dos系列(2)--分布式拒绝服务攻击工具mstream

mstream的源代码于2000年4月29日被人匿名发布到vuln-dev@securityfocus.com以及bugtraq邮件列表上,因此本文做少许修正,希望紧急事件响应小组.厂商花点时间提出自己的响应办法.仍存留在本文中的错误可能正是这次匆忙而就的修正所致. 【程序编程相关:Phishing：网络钓鱼骗术揭秘】

与其它ddos工具相比,mstream显得粗糙多了.逆向工程还原出的c代码表明mstream尚处在早期开发阶段,含有大量的bugs以及未完成的特性.然而由于stream/stream2攻击本身所具有的威力,即使参与的攻击机只有几台,也足以对victim(以及agent)所在网络产生极大影响. 【推荐阅读:什么是信息安全?】

本文使用了cert distributed system intruder tools workshop于1999年11月所发布的术语标准.强烈建议先阅读如下链接以做背景知识 【扩展信息:Sophos：5月10大流行病毒出炉 Z】

提醒读者的是,对源代码的修改必将导致与本文分析细节不相符,比如提示.口令.命令.tcp/udp端口号.所支持的攻击方式.签名.特性等等.事实上,外面广为流传的代码的通讯端口已与本文分析中的不同.

    http://www.cert.org/reports/dsit_workshop.pdf    http://staff.washington.edu/dittrich/misc/ddos/

2000年4月下旬在某大学一台被入侵的linux主机上发现了mstream agent,该机正以伪造的源ip对超过一打(12个)的目标主机进行flooding攻击.

这个子网的出口上应用了rfc 2267所定义的外出过滤规则(参考资源[13]),在32bits范围内伪造的源ip中,只有一小部分(匹配子网掩码的)能离开子网发送出去.然而,此时出口路由器(内侧有18个子网)停止响应.这意味着做外出过滤规则的路由设备本身将遭受攻击,尽管原来所定攻击目标只收到比攻击者预期要少得多的攻击报文.教训是,对于ddos,简单的包过滤机制并不是一个快速有效的解决方案.我们已经提醒了路由厂商,希望他们能找出问题原因并修正之.

应用外出过滤规则后被拒绝外出的攻击报文无法到达下一跳路由器,下一跳路由器感受不到攻击.这意味着基于ids的边界路由器.dmz上的ids或者isp方的监视设备无法确认攻击发生.除非你正在监视路由器本身,而用户抱怨并暗示攻击来自你的子网.这也使sniffer抓包分析更加困难,只能在应用外出过滤规则的路由器内侧才能抓到所有包.

2000年2月上旬一家电子商务网站遭受攻击,至今为止他们还不知道对方使用何种攻击工具,只知道他们的路由器崩溃了,每次都依赖于他们的上级路由器阻断攻击.恢复通讯.法律部门在缺乏证据的情况下无法介入,他们不能认定这是dos.ddos攻击而非路由器.浏览器自身技术故障.针对yahoo!的攻击描述在packetstormsecurity找到(参考资源[11]),并没有更多其它可用信息.

1999年trinoo.tfn与stacheldraht伴随着大量自动入侵行为,mstream则处在代码开发的早期阶段,通常是手工入侵.安装(包括handler与agent),并用一个略微改动后的linux rootkit version 4 [10]保护自己.

附录d介绍了一次针对agent的入侵与踪迹隐藏.附录e介绍了一次针对handler的入侵与踪迹隐藏.

☆ mstream network: client(s)-->handler(s)-->agent(s)-->victim(s)

与trinoo与shaft一样,mstream network由一个或多个handlers(master.c)以及大量的agents(server.c)组成.attacker到handler之间的通讯是未加密的tcp传输,handler到agent之间的通讯是未加密的udp传输.整个结构看上去像这个样子

--------------------------------------------------------------------------

                  +----------+           +----------+                  | attacker |           | attacker |                  +----------+           +----------+                       |                      |        . . . --+------+---------------+------+----------------+-- . . .                |                      |                       |                |                      |                       |          +-----------+          +-----------+           +-----------+          |  handler  |          |  handler  |           |  handler  |          +-----------+          +-----------+           +-----------+                |                      |                       |                |                      |                       |. . . ---+------+-----+------------+---+--------+------------+-+-- . . .         |            |            |            |            |         |            |            |            |            |     +-------+    +-------+    +-------+    +-------+    +-------+     | agent |    | agent |    | agent |    | agent |    | agent |     +-------+    +-------+    +-------+    +-------+    +-------+

                            图: mstream network

--------------------------------------------------------------------------

☆ 通讯

• 软件资讯
• 技术指南
• 开发文档
• 编程技术
• 程序编程
• 数据库技术
• 服务器
• 项目开发
• 游戏编程

• 软件开发
• 服务器技术
• 行业资讯
• 程序相关
• 编程博文

• Mozilla Firefox
• 反击黑客的人--CIW认证培训渐火
• Rootkit：真刀真枪的权限保卫战
• 赛门铁克硬件防火墙、入侵检测资料
• Xoops多个跨站脚本漏洞
• SQL恢复XP_CMDSHLL,以及XPLOG70.DLL被删,直接用SQL连接器开启3389
• 网络安全小工具
• 一个经典的防火墙脚本（有多种参数可定义）
• 思科集成多业务路由器上的安全特性问答
• isa 转载
• HowTo Run OpenVPN as a non-admin user in Windows
• 黑客盯准安全软件
• Win 2003中提高FSO的安全性
• 修补Java的“危急”漏洞
• 美国军方最大黑客落网 一年共发动92次攻击
• 网络入侵检测与预防
• ex3
• 什么是PKI？PKI的基本组成是什么？
• 什么是黑客
• an example to make a backdoor in linux
• 蓝牙技术曝出安全漏洞 暂时没有任何攻击案例出现
• 三层交换机技术解析
• VDSL的组网应用
• Mytob变种再次侵袭Windows
• 强五脏