本文是对德国有名黑客Mixter编写的散布式拒绝服务攻击东西——\"TribeFloodNetwork（TFN）\"的技能性剖析。TFN与另一个散布式拒绝服务攻击东西\"Trinoo\"类似，都在互联网的很多Unix系统中开拓和测试。
　　
　　TFN由客户端顺序和守护顺序构成。经过供应绑定到TCP端口的rootshell节制，施行ICMPflood、SYNflood、UDPflood和Smurf等多种拒绝服务的散布式收集攻击。
　　
　　TFN守护顺序的二进制代码包开始是在一些Solaris2。x主机中发现的，这些主机是被攻击者应用RPC服务平安破绽\"statd\"、\"cmsd\"和\"ttdbserverd\"入侵的。关于这些破绽的具体材料请参阅CERT事情记载99-04：
　　
　　http：//www。cert。org/incident_notes/IN-99-04。html
　　
　　开始的TFN守护顺序起原于一些长途嗅探器（sniffer）和有拜访节制的长途敕令shell，并能够连系了能主动记载的嗅探器（sniffer）。
　　
　　在研讨这个东西包的进程中，捕捉到了TFN攻击收集的装置进程及一些源代码。我们就是应用这些捕捉到的源代码（依据Makefile，版本为\"version1。3build0053\"）和已编译的TFN守护顺序二进制代码进入了深化的剖析。
　　
　　对这些源代码的任何修正，如提醒、口令、敕令、TCP/UDP端标语或所支撑的攻击办法、签名和详细功用，都能够使剖析的后果与本文分歧。
　　
　　该守护顺序是在Solaris2。x和RedHatLinux6。0上编译并运转。主服务器（master）在RedHatLinux6。0上编译和运转。但也许守护顺序和主服务器都可在其它同类平台中运用。
　　
　　关于这种散布式拒绝服务攻击收集的初始入侵和装置装备进程的剖析，请参阅对Trinoo东西的剖析。
　　
　　攻击目的
　　
　　TFN收集由TFN客户端顺序（\"tribe。c\"）和TFN守护顺序（\"td。c\"）构成。一个典型的TFN收集构造如下：
　　
　　+——++——+
　　
　　攻击者攻击者
　　
　　+——++——+
　　
　　。。。——+——++——++——。。。
　　
　　+——++——++——+
　　
　　客户端客户端客户端
　　
　　+——++——++——+
　　
　　。。。+——+-+++++-+——。。。
　　
　　++++++++++
　　
　　守护顺序守护顺序守护顺序守护顺序守护顺序
　　
　　++++++++++
　　
　　攻击者经常节制一个或多个TFN客户端，而每一个TFN客户端能节制多个TFN\"守护顺序\"。一切接纳到来自TFN客户端攻击指令的TFN守护顺序都运用攻击数据包还攻击一个或多个目的主机系统。
　　
　　通讯
　　
　　TFN收集的长途节制经过TFN客户端顺序敕令行的执行来完成。敕令的执行可经过多种衔接办法完成（如：绑定到TCP端口的长途shell，基于UDP的客户/服务器长途shell，基于ICMP的客户/服务器长途shell，SSH终端会话，或通俗的\"telnet\"TCP终端会话等）。
　　
　　TFN客户端顺序的运转无需口令，但需求有TFN守护顺序端的IP列表文件\"iplist\"。
　　
　　从TFN客户端到TFN守护顺序端的通信经过ICMP_ECHOREPLY数据包完成，如许在TFN客户端和TFN守护顺序端就基本不会有任何基于TCP或UDP的通信。（很多收集看管东西不克不及显示ICMP包的数据部份，或不解析ICMP类型字段，因而很难精确看管到TFN客户端与守护顺序端的通信。请参阅附录A供应的能显示ICMP数据段内容的Sniffitversion0。3。7。beta补丁顺序，和附录B供应的能显示ICMP_ECHO和ICMP_ECHOREPLYid和序列号的tcpshow。c1。0补丁顺序。）
　　
　　不指定任何参数或选项运转该顺序，会显示该TFN顺序相关敕令的协助信息：
　　
　　［tribefloodnetwork］（c）1999byMixter
　　
　　usage：。/tfn［ip］［port］
　　
　　containsalistofnumericalhoststhatarereadytoflood
　　
　　-1forspoofmasktype（specify0-3），-2forpacketsize，
　　
　　is0forstop/status，1forudp，2forsyn，3foricmp，
　　
　　4tobindarootshell（specifyport）
　　
　　5tosmurf，firstipistarget，furtheripsarebroadcasts
