WEB开发网
开发学院网络安全黑客技术 分布式拒绝服务攻击工具mstream(4) 阅读

分布式拒绝服务攻击工具mstream(4)

 2006-07-04 20:30:34 来源:WEB开发网   
核心提示:☆ 附录E - 对印第安纳大学Handler系统的分析2000年4月20日印第安纳大学IT安全办公室接到华盛顿大学Dave Dittrich的通知(随后是Penn State),在华盛顿大学确认一台类似Trinoo Agent的主机正以伪造过的源IP进行DoS攻击,分布式拒绝服务攻击工具mstream(4),该Agen

☆ 附录E - 对印第安纳大学Handler系统的分析

2000年4月20日印第安纳大学IT安全办公室接到华盛顿大学Dave Dittrich的通知(随后是Penn State),在华盛顿大学确认一台类似Trinoo Agent的主机正以伪造过的源IP进行DoS攻击,该Agent的二进制文件中固化有印第安纳大学所属IP。

首先我们阻断了与该IP相关的进出通讯,并记录一切入连接企图。主要意图是避免该IP引起更多麻烦,但我们不想惊动入侵者。没有重启主机或者其它针对网络的物理改变(比如拔掉网线),以免运行在主机上的程序监测到这些行为并删除自身。

译注: 这个想法好,监测拔掉网线的行为并销毁自身。一般安全工程师给客户的建议中就有,如果条件允许,尽可能先拔掉网线再检查。现在看来,应该是从路由上阻断通讯,而不是拔掉网线。

一旦系统与网络其它部分隔离开来,我们就可以运行lsof,输出报告在后面。这个输出表明进程rpc.wall侦听好几个UDP端口,其中包括6838/UDP,Dittrich先生提到他那边的Agent进程向该端口发送报文。/usr/bin/...被打开读取了几百次,这个文件包含一个IP列表,做了点简单的ASCII变换加密。这些IP地址似乎是受该Handler控制的Agent(s)地址。华盛顿大学那台Agent确实在这个列表里。我们发现一个类似的文件/dev/grab/...,想必为另一个master server所用。

这种文件中包含类似行

ckd`chj`cc`jb<

ASCII变换加密仅仅是在每个字符上增加50,所以最终IP是(减去50即可得到) 192.168.11.80

可以用如下Unix命令一次性转换完毕
tr 'b-k`' '0-9.' | sed 's/<$//'

我们得到76个IP地址,大概都是DDoS slave agents.

1 2 3  下一页

Tags:分布式 拒绝 服务

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接