1
DDoS
攻击基础教程
简介
TFN
被认为是当今功能最强性能最好的
DoS
攻击工具,几乎不可能被察觉。每一个人
都应该意识到假如他不足够关心他的安全问题,
最坏的情形就会发生。
因此这个程序被设计
成
大
多
数
的
操
作
系
统
可
以
编
译
,
以
表
明
现
在
的
操
作
系
统
没
有
特
别
安
全
的
,
包
括
Windows,Solaris,Linux
及其他各种
unix.
术语
客户端——用于通过发动攻击的应用程序,攻击者通过它来发送各种命令。
守护程序——在代理端主机运行的进程,接收和响应来自客户端的命令。
主控端——运行客户端程序的主机。
代理端——运行守护程序的主机。
目标主机——分布式攻击的目标
(
主机或网络
)
。
什么是
TFN2K?
TFN2K
通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。
当前互联网中的
UNIX
、
Solaris
和
Windows NT
等平台的主机能被用于此类攻击,而且这个
工具非常容易被移植到其它系统平台上。
TFN2K
由两部分组成:在主控端主机上的客户端和在代理端主机上的守护进程。主控
端向其代理端发送攻击指定的目标主机列表。
代理端据此对目标进行拒绝服务攻击。
由一个
主控端控制的多个代理端主机,
能够在攻击过程中相互协同,
保证攻击的连续性。
主控央和
代理端的网络通讯是经过加密的,还可能混杂了许多虚假数据包。整个
TFN2K
网络可能使
用不同的
TCP
、
UDP
或
ICMP
包进行通讯。而且主控端还能伪造其
IP
地址。所有这些特性
都使发展防御
TFN2K
攻击的策略和技术都非常困难或效率低下。
TFN2K
的技术内幕
◆
主控端通过
TCP
、
UDP
、
ICMP
或随机性使用其中之一的数据包向代理端主机
发送命令。对目标的攻击方法包括
TCP/SYN
、
UDP
、
ICMP/PING
或
BROADCAST
PING (SMURF)
数据包
flood
等。
◆
主控端与代理端之间数据包的头信息也是随机的,除了
ICMP
总是使用
ICMP_ECHOREPLY
类型数据包。
◆
与其上一代版本
TFN
不同,
TFN2K
的守护程序是完全沉默的,它不会对接收
到的命令有任何回应。客户端重复发送每一个命令
20
次,并且认为守护程
序应该至少能接收到其中一个。
◆
这些命令数据包可能混杂了许多发送到随机
IP
地址的伪造数据包。
◆
TFN2K
命令不是基于字符串的,而采用了
"++"
格式,其中是
代表某个特定命令的数值,则是该命令的参数。
◆
所有命令都经过了
CAST-256
算法
(RFC 2612)
加密。加密关键字在程序编
译时定义,并作为
TFN2K
客户端程序的口令。