本文是对分布式拒绝服务(DDoS)攻击工具"Tribe Flood Network 2000 (TFN2K)"的技术分析。TFN2K是由德国著名黑客Mixter编写的同类攻击工具TFN的后续版本。
关于Trinoo、TFN和Stacheldraht等分布式拒绝服务攻击工具的分析请参阅相关文档。
术语
客户端——用于通过发动攻击的应用程序,攻击者通过它来发送各种命令。
守护程序——在代理端主机运行的进程,接收和响应来自客户端的命令。
主控端——运行客户端程序的主机。
代理端——运行守护程序的主机。
目标主机——分布式攻击的目标(主机或网络)。
什么是TFN2K?
TFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击,而且这个工具非常容易被移植到其它系统平台上。
TFN2K由两部分组成:在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主机,能够在攻击过程中相互协同,保证攻击的连续性。主控央和代理端的网络通讯是经过加密的,还可能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。所有这些特性都使发展防御TFN2K攻击的策略和技术都非常困难或效率低下。
TFN2K的技术内幕
◆ 主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据包向代理端主机
发送命令。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST
PING (SMURF)数据包flood等。
◆ 主控端与代理端之间数据包的头信息也是随机的,除了ICMP总是使用
ICMP_ECHOREPLY类型数据包。
◆ 与其上一代版本TFN不同,TFN2K的守护程序是完全沉默的,它不会对接收
到的命令有任何回应。客户端重复发送每一个命令20次,并且认为守护程
序应该至少能接收到其中一个。
◆ 这些命令数据包可能混杂了许多发送到随机IP地址的伪造数据包。
◆ TFN2K命令不是基于字符串的,而采用了"++"格式,其中是
代表某个特定命令的数值,则是该命令的参数。
◆ 所有命令都经过了CAST-256算法(RFC 2612)加密。加密关键字在程序编
译时定义,并作为TFN2K客户端程序的口令。
◆ 所有加密数据在发送前都被编码(Base 64)成可打印的ASCII字符。TFN2K
守护程序接收数据包并解密数据。
◆ 守护进程为每一个攻击产生子进程。
◆ TFN2K守护进程试图通过修改argv[0]内容(或在某些平台中修改进程名)
以掩饰自己。伪造的进程名在编译时指定,因此每次安装时都有可能不同。
这个功能使TFN2K伪装成代理端主机的普通正常进程。因此,只是简单地检
查进程列表未必能找到TFN2K守护进程(及其子进程)。
◆ 来自每一个客户端或守护进程的所有数据包都可能被伪造。
监测TFN2K的特征
由于所有的控制通讯都是单向的,这使得实时监测TFN2K额外困难。因为其随机性地使用TCP、UDP和ICMP数据包,同时进行了加密,数据包过滤和其它被动式防御策略都显得不切实际和效率低下的。伪造的数据包更会增加追踪参与拒绝服务攻击的代理端主机的难度。
幸运的是,TFN2K仍然有弱点。可能是疏忽的原因,加密后的Base 64编码在每一个TFN2K数据包的尾部留下了痕迹(与协议和加密算法无关)。可能是程序作者为了使每一个数据包的长度变化而填充了1到16个零(0x00),经过Base 64编码后就成为多个连续的0x41('A')。添加到数据包尾部的0x41的数量是可变的,但至少会有一个。这些位于数据包尾部的0x41('A')就成了捕获TFN2K命令数据包的特征了。
对TFN2K客户端程序(tfn)和守护程序文件(td)的简单搜索也可能会找到TFN2K。虽然这些文件名可以随意修改,但客户端程序和守护程序包含许多特征字符串,可以作为搜索的关键字。如下:
TFN2K客户端程序(tfn)
[1;34musage: %s
[-P protocol]
[-S host/ip]
[-f hostlist]
[-h hostname]
[-i target string]
[-p port]
<-c command ID>
change spoof level to %d
change packet size to %d bytes
bind shell(s) to port %d
commence udp flood
commence syn flood, port: %s
commence icmp echo flood
commence ic