求TRINOO软件的详细分析，要详尽

Trinoo DDOS 攻击软件分析一、软件组成Trinoo DDOS 工具有两个程序组成，

1、master 主控端程序，主要功能是通过telnet协议接收远程控制者的指令，向被控肉鸡端发送攻击指令。

该程序的源代码共由5个文件组成。分别是：

（1）、strfix.h 通过宏定义的方式，变相定义了strcpy和strcat 两个函数

（2）、blowfish.h和 blowfish.c 用来实现blowfish加密算法的程序代码

（3）、bf_tab.h 定义了blowfish加密算法所用到的多个数据表

（4）、master.h 实现DDOS主控功能的核心实现代码。

2、 daemon肉鸡端被控程序，主要功能是：接受攻击指令，对目标电脑发起DDOS攻击。

该程序源代码只有一个文件组成。

ns.c 文件，实现功能，接收并解析攻击指令，发起DDOS攻击，

这里有一个局限性是，Trinoo所支持的DDOS攻击种类只有基于UDP数据包一种。

二、网络拓扑结构

三、 Trinoo的使用方法其中：红色部分为控制台输出，蓝色部分为输入的指令，绿色部分为相应部分的解释

1、主控端程序的使用。

2、肉鸡端被控程序的启动，被控端启动非常简单，无论采用什么方式，只要成功运行，被控端的deamon程序即可。

在试验阶段可以直接运行

3、ddos网络控制者使用telnet控制整个网络的方法

四、Trinoo工具的 *** 作指令1、die 指令

功能：关闭主控程序

思考：可以考虑通过该指令，来关闭有trinoo工具构建的DDOS网络。优点： 擒贼擒王，终止主控程序后，其下面的被控程序将不能进行有效的 攻击，缺点：对DDOS网路的破坏不彻底，很容易死灰复燃。

2、quit指令

功能：退出主控端的登录

3、mtimer 指令

功能：设置dos攻击的时间，有一个参数，参数的合法值是1至2000的整 数，如果设置的值超过2000，系统会自动设为500，如果设置的值 小于1，则系统自动设置为300，

其中：<second to DOS>表示攻击的时间

由主控程序转换后发给肉鸡的指令是：

bbb 【PASS】 <second to DOS>

4、dos IP　指令

功能：设置发动DOS攻击的目标计算机的IP，参数为：IP地址

命令格式：dos <IP>

5、mdie pass　 指令

功能：终止使所有肉鸡端的受控程序。参数为一验证密码，这里使用的密码 和master程序运行时的验证密码不同，也和telnet登录时的验证 密码不同，是一个单独的密码。验证密码三

命令格式：mdie<password>

思考：一但掌握了DDOS网络的控制权，就可以通过指向该指令，使整个ddos 网络中的ddos攻击程序全部终止，使该网络彻底被破坏。但是这需要一 个前提条件是，必须知道着第三个验证密码，也正是因为该指令有如此 大的威力，所以才需要令设一个验证指令来验证，以防止该命令被乱用。

6、mping　 指令

功能：命令肉鸡向主控程序所在计算机发送ping指令

命令格式：mping

7、mdos 指令

功能：发送的是多IP攻击指令，特点是有多个攻击目标，攻击目标个数没 有具体限制

命令格式：mdos <ip1: ip2: ip3:>

8、msize指令

功能：设置DoS攻击时使用的UDP数据包的长度。

命令格式：msize <size>

9、nslookup 指令

功能：对指定的主机进行域名查询。

命令格式：nslookup <host>

10、killdead 指令

功能：用是清除已经死掉的肉鸡，更新肉鸡信息列表文件，无参数

命令格式：killdead

11、usebackup　指令

功能：切换到由"killdead"命令建立的广播主机备份文件。

12、bcast　 指令

功能：获取被控端计算机IP地址列表，返回到telnet端，

13、help 指令

功能：　服务器或命令的帮助信息，

命令格式：help <cmd>

14、mstop　 指令

功能：停止一个DoS攻击（此现在尚未实现，但在help命令中列出。）守护 程序命令

15、Info指令

功能： 返回ddos攻击攻击版本信息的zhiling

命令格式：info

五、通信端口特征1. 攻击者到主服务器：　27665/TCP；

2. 主服务器到守护程序：27444/UDP；

3. 守护程序到主服务器：31335/UDP。

六、软件的构架设计1、主控端master程序总流程图

2、主控程序端，使用telnet通讯子模块的流程图

3、主控程序端，与肉鸡端通信子模块的流程图

这个足够详细吧

受影响系统：

Microsoft windows

描述：

这是一个基于Inter版本的已经跟随源代码发行了的拒绝服务攻击程序。在系统上运行的木马会引导注册表中的以下键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run=service.exe

该文件会以服务形式在Windows启动时运行，并在预先设定的UDP端口监听 *** 作命令。注册表被修改为上述情况，并以文件“service.exe”形式存在。运行此木马会直接安装到本地系统中，并在下次Windows启动时自动运行。

以下是解决方法

建议：

在注册表中将键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run=service.exe删除。重新启动系统后，使用清除木马工具将木马找到并删除。

木马专杀大师系列的杀木马的工具 都可以把它杀掉.

---