分布式拒绝服务攻击工具mstream(4)

　　☆ 附录E - 对印第安纳大学Handler系统的分析

　　2000年4月20日印第安纳大学IT安全办公室接到华盛顿大学Dave Dittrich的通知(随后是Penn State)，在华盛顿大学确认一台类似Trinoo Agent的主机正以伪造过的源IP进行DoS攻击，该Agent的二进制文件中固化有印第安纳大学所属IP。

　　首先我们阻断了与该IP相关的进出通讯，并记录一切入连接企图。主要意图是避免该IP引起更多麻烦，但我们不想惊动入侵者。没有重启主机或者其它针对网络的物理改变(比如拔掉网线)，以免运行在主机上的程序监测到这些行为并删除自身。

　　译注: 这个想法好，监测拔掉网线的行为并销毁自身。一般安全工程师给客户的建议中就有，如果条件允许，尽可能先拔掉网线再检查。现在看来，应该是从路由上阻断通讯，而不是拔掉网线。

　　一旦系统与网络其它部分隔离开来，我们就可以运行lsof，输出报告在后面。这个输出表明进程rpc.wall侦听好几个UDP端口，其中包括6838/UDP，Dittrich先生提到他那边的Agent进程向该端口发送报文。/usr/bin/...被打开读取了几百次，这个文件包含一个IP列表，做了点简单的ASCII变换加密。这些IP地址似乎是受该Handler控制的Agent(s)地址。华盛顿大学那台Agent确实在这个列表里。我们发现一个类似的文件/dev/grab/...，想必为另一个master server所用。

　　这种文件中包含类似行

　　ckd`chj`cc`jb<

　　ASCII变换加密仅仅是在每个字符上增加50，所以最终IP是(减去50即可得到) 192.168.11.80

　　可以用如下Unix命令一次性转换完毕
tr 'b-k`' '0-9.' | sed 's/<$//'

　　我们得到76个IP地址，大概都是DDoS slave agents.