DDoS攻击工具——Tribe Flood Network 分析（1）

本文是对德国著名黑客Mixter编写的分布式拒绝服务攻击工具——"Tribe Flood Network（TFN）"的技术性分析。TFN与另一个分布式拒绝服务攻击工具"Trinoo"相似，都在互联网的大量Unix系统中开发和测试。
TFN由客户端程序和守护程序组成。通过提供绑定到TCP端口的root shell控制，实施ICMP flood、SYN flood、UDP flood和Smurf等多种拒绝服务的分布式网络攻击。
TFN守护程序的二进制代码包最初是在一些Solaris 2.x主机中发现的，这些主机是被攻击者利用RPC服务安全漏洞"statd"、"cmsd"和"ttdbserverd"入侵的。关于这些漏洞的详细资料请参阅CERT事件记录99-04：
http://www.cert.org/incident_notes/IN-99-04.html
最初的TFN守护程序来源于一些远程嗅探器(sniffer)和有访问控制的远程命令shell，并可能结合了能自动记录的嗅探器(sniffer)。
在研究这个工具包的过程中，捕获到了TFN攻击网络的安装过程及一些源代码。我们就是利用这些捕获到的源代码（根据Makefile，版本为"version 1.3 build 0053"）和已编译的TFN守护程序二进制代码进入了深入的分析。
对这些源代码的任何修改，如提示、口令、命令、TCP/UDP端口号或所支持的攻击方法、签名和具体功能，都可能使分析的结果与本文不同。
该守护程序是在Solaris 2.x和Red Hat Linux 6.0上编译并运行。主服务器 (master) 在Red Hat Linux 6.0上编译和运行。但也许守护程序和主服务器都可在其它同类平台中使用。
关于这种分布式拒绝服务攻击网络的初始入侵和安装配置过程的分析，请参阅对Trinoo工具的分析。
攻击目标
------------------------------------------------------------
TFN网络由TFN客户端程序（"tribe.c"）和TFN守护程序（"td.c"）组成。一个典型的TFN网络结构如下：
+----------+ +----------+
| 攻击者 | | 攻击者 |
+----------+ +----------+
| |
. . . --+------+---------------+------+----------------+-- . . .
| | |
| | |
+----------+ +----------+ +----------+
| 客户端 | | 客户端 | | 客户端 |
+----------+ +----------+ +----------+
| | |
| | |
. . . ---+------+-----+------------+---+--------+------------+-+-- . . .
| | | | |
| | | | |
+--------+ +--------+ +--------+ +--------+ +--------+
|守护程序| |守护程序| |守护程序| |守护程序| |守护程序|
+--------+ +--------+ +--------+ +--------+ +--------+
攻击者常常控制一个或多个TFN客户端，而每一个TFN客户端能控制多个TFN"守护程序"。所有接收到来自TFN客户端攻击指令的TFN守护程序都使用攻击数据包同时攻击一个或多个目标主机系统。
通 讯
--------
TFN网络的远程控制通过TFN客户端程序命令行的执行来实现。命令的执行可通过多种连接方法完成（如：绑定到TCP端口的远程shell，基于UDP的客户/服务器远程shell，基于ICMP的客户/服务器远程shell，SSH终端会话，或普通的"telnet"TCP终端会话等）。
TFN客户端程序的运行无需口令，但需要有TFN守护程序端的IP列表文件"iplist"。
从TFN客户端到TFN守护程序端的通讯通过ICMP_ECHOREPLY数据包完成，这样在TFN客户端和TFN守护程序端就根本不会有任何基于TCP或UDP的通讯。（许多网络监视工具不能显示ICMP包的数据部份，或不解析ICMP类型字段，因此很难准确监视到TFN客户端与守护程序端的通讯。请参阅附录A提供的能显示ICMP数据段内容的Sniffit version 0.3.7.beta补丁程序，和附录B提供的能显示ICMP_ECHO和ICMP_ECHOREPLY id和序列号的tcpshow.c 1.0补丁程序。）
不指定任何参数或选项运行该程序，会显示该TFN程序相关命令的帮助信息：
---------------------------------------------------------------------------
[tribe flood network] (c) 1999 by Mixter
usage: ./tfn [ip] [port]
contains a list of numerical hosts that are ready to flood
-1 for spoofmask type (specify 0-3), -2 for packet size,
is 0 for stop/status, 1 for udp, 2 for syn, 3 for icmp,
4 to bind a rootshell (specify port)
5 to smurf, first ip is target, further ips are broadcasts
[ip] target ip[s], separated by @ if more than one
[port] must be given for a syn flood, 0 = RANDOM
---------------------------------------------------------------------------
口 令 保 护
-----------
虽然TFN客户端无需任何口令保护，但每一个发送到TFN守护程序端的命令都是一个含有16位二进制id值的ICMP_ECHOREPLY包。（序列号总是为0x0000，这样能使其看上去象对"ping"命令发送的初始包的回应包。）
这个id的所有取值在"config.h"文件中定义：
---------------------------------------------------------------------------
#ifndef _CONFIG_H
/* user defined values for the teletubby flood network */
#define HIDEME "tfn-daemon"
#define HIDEKIDS "tfn-child"
#define CHLD_MAX 50
/* #define ATTACKLOG "attack.log" keep a log of attacks/victims on all
hosts running td for debugging etc. (hint: bad idea) */
/* These are like passwords, you might want to change them */
#define ID_ACK 123 /* for replies to the client */
#define ID_SHELL 456 /* to bind a rootshell, optional */
#define ID_PSIZE 789 /* to change size of udp/icmp packets */
#define ID_SWITCH 234 /* to switch spoofing mode */
#define ID_STOPIT 567 /* to stop flooding */
#define ID_SENDUDP 890 /* to udp flood */
#define ID_SENDSYN 345 /* to syn flood */
#define ID_SYNPORT 678 /* to set port */
#define ID_ICMP 901 /* to icmp flood */
#define ID_SMURF 666 /* haps! haps! */
#define _CONFIG_H
#endif
---------------------------------------------------------------------------