【例2-11】独裁者Autocrat攻击演示实验。

独裁者Autocrat是黑客常用的DDoS攻击工具，其是一款基于TCP/IP协议的DDoS分布式拒绝服务攻击工具，运用远程控制方式联合多台服务器进行DDoS攻击。

下载解压后包括5个文件，如图2-104所示，其中，Server.exe是服务器端（攻击代理程序），Client.exe是控制端，用来操作Autocrat。

实验步骤如图2-105所示，第一步扫描左边的主机，获得Client能控制的所有主机列表；第二步检查代理主机的状态；第三步确定攻击的目标IP、目标端口，攻击的目标源IP、源端口可以任意填写；第四步选择攻击的方式，本实验中选择的是SYN攻击。

图2-104　Autocrat的文件

图2-105　Autocrat的Client

【例2-12】TFN攻击演示实验。

在近几年来，DDoS攻击的工具不断增加，而且许多集中了各种攻击程序，形成了一个名为“Denial of Service Cluster”（拒绝服务集群）的软件包。TFN（Tribe Flood Network）和TFN2K工具就是这样的例子。这些程序可以使分散在Internet各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好像是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作，进行多种类型的攻击，如UDPFlood、SYN Flood、ICMPecho请求及ICMP广播等。类似的工具包还有trinoo、Stacheldraht等。

下面通过演示实验介绍TFN分布式拒绝服务攻击的过程。

（一）实验拓扑

如图2-106所示，主控端和代理端机器运行Linux操作系统。主控端安装tfh控制端，遥控并指定攻击目标，更改攻击方法；代理端是被植入并运行td进程的代理机，接受tfh的指挥，是实施攻击的真正实施者。

图2-106　TFN DDoS实验拓扑

（二）tfn文件的解压、编译

在主控端Linux主机下，解压下载的tfn.tgz文件，并用make命令进行编译，如图2-107所示。

图2-107　tfn文件的解压、编译

编译生成两个可执行文件，分别为在主控端主机运行的tfn文件和在代理端主机运行的td文件。

（三）在代理端安装td

将主控端主机编译生成的td文件，发送到代理端Linux主机上并运行，如图2-108所示。(www.daowen.com)

图2-108　在代理端主机上运行td文件

（四）代理端新建记录IP的文件

在主控端主机上，先新建一个记录代理端主机IP址的文件，格式是每行一个IP地址。这里的IP地址代表运行了td文件的代理端主机，图2-109所示。

图2-109　在主控端主机上新建一个记录代理主机IP地址的文件

（五）运行tfn文件

在主控端主机上，运行tfn文件，控制代理端主机同时向目标服务器发起DDoS攻击，如图2-110所示。

图2-110　在主控端主机上运行tfn实施DDoS攻击

从上图可以看到，主控端利用了两个代理端主机10.1.14.10和10.1.14.20，同时向目标服务器10.1.14.30的80端口发起了SYN Flood攻击。也可以使用其他参数，发起死亡之Ping、smurf等其他不同的DDoS攻击方式。

在本实验中，为了节省资源，主控端主机10.1.14.10同时也当成代理端主机使用。

（六）发现SYN同步请求包

在被攻击的目标服务器上，通过抓包，发现大量的DDoS攻击数据包——SYN同步请求包，如图2-111所示。

从图2-111可以看到，代理端主机伪造源IP地址和源端口号，向目标服务器10.1.14.30的80端口发送了大量的SYN请求数据包，形成分布式的SYN Flood攻击。进一步分析可以看到，尽管这些攻击数据包的源IP地址和源端口号是伪造的，但源MAC地址是真实的，分别来源于两台代理端主机。这就进一步说明了，DDoS攻击的真正实施者是代理端主机而非主控端主机。

图2-111　在目标服务器上捕获的DDoS攻击数据包

（七）停止DDoS攻击

如果要停止DDoS攻击，需要在主控端主机上发送相应的tfn命令，如图2-112所示。

图2-112　在主控端主机上停止DDoS攻击