tfn2k使用方法和對策(1) 作者：佳佳 今年年初，一些黑客使用DDoS向Yahoo,eBay等著名站點發(fā)起攻擊，并且使yahoo癱瘓。1999.10月ISS就預(yù)言DDoS將成為2000年最流行的攻擊手法。國內(nèi)近期也發(fā)生了許多DDoS事件。佳佳剛考完Toefl可以清閑幾天，于是就整理一下幾個著名工具的代碼，匯報被大家。 　　這里佳佳主要介紹tfn2k，因為它最著名嘛！主要分為使用說明，攻擊實例，程序分析，防范手段等幾部分。 簡介： 　　TFN被認(rèn)為是當(dāng)今功能最強性能最好的DoS攻擊工具，幾乎不可能被察覺。作者發(fā)布這個工具的出發(fā)點是什么呢？作者向你保證它不會傷害公司或個人。但是它會嚇一嚇那些不關(guān)心系統(tǒng)安全的人，因為現(xiàn)在精密的工具被不斷改善，并且被私人持有，他們許多都是不可預(yù)測的?，F(xiàn)在是每一個人都清醒的時候了，每一個人都應(yīng)該意識到假如他不足夠關(guān)心他的安全問題，最壞的情形就會發(fā)生。 　　因此這個程序被設(shè)計成大多數(shù)的操作系統(tǒng)可以編譯，以表明現(xiàn)在的操作系統(tǒng)沒有特別安全的，包括Windows,Solaris,Linux及其他各種unix. 特點描述： 　　TFN使用了分布式客戶服務(wù)器功能，加密技術(shù)及其它類的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機器，以產(chǎn)生隨機匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問。 此版本的新特點包括： 1。功能性增加: 　　　為分布式執(zhí)行控制的遠(yuǎn)程單路命令執(zhí)行 　　　對軟弱路由器的混合攻擊 　　　對有IP棧弱點的系統(tǒng)發(fā)動Targa3攻擊 　　　對許多unix系統(tǒng)和WinNT的兼容性。 2。匿名秘密的客戶服務(wù)器通訊使用： 　　　假的源地址 　　　高級加密 　　　單路通訊協(xié)議 　　　通過隨機IP協(xié)議發(fā)送消息 　　　誘騙包 編譯： 　　在編譯之前，先要編輯src/makefile文件修改選項符合你的操作系統(tǒng)。建議你看一下src/config.h然后修改一些重要的缺省值。 　　一旦你開始編譯，你會被提示輸入一個8--32位的服務(wù)器密碼。如果你使用REQUIRE_PASS類型編譯，在使用客戶端時你必須輸入這個密碼。 安裝： 　　TFN服務(wù)器端被安裝運行于主機，身份是root（或euid　root）。 它將用自己的方式提交系統(tǒng)配置的改變，于是如果系統(tǒng)重啟你也得重啟。一旦服務(wù)器端被安裝，你就可以把主機名加入你的列表了（當(dāng)然你也可以聯(lián)系單個的服務(wù)器端）。TFN的客戶端可以運行在shell(root)和Windows命令行(管理員權(quán)限需要在NT上). 使用客戶端： 　　客戶端用于聯(lián)系服務(wù)器端，可以改變服務(wù)器端的配置，衍生一個shell,控制攻擊許多其它的機器。你可以tfn　-f　file從一個主機名文件讀取主機名，也可以使用tfn　-h　hostname聯(lián)系一個服務(wù)器端。 　　缺省的命令是通過殺死所有的子線程停止攻擊。命令一般用-c　. 請看下面的命令行描述。　選項-i需要給命令一個值，分析目標(biāo)主機字符串，這個目標(biāo)主機字符串缺省用分界符@。 當(dāng)使用smurf　flood時，只有第一個是被攻擊主機，其余被用于直接廣播。 ID　1　-反欺騙級：服務(wù)器產(chǎn)生的DoS攻擊總是來源于虛假的源地址。通過這個命令，你可以控制IP地址的哪些部分是虛假的，哪些部分是真實的IP。 ID　2　-改變包尺寸：缺省的ICMP/8,smurf,udp攻擊缺省使用最小包。你可以通過改變每個包的有效載荷的字節(jié)增加它的大小。 ID　3　-　綁定root　shell:啟動一個會話服務(wù)，然后你連接一個指定端口就可以得到一個root　shell。 ID　4　-　UDP　flood　攻擊：這個攻擊是利用這樣一個事實：每個udp包被送往一個關(guān)閉的端口，這樣就會有一個ICMP不可到達的信息返回，增加了攻擊的能力。 ID5　-　SYN　flood　攻擊：這個攻擊有規(guī)律的送虛假的連接請求。結(jié)果會是目標(biāo)端口拒絕服務(wù)，添瞞TCP連接表，通過對不存在主機的TCP/RST響應(yīng)增加攻擊潛力。 ID　6　-　ICMP響應(yīng)(ping)攻擊：這個攻擊發(fā)送虛假地址的ping請求，目標(biāo)主機會回送相同大小的響應(yīng)包。 ID　7　-　SMURF　攻擊：用目標(biāo)主機的地址發(fā)送ping請求以廣播擴大，這樣目標(biāo)主機將得到回復(fù)一個多倍的回復(fù)。 