Delphi-IRC-Bot

[berlinermauer]

[Teyhouse]

http://www.opensc.ws/snippets/4543-syn-flooder-delphi.html
Sieht ganz gut aus

[berlinermauer]

ich setzt mich ma ran aber das is so viel^^ haste nicht was simples^^

[Teyhouse]

Etwas Simpleres?
Ohne dir zu nahe treten zu wollen aber was erwartest du? Einen 3 Zeilen Code?

[berlinermauer]

code]While flood = true Do
try
tcp.Connect();
tcp.Disconnect();
except
   tcp.Disconnect();
   tcp.Free();
[/code]

joa naja ok ich schau mal was ich daraus machen kann, danke

Code:

While flood = true Do
try
tcp.Connect();
tcp.Disconnect();
except
   tcp.Disconnect();
   tcp.Free();

joa naja ok ich schau mal was ich daraus machen kann, danke!

[interNode]

Echte Synfloods funktionieren seit Windows XP ServicePack 2 nicht mehr, da der Zugriff auf die Raw-Sockets unterbunden wurde.
Was du jetzt noch machen kannst (was auch stark ist) sind die Sockets zu flooden. Das heisst du erstellst z.B. 300 Sockets, Connectest und Killst die Sockets dann (kein Disconnect). Beim angegriffenen Server bleiben die Verbindungen dann bis zum Timeout offen. Wenn du das mit vielen Bots wiederholst, dann nimmt der Server keine weiteren Verbindungen an und stellt sich quer.
Wie gesagt Socketflooding. Skids und Leute die keine Ahnung haben nennen das Supersyn oder Megasyn.

[Zacherl]

Der Link zum Quelltext zeigt auf auf einen Code, der nicht mehr funktionieren wird. Es werden dort auch nur RAW Sockets erstellt. Steht auch irgendwas von 2003 drinnen

[CorVu5]

Obwohl man ja immer wieder auch von Programmen hört, die tcp2ip.sys patchen und die Raw-Sockets dadurch wieder aktivieren.
Diese Tool soll das angeblich tun: http://www.opensc.ws/trojan-malware-releases/3952-icepoint-botnet-attacker-2-0-a.html
ist aber vllt backdoored, ich habe keine VM sonst würde ich das Ganze mal unter die Lupe nehmen,

Hier ist ne Malware-analyse, betreffend eine Datei die offensichtlich tcpip.sys patcht: http://www.cyber-ta.org/releases/malware-analysis/public/SOURCES/172790095120b8374e334da993e58e82/b19c0b33e50ce75e7b51dca8cb4d0ca5_unpacked.asm.html#sub_40F326

Diese Software bearbeitet ebenfalls tcpip.sys http://deepxw.blogspot.com/

[berlinermauer]

interNode
kann ich dazu die Indys nehmen oder ist das ungeschickt (IdHttp1)

und wenn dann so? oder wie "killen"

Code:

While 1=1 Do
IdHttp1.Connect;
IdHttp1.Free;
end;

[CorVu5]

also idHttp wäre wohl grundsätzlich die falsche Wahl, wenn dann solltest du die grundsätzliche Winsocket-API nehmen (socket, connect).
Zum Thema tcpip.sys patch, hier eine Diskussion, die Links sind leider alle down :/ http://www.governmentsecurity.org/forum/index.php?showtopic=14032

[interNode]

Ich glaube in der tcpip.sys wurden nur die Anzahl der Raw-Sockets limitiert (was einem nichts bringt weil man eh keinen Zugriff drauf hat).
Um wieder Syns zu starten muss man entweder eigene Treiber mitnehmen, oder WinCap im Huckepack mitschleppen, was aus meiner Sicht aber ziemlich unprofessionell ist.