分布式拒絕攻擊(DDOS)軟體tfn2k攻防

　　　　　　分布式拒絕攻擊(DDOS)軟體tfn2k攻防

首先，我寫這篇文章的目的，並不是我想成為什麼hacker之類，而且我不並不鼓勵任何人利用它來做一些有損他人的事情，我只是想多一

些人關注網路安全，共同研究並防禦DOS。因為我是深受其害:(，所以，這篇文章僅用於技術參考，供大家研究DDOS防禦之用。如果你利用它來

做一些不合法的事情，那結果與我無關。
拒絕服務的攻擊（DOS，Denial Of Service)可以指任何使服務不能正常提供的操作。如軟體bug,操作失誤等。不過現在因為失誤操作而造成

的dos，可能性非常小，更多的是惡意的攻擊行為。現在拒絕服務的攻擊早已演變為分散式阻斷服務攻擊(DDOS,Distributed Denial Of

Service),利用更多的代理集中攻擊目標，其危害更大。
我們大家都知道tcp/ip協議現在已經成為整個internet架構協議，可以說，如果沒有tcp/ip，至少internet不會像現在這樣普及，甚至不



可能會有internet。但凡事皆有兩面性，tcp/ip使我們大家受益，同時因為協議本身構造的問題，它也成為別人攻擊我們的工具。我們以tcp三

握手建立串連的過程來說明。

一。tcp syn flood

1.用戶端(client)發送一個包含SYN(synchronize)的tcp包至伺服器，此資料包內包含用戶端連接埠及tcp序號等基本資料。
2.伺服器(server)接收到SYN包之後，將發送一個SYN-ACK包來確認。
3.用戶端在收到伺服器的SYN-ACK包之後，將回送ACK至伺服器，伺服器如接收到此包，則TCP串連建立完成，雙方可以進行通訊（感覺像

，一拜天地...二拜高堂...送入洞房...哈哈）

問題就出在第3步，如果伺服器收不到用戶端的ACK包，將會等待下去，這種狀態叫做半串連狀態。它會保持一定時間(具體時間不同操作系

統不同),如果SYN請求超過了伺服器能容納的限度，緩衝區隊列滿，那麼伺服器就不再接收新的請求了,其他合法使用者的串連都被拒絕掉。這種

攻擊往往事半'罪'倍，殺傷力超強。

當然，DOS攻擊的方法多種多樣，如:UDP flood,ICMP/Ping,ICMP/SMURF...,具體原理的介紹大家可以到
href=http://www.chinaitlab.com/www/special/ciwddos.asp>http://www.chinaitlab.com/www/special/ciwddos.asp去看看，有很詳細

的原理及常用攻擊軟體介紹。不過說到DOS攻擊軟體，最具代表的莫過於tfn2k (Tribe Flood Network 2000),其作者是德國大名鼎鼎的mixter(

其首頁http://mixter.void.ru/papers.html),好像最近正在埋頭搞什麼tfn3k，哎~~，不知道又有多少人寢食難安了...

二.tfn2k攻擊原理

1.tfn2k的攻擊體系。

tfn2k應該算是DDOS攻擊中的代表作，其所能實現的功能讓人瞠目結舌，歎為觀止...(對它的敬畏有如滔滔江水，延續不絕...)來看看它

的架構。
主控端---運行tfn用戶端，來遙控並指定攻擊目標，更改攻擊方法.(罪大惡極)
代理端---被植入並運行td進程的犧牲品，接受tfn的指揮，攻擊的實施者.需要注意的是，一個攻擊者，往往控制多台代理來完成攻擊，而

且其系統多為unix,linux等.(可憐的犧牲品）
目標主機---被攻擊的主機或網路，曾經被DDOS的有Yahoo、Amazon、CNN、e-bay等.(最大的受害者，鬱悶如我)

2.tfn2k特性。
　◆ 主控端通過TCP、UDP、ICMP或隨機性使用其中之一(預設.隨機)的資料包向代理端主機發送命令,攻擊方法包括TCP/SYN、UDP、

ICMP/PING、混合攻擊、TARGA3等。
◆ 主控端與代理端的通訊採取單向，即主控端只向代理端發送命令，並且會採取隨機的頭資訊，甚至虛擬源地址資訊,代理端不會

逆向向主控端發送任何資訊.
◆ 所有命令經過CAST-256演算法加命,其關鍵字即編譯器時的輸入的口令.並且這個口令做為唯一認證憑證.