ID　8　-　MIX攻擊：按照1:1:1的關(guān)系交替的發(fā)送udp,syn,icmp包，這樣就可以對付路由器，其它包轉(zhuǎn)發(fā)設(shè)備，NIDS,sniffers等。 ID　9　-TARGA3攻擊 ID　10　-　遠(yuǎn)程命令執(zhí)行：給予單路在服務(wù)器上執(zhí)行大量遠(yuǎn)程命令的機會。更復(fù)雜的用法請看4.1節(jié)。 更多的選項請看命令行幫助。 使用tfn用于分布式任務(wù) Using　TFN　for　other　distributed　tasks 　　　　　依照CERT的安全報告，新版本的DDOS工具包含一個最新流行的特點：軟件的自我更新。 TFN也有這個功能，作者并沒有顯式的包含這個功能。在ID　10遠(yuǎn)程執(zhí)行命令中給予用戶在任意數(shù)量遠(yuǎn)程主機上以批處理的形式執(zhí)行同樣shell命令的能力。這同時也證明了一個問題：DDOS等類似的分布式網(wǎng)絡(luò)工具不僅僅簡單的用于拒絕服務(wù)，還可以做許多實際的事情。 使用方法： usage:　./tfn　 [-P　protocol]　Protocol　for　server　communication.　Can　be　ICMP,　UDP　or　TCP. Uses　a　random　protocol　as　default [-D　n]　Send　out　n　bogus　requests　for　each　real　one　to　decoy　targets [-S　host/ip]　Specify　your　source　IP.　Randomly　spoofed　by　default,　you　need to　use　your　real　IP　if　you　are　behind　spoof-filtering　routers [-f　hostlist]　Filename　containing　a　list　of　hosts　with　TFN　servers　to　contact [-h　hostname]　To　contact　only　a　single　host　running　a　TFN　server [-i　target　string]　Contains　options/targets　separated　by　'@',　see　below [-p　port]　A　TCP　destination　port　can　be　specified　for　SYN　floods <-c　command　ID>　0　-　Halt　all　current　floods　on　server(s)　immediately 1　-　Change　IP　antispoof-level　(evade　rfc2267　filtering) usage:　-i　0　(fully　spoofed)　to　-i　3　(/24　host　bytes　spoofed) 2　-　Change　Packet　size,　usage:　-i　 3　-　Bind　root　shell　to　a　port,　usage:　-i　 4　-　UDP　flood,　usage:　-i　victim@victim2@victim3@... 5　-　TCP/SYN　flood,　usage:　-i　victim@...　[-p　destination　port] 6　-　ICMP/PING　flood,　usage:　-i　victim@... 7　-　ICMP/SMURF　flood,　usage:　-i　victim@broadcast@broadcast2@... 8　-　MIX　flood　(UDP/TCP/ICMP　interchanged),　usage:　-i　victim@... 9　-　TARGA3　flood　(IP　stack　penetration),　usage:　-i　victim@... 10　-　Blindly　execute　remote　shell　command,　usage　-i　command 　　看到這里，你是不是有許多不明白，這上面只是佳佳把原作者(mixter)的使用說明大致翻譯了一下，一些東西，象新特點呀，新增功能呀，知不知道無所謂啦！以后再看吧！ 　　下一篇文章呢，佳佳會給出一次詳細(xì)的攻擊過程，是佳佳在Linux上測試的?？墒侵攸c的重點??！等著吧。。。 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　jjgirl　10.24.2000 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　jjgirl@363.net 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　http://jjgirl.yeah.net 對了，補充一點。下載地址：http://packetstorm.securify.com/groups/mixter/tfn.tgz

最新評論