分布式拒绝服务攻击工具mstream

核心提示： 应用外出过滤规则后被拒绝外出的攻击报文无法到达下一跳路由器，下一跳路由器感受不到攻击，分布式拒绝服务攻击工具mstream(2)，这意味着基于IDS的边界路由器、DMZ上的IDS或者ISP方的监视设备无法确认攻击发生，除非你正在监视路由器本身，mstream network由一个或多个ha

应用外出过滤规则后被拒绝外出的攻击报文无法到达下一跳路由器，下一跳路由器感受不到攻击。这意味着基于IDS的边界路由器、DMZ上的IDS或者ISP方的监视设备无法确认攻击发生。除非你正在监视路由器本身，而用户抱怨并暗示攻击来自你的子网。

这也使Sniffer抓包分析更加困难，只能在应用外出过滤规则的路由器内侧才能抓到所有包。

2000年2月上旬一家电子商务网站遭受攻击，至今为止他们还不知道对方使用何种攻击工具，只知道他们的路由器崩溃了，每次都依赖于他们的上级路由器阻断攻击、恢复通讯。法律部门在缺乏证据的情况下无法介入，他们不能认定这是DoS、DDoS攻击而非路由器、浏览器自身技术故障。针对Yahoo!的攻击描述在Packetstormsecurity找到(参考资源[11])，并没有更多其它可用信息。

1999年trinoo、TFN和stacheldraht伴随着大量自动入侵行为，mstream则处在代码开发的早期阶段，通常是手工入侵、安装(包括handler和agent)，并用一个略微改动后的Linux rootkit version 4 [10]保护自己。

附录D介绍了一次针对agent的入侵和踪迹隐藏。附录E介绍了一次针对handler的入侵和踪迹隐藏。

☆ mstream network: client(s)-->handler(s)-->agent(s)-->victim(s)

与trinoo和shaft一样，mstream network由一个或多个handlers(master.c)以及大量的agents(server.c)组成。Attacker到handler之间的通讯是未加密的TCP传输，handler到agent之间的通讯是未加密的UDP传输。整个结构看上去像这个样子

+----------+ +----------+
| attacker | | attacker |
+----------+ +----------+
| |
. . . --+------+---------------+------+----------------+-- . . .
| | |
| | |
+-----------+ +-----------+ +-----------+
| handler | | handler | | handler |
+-----------+ +-----------+ +-----------+
| | |
| | |
. . . ---+------+-----+------------+---+--------+------------+-+-- . . .
| | | | |
| | | | |
+-------+ +-------+ +-------+ +-------+ +-------+
| agent | | agent | | agent | | agent | | agent |
+-------+ +-------+ +-------+ +-------+ +-------+
图: mstream network