Tribe Flood Network サービス不能攻撃ツール (TfnDos)

Vuln ID: 3506
危険度: 高危険度 高危険度 TfnDos
プラットフォーム: SCO Unix: 任意のバージョン, Compaq Tru64 UNIX: 任意のバージョン, DG/UX: 任意のバージョン, Solaris: 任意のバージョン, Linux: 任意のバージョン, IRIX: 任意のバージョン, BSD: 任意のバージョン, HP-UX: 任意のバージョン, AIX: 任意のバージョン
説明:

Tribe Flood Network (TFN) は分散型サービス不能攻撃ツールであり、攻撃者はこれを利用して、複数のホストを一度に使ってターゲットにフラッドを起こすことができます。 フラッドには ICMP Echo フラッド、UDP フラッド、SYN フラッド、および Smurf 攻撃の 4 種類があります。TFN クライアントとサーバーは ICMP Echo 応答パケットを使用して相互に通信します。攻撃者は TFN クライアントを使用して、リモート サーバーを制御し、サービス不能攻撃を開始します。
対処法:

TFN を削除したうえで、TFN の拡散を防ぐための手段を講じてください。

  • クライアント ICMP Echo 応答パケットの発信元に連絡し、この脆弱点について知らせます。
  • 発信元アドレスからの ICMP パケットをブロックします。
  • サービス不能攻撃の拡大を防ぐために、ディレクテッド ブロードキャストをネットワーク上で無効にします。
  • 攻撃の拡散防止処置をとれるように、ISP へ攻撃について報告します。

この脆弱点の除去方法: バイナリのデフォルト名 (td) が変更されていると、TFN プログラムの発見が難しい場合があります。TFN サーバーを見つけて削除するには:

  1. プロセスで「td」を探します (ps コマンドを使用)。
  2. Td プロセスは見つかったでしょうか。
    • Yes. Find the associated binary.
    • 見つからなかった場合は、lsof (デフォルトでは raw ソケット上で実行) を使って正しいバイナリを探すか、システムで実行しているすべてのプロセスを検索して TFN サーバーと考えられるものを特定します。
  3. 疑わしいバイナリをテストして、TFN プログラムであることを確認します (手順は次を参照してください)。
  4. システムからバイナリを削除します。

疑わしいバイナリ プログラムをテストするには:

  1. バイナリに次の strings コマンドを実行します。
    strings [バイナリ名]
  2. 出力は次のようになります。
    %d.%d.%d.%d
    ICMP
    Error sending syn packet.
    tc: unknown host
    3.3.3.3
    mservers
    randomsucks
    skillz
    rm -rf %s
    ttymon
    rcp %s@%s:sol.bin %s
    nohup ./%s
    X.X.X.X
    X.X.X.X
    lpsched
    sicken
    in.teln
参照: CERT Incident Note IN-1999-07
Distributed Denial of Service Tools
http://www.cert.org/incident_notes/IN-99-07.html

University of Washington Web site
The "Tribe Flood Network" distributed denial of service attack tool
http://staff.washington.edu/dittrich/misc/tfn.analysis

Cisco Systems White Paper, February 17, 2000
Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks
http://www.cisco.com/warp/public/707/newsflash.html

Internet Security Systems Security Alert #40
Denial of Service Attack using the trin00 and Tribe Flood Network programs
http://www.iss.net/xforce/alerts/id/advise40

CIAC Information Bulletin I-021a
"smurf" IP Denial-of-Service Attacks
http://www.ciac.org/ciac/bulletins/i-021a.shtml

CIAC Information Bulletin K-032
DDoS Mediation Action List
http://www.ciac.org/ciac/bulletins/k-032.shtml

SANS Institute Resources Web site
Help Defeat Denial of Service Attacks: Step-by-Step
http://www.sans.org/dosstep/index.php

National Infrastructure Protection Center Advisory December 30, 1999
"TRINOO/Tribal Flood Net/tfn2k"
http://www.nipc.gov/warnings/alerts/1999/trinoo.htm

Security Focus Web site
Lsof
http://www.securityfocus.com/tools/1008

ISS X-Force
Tribe Flood Network denial of service tool
http://www.iss.net/security_center/static/3506.php

CVE CVE-2000-0138
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0138

SecurityFusion
Module
参照:

 この脆弱点 (シグネチャ) は、次の製品シグネチャでも検出されます。

チェック名 製品 バージョン
Tribe_Flood_Network RealSecure Server Sensor 5.5
TFN_Daemon RealSecure Network Sensor 7.0
TFN_Daemon RealSecure Server Sensor 7.0

X-Force Logo
Know Your Risks		 Mitre.org CVE Logo
Common Vulnerabilties & Exposures