　　
　　［ip］targetip［s］，setedby@ifmorethanone
　　
　　［port］mustbegivenforasynflood，0=RANDOM
　　
　　口令保护
　　
　　固然TFN客户端无需任何口令维护，但每一个发送到TFN守护顺序端的敕令都是一个含有16位二进制id值的ICMP_ECHOREPLY包。（序列号老是为0x0000，如许能使其看上去象对\"ping\"敕令发送的初始包的回应包。）
　　
　　这个id的一切取值在\"config。h\"文件中界说：
　　
　　#ifndef_CONFIG_H
　　
　　/*userdefinedvaluesfortheteletubbyfloodnetwork*/
　　
　　#defineHIDEME\"tfn-daemon\"
　　
　　#defineHIDEKIDS\"tfn-child\"
　　
　　#defineCHLD_MAX50
　　
　　/*#defineATTACKLOG\"attack。log\"keepalogofattacks/victimsonall
　　
　　hostsrunningtdfordebuggingetc。（hint：badidea）*/
　　
　　/*Thesearelikepasswords，youmightwanttochangethem*/
　　
　　#defineID_ACK123/*forrepliestotheclient*/
　　
　　#defineID_SHELL456/*tobindarootshell，optional*/
　　
　　#defineID_PSIZE789/*tochangesizeofudp/icmppackets*/
　　
　　#defineID_SWITCH234/*toswitchspoofingmode*/
　　
　　#defineID_STOPIT567/*tostopflooding*/
　　
　　#defineID_SENDUDP890/*toudpflood*/
　　
　　#defineID_SENDSYN345/*tosynflood*/
　　
　　#defineID_SYNPORT678/*tosetport*/
　　
　　#defineID_ICMP901/*toicmpflood*/
　　
　　#defineID_SMURF666/*haps！haps！*/
　　
　　#define_CONFIG_H
　　
　　#endif
　　
　　正如我们看到的，这些值都可以被改动，以防止TFN守护顺序被其他攻击者应用。
　　
　　工具特征
　　
　　和Trinoo相似，装置TFN客户端顺序/守护顺序与在Unix系统中装置其它顺序一样，还还具有一切能埋没顺序和文件的规范装置选项。
　　
　　TFN的客户端顺序和守护顺序都必需以root权限运转，由于它们都需求以SOCK_RAW方法翻开AF_INET套接字（socket）。
　　
　　因为TFN客户端顺序需求可用的iplist文件，因而只需找到TFN客户端就能获得其TFN守护顺序端的机械清单。当前的TFN守护顺序装置时都包括了对iplist文件进行Blowfish加密，如许使得确定TFN守护顺序端机械愈加坚苦了。
　　
　　在比来发现的TFN守护顺序二进制代码中找到的字符串有（曾经过整顿）：
　　
　　字符串
　　
　　blowfish_init
　　
　　blowfish_encipher
　　
　　blowfish_decipher
　　
　　encrypt_string
　　
　　decrypt_string
　　
　　serverworks
　　
　　readmservers
　　
　　addnewmserver
　　
　　delmserver
　　
　　servcounti
　　
　　icmp2
　　
　　udppsize
　　
　　icmpsize
　　
　　spoofing
　　
　　spooftest
　　
　　commence_icmp
　　
　　commence_udp
　　
　　commence_syn
　　
　　floodtime
　　
　　floodruns
　　
　　bind
　　
　　setsockopt
　　
　　listensocket
　　
　　k00lip
　　
　　fw00ding
　　
　　k00lntoa
　　
　　tc：unknownhost
　　
　　rm-rf%s
　　
　　ttymon
　　
　　rcp%s@%s：sol。bin%s
　　
　　nohup。/%s
　　
　　130。243。70。20
　　
