分布式拒绝服务攻击工具mstream(4)
2006-07-04 20:30:34 来源:WEB开发网☆ 附录E - 对印第安纳大学Handler系统的分析
2000年4月20日印第安纳大学IT安全办公室接到华盛顿大学Dave Dittrich的通知(随后是Penn State),在华盛顿大学确认一台类似Trinoo Agent的主机正以伪造过的源IP进行DoS攻击,该Agent的二进制文件中固化有印第安纳大学所属IP。
首先我们阻断了与该IP相关的进出通讯,并记录一切入连接企图。主要意图是避免该IP引起更多麻烦,但我们不想惊动入侵者。没有重启主机或者其它针对网络的物理改变(比如拔掉网线),以免运行在主机上的程序监测到这些行为并删除自身。
译注: 这个想法好,监测拔掉网线的行为并销毁自身。一般安全工程师给客户的建议中就有,如果条件允许,尽可能先拔掉网线再检查。现在看来,应该是从路由上阻断通讯,而不是拔掉网线。
一旦系统与网络其它部分隔离开来,我们就可以运行lsof,输出报告在后面。这个输出表明进程rpc.wall侦听好几个UDP端口,其中包括6838/UDP,Dittrich先生提到他那边的Agent进程向该端口发送报文。/usr/bin/...被打开读取了几百次,这个文件包含一个IP列表,做了点简单的ASCII变换加密。这些IP地址似乎是受该Handler控制的Agent(s)地址。华盛顿大学那台Agent确实在这个列表里。我们发现一个类似的文件/dev/grab/...,想必为另一个master server所用。
这种文件中包含类似行
ckd`chj`cc`jb<
ASCII变换加密仅仅是在每个字符上增加50,所以最终IP是(减去50即可得到) 192.168.11.80
可以用如下Unix命令一次性转换完毕tr 'b-k`' '0-9.' | sed 's/<$//'
我们得到76个IP地址,大概都是DDoS slave agents.
- ››分布式计算多机部署与配置
- ››分布式单词发音抓取机器人
- ››服务层
- ››分布式网络爬虫关键技术分析与实现一网络爬虫相关...
- ››拒绝凑合看 时下流行观影方式面面观
- ››服务器群集:Windows 2000 和 Windows Server 200...
- ››服务器维护经验谈 图解DHCP故障排除
- ››分布式 DBA: 创建和使用分区表
- ››分布式 Key-Value 存储系统:Cassandra 入门
- ››分布式 DBA: Cursor Stability Isolation Level 的...
- ››拒绝91告别白苹果 iPhone软件安装教程
- ››服务器虚拟化后需要完成的八大关键任务
更多精彩
赞助商链接