DDoS攻击工具——Tribe Flood Network 分析(1)

　　简 介

　　--------

　　本文是对德国著名黑客Mixter编写的分布式拒绝服务攻击工具——"Tribe Flood Network（TFN）"的技术性分析。TFN与另一个分布式拒绝服务攻击工具"Trinoo"相似，都在互联网的大量Unix系统中开发和测试。

　　TFN由客户端程序和守护程序组成。通过提供绑定到TCP端口的root shell控制，实施ICMP flood、SYN flood、UDP flood和Smurf等多种拒绝服务的分布式网络攻击。

　　TFN守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞"statd"、"cmsd"和"ttdbserverd"入侵的。关于这些漏洞的详细资料请参阅CERT事件记录99-04：

　　http://www.cert.org/incident_notes/IN-99-04.html

　　最初的TFN守护程序来源于一些远程嗅探器(sniffer)和有访问控制的远程命令shell，并可能结合了能自动记录的嗅探器(sniffer)。

　　在研究这个工具包的过程中，捕获到了TFN攻击网络的安装过程及一些源代码。我们就是利用这些捕获到的源代码（根据Makefile，版本为"version 1.3 build 0053"）和已编译的TFN守护程序二进制代码进入了深入的分析。

　　对这些源代码的任何修改，如提示、口令、命令、TCP/UDP端口号或所支持的攻击方法、签名和具体功能，都可能使分析的结果与本文不同。

　　该守护程序是在Solaris 2.x和Red Hat Linux 6.0上编译并运行。主服务器 (master) 在Red Hat Linux 6.0上编译和运行。但也许守护程序和主服务器都可在其它同类平台中使用。

　　关于这种分布式拒绝服务攻击网络的初始入侵和安装配置过程的分析，请参阅对Trinoo工具的分析。