监测TFN2K的特征

　　由于所有的控制通讯都是单向的，这使得实时监测TFN2K额外困难。因为其随机性地使用TCP、UDP和ICMP数据包，同时进行了加密，数据包过滤和其它被动式防御策略都显得不切实际和效率低下的。伪造的数据包更会增加追踪参与拒绝服务攻击的代理端主机的难度。

　　幸运的是，TFN2K仍然有弱点。可能是疏忽的原因，加密后的Base 64编码在每一个TFN2K数据包的尾部留下了痕迹(与协议和加密算法无关)。可能是程序作者为了使每一个数据包的长度变化而填充了1到16个零(0x00)，经过Base 64编码后就成为多个连续的0x41('A')。添加到数据包尾部的0x41的数量是可变的，但至少会有一个。这些位于数据包尾部的0x41('A')就成了捕获TFN2K命令数据包的特征了。

　　对TFN2K客户端程序(tfn)和守护程序文件(td)的简单搜索也可能会找到TFN2K。虽然这些文件名可以随意修改，但客户端程序和守护程序包含许多特征字符串，可以作为搜索的关键字。如下：

　　TFN2K客户端程序(tfn)

　　[1;34musage: %s

　　[-P protocol]

　　[-S host/ip]

　　[-f hostlist]

　　[-h hostname]

　　[-i target string]

　　[-p port]

　　<-c command ID>

　　change spoof level to %d

　　change packet size to %d bytes

　　bind shell(s) to port %d

　　commence udp flood

　　commence syn flood, port: %s

　　commence icmp echo flood

　　commence icmp broadcast (smurf) flood

　　commence mix flood

　　commence targa3 attack

　　execute remote command

　　TFN2K守护程序(td)

　　fork

　　ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

　　/dev/urandom

　　/dev/random

　　%d.%d.%d.%d

　　sh*

　　ksh*

　　command.exe**

　　cmd.exe**

　　tfn-daemon***

　　tfn-child***

　　* Unix and Solaris systems only

　　** Windows NT systems only

　　*** This text is likely to have been changed in many TFN2K installations

　　TFN2K守护程序和客户端程序(tfn和td)

　　security_through_obscurity *

　　D4 40 FB 30 0B FF A0 9F **

　　64 64 64 64 ... ***

　　* 程序编译时定义的函数名，是一个非常有用的特征字符串。

　　** CAST-256加密表格的头8个字节(按little-endian排序)。

　　*** Base 64编码算法使用的静态表格中连续128字节长度的0x64值。

上一页  [1] [2] [3] 下一页