiento del TFN es muy parecida a la de TRIN00. Una<br />
de las pocas diferencias la en<strong>contra</strong>mos en la parte de clientes (respecto a los Mas-<br />
ters del esquema de TRIN00) y la parte de demonios (respeto a los Slaves de<br />
TRIN00). De forma análoga, un atacante controla a uno o más clientes quem a<br />
su vez, controlan a uno o más demonios.<br />
El control de la red TFN se consigue mediante la ejecución directa de comandos utilizando<br />
conexiones cliente-servidor basadas en paquetes ICMP de tipo echo-reply.<br />
.<br />
La comunicación para el envío de comandos se realiza mediante un número binario<br />
de 16 bits en el campo de identificación de mensajes ICMP de tipo echo. El<br />
número de secuencia es una constante 0x0000 para enmascarar el mensaje ICMP<br />
como si fuera a una petición echo-request y pasar así desapercibido en el caso<br />
de existir en la red mecanismos de detección de ataques.<br />
Este cambio en la comunicación, respecto a TRIN00, se debe a que muchos sistemas de<br />
monitorización para la protección de <strong>redes</strong> (dispositivos cortafuegos, sistemas de detección<br />
de intrusos, . . . ) pueden filtrar tráfico <strong>TCP</strong> y UDP que va hacia puertos determinados.