分布式拒绝服务攻击工具mstream

核心提示： ☆ 通讯Attacker -> Handler(s) : 6723/tcp (in published source)15104/tcp ("in the wild")12754/tcp (in recovered source)Agent -> Handl

☆ 通讯

Attacker -> Handler(s) : 6723/tcp (in published source)
15104/tcp ("in the wild")
12754/tcp (in recovered source)
Agent -> Handler(s) : 9325/udp (in published source)
6838/udp ("in the wild")
Handler -> Agent(s) : 7983/udp (in published source)
10498/udp ("in the wild")

Attacker到Handler的远程控制是通过TCP连接完成的，端口号不定(很容易产生变体)。

Handler所等待的命令应该完整地位于单个TCP报文的数据区(PDU)中，而不是断续的字节流。这意味着不能使用"telnet"控制Handler，netcat [19]可以胜任。SecurityFocus [20]中的源代码并未包含这样的客户端工具。

Attacker到Handler的传输未做加密处理，尽管stacheldraht表明增加Blowfish block cipher并不困难。命令行靠空格分隔参数。

与trinoo类似，Handler(s)与Agent(s)之间的通讯通过UDP报文完成。Agents命令行靠斜杠('/')分隔参数，多项参数自身靠冒号(':')分隔。

我们所检查的代码中最多允许3个Attackers连接到一个Handler，或许这是一个保护性措施，也可能是个多余的访问限制。连接建立后，必须提交正确的口令，缺省值如下

Attacker -> Handler(s) : "sex" (in published source [20])

"N7%diApf!" (in recovered source)

如果口令不正确，所有目前已建立连接的用户被提醒有人正试图访问该Handler，然后关闭这个未通过验证的连接。如果口令正确，所有目前已建立连接的用户被提醒产生新的会话连接，通过验证的用户得到一个"> "提示符。