分布式拒绝服务攻击工具mstream(1)

　　简介

　　分布式拒绝服务攻击工具mstream是基于stream2.c源码的。目前为止有七种公认的分布式拒绝服务攻击

　　trinoo [03]

　　Tribe Flood Network (TFN) [04]

　　Tribe Flood Network 2000 (tfn2k) [06]

　　stacheldraht/stacheldrahtV4 [05]

　　stacheldraht v2.666

　　shaft [07]

　　mstream

　　与其它DDoS工具相比，mstream显得粗糙多了。逆向工程还原出的C代码表明mstream尚处在早期开发阶段，含有大量的BUGs以及未完成的特性。然而由于stream/stream2攻击本身所具有的威力，即使参与的攻击机只有几台，也足以对victim(以及agent)所在网络产生极大影响。

　　mstream的源代码于2000年4月29日被人匿名发布到vuln-dev@securityfocus.com以及BugTraq邮件列表上，因此本文做少许修正，希望紧急事件响应小组、厂商花点时间提出自己的响应办法。仍存留在本文中的错误可能正是这次匆忙而就的修正所致。

　　提醒读者的是，对源代码的修改必将导致与本文分析细节不相符，比如提示、口令、命令、TCP/UDP端口号、所支持的攻击方式、签名、特性等等。事实上，外面广为流传的代码的通讯端口已与本文分析中的不同。

　　本文使用了CERT Distributed System Intruder Tools workshop于1999年11月所发布的术语标准。强烈建议先阅读如下链接以做背景知识

　　http://www.cert.org/reports/dsit_workshop.pdf

　　http://staff.washington.edu/dittrich/misc/ddos/

　　2000年4月下旬在某大学一台被入侵的Linux主机上发现了mstream agent，该机正以伪造的源IP对超过一打(12个)的目标主机进行flooding攻击。

　　这个子网的出口上应用了RFC 2267所定义的外出过滤规则(参考资源[13])，在32bits范围内伪造的源IP中，只有一小部分(匹配子网掩码的)能离开子网发送出去。然而，此时出口路由器(内侧有18个子网)停止响应。这意味着做外出过滤规则的路由设备本身将遭受攻击，尽管原来所定攻击目标只收到比攻击者预期要少得多的攻击报文。教训是，对于DDoS，简单的包过滤机制并不是一个快速有效的解决方案。我们已经提醒了路由厂商，希望他们能找出问题原因并修正之。