分布式拒绝服务攻击工具mstream(2)

　2006-07-04 20:26:58　来源：WEB开发网　　　

核心提示： 当一个Agent第一次启动时，它向编译时固化进二进制文件的缺省Handlers列表发送"newserver"命令，分布式拒绝服务攻击工具mstream(2)(3)，用tcpdump可以看到如下内容--00:04:38.530000 192.168.0.20.1081 &

当一个Agent第一次启动时，它向编译时固化进二进制文件的缺省Handlers列表发送"newserver"命令，用tcpdump可以看到如下内容

-------------------------------------------------------------------------- 00:04:38.530000 192.168.0.20.1081 > 192.168.0.100.6838: udp 9 0x0000 4500 0025 ef75 0000 4011 098a c0a8 0014 E..%.u..@....... 0x0010 c0a8 0064 0439 1ab6 0011 2b63 6e65 7773 ...d.9....+cnews 0x0020 6572 7665 7200 0000 0000 0000 0000 erver......... --------------------------------------------------------------------------

如果发现rootkit存在(Handler和Agent上都会使用)，你不能相信标准操作系统命令的输出，比如进程、网络连接等等。所有的系统管理员都应该花点时间看看参考资源[10]以了解rootkit。

前面提到了，如果一个Agent在10498/UDP上收到一个UDP报文，其数据区包含字符串"ping"，如果这个Agent此时没有处在攻击状态中，则响应一个UDP报文，目标端口6838/UDP，数据区包含字符串"pong"。下面是tcpdump的输出，结尾的0是tcpdump自己增加的，实际负载只有4个字节。

-------------------------------------------------------------------------- 00:05:16.457239 192.168.0.100.65364 > 192.168.0.20.10498: udp 5 0x0000 4500 0021 f412 0000 4011 04f1 c0a8 0064 E..!....@......d 0x0010 c0a8 0014 ff54 2902 000d 6ce3 7069 6e67 .....T)...l.ping 0x0020 0a . 00:05:16.458214 192.168.0.20.1083 > 192.168.0.100.6838: udp 4 0x0000 4500 0020 ef8c 0000 4011 0978 c0a8 0014 E.......@..x.... 0x0010 c0a8 0064 043b 1ab6 000c 8045 706f 6e67 ...d.;.....Epong 0x0020 0000 0000 0000 0000 0000 0000 0000 .............. -------------------------------------------------------------------------