本文是對分布式拒絕服務(wù)(DDoS)攻擊工具"Tribe Flood Network 2000 (TFN2K)"的技術(shù)分析。TFN2K是由德國著名黑客Mixter編寫的同類攻擊工具TFN的后續(xù)版本。

　　關(guān)于Trinoo、TFN和Stacheldraht等分布式拒絕服務(wù)攻擊工具的分析請參閱相關(guān)文檔。

　　術(shù)語

　　客戶端??用于通過發(fā)動攻擊的應(yīng)用程序，攻擊者通過它來發(fā)送各種命令。
　　守護程序??在代理端主機運行的進程，接收和響應(yīng)來自客戶端的命令。
　　主控端??運行客戶端程序的主機。
　　代理端??運行守護程序的主機。
　　目標主機??分布式攻擊的目標(主機或網(wǎng)絡(luò))。

　　什么是TFN2K?

　　TFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協(xié)同攻擊。當前互聯(lián)網(wǎng)中的UNIX、Solaris和Windows NT等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。

　　TFN2K由兩部分組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發(fā)送攻擊指定的目標主機列表。代理端據(jù)此對目標進行拒絕服務(wù)攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控央和代理端的網(wǎng)絡(luò)通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個TFN2K網(wǎng)絡(luò)可能使用不同的TCP、UDP或ICMP包進行通訊。而且主控端還能偽造其IP地址。所有這些特性都使發(fā)展防御TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。

　　TFN2K的技術(shù)內(nèi)幕

　　◆ 主控端通過TCP、UDP、ICMP或隨機性使用其中之一的數(shù)據(jù)包向代理端主機

　　發(fā)送命令。對目標的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST

　　PING (SMURF)數(shù)據(jù)包flood等。

　　◆ 主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機的，除了ICMP總是使用

　　ICMP_ECHOREPLY類型數(shù)據(jù)包。

　　◆ 與其上一代版本TFN不同，TFN2K的守護程序是完全沉默的，它不會對接收

　　到的命令有任何回應(yīng)�？蛻舳酥貜�(fù)發(fā)送每一個命令20次，并且認為守護程

　　序應(yīng)該至少能接收到其中一個。

　　◆ 這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機IP地址的偽造數(shù)據(jù)包。

　　◆ TFN2K命令不是基于字符串的，而采用了"++"格式，其中是

　　代表某個特定命令的數(shù)值，則是該命令的參數(shù)。

　　◆ 所有命令都經(jīng)過了CAST-256算法(RFC 2612)加密。加密關(guān)鍵字在程序編

　　譯時定義，并作為TFN2K客戶端程序的口令。

　　◆ 所有加密數(shù)據(jù)在發(fā)送前都被編碼(Base 64)成可打印的ASCII字符。TFN2K

　　守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)。

　　◆ 守護進程為每一個攻擊產(chǎn)生子進程。

　　◆ TFN2K守護進程試圖通過修改argv[0]內(nèi)容(或在某些平臺中修改進程名)

　　以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。

　　這個功能使TFN2K偽裝成代理端主機的普通正常進程。因此，只是簡單地檢

　　查進程列表未必能找到TFN2K守護進程(及其子進程)。

　　◆ 來自每一個客戶端或守護進程的所有數(shù)據(jù)包都可能被偽造。
　　監(jiān)測TFN2K的特征

　　由于所有的控制通訊都是單向的，這使得實時監(jiān)測TFN2K額外困難。因為其隨機性地使用TCP、UDP和ICMP數(shù)據(jù)包，同時進行了加密，數(shù)據(jù)包過濾和其它被動式防御策略都顯得不切實際和效率低下的。偽造的數(shù)據(jù)包更會增加追蹤參與拒絕服務(wù)攻擊的代理端主機的難度。

　　幸運的是，TFN2K仍然有弱點�？赡苁鞘韬龅脑�因，加密后的Base 64編碼在每一個TFN2K數(shù)據(jù)包的尾部留下了痕跡(與協(xié)議和加密算法無關(guān))。可能是程序作者為了使每一個數(shù)據(jù)包的長度變化而填充了1到16個零(0x00)，經(jīng)過Base 64編碼后就成為多個連續(xù)的0x41('A')。添加到數(shù)據(jù)包尾部的0x41的數(shù)量是可變的，但至少會有一個。這些位于數(shù)據(jù)包尾部的0x41('A')就成了捕獲TFN2K命令數(shù)據(jù)包的特征了。

