1.在Master程序與代理程序的所有通信中,Trinoo都使用了UDP協議。入侵檢測軟件能夠尋找使用UDP協議的數據流。
2.Trinoo Master程序的監聽端口是27655,攻擊者一般借助Telnet通過TCP連接到Master程序所在計算機。入侵檢測軟件能夠搜索到使用TCP並連接到端口27655的數據流。
3.所有從Master程序到代理程序的通信都包含字符串“l44”,並且被引導到代理的UDP端口27444。入侵檢測軟件檢查到UDP端口27444的連接,如果有包含字符串l44的信息包被發送過去,那麼接受這個信息包的計算機可能就是DDoS代理。
4.Master和代理之間通信受到口令的保護,但是口令不是以加密格式發送的,因此它可以被“嗅探”到並被檢測出來。而一旦一個代理被准確地識別出來,Trinoo網絡就可以按照如下步驟被拆除:
在代理Daemon上使用“strings”命令,將Master的IP地址暴露出來。與所有作為Trinoo Master的機器管理者聯系,通知他們這一事件。在Master計算機上,識別含有代理IP地址列表的文件(默認名“...”),得到這些計算機的IP地址列表。TW.WinGwiT.Com向代理發送一個偽造“Trinoo”命令來禁止代理。
通過crontab 文件(在UNIX系統中)的一個條目,代理可以有規律地重新啟動。因此,代理計算機需要被反復地關閉,直到代理系統的管理者修復了crontab文件為止。
最後檢查Master程序的活動TCP連接,這能顯示攻擊者與Trinoo Master程序之間存在的實時連接。
From:http://tw.wingwit.com/Article/Network/201309/3792.html