开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 系统/网络安全 > 查看源码
README
资源名称:ddos_scan.tar [点击查看]
上传用户:zht1018
上传日期:2007-01-07
资源大小:29k
文件大小:9k
源码类别:

系统/网络安全

开发平台:

Unix_Linux

README:源码内容
  1.         =======================================================
  2.         dds - a combined trinoo/TFN/stacheldraht agent detector
  3.         =======================================================
  6. "dds" is a program to scan for a limited set of distributed denial of
  7. service (ddos) agents.
  9. At present, it scans for active instances of "trinoo", "Tribe Flood
  10. Network" ("TFN") and "stacheldraht" agents, which were compiled
  11. using the default values in known source distributions, such as those
  12. found at:
  14. http://packetstorm.securify.com/distributed/
  16. It will *not* detect TFN2K agents.
  18. For analyses of the three distributed denial of service attack
  19. tools it scans for, and the methods being used by dds to identify
  20. them, see:
  22. http://staff.washington.edu/dittrich/misc/trinoo.analysis
  23. http://staff.washington.edu/dittrich/misc/tfn.analysis
  24. http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
  26. To be honest, I would recommend using an even newer and more general
  27. tool, RID, by David Brumley of Stanford University.  You can find a
  28. link to RID source, and other resources on DDoS attacks, on
  29. the following page:
  31. http://staff.washington.edu/dittrich/misc/ddos/
  34. See CHECKSUMS.asc for PGP signed MD5 checksums.
  37. Usage
  38. =====
  40. This program is known to compile and run on at least the following
  41. operating systems:
  43. * Linux (kernel 2.2.x)
  44. * Solaris 2.6 or higher (Solaris 2.5 seems to be missing inet_aton())
  45. * Digital Unix 4.0d 
  46. * IBM AIX 4.2
  47. * FreeBSD 3.3-Release
  48. * OpenBSD 2.6
  49. * IRIX 6.5 (MIPS Pro compiler warns of incompatible type
  50.                     with trinoo_rctport variable)
  52. You may need to edit the Makefile to define the libraries necessary
  53. to compile the program.  The default should work for Sun Solaris
  54. systems.
  56. You must run dds as root, as it needs to open a raw mode socket.
  57. (If you don't trust running the code as root, which you *should*
  58. be wary of doing if someone asks you, the source file is there
  59. to check.)
  61. There is an interpacket delay, as well as a default 30 second delay
  62. after sending out all packets to allow delayed packets to be received
  63. before the program exits.  If you use the debug or verbose options, be
  64. aware of this delay (the program is not "hung," it is simply being
  65. patient.)
  67. Networks are specified using classless interdomain routing (CIDR)
  68. notation.  (See RFC 1518 and RFC 1519.)
  70. Common netmasks, and their CIDR equivalents, are:
  72. 255.255.0.0 /16
  73. 255.255.255.0 /24
  74. 255.255.255.255 /32
  76. Say you have a network of subnets, all sharing a common network
  77. address of 198.162.  To scan this entire /16 network, you would
  78. use the command:
  80. # ./dds 198.162.0.0/16
  82. If you instead wish to just scan the 24 bit subnet 198.162.1, you
  83. would use the command:
  85. # ./dds 198.162.1.0/24
  87. To scan a single host, just give its IP address (/32 is assumed):
  89. # ./dds 198.162.1.1
  91. If dds is able to find an active trinoo or stacheldraht agent, it will
  92. report as follows:
  94. # ./dds 192.168.1.0/24
  95. Received 'PONG' from 192.168.1.17 - probable trinoo agent
  96. Received TFN Reply from 192.168.1.153 - probable tfn agent
  97. Received 'sicken' from 192.168.1.202 - probable stacheldraht agent
  99. If dds does not find any active trinoo, TFN or stacheldraht agents, it
  100. will return nothing.  You can use verbose mode if you really want to
  101. see it report each time it sends a packet, like this:
  103. # ./dds -v 192.168.1.0/24
  104. Mask: 24
  105. Target: 192.168.1.0
  106. dds $Revision: 1.3 $ - scanning...
  108. Probing address 192.168.1.1
  109. Probing address 192.168.1.2
  110.  . . .
  111. Received 'PONG' from 192.168.1.17 - probable trinoo agent
  112.  . . .
  113. Probing address 192.168.1.152
  114. Received TFN Reply from 192.168.1.153 - probable tfn agent
  115.  . . .
  116. Received 'sicken' from 192.168.1.202 - probable stacheldraht agent
  117. Probing address 192.168.1.203
  118.  . . .
  119. Probing address 192.168.1.254
  121. If you do this, realize that scanning a /24 subnet will generate
  122. > 254 lines out output, so you will probably need to run "script" to
  123. capture all the output.
  125. If dds receives an ICMP_ECHOREPLY packet that happens to have the same
  126. ID value (669) as a stacheldraht agent produces, but without the
  127. word "sicken" in the data portion of the packet, or a UDP packet
  128. on the trinoo handler listen port without "PONG" in the data portion
  129. of the packet, it will report one of the following:
  131. Unexpected ICMP packet from ...
  132. Unexpected UDP packet received on port ... from ...
  134. This is not the same as detecting a trinoo or stacheldraht agent.
  135. Please read the analyses of trinoo and stacheldraht to understand what
  136. this tool is doing and what it expects to receive.
  138. Any ICMP_ECHOREPLY packet with an ID of 123 received by dds
  139. will appear to be (and will be reported as coming) from a
  140. probable TFN agent. It is very unlikely this would be a false
  141. positive.
  144. Caveats
  145. =======
  147. This program MAY NOT DETECT stacheldraht agents that are not part of
  148. an active network.  In other words, if a stacheldraht agent is
  149. installed on a system, but there is no handler currently running to
  150. control it, it may not respond to the packets sent by this program.
  152. This program WILL NOT DETECT agents which have had the default values
  153. changed for handler/agent "command" communication.
  155. Because of these limitations, a negative response DOES NOT GUARANTEE
  156. you have no agents on your network.
  158. Even if you do detect trinoo, TFN or stacheldraht agents, you may find
  159. it difficult to locate them due to "root kits" or loadable kernel
  160. modules installed on the system.  This may require that you use file
  161. system integrity checking techniques, or otherwise identify the
  162. modified files.  A write-up on root kits can be found at:
  164. http://staff.washington.edu/dittrich/misc/faq/rootkits.faq
  166. A complementary tool that will scan the local file system for
  167. handlers/agents on Solaris systems is provided by the National
  168. Infrastructure Protection Center.  See:
  170. http://www.fbi.gov/nipc/trinoo.htm
  172. For more information on ddos tools and how to respond to them, see:
  174. http://www.cert.org/advisories/CA-2000-01.html
  175. http://www.cert.org/reports/dsit_workshop.pdf
  178. You should take care to NOT SCAN networks that you do NOT OWN AND
  179. CONTROL.  People will get very angry with you if you do this.  This
  180. tool was intended to be used by network administrators and incident
  181. response teams for scanning internal networks.
  183. You should also coordinate your activities with other groups that
  184. share the use of, or administration of, your network.
  186. If you find agents with this tool, you have identified the bottom tier
  187. of a distributed network, which may contain hundreds (as many as a
  188. thousand) of other agents at various sites.  Proper forensic
  189. procedures, to gather evidence about which computers (most likely at
  190. other sites) are acting as the handlers of the network, which will
  191. then lead to the other agents.  You should remove the system from the
  192. network, and perform a backup of the system immediately, to ensure you
  193. take the system out of the control of the attackers who compromised
  194. it, and to preserve evidence.  More information on responding to root
  195. level compromise can be found in the CERT advisory mentioned above.
  198. CREDITS
  199. =======
  201. I can only take credit for the analyses of trinoo, TFN, and
  202. stacheldraht, the initial C version of "gag" (dds' predecessor, which
  203. was hacked together from the stacheldraht source code and then
  204. significantly modified by Marcus Ranum of Network Flight Recorder and
  205. others) and the addition of trinoo agent detection to dds (based on
  206. code produced by George Weaver of Pennsylvania State University.)  TFN
  207. detection was added to dds by David Brumley of Stanford University.
  208. Alan Cox provided some bug fix advice.
  210. It would not have been possible to get the program to this level, this
  211. fast, without their contributions (which is greatly appreciated!)
  212. (Anyone wishing to supply patches to fix bugs or add new features,
  213. please feel free to send them my way.  Open source development
  214. rules!)
  216. LEGALESE
  217. ========
  219. This software should only be used in compliance with all applicable laws and
  220. the policies and preferences of the owners of any networks, systems, or hosts
  221. scanned with the software
  223. The developers and licensors of the software provide the software on an "as
  224. is" basis, excluding all express or implied warranties, and will not be liable
  225. for any damages arising out of or relating to use of the software.
  227. THIS SOFTWARE IS MADE AVAILABLE "AS IS", AND THE UNIVERSITY OF WASHINGTON
  228. DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, WITH REGARD TO THIS SOFTWARE,
  229. INCLUDING WITHOUT LIMITATION ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND
  230. FITNESS FOR A PARTICULAR PURPOSE, AND IN NO EVENT SHALL THE UNIVERSITY OF
  231. WASHINGTON BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY
  232. DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN
  233. ACTION OF CONTRACT, TORT (INCLUDING NEGLIGENCE) OR STRICT LIABILITY, ARISING
  234. OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.