什么是tfn2k? 　　tfn2k通過主控端利用大量代理端主機的資源進行對一個或多個目標進行協同攻擊。當前互聯網中的unix、solaris和windows nt等平臺的主機能被用于此類攻擊，而且這個工具非常容易被移植到其它系統平臺上。 　　tfn2k由兩部分組成：在主控端主機上的客戶端和在代理端主機上的守護進程。主控端向其代理端發送攻擊指定的目標主機列表。代理端據此對目標進行拒絕服務攻擊。由一個主控端控制的多個代理端主機，能夠在攻擊過程中相互協同，保證攻擊的連續性。主控央和代理端的網絡通訊是經過加密的，還可能混雜了許多虛假數據包。整個tfn2k網絡可能使用不同的tcp、udp或icmp包進行通訊。而且主控端還能偽造其ip地址。所有這些特性都使發展防御 tfn2k攻擊的策略和技術都非常困難或效率低下。 　　tfn2k的技術內幕 　　◆ 主控端通過tcp、udp、icmp或隨機性使用其中之一的數據包向代理端主機 　　發送命令。對目標的攻擊方法包括tcp/syn、udp、icmp/ping或broadcast 　　ping (smurf)數據包flood等。 　　◆ 主控端與代理端之間數據包的頭信息也是隨機的，除了icmp總是使用 　　icmp_echoreply類型數據包。 　　◆ 與其上一代版本tfn不同，tfn2k的守護程序是完全沉默的，它不會對接收 　　到的命令有任何回應。客戶端重復發送每一個命令20次，并且認為守護程 　　序應該至少能接收到其中一個。 　　◆ 這些命令數據包可能混雜了許多發送到隨機ip地址的偽造數據包。 　　◆ tfn2k命令不是基于字符串的，而采用了"++"格式，其中是 　　代表某個特定命令的數值，則是該命令的參數。 　　◆ 所有命令都經過了cast-256算法(rfc 2612)加密。加密關鍵字在程序編 　　譯時定義，并作為tfn2k客戶端程序的口令。 　　◆ 所有加密數據在發送前都被編碼(base 64)成可打印的ascii字符。tfn2k 　　守護程序接收數據包并解密數據。 　　◆ 守護進程為每一個攻擊產生子進程。 　　◆ tfn2k守護進程試圖通過修改argv[0]內容(或在某些平臺中修改進程名) 　　以掩飾自己。偽造的進程名在編譯時指定，因此每次安裝時都有可能不同。 　　這個功能使tfn2k偽裝成代理端主機的普通正常進程。因此，只是簡單地檢 　　查進程列表未必能找到tfn2k守護進程(及其子進程)。 　　◆ 來自每一個客戶端或守護進程的所有數據包都可能被偽造。 　　監測tfn2k的特征