Синтаксис управляющих команд хорошо организован и позволяет хакеру писать достаточно сложные инструкции. Эти инструкции, поступающие от клиентской части (tfn), могут «говорить» многочисленным зомби, на какие компьютеры нападать и какой тип атаки при этом использовать: Targa3. Формирование некорректных IP-пакетов с помощью изменения значений в заголовке пакета, ложной фрагментации, указания неправильных смещений и размера.
Кроме всего прочего, tfn-клиент может заставить демона выполнить программу на зомбированной машине или дать возможность этому клиенту открыть терминальное соединение с демоном. Сам демон не отсылает никаких подтверждений или данных своему клиенту, все соединения односторонние, от клиентской части к демону. Этот факт затрудняет выявление функционирующей ТРЫ2К-системы. Для работы программе td необходимо иметь административные права доступа к ресурсам захваченной машины. Клиент tfn, в свою очередь, является с виду обычной программой, не вносящей никаких изменений в ОС, на которой он был запущен. Единственная задача tfn — распределение инструкций между зомби, на которых установлены демоны TFN2K. Любая инструкция многократно повторяется для каждого зомби. Кроме того, что все соединения являются односторонними (от клиента к демону), управляющие команды случайным образом отсылаются по одному из трех протоколов (TCP, UDP или ICMP). Передаваемые сообщения зашифрованы алгоритмом CAST-256 (используемый в шифре ключ задается в исходном тексте) й закодированы (base64). Команды, управляющие поведением зомби, маскируются серией «декоративного» бесполезного трафика, что осложняет и без того трудную задачу наблюдения за TFN2K.
