DDoS攻擊工具-TFN2K 分析

第第頁DDoS攻擊工具——TFN2K分析DDoS攻擊工具——TFN2K分析

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

摘要本文是對分布式拒絕服務(wù)（DDoS）攻擊工具"TribeFloodNetwork2000(TFN2K)"的技術(shù)分析。TFN2K是由德國著名黑客Mixter編寫的同類攻擊工具TFN的后續(xù)版本。關(guān)于Trinoo、TFN和Stacheldraht等分布式拒絕服務(wù)攻擊工具的分析請參閱相關(guān)文檔。術(shù)

摘要

本文是對分布式拒絕服務(wù)（DDoS）攻擊工具"TribeFloodNetwork2000(TFN2K)"的技術(shù)分析。TFN2K是由德國著名黑客Mixter編寫的同類攻擊工具TFN的后續(xù)版本。

關(guān)于Trinoo、TFN和Stacheldraht等分布式拒絕服務(wù)攻擊工具的分析請參閱相關(guān)文檔。

術(shù)語

客戶端——用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。

守護(hù)程序——在代理端主機(jī)運(yùn)行的進(jìn)程，接收和響應(yīng)來自客戶端的命令。

主控端——運(yùn)行客戶端程序的主機(jī)。

代理端——運(yùn)行守護(hù)程序的主機(jī)。

目標(biāo)主機(jī)——分布式攻擊的目標(biāo)（主機(jī)或網(wǎng)絡(luò)）。

什么是TFN2K？

TFN2K通過主控端利用大量代理端主機(jī)的資源進(jìn)行對一個或多個目標(biāo)進(jìn)行協(xié)同攻擊。當(dāng)前互聯(lián)網(wǎng)中的UNIX、Solaris和WindowsNT等平臺的主機(jī)能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。

TFN2K由兩部分組成：在主控端主機(jī)上的客戶端和在代理端主機(jī)上的守護(hù)進(jìn)程。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機(jī)列表。代理端據(jù)此對目標(biāo)進(jìn)行拒絕服務(wù)攻擊。由一個主控端控制的多個代理端主機(jī)，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個TFN2K網(wǎng)絡(luò)可能使用不同的TCP、UDP或ICMP包進(jìn)行通訊。而且主控端還能偽造其IP地址。所有這些特性都使發(fā)展防御TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。

TFN2K的技術(shù)內(nèi)幕

◆主控端通過TCP、UDP、ICMP或隨機(jī)性使用其中之一的數(shù)據(jù)包向代理端主機(jī)

