Программа client устанавливает сессию с мастер-комьютером, где предварительно была запущена копия mserv. Пример терминального соединения с mserv показан на Сессия, установленная с мастер-компьютером при помощи Stacheldraht Client До сборки модуля mserv необходимо установить секретное слово, которое в дальнейшем будет использоваться при соединении с мастер-компьютером (с помощью этого ключа производится симметричное шифрование соединения). Stacheldraht работает с 64-битным алгоритмом Blowfish, исходные тексты которого можно без труда найти в Internet. Во время соединения с программой mserv хакер в терминальном режиме может управлять DDoS — атакой, вводя команды и IP-адреса своих жертв. Stacheldraht поддерживает множество разнообразных атак, включая упомянутые выше переполнения ICMP, SYN и UDP. Кроме того, возможно использование следующих сценариев: Null flood. Атака SYN-переполнением, при которой флаги ТСР-пакета устанавливаются равными нулю. Stream. Переполнение стека TCP АСК-пакетами с указанием случайно выбранных портов назначения. Havoc. Комбинированная атака, заключающаяся в создании неоднородной последовательности ICMP-, UDP — и TCP-пакетов со случайными заголовками. Random flood. TCP-переполнение пакетами со случайным образом установленными заголовками. В попытке скрыть свое присутствие mserv регистрируется в системе как процесс под именем httpd. Демон на зомбированном узле прячется под именем lpsched.
При компиляции td-демона необходимо указать IP-адрес (или адреса) контролирующего мастер-компьютера. Этот адрес необходим демону для соединения с нужным мастером, которое устанавливается после запуска программы td. Во время этой первой сессии демон посылает мастеру ICMP — эхо, содержащее строку «skillz». Мастер, со своей стороны, должен ответить словом «ficken».
Дальше программа демона пытается установить, возможна ли передача в сеть пакетов с измененным адресом отправителя или такие адреса в этом сегменте сети не маршрутизируются. Для этого mserv посылает 1СМР-эхо с адресом отправителя З. З.З. З на IP-адрес своего мастера. При этом в теле пакета передается (в зашифрованном виде) реальный адрес зомбированного узла, на котором установлен этот демон.
