该文件包名为tfn2k.tar.gz。

简介：
什么是tfn2k？ tfn2k通过一个或多个目标主机，借助主控端所调用的大量代理端主机的资源，协同地发起攻击。当前互联网中运行的unix、Solaris和Windows NT等平台的主机均可被用于此类攻击，并且该工具具备高度的可移植性，能够轻松地部署到其他系统平台上。 tfn2k系统由两部分组成：在主控端主机上运行的客户端以及在代理端主机上运行的守护进程。主控端会向其对应的代理端发送一份详细的目标主机列表，用于指定需要攻击的主机。随后，代理端会针对这些目标执行拒绝服务攻击。通过一个主控端控制的多个代理端主机协同工作，可以确保攻击过程的持续性和稳定性。值得注意的是，主控端与代理端之间的网络通信经过了加密处理，并且常常会掺杂大量的虚假数据包。整个tfn2k网络可能采用不同的TCP、UDP或ICMP数据包进行通信，同时主控端还可以伪造其IP地址。所有这些特性使得制定防御tfn2k攻击的策略和技术变得极其困难或效率低下。 tfn2k的技术内幕 ◆ 主控端利用TCP、UDP、ICMP或随机选择其中一种协议的数据包，向代理端主机发送控制命令。针对目标的攻击方式包括TCP/SYN洪水、UDP流量泛洪、ICMP/Ping（Smurf）数据包泛洪等多种手段。 ◆ 主控端与代理端之间的数据包头信息也呈现随机性特征，除了ICMP协议始终使用icmp_echoreply类型的数据包外。 ◆ 与其上一代版本tfn相比，tfn2k的守护程序具有完全静默的特性，它不会对接收到的任何命令做出回应。客户端程序会重复发送每一个命令至少20次，并假设守护程序至少能够接收到其中一个命令。 ◆ 这些命令数据包可能混杂着大量发送至随机IP地址的伪造数据包。 ◆ tfn2k命令并非基于字符串形式传递，而是采用了“++”格式来定义命令及其参数；其中“++”代表特定的命令数值，“”则表示该命令对应的参数值。 ◆ 所有发出的命令都经过cast-256算法（RFC 2612）加密处理；加密关键字在程序编译阶段被定义并作为tfn2k客户端程序的密码使用。 ◆ 为了便于传输和处理，所有加密的数据在发送前都会被编码成可打印的ASCII字符（采用base 64编码）。tfn2k守护程序负责接收数据包并进行解密操作。 ◆ 守护进程为每一次攻击都会生成一个新的子进程来执行任务. ◆ tfn2k守护进程尝试通过修改argv[0]内容（或者在某些平台上修改进程名）来隐藏自身身份,从而伪装成代理端主机的正常进程. 伪造的进程名是在编译时确定的,因此每次安装时都可能有所不同. 这个功能使得tfn2k能够巧妙地隐藏自身的存在. 因此,仅仅通过简单的进程列表检查可能无法发现tfn2k守护进程及其子进程. ◆ 来自每一个客户端或守护进程的所有数据包都可能被伪造. 监测tfn2k的网络特征至关重要.