發(fā)送命令。對目標(biāo)的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST

PING(SMURF)數(shù)據(jù)包flood等。

◆主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機(jī)的，除了ICMP總是使用

ICMP_ECHOREPLY類型數(shù)據(jù)包。

◆與其上一代版本TFN不同，TFN2K的守護(hù)程序是完全沉默的，它不會對接收

到的命令有任何回應(yīng)?？蛻舳酥貜?fù)發(fā)送每一個命令20次，并且認(rèn)為守護(hù)程

序應(yīng)該至少能接收到其中一個。

◆這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機(jī)IP地址的偽造數(shù)據(jù)包。

◆TFN2K命令不是基于字符串的，而采用了"++"格式，其中是

代表某個特定命令的數(shù)值，則是該命令的參數(shù)。

◆所有命令都經(jīng)過了CAST-256算法（RFC2612）加密。加密關(guān)鍵字在程序編

譯時定義，并作為TFN2K客戶端程序的口令。

◆所有加密數(shù)據(jù)在發(fā)送前都被編碼（Base64）成可打印的ASCII字符。TFN2K

守護(hù)程序接收數(shù)據(jù)包并解密數(shù)據(jù)。

◆守護(hù)進(jìn)程為每一個攻擊產(chǎn)生子進(jìn)程。

◆TFN2K守護(hù)進(jìn)程試圖通過修改argv[0]內(nèi)容（或在某些平臺中修改進(jìn)程名）

以掩飾自己。偽造的進(jìn)程名在編譯時指定，因此每次安裝時都有可能不同。

這個功能使TFN2K偽裝成代理端主機(jī)的普通正常進(jìn)程。因此，只是簡單地檢

查進(jìn)程列表未必能找到TFN2K守護(hù)進(jìn)程（及其子進(jìn)程）。

◆來自每一個客戶端或守護(hù)進(jìn)程的所有數(shù)據(jù)包都可能被偽造。

監(jiān)測TFN2K的特征

由于所有的控制通訊都是單向的，這使得實(shí)時監(jiān)測TFN2K額外困難。因為其隨機(jī)性地使用TCP、UDP和ICMP數(shù)據(jù)包，同時進(jìn)行了加密，數(shù)據(jù)包過濾和其它被動式防御策略都顯得不切實(shí)際和效率低下的。偽造的數(shù)據(jù)包更會增加追蹤參與拒絕服務(wù)攻擊的代理端主機(jī)的難度。

幸運(yùn)的是，TFN2K仍然有弱點(diǎn)?？赡苁鞘韬龅脑颍用芎蟮腂ase64編碼在每一個TFN2K數(shù)據(jù)包的尾部留下了痕跡（與協(xié)議和加密算法無關(guān)）。可能是程序為了使每一個數(shù)據(jù)包的長度變化而填充了1到16個零(0x00)，經(jīng)過Base64編碼后就成為多個連續(xù)的0x41('A')。添加到數(shù)據(jù)包尾部的0x41的數(shù)量是可變的，但至少會有一個。這些位于數(shù)據(jù)包尾部的0x41('A')就成了捕獲TFN2K命令數(shù)據(jù)包的特征了。

對TFN2K客戶端程序（tfn）和守護(hù)程序文件（td）的簡單搜索也可能會找到TFN2K。雖然這些文件名可以隨意修改，但客戶端程序和守護(hù)程序包含許多特征字符串，可以作為搜索的關(guān)鍵字。如下：

TFN2K客戶端程序（tfn）

[1;34musage:%s

[-Pprotocol]

[-Shost/ip]

[-fhostlist]

[-hhostname]

[-itargetstring]

[-pport]

-ccommandID

changespooflevelto%d

changepacketsizeto%dbytes

bindshell(s)toport%d

commenceudpflood

commencesynflood,port:%s

commenceicmpechoflood

commenceicmpbroadcast(smurf)flood

commencemixflood

commencetarga3attack

executeremotecommand

TFN2K守護(hù)程序（td）

fork

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*

command.exe**

cmd.exe**

tfn-daemon***

tfn-child***

*UnixandSolarissystemsonly

**WindowsNTsystemsonly

***ThistextislikelytohavebeenchangedinmanyTFN2Kinstallations

TFN2K守護(hù)程序和客戶端程序（tfn和td）

security_through_obscurity*

D440FB300BFFA09F**

64646464...***

*程序編譯時定義的函數(shù)名，是一個非常有用的特征字符串。

**CAST-256加密表格的頭8個字節(jié)（按little-endian排序）。

***Base64編碼算法使用的靜態(tài)表格中連續(xù)128字節(jié)長度的0x64值。

TFN2K的防御策略

目前仍沒有能有效防御TFN2K拒絕服務(wù)攻擊的方法。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。

預(yù)防

◆只使用應(yīng)用代理型防火墻。這能夠有效地阻止所有的TFN2K通訊。但只使用應(yīng)

用代理服務(wù)器通常是不切合實(shí)際的，因此只能盡可能使用最少的非代理服務(wù)。

◆禁止不必要的ICMP、TCP和UDP通訊。特別是對于ICMP數(shù)據(jù)，可只允許ICMP類

型3（destinationunreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過。

◆如果不能禁止ICMP協(xié)議，那就禁止主動提供或所有的ICMP_ECHOREPLY包。

◆禁止不在允許端口列表中的所有UDP和TCP包。

◆配置防火墻過濾所有可能的偽造數(shù)據(jù)包。

◆對系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝TFN2K。

監(jiān)測

◆掃描客戶端/守護(hù)程序的名字。

◆根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。

◆掃描系統(tǒng)內(nèi)存中的進(jìn)程列表。

◆檢查ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的0x41。另外，檢查數(shù)據(jù)側(cè)

面內(nèi)容是否都是ASCII可打印字符（2B，2F-39，0x41-0x5A，0x61-0x7A）。

◆監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了TCP、UDP和ICMP包）。

響應(yīng)

一旦在系統(tǒng)中