DDoS攻擊基礎教程簡介TFN被認為是當今功能最強性能最好的DoS攻擊工具，幾乎不可能被察覺。每一個人都應該意識到假如他不足夠關心他的安全問題，最壞的情形就會發(fā)生。因此這個程序被設計成大多數(shù)的操作系統(tǒng)可以編譯，以表明現(xiàn)在的操作系統(tǒng)沒有特別安全的，包括WindoWS,Solaris,Linux及其他各種unix.術語客戶端—一用于通過發(fā)動攻擊的應用程序，攻擊者通過它來發(fā)送各種命令。守護程序一一在代理端主機運行的進程，接收和響應來自客戶端的命令。主控端 運行客戶端程序的主機。代理端一一運行守護程序的主機。目標主機 分布式攻擊的目標(主機或網(wǎng)絡)。什么是TFN2KTFN2K通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協(xié)同攻擊。當前互聯(lián)網(wǎng)中的UNIX、SolariS和WindoWSNT等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。&TFN2K由兩部分組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發(fā)送攻擊指定的目標主機列表。代理端據(jù)此對目標進行拒絕服務攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協(xié)同，保證攻擊的連續(xù)性。主控央和代理端的網(wǎng)絡通訊是經(jīng)過加密的，還可能混雜了許多虛假數(shù)據(jù)包。整個TFN2K網(wǎng)絡可能使用不同的TCP、UDP或ICMP包進行通訊。而且主控端還能偽造其IP地址。所有這些特性都使發(fā)展防御TFN2K攻擊的策略和技術都非常困難或效率低下。TFN2K的技術內(nèi)幕主控端通過TCP、UDP、ICMP或隨機性使用其中之一的數(shù)據(jù)包向代理端主機發(fā)送命令。對目標的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCASTPING(SMURF)數(shù)據(jù)包flood等。主控端與代理端之間數(shù)據(jù)包的頭信息也是隨機的，除了ICMP總是使用ICMP_ECHOREPLY類型數(shù)據(jù)包。與其上一代版本TFN不同，TFN2K的守護程序是完全沉默的，它不會對接收到的命令有任何回應?？蛻舳酥貜桶l(fā)送每一個命令20次，并且認為守護程序應該至少能接收到其中一個。這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機IP地址的偽造數(shù)據(jù)包。{TFN2K命令不是基于字符串的，而采用了"++"格式，其中是代表某個特定命令的數(shù)值，則是該命令的參數(shù)。所有命令都經(jīng)過了CAST-256算法(RFC2612)加密。加密關鍵字在程序編譯時定義，并作為TFN2K客戶端程序的口令。所有加密數(shù)據(jù)在發(fā)送前都被編碼(BaSe64)成可打印的ASCn字符。TFN2K守護程序接收數(shù)據(jù)包并解密數(shù)據(jù)。守護進程為每一個攻擊產(chǎn)生子進程。TFN2K守護進程試圖通過修改argv[0]內(nèi)容(或在某些平臺中修改進程名)以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。這個功能使TFN2K偽裝成代理端主機的普通正常進程。因此，只是簡單地檢查進程列表未必能找到TFN2K守護進程(及其子進程)。來自每一個客戶端或守護進程的所有數(shù)據(jù)包都可能被偽造。特點描述：TFN使用了分布式客戶服務器功能，加密技術及其它類的功能，它能被用于控制任意數(shù)量的遠程機器，以產(chǎn)生隨機匿名的拒絕服務攻擊和遠程訪問。此版本的新特點包括：功能性增加:為分布式執(zhí)行控制的遠程單路命令執(zhí)行對軟弱路由器的混合攻擊對有IP棧弱點的系統(tǒng)發(fā)動Targa3攻擊對許多UniX系統(tǒng)和WinNT的兼容性。匿名秘密的客戶服務器通訊使用：|假的源地址高級加密單路通訊協(xié)議通過隨機IP協(xié)議發(fā)送消息誘騙包編譯：在編譯之前，先要編輯src/makefile文件修改選項符合你的操作系統(tǒng)。