三、何为"Tribal Flood Network" 和 "TFN2K"，如何抵御?

　　Tribe Flood Network与trinoo一样，使用一个master程序与位于多个网络上的攻击代理进行通讯。TFN可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。 可以由
TFN发动的攻击包括：UDP冲击、TCP SYN 冲击、ICMP回音请求冲击以及 ICMP 广播。

　　以下是TFN DDoS 攻击的基本特性以及建议的抵御策略：

　　1、发动TFN时，攻击者要访问master程序并向它发送一个或多个目标IP地址，然后Master程序继续与所有代理程序通讯，指示它们发动攻击。

　　TFN Master程序与代理程序之间的通讯使用ICMP回音应答信息包，实际要执行的指示以二进制形式包含在16位ID域中。ICMP (Internet控制信息协议)使信息包协议过滤成为可能。通过配置路由器或入侵检测系统，不允许所有的ICMP回音或回音应答信息包进入网络，就可以达到挫败TFN代理的目的。但是这样会影响所有使用这些功能的Internet程序，比如ping。

　　TFN Master程序读取一个IP地址列表，其中包含代理程序的位置。这个列表可能使用如"Blowfish"的加密程序进行了加密。如果没有加密的话，就可以从这个列表方便地识别出代理信息。

　　2、用于发现系统上TFN 代理程序的程序是td，发现系统上master程序的程序是tfn。TFN 代理并不查看ICMP回音应答信息包来自哪里，因此使用伪装ICMP 信息包冲刷掉这些过程是可能的。

　　TFN2K是TFN的一个更高级的版本，它“修复”了TFN的某些缺点：

　　1、在TFN2K下，Master与代理之间的通讯可以使用许多协议，例如TCP、UDP或ICMP，这使得协议过滤不可能实现。

　　2、TFN2K能够发送破坏信息包，从而导致系统瘫痪或不稳定。

　　3、TFN2K伪造IP源地址，让信息包看起来好像是从LAN上的一个临近机器来的，这样就可以挫败出口过滤和入口过滤。

　　4、由于TFN2K是最近刚刚被识破的，因此还没有一项研究能够发现它的明显弱点。

　　在人们能够对TFN2K进行更完全的分析之前，最好的抵御方法是：

　　?加固系统和网络，以防系统被当做DDoS主机。
　　?在边界路由器上设置出口过滤，这样做的原因是或许不是所有的TFN2K源地址都用内部网络地址进行伪装。
　　?请求上游供应商配置入口过滤。

　　四、何为 "stacheldraht"，如何防范?

　　Stacheldraht也是基于TFN和trinoo一样的客户机/服务器模式，其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时，侵入者与master程序进行连接。Stacheldraht增加了以下新功能：攻击者与master程序之间的通讯是加密的，以及使用rcp (remote copy，远程复制)技术对代理程序进行更新。

　　Stacheldraht 同TFN一样，可以并行发动数不胜数的DoS攻击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击以及ICMP播放。

　　以下是Stacheldraht DDoS攻击的基本特征以及建议采取的防御措施：

　　1、在发动Stacheldraht攻击时，攻击者访问master程序，向它发送一个或多个攻击目标的 IP地址。Master程序再继续与所有代理程序进行通讯，指示它们发动攻击。

　　Stacheldraht master程序与代理程序之间的通讯主要是由ICMP 回音和回音应答信息包来完成的。配置路由器或入侵检测系统，不允许一切ICMP回音和回音应答信息包进入网络，这样可以挫败Stacheldraht代理。但是这样会影响所有要使用这些功能的Internet程序，例如ping。

　　2、代理程序要读取一个包含有效master程序的IP地址列表。这个地址列表使用了Blowfish加密程序进行加密。代理会试图与列表上所有的master程序进行联系。如果联系成功，代理程序就会进行一个测试，以确定它被安装到的系统是否会允许它改变"伪造"信息包的源地址。通过配置入侵检测系统或使用嗅探器来搜寻它们的签名信息，可以探测出这两个行为。

　　代理会向每个master发送一个ICMP 回音应答信息包，其中有一个ID 域包含值666，一个数据域包含字符串"skillz"。如果master收到了这个信息包，它会以一个包含值667的ID 域和一个包含字符串"ficken"的数据域来应答。代理和master通过交换这些信息包来实现周期性的基本接触。通过对这些信息包的监控，可以探测出Stacheldraht。

　　一旦代理找到了一个有效master程序，它会向master发送一个ICMP信息包，其中有一个伪造的源地址，这是在执行一个伪造测试。这个假地址是"3.3.3.3"。如果master收到了这个伪造地址，在它的应答中，用ICMP信息包数据域中的"spoofworks"字符串来确认伪造的源地址是奏效的。通过监控这些值，也可以将Stacheldraht检测出来。

　　3、Stacheldraht代理并不检查 ICMP 回音应答信息包来自哪里，因此就有可能伪造 ICMP 信息包将其排除。

　　4、Stacheldraht代理程序与TFN 和 trinoo一样，都可以用一个C程序来探测，它的地址是：http://staff.washington.edu/dittrich/misc/ddos_scan.tar。

　　五、如何配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击？

　　1、抵御 Smurf

　　?确定你是否成为了攻击平台：对不是来自于你的内部网络的信息包进行监控；监控大容量的回音请求和回音应答信息包。
　　?避免被当做一个攻击平台：在所有路由器上禁止IP广播功能；将不是来自于内部网络的信息包过滤掉。
　　?减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃；对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽最大值。

　　2、抵御trinoo

　　?确定你是否成为攻击平台：在master程序和代理程序之间的通讯都是使用UDP协议，因此对使用UDP协议(类别 17)进行过滤；攻击者用TCP端口27655与master程序连接，因此对使用TCP (类别6)端口 27655连接的流进行过滤；master与代理之间的通讯必须要包含字符串"l44" ，并被引导到代理的UDP 端口27444,因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。
　　?避免被用作攻击平台：将不是来自于你的内部网络的信息包过滤掉。
　　?减轻攻击的危害： 从理论上说，可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤，并丢弃它们。

　　3、抵御TFN和TFN2K

　　?确定你是否成为攻击平台：对不是来自于内部网络的信息包进行监控。
　　?避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包，当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉。

　　4、抵御Stacheldraht

　　?确定你是否成为攻击平台：对 ID域中包含值666、数据域中包含字符串"skillz"或ID域中包含值667、数据域中包含字符串"ficken" 的ICMP回音应答信息包进行过滤；对源地址为"3.3.3.3"的ICMP 信息包和ICMP信息包数据域中包含字符串"spoofworks"的数据流进行过滤。
　　?避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包, 当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部网络的信息包过滤掉；将不是来源于内部网络的信息包过滤掉。