Tribe Flood Network

Tribe Flood Network (TFN) pojawiła się po Trinoo. TFN działa przede wszystkim na zagrożonych systemach UNIX wykorzystywanych przy użyciu błędów przepełnienia bufora w usłudze zdalnego wywoływania procedur (RPC). Programy klienckie i demoniczne TFN implementują sieć DDoS zdolną do przeprowadzania szeregu ataków, takich jak powódź ICMP, powódź SYN, powódź UDP i ataki typu smurf. TFN wyraźnie różni się od Trinoo tym, że cała komunikacja między klientem (atakującym), programami obsługi i agentami używa pakietów echa ICMP i pakietów odpowiedzi echa. Komunikacja między klientem TFN a demonami odbywa się za pośrednictwem pakietów odpowiedzi echa ICMP. Brak ruchu TCP i UDP czasami utrudnia wykrycie tych pakietów, ponieważ wiele narzędzi do monitorowania protokołu nie jest skonfigurowanych do przechwytywania i wyświetlania ruchu ICMP. Zdalne sterowanie siecią TFN odbywa się poprzez uruchomienie programu w systemie klienta. Program może być również uruchamiany w systemie obsługi przez klienta za pomocą niektórych metod połączenia host-host, takich jak połączenie z wykorzystywanym portem TCP lub za pomocą zdalnej powłoki opartej na UDP lub ICMP. Program musi być dostarczony:

* Lista adresów IP hostów gotowych do przeprowadzenia ataku powodziowego

* Rodzaj ataku, który ma zostać uruchomiony

* Lista adresów IP hostów docelowych

* Numer portu dla ataku SYN

Żadna ochrona hasłem nie jest powiązana z TFN. Każde polecenie do demonów jest wysyłane w polu Identyfikator pakietu ICMP; wartości 345, 890 i 901 rozpoczynają odpowiednio ataki powodziowe SYN, UDP i ICMP. Pole Numer sekwencji w komunikacie odpowiedzi echa jest zawsze ustawione na 0x0000, co sprawia, że ​​wygląda jak odpowiedź na początkowy pakiet echa wysłany przez polecenie ping. Program klienta TFN zazwyczaj nosi nazwę tribe.c, a demonem jest td.c

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *