分布式拒绝服务攻击工具mstream

核心提示：简介分布式拒绝服务攻击工具mstream是基于stream2.c源码的，目前为止有七种公认的分布式拒绝服务攻击 trinoo [03]Tribe Flood Network (TFN) [04]Tribe Flood Network 2000 (tfn2k) [06]stacheldraht/stacheldrahtV

简介

分布式拒绝服务攻击工具mstream是基于stream2.c源码的。目前为止有七种公认的分布式拒绝服务攻击

trinoo [03]

Tribe Flood Network (TFN) [04]

Tribe Flood Network 2000 (tfn2k) [06]

stacheldraht/stacheldrahtV4 [05]

stacheldraht v2.666

shaft [07]

mstream

与其它DDoS工具相比，mstream显得粗糙多了。逆向工程还原出的C代码表明mstream尚处在早期开发阶段，含有大量的BUGs以及未完成的特性。然而由于stream/stream2攻击本身所具有的威力，即使参与的攻击机只有几台，也足以对victim(以及agent)所在网络产生极大影响。

mstream的源代码于2000年4月29日被人匿名发布到vuln-dev@securityfocus.com以及BugTraq邮件列表上，因此本文做少许修正，希望紧急事件响应小组、厂商花点时间提出自己的响应办法。仍存留在本文中的错误可能正是这次匆忙而就的修正所致。

提醒读者的是，对源代码的修改必将导致与本文分析细节不相符，比如提示、口令、命令、TCP/UDP端口号、所支持的攻击方式、签名、特性等等。事实上，外面广为流传的代码的通讯端口已与本文分析中的不同。

本文使用了CERT Distributed System Intruder Tools workshop于1999年11月所发布的术语标准。强烈建议先阅读如下链接以做背景知识

http://www.cert.org/reports/dsit_workshop.pdf

http://staff.washington.edu/dittrich/misc/ddos/

2000年4月下旬在某大学一台被入侵的Linux主机上发现了mstream agent，该机正以伪造的源IP对超过一打(12个)的目标主机进行flooding攻击。

这个子网的出口上应用了RFC 2267所定义的外出过滤规则(参考资源[13])，在32bits范围内伪造的源IP中，只有一小部分(匹配子网掩码的)能离开子网发送出去。然而，此时出口路由器(内侧有18个子网)停止响应。这意味着做外出过滤规则的路由设备本身将遭受攻击，尽管原来所定攻击目标只收到比攻击者预期要少得多的攻击报文。教训是，对于DDoS，简单的包过滤机制并不是一个快速有效的解决方案。我们已经提醒了路由厂商，希望他们能找出问题原因并修正之。