分布式拒绝服务攻击工具mstream(3)

　　☆ 防御

　　我们没有时间完成这部分内容，任何针对stream/stream2 [12]或者其它DDoS工具 [08]的防御讨论都可一试。最后，看在上帝的份上，网管、系管们做好自身的安全防 卫工作吧，我晕倒。

　　☆ 弱点

　　由于Attacker、Handler、Agent之间的通讯未加密，很容易被Sniffer、Hijack等等。

　　Agent(s)不对命令来源做任何验证，我们可以利用"ping/pong"特性找出那些当前未做攻击的Agent(s)。

　　"pong"是Agent到Handler的唯一响应，"newserver"是Agent第一次启动时发给 Handler的。附录D介绍了Agent的安装，每次系统重启都会启动Agent。这意味着在系 统重启时可以抓到"newserver"包，我们不推荐这样去鉴别Agent的存在，至少不该是 首选动作。参看附录D、附录E。

　　Agent接收到一个格式错误的命令串(比如"stream foo bar")时，将发生 segmentation fault，导致Agent(s)不可用，但是很可能在系统重启时恢复工作。

　　向Agent发送太多命令导致打开的文件句柄过多而最终停止响应。

　　Agent进程是单线程的，意味着在攻击中它无法处理来自Handler的命令，一旦攻击开 始，Agent将失去控制。

　　Agent工作在多种flood攻击模式下时，攻击列表中的所有主机遭受同样时间长度的攻 击以及同样类型的攻击(比如ICMP主机不可达、TCP RST)。

　　☆ 可能的修正

　　1) Handler上针对到自己的连接请求做源端口过滤

　　2) 在Handler与Agent之间增加验证机制

　　3) 报文大小可选

　　4) 允许指定flood packets的TCP标志(ACK、RST、NUL、random、whatever)

　　5) Attacker与Handler之间的通讯加密

　　6) 增加内置命令

　　☆ 附录B - 检测mstream的snort规则