建議你看一下src/然后修改一些重要的缺省值。一旦你開始編譯，你會被提示輸入一個8--32位的服務器密碼。如果你使用REQUIRE=#PASS類型編譯，在使用客戶端時你必須輸入這個密碼。TFN2K為開放原代碼的軟件,所以需要我們進行編譯,這個不用說了,編譯應該都會的吧,但有幾個地方是必需注意的，因為使用不同版本和廠商的LINUX需要不同的設置.先修改src/注釋掉以下部分，否則編譯出錯。/*structin_addr<{unsignedlongints_addr;};*/然后make進行編譯編譯時會提示你輸入服務器端進行密碼設置8-32位,（攻擊的時候需要輸入密碼）編譯后會出現(xiàn)兩個新的執(zhí)行文件{4和tfn,其中td是守護進程，也是客戶機的使用進程,而tfn是服務器控制進程,如果想攻擊別人就必需先起動td這個進程,然后再運行服務器進程,否則攻擊無效,更改密碼可以執(zhí)行mkpass進行更改,最后在所有的客戶機中安裝并運行td（需要ROOT權限），并且在服務器上建立一個文本文件,文件中記錄所有的客戶機IP地址（用VI編輯一個就可行了）,格式為:文件第一行輸入：\文件第二行輸入：文件第三行輸入：安裝：TFN服務器端被安裝運行于主機，身份是root（或euidroot）。它將用自己的方式提交系統(tǒng)配置的改變，于是如果系統(tǒng)重啟你也得重啟。一旦服務器端被安裝，你就可以把主機名加入你的列表了（當然你也可以聯(lián)系單個的服務器端）。TFN的客戶端可以運行在shell（root）和Windows命令行（管理員權限需要在NT上）.使用客戶端：客戶端用于聯(lián)系服務器端，可以改變服務器端的配置，衍生一個shell,控制攻擊許多其它的機器。你可以tfnffile從一個主機名文件讀取主機名，也可以使用tfn-hhostname聯(lián)系一個服務器端。缺省的命令是通過殺死所有的子線程停止攻擊。命令一般用-C，請看下面的命令行描述。選項-i需要給命令一個值，分析目標主機字符串，這個目標主機字符串缺省用分界符@。當使用Smurfflood時，只有第一個是被攻擊主機，其余被用于直接廣播。1-反欺騙級：服務器產(chǎn)生的DoS攻擊總是來源于虛假的源地址。通過這個命令，你可以控制IP地址的哪些部分是虛假的，哪些部分是真實的IP。2-改變包尺寸：缺省的ICMP/8,smurf,udp攻擊缺省使用最小包。你可以通過改變每個包的有效載荷的字節(jié)增加它的大小。3-綁定rootshell:啟動一個會話服務，然后你連接一個指定端口就可以得到一個rootshell。?4-UDPflood攻擊：這個攻擊是利用這樣一個事實：每個udp包被送往一個關閉的端口，這樣就會有一個ICMP不可到達的信息返回，增加了攻擊的能力。5-SYNflood攻擊：這個攻擊有規(guī)律的送虛假的連接請求。結果會使目標端口拒絕服務，添滿TCP連接表，通過對不存在主機的TCP/RST響應增加攻擊潛力。6-ICMP響應(Ping)攻擊：這個攻擊發(fā)送虛假地址的Ping請求，目標主機會回送相同大小的響應包。7-SMURF攻擊：用目標主機的地址發(fā)送Ping請求以廣播擴大，這樣目標主機將得到回復一個多倍的回復。8-MIX攻擊：按照1:1:1的關系交替的發(fā)送udp,syn,icmp包，這樣就可以對付路由器，其它包轉發(fā)設備，NIDS,sniffers等。9-TARGA3攻擊IPstackPenetrationtool/'exPloitgenerator'.SendscombinationsofuncommonIPPacketstohoststogenerateattacksusinginvalidfragmentation,Protocol,Packetsize,headervalues,oPtions,offsets,tcPsegments,routingflags,andotherunknown/unexPectedPacketvalues.UsefulfortestingIPstacks,routers,firewalls,NIDS,etc.forstabilityandreactionstounexPectedPackets.SomeofthesePacketsmightnotPassthroughrouterswithfilteringenabled-testswithsourceanddestinationhostonthesameethernetsegmentgivesbesteffects.10-遠程命令執(zhí)行：給予單路在服務器上執(zhí)行大量遠程命令的機會。