　　127。0。0。1
　　
　　lpsched
　　
　　sicken
　　
　　in。telne
　　
　　假如运用\"lsof\"敕令反省运转的守护顺序历程，会显示可疑的socket：
　　
　　——
　　
　　td5931rootcwdDIR3，51024240721/usr/lib/libx/。。。
　　
　　td5931rootrtdDIR3，110242/
　　
　　td5931roottxtREG3，5297508240734/usr/lib/libx/。。。/td
　　
　　td5931root3usock0，092814
　　
　　——
　　
　　假如启动了长途shell，TFN守护顺序会发生监听某个TCP端口的子历程：
　　
　　——
　　
　　td5970rootcwdDIR3，51024240721/usr/lib/libx/。。。
　　
　　td5970rootrtdDIR3，110242/
　　
　　td5970roottxtREG3，5297508240734/usr/lib/libx/。。。/td
　　
　　……
　　
　　td5970root0uinet92909TCP
　　
　　*：12345（LISTEN）
　　
　　td5970root3usock0，092814
　　
　　——
　　
　　运用经由（附录A）修正\"sniffit\"监听收集通信，并运转\"ping-c310。0。0。1\"：
　　
　　#sniffit-d-a-x-b-s@-Picmp
　　
　　SupportedNetworkdevicefound。（eth0）
　　
　　Sniffit。0。3。7Betaisupandrunning。。。。（192。168。0。1）
　　
　　10。0。0。1
　　
　　ICMPtype：Echorequest
　　
　　。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。.................
　　
　　............08.00.2B+51Q98.04.00.00.377FC.0D.388
　　
　　02.73s02.00.08.09.0A.0B.0C.0D.0E.0F.10.11.12.13.
　　
　　14.15.16.17.18.19.1A.1B.1C.1D.1E.1F.2021！22\"23#
　　
　　24$Content$nbsp；25%26&27\"28（29）2A*2B+2C，2D-2E.2F/300311322333
　　
　　344355366377
　　
　　192.168.0.1
　　
　　ICMPtype：Echoreply
　　
　　................................................
　　
　　............00.00.33351Q98.04.00.00.377FC.0D.388
　　
　　02.73s02.00.08.09.0A.0B.0C.0D.0E.0F.10.11.12.13.
　　
　　14.15.16.17.18.19.1A.1B.1C.1D.1E.1F.2021！22\"23#
　　
　　24$Content$nbsp；25%26&27\"28（29）2A*2B+2C，2D-2E.2F/300311322333
　　
　　344355366377
　　
　　10.0.0.1
　　
　　ICMPtype：Echorequest
　　
　　................................................
　　
　　............08.00.58X61a98.04.01.00.388FC.0D.388
　　
　　D3.62b02.00.08.09.0A.0B.0C.0D.0E.0F.10.11.12.13.
　　
　　14.15.16.17.18.19.1A.1B.1C.1D.1E.1F.2021！22\"23#
　　
　　24$Content$nbsp；25%26&27\"28（29）2A*2B+2C，2D-2E.2F/300311322333
　　
　　344355366377
　　
　　192.168.0.1
　　
　　ICMPtype：Echoreply
　　
　　................................................
　　
　　............00.00.60`61a98.04.01.00.388FC.0D.388
　　
　　D3.62b02.00.08.09.0A.0B.0C.0D.0E.0F.10.11.12.13.
