黑客工具介绍之DDoS攻击工具TFN2K分析

　　◆ 根据前面列出的特征字符串扫描所有可执行文件。

　　◆ 扫描系统内存中的进程列表。

　　◆ 检查ICMP_ECHOREPLY数据包的尾部是否含有连续的0x41。另外，检查数据侧

　　面内容是否都是ASCII可打印字符(2B，2F-39，0x41-0x5A，0x61-0x7A)。

　　◆ 监视含有相同数据内容的连续数据包(有可能混合了TCP、UDP和ICMP包)。

　　响应

　　一旦在系统中发现了TFN2K，必须立即通知安全公司或专家以追踪入侵进行。因为TFN2K的守护进程不会对接收到的ming令作任何回复，TFN2K客户端一般会继续向代理端主机发送ming令数据包。另外，入侵者发现攻击失效时往往会试图连接到代理端主机上以进行检查。这些网络通讯都可被追踪。