使用｛行用于分布式任務(UsingTFNforotherdistributedtasks)新版本的DDOS工具包含一個最新流行的特點：軟件的自我更新。TFN也有這個功能，作者并沒有顯式的包含這個功能。在ID10遠程執(zhí)行命令中給予用戶在任意數(shù)量遠程主機上以批處理的形式執(zhí)行同樣shell命令的能力。這同時也證明了一個問題：DDOS等類似的分布式網(wǎng)絡工具不僅僅簡單的用于拒絕服務，還可以做許多實際的事情。TFN使用方法：usage:./tfn[-PProtocol]Protocolforservercommunication.CanbeICMP,UDPorTCP.UsesarandomProtocolasdefault[-Dn]Sendoutnbogusrequestsforeachrealonetodecoytargets[-Shost/iP]SPecifyyoursourceIP.RandomlysPoofedbydefault,youneedtouseyourrealIPifyouarebehindsPoof-filteringrouters[-fhostlist]FilenamecontainingalistofhostswithTFNserverstocontact[-hhostname]TocontactonlyasinglehostrunningaTFNserver[-itargetstring]ContainsoPtions/targetsseParatedby@,seebelow[-PPort]ATCPdestinationPortcanbesPecifiedforSYNfloods0-Haltallcurrentfloodsonserver(s)immediately-ChangeIPantisPoof-level(evaderfc2267filtering)usage:-i0(fullysPoofed)to-i3(/24hostbytessPoofed)-ChangePacketsize,usage:-i-BindrootShelltoaport,uSage:-i-UDPflood,uSage:-ivictim@victim2@victim3@...-TCP/SYNflood,uSage:-ivictim@...[-pdeStinationport]-ICMP/PINGflood,uSage:-ivictim@...-ICMP/SMURFflood,uSage:-ivictim@broadcaSt@broadcaSt2@...-MIXflood(UDP/TCP/ICMPinterchanged),uSage:-ivictim@...-TARGA3flood(IPStackpenetration),uSage:-ivictim@...-BlindlyexecuteremoteShellcommand,uSage-icommand[測試環(huán)境：共有5臺機器，是在五臺redhat上測試的。簡要介紹：我們的測試目的是用指揮,,,三臺機器對發(fā)動攻擊。（實際攻擊中就不止三臺了。）詳細步驟：【黑客攻擊時事先要控制,,,這四臺機器。這一步我就不說了，大家一定有辦法.編譯代碼。假設在上。首先一定要有root權限解開文件:#tarzxvf#cdtfn2k如果你不是Iinux或者bsd請修改Src下的Makefile文件。#makemake過程中會讓你輸入一個密碼，8--32位的。那就輸入一個吧，將來tfn和td聯(lián)系時需要這個密碼。我輸入的是：aaaabbbb、make完成你會發(fā)現(xiàn)，多了兩個可執(zhí)行文件:七件,七4.在，，上安裝td。然后在分別在,,上#./td注意一定要有root權限，否則無法運行。.在安裝tfn。由于我們是在上編譯的，七^就已經(jīng)在了。.由指揮,,對發(fā)動攻擊。好了，我們終于完成了準備工作，攻擊可以開始了。。。我現(xiàn)在在的/tfnZk/目錄下。。。我們需要編輯一個文件列表。#vi文件第一行輸入：文件第二行輸