tfn2k使用方法和對(duì)策(1) 作者：佳佳 今年年初，一些黑客使用DDoS向Yahoo,eBay等著名站點(diǎn)發(fā)起攻擊，并且使yahoo癱瘓。1999.10月ISS就預(yù)言DDoS將成為2000年最流行的攻擊手法。國(guó)內(nèi)近期也發(fā)生了許多DDoS事件。佳佳剛考完Toefl可以清閑幾天，于是就整理一下幾個(gè)著名工具的代碼，匯報(bào)被大家。 　　這里佳佳主要介紹tfn2k，因?yàn)樗钪?！主要分為使用說(shuō)明，攻擊實(shí)例，程序分析，防范手段等幾部分。 簡(jiǎn)介： 　　TFN被認(rèn)為是當(dāng)今功能最強(qiáng)性能最好的DoS攻擊工具，幾乎不可能被察覺(jué)。作者發(fā)布這個(gè)工具的出發(fā)點(diǎn)是什么呢？作者向你保證它不會(huì)傷害公司或個(gè)人。但是它會(huì)嚇一嚇那些不關(guān)心系統(tǒng)安全的人，因?yàn)楝F(xiàn)在精密的工具被不斷改善，并且被私人持有，他們?cè)S多都是不可預(yù)測(cè)的?，F(xiàn)在是每一個(gè)人都清醒的時(shí)候了，每一個(gè)人都應(yīng)該意識(shí)到假如他不足夠關(guān)心他的安全問(wèn)題，最壞的情形就會(huì)發(fā)生。 　　因此這個(gè)程序被設(shè)計(jì)成大多數(shù)的操作系統(tǒng)可以編譯，以表明現(xiàn)在的操作系統(tǒng)沒(méi)有特別安全的，包括Windows,Solaris,Linux及其他各種unix. 特點(diǎn)描述： 　　TFN使用了分布式客戶(hù)服務(wù)器功能，加密技術(shù)及其它類(lèi)的功能，它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問(wèn)。 此版本的新特點(diǎn)包括： 1。功能性增加: 　　　為分布式執(zhí)行控制的遠(yuǎn)程單路命令執(zhí)行 　　　對(duì)軟弱路由器的混合攻擊 　　　對(duì)有IP棧弱點(diǎn)的系統(tǒng)發(fā)動(dòng)Targa3攻擊 　　　對(duì)許多unix系統(tǒng)和WinNT的兼容性。 2。匿名秘密的客戶(hù)服務(wù)器通訊使用： 　　　假的源地址 　　　高級(jí)加密 　　　單路通訊協(xié)議 　　　通過(guò)隨機(jī)IP協(xié)議發(fā)送消息 　　　誘騙包 編譯： 　　在編譯之前，先要編輯src/makefile文件修改選項(xiàng)符合你的操作系統(tǒng)。建議你看一下src/config.h然后修改一些重要的缺省值。 　　一旦你開(kāi)始編譯，你會(huì)被提示輸入一個(gè)8--32位的服務(wù)器密碼。如果你使用REQUIRE_PASS類(lèi)型編譯，在使用客戶(hù)端時(shí)你必須輸入這個(gè)密碼。 安裝： 　　TFN服務(wù)器端被安裝運(yùn)行于主機(jī)，身份是root（或euid　root）。 它將用自己的方式提交系統(tǒng)配置的改變，于是如果系統(tǒng)重啟你也得重啟。一旦服務(wù)器端被安裝，你就可以把主機(jī)名加入你的列表了（當(dāng)然你也可以聯(lián)系單個(gè)的服務(wù)器端）。TFN的客戶(hù)端可以運(yùn)行在shell(root)和Windows命令行(管理員權(quán)限需要在NT上). 使用客戶(hù)端： 　　客戶(hù)端用于聯(lián)系服務(wù)器端，可以改變服務(wù)器端的配置，衍生一個(gè)shell,控制攻擊許多其它的機(jī)器。你可以tfn　-f　file從一個(gè)主機(jī)名文件讀取主機(jī)名，也可以使用tfn　-h　hostname聯(lián)系一個(gè)服務(wù)器端。 　　缺省的命令是通過(guò)殺死所有的子線程停止攻擊。命令一般用-c　. 請(qǐng)看下面的命令行描述?！∵x項(xiàng)-i需要給命令一個(gè)值，分析目標(biāo)主機(jī)字符串，這個(gè)目標(biāo)主機(jī)字符串缺省用分界符@。 當(dāng)使用smurf　flood時(shí)，只有第一個(gè)是被攻擊主機(jī)，其余被用于直接廣播。 ID　1　-反欺騙級(jí)：服務(wù)器產(chǎn)生的DoS攻擊總是來(lái)源于虛假的源地址。通過(guò)這個(gè)命令，你可以控制IP地址的哪些部分是虛假的，哪些部分是真實(shí)的IP。 ID　2　-改變包尺寸：缺省的ICMP/8,smurf,udp攻擊缺省使用最小包。你可以通過(guò)改變每個(gè)包的有效載荷的字節(jié)增加它的大小。 ID　3　-　綁定root　shell:啟動(dòng)一個(gè)會(huì)話服務(wù)，然后你連接一個(gè)指定端口就可以得到一個(gè)root　shell。 ID　4　-　UDP　flood　攻擊：這個(gè)攻擊是利用這樣一個(gè)事實(shí)：每個(gè)udp包被送往一個(gè)關(guān)閉的端口，這樣就會(huì)有一個(gè)ICMP不可到達(dá)的信息返回，增加了攻擊的能力。 ID5　-　SYN　flood　攻擊：這個(gè)攻擊有規(guī)律的送虛假的連接請(qǐng)求。結(jié)果會(huì)是目標(biāo)端口拒絕服務(wù)，添瞞TCP連接表，通過(guò)對(duì)不存在主機(jī)的TCP/RST響應(yīng)增加攻擊潛力。 ID　6　-　ICMP響應(yīng)(ping)攻擊：這個(gè)攻擊發(fā)送虛假地址的ping請(qǐng)求，目標(biāo)主機(jī)會(huì)回送相同大小的響應(yīng)包。 