分布式拒绝服务攻击工具mstream(2)

　　当一个Agent第一次启动时，它向编译时固化进二进制文件的缺省Handlers列表发送"newserver"命令，用tcpdump可以看到如下内容

　　--------------------------------------------------------------------------
00:04:38.530000 192.168.0.20.1081 > 192.168.0.100.6838: udp 9
0x0000 4500 0025 ef75 0000 4011 098a c0a8 0014 E..%.u..@.......
0x0010 c0a8 0064 0439 1ab6 0011 2b63 6e65 7773 ...d.9....+cnews
0x0020 6572 7665 7200 0000 0000 0000 0000 erver.........
--------------------------------------------------------------------------

　　如果发现rootkit存在(Handler和Agent上都会使用)，你不能相信标准操作系统命令的输出，比如进程、网络连接等等。所有的系统管理员都应该花点时间看看参考资源[10]以了解rootkit。

　　前面提到了，如果一个Agent在10498/UDP上收到一个UDP报文，其数据区包含字符串"ping"，如果这个Agent此时没有处在攻击状态中，则响应一个UDP报文，目标端口6838/UDP，数据区包含字符串"pong"。下面是tcpdump的输出，结尾的0是tcpdump自己增加的，实际负载只有4个字节。

　　--------------------------------------------------------------------------
00:05:16.457239 192.168.0.100.65364 > 192.168.0.20.10498: udp 5
0x0000 4500 0021 f412 0000 4011 04f1 c0a8 0064 E..!....@......d
0x0010 c0a8 0014 ff54 2902 000d 6ce3 7069 6e67 .....T)...l.ping
0x0020 0a .
00:05:16.458214 192.168.0.20.1083 > 192.168.0.100.6838: udp 4
0x0000 4500 0020 ef8c 0000 4011 0978 c0a8 0014 E.......@..x....
0x0010 c0a8 0064 043b 1ab6 000c 8045 706f 6e67 ...d.;.....Epong
0x0020 0000 0000 0000 0000 0000 0000 0000 ..............
-------------------------------------------------------------------------