DDoS攻击工具——TFN2K 分析

　　摘 要

　　--------

　　本文是对分布式拒绝服务（DDoS）攻击工具"Tribe Flood Network 2000 (TFN2K)"的技术分析。TFN2K是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。

　　关于Trinoo、TFN和Stacheldraht等分布式拒绝服务攻击工具的分析请参阅相关文档。

　　术 语

　　--------

　　客户端——用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。

　　守护程序——在代理端主机运行的进程，接收和响应来自客户端的命令。

　　主控端——运行客户端程序的主机。

　　代理端——运行守护程序的主机。

　　目标主机——分布式攻击的目标（主机或网络）。

　　什么是TFN2K？

　　------------

　　TFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。

　　TFN2K由两部分组成：在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协同，保证攻击的连续性。主控央和代理端的网络通讯是经过加密的，还可能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。所有这些特性都使发展防御TFN2K攻击的策略和技术都非常困难或效率低下。

　　TFN2K的技术内幕

　　---------------

　　◆ 主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据包向代理端主机发送命令。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING (SMURF)数据包flood等。