ID　7　-　SMURF　攻擊：用目標(biāo)主機(jī)的地址發(fā)送ping請(qǐng)求以廣播擴(kuò)大，這樣目標(biāo)主機(jī)將得到回復(fù)一個(gè)多倍的回復(fù)。 ID　8　-　MIX攻擊：按照1:1:1的關(guān)系交替的發(fā)送udp,syn,icmp包，這樣就可以對(duì)付路由器，其它包轉(zhuǎn)發(fā)設(shè)備，NIDS,sniffers等。 ID　9　-TARGA3攻擊 ID　10　-　遠(yuǎn)程命令執(zhí)行：給予單路在服務(wù)器上執(zhí)行大量遠(yuǎn)程命令的機(jī)會(huì)。更復(fù)雜的用法請(qǐng)看4.1節(jié)。 更多的選項(xiàng)請(qǐng)看命令行幫助。 使用tfn用于分布式任務(wù) Using　TFN　for　other　distributed　tasks 　　　　　依照CERT的安全報(bào)告，新版本的DDOS工具包含一個(gè)最新流行的特點(diǎn)：軟件的自我更新。 TFN也有這個(gè)功能，作者并沒(méi)有顯式的包含這個(gè)功能。在ID　10遠(yuǎn)程執(zhí)行命令中給予用戶(hù)在任意數(shù)量遠(yuǎn)程主機(jī)上以批處理的形式執(zhí)行同樣shell命令的能力。這同時(shí)也證明了一個(gè)問(wèn)題：DDOS等類(lèi)似的分布式網(wǎng)絡(luò)工具不僅僅簡(jiǎn)單的用于拒絕服務(wù)，還可以做許多實(shí)際的事情。 使用方法： usage:　./tfn　 [-P　protocol]　Protocol　for　server　communication.　Can　be　ICMP,　UDP　or　TCP. Uses　a　random　protocol　as　default [-D　n]　Send　out　n　bogus　requests　for　each　real　one　to　decoy　targets [-S　host/ip]　Specify　your　source　IP.　Randomly　spoofed　by　default,　you　need to　use　your　real　IP　if　you　are　behind　spoof-filtering　routers [-f　hostlist]　Filename　containing　a　list　of　hosts　with　TFN　servers　to　contact [-h　hostname]　To　contact　only　a　single　host　running　a　TFN　server [-i　target　string]　Contains　options/targets　separated　by　'@',　see　below [-p　port]　A　TCP　destination　port　can　be　specified　for　SYN　floods <-c　command　ID>　0　-　Halt　all　current　floods　on　server(s)　immediately 1　-　Change　IP　antispoof-level　(evade　rfc2267　filtering) usage:　-i　0　(fully　spoofed)　to　-i　3　(/24　host　bytes　spoofed) 2　-　Change　Packet　size,　usage:　-i　 3　-　Bind　root　shell　to　a　port,　usage:　-i　 4　-　UDP　flood,　usage:　-i　victim@victim2@victim3@... 5　-　TCP/SYN　flood,　usage:　-i　victim@...　[-p　destination　port] 6　-　ICMP/PING　flood,　usage:　-i　victim@... 7　-　ICMP/SMURF　flood,　usage:　-i　victim@broadcast@broadcast2@... 8　-　MIX　flood　(UDP/TCP/ICMP　interchanged),　usage:　-i　victim@... 9　-　TARGA3　flood　(IP　stack　penetration),　usage:　-i　victim@... 10　-　Blindly　execute　remote　shell　command,　usage　-i　command 　　看到這里，你是不是有許多不明白，這上面只是佳佳把原作者(mixter)的使用說(shuō)明大致翻譯了一下，一些東西，象新特點(diǎn)呀，新增功能呀，知不知道無(wú)所謂啦！以后再看吧！ 　　下一篇文章呢，佳佳會(huì)給出一次詳細(xì)的攻擊過(guò)程，是佳佳在Linux上測(cè)試的。可是重點(diǎn)的重點(diǎn)??！等著吧。。。 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　jjgirl　10.24.2000 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　jjgirl@363.net 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　http://jjgirl.yeah.net 對(duì)了，補(bǔ)充一點(diǎn)。下載地址：http://packetstorm.securify.com/groups/mixter/tfn.tgz

最新評(píng)論