实现在icmp包上都是规定64kb，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过icmp上限的包也就是加载的尺寸超过64k上限时，就会出现内存分配错误，导致tcp/ip堆栈崩溃，致使接受方当机。如果对方的操作系统已经可以防御堆栈崩溃，也占去许多带宽。 

smurf----一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的icmp应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此icmp应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的smurf将源地址改为第三方的受害者，最终导致第三方雪崩。 

tfn2k的程序及分析：

在你执行

$tar zxvf tfn2k.tgz

以后

在src目录下就是源文件，

其中主要的两个文件就是tfn.c和td.c

你可以看一下makefile文件

server_obj = pass.o aes.o base64.o cast.o flood.o ip.o process.o tribe.o td.o

client_obj = pass.o aes.o base64.o cast.o ip.o tribe.o tfn.o

可以看出tfn和td各是由哪些.o链接而成的。 

tfn.c: 

tfn和td的网络通讯是经过cast-256算法（rfc 2612）加密，还可能混杂了许多虚假数据包。参看security_through_obscurity()和encode64()等函数。 

尽管tfn没有密码保护，每一个发送给td的命令都有一个16位二进制形式的数在icmp_echoreply包的id域。这个序列号通常是0x0000,这样看起来更象ping初始包的响应。参看passchk()函数。 

tfn_sendto()函数是根据hosts.txt向td发命令。 

usage()函数是使用帮助。 

td.c: 

td的守护程序是完全沉默的，它不会对接收到的命令有任何回应。客户端重复发送每一个命令20次(retry=20)，并且认为守护程序应该至少能接收到其中一个。如果没有接收到需要重新发送，你也可以修改retry(tfn.c文件中)的值。 

守护进程为每一个攻击产生子进程(td.c文件中)。 

在看td.c文件时有些迷惑，它作为服务器端并没有绑定固定的端口，后来才明白从tfn到td的通讯是通过icmp_echoreply数据包完成，这样在tfn和td就没有任何基于tcp或udp的通讯了。 

td试图通过修改argv[0]内容以掩饰自己。伪造的进程名在编译时指定，因此每次安装时都有可能不同。这个功能使tfn2k伪装成代理端主机的普通正常进程。只是简单地检查进程列表未必能找到td（及其子进程）,在你运行

#./td

以后,在运行

#ps -af

可能根本就找不到td.(不要以为它没有运行啊！)。 

td.c的tribe_cmd()是根据id(0--10)执行命令，它要调用process.c中的函数。 

process.c中的commerce_syn(),commerce_udp(),commerce_icmp(),commerce_mix(),commerce_smurf()等函数就是发动攻击的具体程序，根据id(0--11)分别对应着tcp,udp,icmp,mix,smurf等攻击。 

防御措施： 

见下列链接文章，我就不重复了。 

其它ddos工具 

1． trinoo: 它是基于udp flood的攻击软件，它向被攻击目标主机的随机端口发出全零的4字节udp包，在处理这些超出其处理能力垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃，它对ip地址不做假，此攻击方法用得不如tfn多。 

下载地址_blank href=http://darknet.evilnerds.org/dos/ddos/trinoo.tar.gz>http://darknet.evilnerds.org/dos/ddos/trinoo.tar.gz

2． stacheldraht：对命令来源做假，而且可以防范一些路由器用rfc2267过滤。若检查出有过滤现象，它将只做假ip地址最后8位，从而让用户无法了解到底是哪几个网段的哪台机器被攻击。此外，它还具有自动更新功能，可随软件的更新而自动更新。 

下载地址_blank href=http://darknet.evilnerds.org/dos/ddos/stachel-yps.tar.gz>http://darknet.evilnerds.org/dos/ddos/stachel-yps.tar.gz

上一页  [1] [2] 

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力