DDoS攻击工具——Stacheldraht 分析

　　简 介

　　--------

　　本文是对一种源代码基于"Tribe Flood Network"的分布式拒绝服务攻击工具"stacheldraht"。"Stacheldraht"（德语意为"barbed wire"）结合了分布式拒绝服务攻击工具"Trinoo"与"TFN"早期版本的功能，并增加了加密攻击者、stacheldraht操纵器和可自动升级的代理程序间网络通讯的功能。

　　关于Trinoo和TFN攻击工具的详细资料请参阅：

　　绿色兵团安全文摘

　　分布式拒绝服务（DDoS）攻击工具分析 -- Trinoo

　　分布式拒绝服务（DDoS）攻击工具分析 -- Tribe Flood Network

　　在1999年6月末到7月初，至少几个组织安装并测试了Trinoo攻击网络，一共启动了超过2000台主机实施拒绝服务攻击。发动攻击的主机来自世界各地，而被攻击的主机也遍布全球。

　　到了1999年8月末和9月初，由德国著名黑客Mixter编写的TFN攻击工具也引起了关注。而在9月末和10月初，与TFN很相似的工具"stacheldraht"也在欧洲和美国被发现了。

　　CERT曾提供了一份这方面的资料：

　　http://www.cert.org/incident_notes/IN-99-04.html

　　与Trinoo类似，stacheldraht主要也是由主控端（操纵端）和守护端或"bcast"代理端程序组成。CERT分布式系统入侵工具研究小组在1999年11月研究时使用了这个“主控端/代理端”术语。

　　在利用Trinoo的主控端/代理端结构的同时，stacheldraht也使用了与TFN攻击工具一样的拒绝服务攻击方法，如：ICMP flood、SYN flood、UDP flood和"Smurf"等。但与TFN和TFN2K不同的是，在这里被分析的stacheldraht代码没有包含绑定到某个TCP端口的root shell。