TFN은 네트웍 상의 다른 컴퓨터들을 이용하여 타겟을 양동 작전으로 유린하는 효과적
인 공격을 가능하게 하는 해킹 툴이다. 이전의 TFN의 기능을 좀 더 발전시킨 것이
TFN2k이며, 이번에 분석하는 것은 바로 이것이다.

TFN은 trinoo와 거의 유사한 분산 도구로 많은 소스에서 하나 혹은 여러개의 목표
시스템에 대해 서비스거부 공격을 수행한다. TFN은 UDP flood 공격을 할 수 있을뿐만
아니라 TCP SYN flood 공격, ICMP echo 요청 공격, ICMP 브로드캐스트 공격(smurf 공격)
을 할 수도 있다. TFN 서비스 거부공격은 공격자가 클라이언트(혹은 마스터) 프로그램이
공격명령을 일련의 TFN 서버들(혹은 데몬들)에게 보냄으로써 이루어진다. 그러면 데몬은
특정 형태의 서비스거부 공격을 하나 혹은 여러개의 목표 IP 주소를 대상으로 수행한다.
소스 IP 주소와 소스 포트는 임의로 주어지고, 패킷의 사이즈도 바꿀수 있다.

TFN 마스터는 명령어라인에서 TFN 데몬에 명령을 보낸다. TFN 마스터는 ID 필드와 패킷의
위치 인수를 가진 16비트 바이너리 값의 ICMP echo reply 패킷을 사용하여 데몬과 통신을
한다.

TFN 마스터는 공격자가 제공한 데몬들의 IP 주소목록이 필요하다. 최근에 보고된 일부
버전의 TFN 마스터는 이 IP 주소들을 숨기기 위해 암호를 사용하기도 한다. 또한 어떤
TFN은 rcp와 같은 원격파일복사 기능을 가지고 있어 자동으로 새로운 TFN 데몬을
생성하거나 기존의 TFN을 업데이트하는데 사용하고 있다.

td라는 파일이름으로 시스템에 설치되기도 하는데 strings라는 명령을 통해 TFN 데몬의
실행파일을 확인하면 다음과 같은 내용을 볼 수 있다.

# strings td
%d.%d.%d.%d
ICMP
Error sending syn packet.
tc: unknown host
3.3.3.3
mservers
randomsucks
skillz
rm -rf %s
ttymon
rcp %s@%s:sol.bin %s
nohup ./%s
X.X.X.X
X.X.X.X
lpsched
sicken
in.telne

개요는 대강 이 정도로 끝내고, 소스를 살펴보며 공부하도록 하자.

TFN에 관한 설명: http://cert.certcc.or.kr/paper/ 내용 일부 인용
소스 : Mixter의 홈페이지. 분석 : 전혜진 @ Mod777