　　
　　14.15.16.17.18.19.1A.1B.1C.1D.1E.1F.2021！22\"23#
　　
　　24$Content$nbsp；25%26&27\"28（29）2A*2B+2C，2D-2E.2F/300311322333
　　
　　344355366377
　　
　　10.0.0.1
　　
　　ICMPtype：Echorequest
　　
　　................................................
　　
　　............08.00.70p61a98.04.02.00.399FC.0D.388
　　
　　B9.62b02.00.08.09.0A.0B.0C.0D.0E.0F.10.11.12.13.
　　
　　14.15.16.17.18.19.1A.1B.1C.1D.1E.1F.2021！22\"23#
　　
　　24$Content$nbsp；25%26&27\"28（29）2A*2B+2C，2D-2E.2F/300311322333
　　
　　344355366377
　　
　　192.168.0.1
　　
　　ICMPtype：Echoreply
　　
　　................................................
　　
　　............00.00.78x61a98.04.02.00.399FC.0D.388
　　
　　B9.62b02.00.08.09.0A.0B.0C.0D.0E.0F.10.11.12.13.
　　
　　14.15.16.17.18.19.1A.1B.1C.1D.1E.1F.2021！22\"23#
　　
　　24$Content$nbsp；25%26&27\"28（29）2A*2B+2C，2D-2E.2F/300311322333
　　
　　344355366377
　　
　　以上是正常通信的ICMP包，可以看到第一个包的序列号是0，然后按挨次顺次递增。
　　
　　运用经由（附录B）修正的tcpdump/tcpshow顺序监听时，这三对正常的ICMP包为：
　　
　　#tcpdump-lenx-s1518icmptcpshow-noip-nolink-cooked
　　
　　tcpdump：listeningoneth0
　　
　　Packet1
　　
　　ICMPHeader
　　
　　Type：echo-request
　　
　　Checksum：0x9B2A
　　
　　Id：0x6E03
　　
　　Sequence：0x0000
　　
　　ICMPData
　　
　　q..8x.
　　
　　..
　　
　　………………...！\"#$%&\"（）*+，-./01234567
　　
　　-
　　
　　Packet2
　　
　　ICMPHeader
　　
　　Type：echo-reply
　　
　　Checksum：0xA32A
　　
　　Id：0x6E03
　　
　　Sequence：0x0000
　　
　　ICMPData
　　
　　q..8x.
　　
　　..
　　
　　………………...！\"#$%&\"（）*+，-./01234567
　　
　　-
　　
　　Packet3
　　
　　ICMPHeader
　　
　　Type：echo-request
　　
　　Checksum：0x623A
　　
　　Id：0x6E03
　　
　　Sequence：0x0001
　　
　　ICMPData
　　
　　r..8..
　　
　　..
　　
　　………………...！\"#$%&\"（）*+，-./01234567
　　
　　-
　　
　　Packet4
　　
　　ICMPHeader
　　
　　Type：echo-reply
　　
　　Checksum：0x6A3A
　　
　　Id：0x6E03
　　
　　Sequence：0x0001
　　
　　ICMPData
　　
　　r..8..
　　
　　..
　　
　　………………...！\"#$%&\"（）*+，-./01234567
　　
　　-
　　
　　Packet5
　　
　　ICMPHeader
　　
　　Type：echo-request
　　
　　Checksum：0x5A3A
　　
　　Id：0x6E03
　　
　　Sequence：0x0002
　　
　　ICMPData
　　
　　s..8..
　　
　　..
　　
　　………………...！\"#$%&\"（）*+，-./01234567
　　
　　-
　　
　　Packet6
　　
　　ICMPHeader
　　
　　Type：echo-reply
　　
　　Checksum：0x623A
　　
　　Id：0x6E03
　　
　　Sequence：0x0002
　　
　　ICMPData
　　
　　s..8..
　　
　　..
　　
　　………………...！\"#$%&\"（）*+，-./01234567