　　對TFN2K客戶端程序(tfn)和守護程序文件(td)的簡單搜索也可能會找到TFN2K。雖然這些文件名可以隨意修改，但客戶端程序和守護程序包含許多特征字符串，可以作為搜索的關(guān)鍵字。如下：

　　TFN2K客戶端程序(tfn)

　　[1;34musage: %s

　　[-P protocol]

　　[-S host/ip]

　　[-f hostlist]

　　[-h hostname]

　　[-i target string]

　　[-p port]

　　<-c command ID>

　　change spoof level to %d

　　change packet size to %d bytes

　　bind shell(s) to port %d

　　commence udp flood

　　commence syn flood, port: %s

　　commence icmp echo flood

　　commence icmp broadcast (smurf) flood

　　commence mix flood

　　commence targa3 attack

　　execute remote command

　　TFN2K守護程序(td)

　　fork

　　ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

　　/dev/urandom

　　/dev/random

　　%d.%d.%d.%d

　　sh*

　　ksh*

　　command.exe**

　　cmd.exe**

　　tfn-daemon***

　　tfn-child***

　　* Unix and Solaris systems only

　　** Windows NT systems only

　　*** This text is likely to have been changed in many TFN2K installations

　　TFN2K守護程序和客戶端程序(tfn和td)

　　security_through_obscurity *

　　D4 40 FB 30 0B FF A0 9F **

　　64 64 64 64 ... ***

　　* 程序編譯時定義的函數(shù)名，是一個非常有用的特征字符串。

　　** CAST-256加密表格的頭8個字節(jié)(按little-endian排序)。

　　*** Base 64編碼算法使用的靜態(tài)表格中連續(xù)128字節(jié)長度的0x64值。

　　TFN2K的防御策略

　　目前仍沒有能有效防御TFN2K拒絕服務(wù)攻擊的方法。最有效的策略是防止網(wǎng)絡(luò)資源被用作客戶端或代理端。

　　預(yù)防

　　◆ 只使用應(yīng)用代理型防火墻。這能夠有效地阻止所有的TFN2K通訊。但只使用應(yīng)

　　用代理服務(wù)器通常是不切合實際的，因此只能盡可能使用最少的非代理服務(wù)。

　　◆ 禁止不必要的ICMP、TCP和UDP通訊。特別是對于ICMP數(shù)據(jù)，可只允許ICMP類

　　型3(destination unreachable目標不可到達)數(shù)據(jù)包通過。

　　◆ 如果不能禁止ICMP協(xié)議，那就禁止主動提供或所有的ICMP_ECHOREPLY包。

　　◆ 禁止不在允許端口列表中的所有UDP和TCP包。

　　◆ 配置防火墻過濾所有可能的偽造數(shù)據(jù)包。

　　◆ 對系統(tǒng)進行補丁和安全配置，以防止攻擊者入侵并安裝TFN2K。

　　監(jiān)測

　　◆ 掃描客戶端/守護程序的名字。

　　◆ 根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。

　　◆ 掃描系統(tǒng)內(nèi)存中的進程列表。

　　◆ 檢查ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的0x41。另外，檢查數(shù)據(jù)側(cè)

　　面內(nèi)容是否都是ASCII可打印字符(2B，2F-39，0x41-0x5A，0x61-0x7A)。

　　◆ 監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包(有可能混合了TCP、UDP和ICMP包)。

　　響應(yīng)

　　一旦在系統(tǒng)中發(fā)現(xiàn)了TFN2K，必須立即通知安全公司或?qū)＜乙宰粉櫲肭诌M行。因為TFN2K的守護進程不會對接收到的命令作任何回復(fù)，TFN2K客戶端一般會繼續(xù)向代理端主機發(fā)送命令數(shù)據(jù)包。另外，入侵者發(fā)現(xiàn)攻擊失效時往往會試圖連接到代理端主機上以進行檢查。這些網(wǎng)絡(luò)通訊都可被追蹤。