You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
© FUOC • P06/M2107/01769<br />
Tribe Flood Network 2000<br />
AnalizaremosporúltimounarevisióndelaherramientaTFN.Laarquitecturabásicaenla<br />
que existe un atacante que utiliza clientes para gobernar los distintos demonios instalados<br />
en las máquinas infectadas se mantiene, de forma que el control de este tipo de ataques<br />
mantiene la premisa de tener el máximo número de ordenadores segmentados. De esta<br />
forma, si un cliente es neutralizado, el resto de la red continúa bajo control.<br />
Aun así, Tribe Flood Network 2000 (TFN2k) añade una serie de características adicionales,<br />
de entre las que destacamos las siguientes:<br />
• La comunicación master-slave se realizan ahora mediante protocolos <strong>TCP</strong>, UDP, ICMP<br />
o los tres a la vez de forma aleatoria.<br />
• Los ataques continúan siendo los mismos (ICMP Flooding, UDP Flooding, SYN Flooding<br />
y Smurf ). Aun así, el demonio se puede programar para que alterne entre estos<br />
cuatro tipos de ataque, para dificultar la detección por parte de sistemas de monitorización<br />
en la red.<br />
• Las cabeceras de los paquetes de comunicación master-slave son ahora aleatorias, excepto<br />
en el caso de ICMP (donde siempre se utilizan mensajes de tipo echo-reply).<br />
De esta forma se evitaría una detección mediante patrones de comportamiento.<br />
• Todos los comandos van cifrados. La clave se define en tiempo de compilación y se<br />
utiliza como <strong>contra</strong>seña para acceder al cliente.<br />
• Cada demonio genera un proceso hijo por ataque, tratando de diferenciarse entre sí<br />
a través de los argumentos y parámetros que se pasan en el momento de ejecución.<br />
Además, se altera su nombre de proceso para hacerlo pasar por un proceso más del<br />
sistema.<br />
46 <strong>Ataques</strong> <strong>contra</strong> <strong>redes</strong> <strong>TCP</strong>/<strong>IP</strong>