📄 348.htm
字号:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>CTerm非常精华下载</title>
</head>
<body bgcolor="#FFFFFF">
<table border="0" width="100%" cellspacing="0" cellpadding="0" height="577">
<tr><td width="32%" rowspan="3" height="123"><img src="DDl_back.jpg" width="300" height="129" alt="DDl_back.jpg"></td><td width="30%" background="DDl_back2.jpg" height="35"><p align="center"><a href="http://apue.dhs.org"><font face="黑体"><big><big>apue</big></big></font></a></td></tr>
<tr>
<td width="68%" background="DDl_back2.jpg" height="44"><big><big><font face="黑体"><p align="center"> ● UNIX网络编程 (BM: clown) </font></big></big></td></tr>
<tr>
<td width="68%" height="44" bgcolor="#000000"><font face="黑体"><big><big><p align="center"></big></big><a href="http://cterm.163.net"><img src="banner.gif" width="400" height="60" alt="banner.gif"border="0"></a></font></td>
</tr>
<tr><td width="100%" colspan="2" height="100" align="center" valign="top"><br><p align="center">[<a href="index.htm">回到开始</a>][<a href="309.htm">上一层</a>][<a href="349.htm">下一篇</a>]
<hr><p align="left"><small>发信人: guru ( Darkness), 信区: UNP <br>
标 题: trinoo攻击源代码的分析--ns.c (上 <br>
发信站: UNIX编程 (2001年07月24日09:53:34 星期二), 站内信件 <br>
<br>
>>>白云--->安全(chillone) <br>
对于攻击守护进程(NS) 的分析: <br>
<br>
/@@@@ 程序中有一段为: <br>
<br>
foke=fork() <br>
<br>
if (foke>0){ <br>
<br>
hoe=setpgid(foke,foke); <br>
<br>
exit(0); <br>
<br>
} <br>
<br>
这段程序的具体意思我不是太清楚,不过它的作用类似于 <br>
<br>
执行后台程序加上“&” 一样。如果有谁知道,还请相告。 <br>
<br>
<br>
@@@@/ <br>
<br>
1: 它在端口27444进行监听,绑定这个端口。 <br>
<br>
2: 向master 主机发送 *HELLO* 的udp 数据报 <br>
<br>
3: 进入无限循环:: <br>
<br>
从监听端口27444接受 :recvfrom(...)并在其中填写 from参数 <br>
<br>
(由于我们在master 发送命令的时候填写了不同的参数,所以 <br>
<br>
我们根据收到的内容按格式填入参数arg1 pass arg2,主要是arg1 <br>
<br>
and arg2) <br>
<br>
在下面我就把master 中的命令格式和 ns 对应的参数列表如下:(用!! 分开 ) <br>
<br>
<br>
<br>
master程序 中间处理(在master.c中) ns程序 注释 <br>
<br>
<br>
!! dos ip !! aaa pass arg1 !! aaa arg2 !!ip <br>
<br>
=arg1=arg2 <br>
<br>
!! mtimer seconds !! bbb pass arg1 !! bbb arg2 !! se <br>
<br>
conds=arg1=arg2 <br>
<br>
!! killdead !! shi pass !! shi <br>
<br>
!! mping !! png pass !! png <br>
<br>
!! mdie arg1(killme) !! dle pass !! d1e !!arg1为mdi <br>
<br>
e命令需要的口令 <br>
<br>
!! msize arg1 !! rsz arg1 !! rsz !! arg1为重 <br>
<br>
新设置的udp报的长度 <br>
<br>
!! mdos <ip1:ip2:ip3> !! xyz pass 123 arg1 !!xyz arg2 !!<ip1:ip <br>
<br>
<br>
2:ip3>=arg1=arg2 <br>
<br>
4: ns 中每一个子段的解释: <br>
<br>
(pass 这个子段由于都相同,提取出来之后在开头时候比较,出错的话就ft! <br>
<br>
and exit ! ) <br>
<br>
4.1 ---- aaa arg2 <br>
<br>
这个arg2 也就是指定的被攻击的对象(很同情^_^) <br>
<br>
时间限定120 seconds (默认值,而不是有些说明中的无限大,这是这儿的 <br>
<br>
疑惑之一 ) <br>
<br>
向目标机随机端口发送udp数据报(这儿是疑惑之二,很多说明中说是发送全 <br>
<br>
零的length=4的 <br>
<br>
udp flood, 然而在程序中好像有点问题) <br>
<br>
<br>
这一段也就是攻击目标(单个目标机器)的程序段。 <br>
<br>
后来我在这篇文章上看到http://www.etechbase.net/tech_disp_page.php <br>
<br>
?number=936 <br>
<br>
分析和我的一样,不知道是怎么回事,发送缓冲区内容长度1000字节的随机 <br>
<br>
内容,但是用 <br>
<br>
tcpdump抓到的的确是length=4的udp flood 报文,很是奇怪!! <br>
<br>
4.2 ---- bbb arg2 <br>
<br>
设定攻击时间 <br>
<br>
4.3 ---- shi <br>
<br>
向master主机发送*HELLO* 的udp数据报 <br>
<br>
4.4 ----- png <br>
<br>
<br>
向发起连接的主机(也就是master)31335 端口发送"PONG" udp 数据报 <br>
<br>
<br>
<br>
4.5 ----- d1e <br>
<br>
退出 ns <br>
<br>
4.6 ----- rsz arg2 <br>
<br>
设置udp数据报的长度,并全为零 <br>
<br>
4.7 ---- xyz arg2 <br>
<br>
dos many 也就是可以同时攻击多个ip,这里的技巧也就是利用strto <br>
<br>
k这个函数, <br>
<br>
如果不是很明白的话,自己可以man 一下,其他的就是类似于攻击单 <br>
<br>
个目标了。 <br>
<br>
<br>
5 程序end <br>
<br>
<br>
<br>
<br>
<br>
-- <br>
<br>
<br>
<br>
曾经成功过,意气风发; <br>
<br>
曾经失败过,落魂失魄; <br>
<br>
但是我要追逐现在和未来! <br>
<br>
<br>
<br>
<br>
-- <br>
Target Locked:Guru In Darkness. <br>
我只是一只静静卧着的狮子。。。 <br>
※ 修改:·guru 於 07月24日13:57:14 修改本文·[FROM: 202.114.36.196] <br>
※ 来源:·UNIX编程 www.tiaozhan.com/unixbbs/·[FROM: 202.114.36.196] <br>
</small><hr>
<p align="center">[<a href="index.htm">回到开始</a>][<a href="309.htm">上一层</a>][<a href="349.htm">下一篇</a>]
<p align="center"><a href="http://cterm.163.net">欢迎访问Cterm主页</a></p>
</table>
</body>
</html>⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -