通过Emule做Ddos是否可行？

by 云舒

2008-07-23

http://www.ph4nt0m.org

今天抽空看了下emule协议几个可能会出问题的地方，初步感觉是可能真的有问题。下了代码回来看了，不过代码太大，目前还没找到地方，没法对想法进行印证。我简单的说下，看哪位代码牛人能够在项目中找到对应的代码。

首先是在客户端连接到服务器之后，搜索文件时，服务器返回结果的报文。报文中返回的结果是一个集合，每个集合表示一条记录。但是每条记录中，并不包含拥有该文件的客户端的IP地址，而是返回的拥有该文件的客户端的ClientID和端口。这里我猜测ClientID的计算是可逆的，搜索发起者可以根据这个 ClientID计算出IP地址，然后连接，请求下载文件。具体报文结构如下：

名称	大小（字节）	默认值	注释
协议类型	1	0xE3
大小	4		不包含报文和大小域的报文大小
类型	1	0x16	操作码 OP SEARCHRESULT 的值
结果数	4	N/A	此报文中包含的结果数目
结果列表	可变	N/A	一个结果的列表

搜索结果列表项格式：

名称	大小（字节）	默认值	注释
文件HASH	16	N/A	用于识别文件的 Hash 值
客户端 ID	4	N/A	eMule服务器分配给客户端的ID
客户端端口	2	N/A	客户端的监听的TCP端口
标志数	4	N/A	其后的属性标志个数
标志列表	可变	N/A	标志列表

其次的第二个地方是下载文件的地方，客户端要求下载一个文件时，服务器会返回一个源查找结果报文。该报文也是只包含源的ClientID和端口，客户端应该是按照ClientID计算出IP地址，再去连接下载文件的。具体报文如下：

名称	大小（字节）	默认值	注释
协议类型	1	0xE3
大小	4	N/A	不包含报文头和大小域的报文大小
类型	1	0x42	操作码 OP FOUNDSOURCES 的值
文件HASH	16	N/A	相关文件的 Hash 值
源数量	1	N/A	拥有该文件的机器的数量
源列表	可变	N/A	源列表内容，每一条是一个可用源

每一条源的报文格式如下：

名称	大小（字节）	默认值	注释
客户端 ID	4	N/A	共享该文件的客户端的 ID
客户端端口	2	N/A	共享该文件的客户端端口

可以看到，搜索某个文件时，服务器返回的搜索列表中按照ClientID来区分不同的其它客户端。在开始下载一个文件时，服务器返回的可用源列表中，每个源也是以一个ClientID来表示的。也就是说，没一个ClientID就可以确定一个源，区分开彼此。而emule可以根据这个ClientID找到对应的客户端，去连接指定端口，请求文件。那么，现在的问题是这个ClientID是哪里来的？

原来这个ClientID在正常情况下，是我们连接到emule服务器时，服务器分配给我们的。但是注意到，在连接之后，我们可以像服务器提供我们所拥有的文件列表，报文格式如下：

名称	大小（字节）	默认值	注释
协议类型	1	0xE3
大小	4		不包含报文和大小域的报文大小
类型	1	0x15	操作码 OP SEARCHRESULT 的值
文件数	4	N/A	共享列表中的文件数，这个数不超过 200
文件列表	可变	N/A	可选的文件列表,单个项的描述见下

单个文件条目描述我就不细写了，比较有用的字段是文件Hash码，ClientID，以及端口。这样看来，我们在连接到服务器之后，告诉它baidu的IP地址，TCP80端口，有赤壁下载，或者有XXX片下载，别人下载的时候，emule客户端会不会从服务器返回的可用源列表中，找到这条记录，并且去连接？

关键问题到了ClientID的计算，协议中这样描述的：假设 IP 地址为 X.Y.Z.W,则客户端 ID 按公式 X+28*Y+216*Z+24*W (Big Endian[6])计算。如果想法是正确的，那么我们可以先计算出百度的IP地址的ClientID，端口设置为80，然后通知服务器，这个 ClientID有高树的片子可以看……

是不是可行？我不知道，等我找到对应的代码，可能要到过年了。