Come prevenire l'attacco smurf?

7

Uso la rete del college per accedere a Internet. Molti altri utenti stanno utilizzando la stessa rete. Recentemente ho sperimentato una connessione netta lenta. Così, quando ho fatto alcune indagini, ho scoperto che molti altri computer sulla rete mi hanno inviato pacchetti ICMP. Ho usato Wireshark per analizzare i pacchetti in arrivo. Ecco uno screenshot della mia mia analisi:

(IlmioIPera192.168.38.58)

L'acquisizionedeipacchettièstatariempitaconquestarichiestaICMP.Quandohocercatosulweb,hoscopertochec'èunattaccochiamatosmurfattackincuil'attackerforzaaltrisisteminellareteperinviarelarichiestaICMPalsistemavittima.

Questoèunesempiodiattaccosmurf?Intalcaso,quindi,comeimpedirecheilmiocomputervengaattaccato.

Fornisciunasoluzioneperentrambiisistemioperativilinuxewindows.

EDITNo.1:------

Quandohocambiatol'indirizzoMACdelmioPC,tuttoètornatoallanormalità.Nonsonostatiosservatipacchettidannosi.

EDITn.2:------

Housato Advanced Port Scanner per scansionare la mia porta attiva.

La porta che inviava il pacchetto UDP (53411) è chiusa

    
posta Snake Eyes 17.06.2015 - 15:05
fonte

2 risposte

19

I pacchetti ICMP che ritornavano erano in risposta all'host che inviava pacchetti UDP ad altri host che non avevano la porta 2054 aperta. Non era un puffo di alcun tipo, a meno che qualcuno non costringesse il PC a remotamente a spedire quei pacchetti. Indipendentemente da ciò, ci vorrebbe molto più di qualche dozzina di piccoli pacchetti nella sottorete locale per rallentare notevolmente la connettività. Il colpevole del tuo problema di velocità si trova altrove. Inoltre, prova a scoprire perché il tuo PC invia pacchetti UDP alla porta 2054 su un numero elevato di host.

    
risposta data 17.06.2015 - 15:13
fonte
3

In base allo screenshot e ai dati che presenti, non sei sul lato ricevente di un attacco smurf. Questo exploit è nostalgico per me - nel passato, frequentavo IRC con TFreak e giocavo con l'exploit smurf quando fu creato per la prima volta.

L'exploit smurf semplicemente emettere ICMP su un IP broadcast. Ora, in questi giorni il CIDR non esisteva realmente, quindi la maggior parte delle reti erano di Classe C (ad esempio 8.8.8.x) o di Classe B (ad esempio 8.8.x.x). In questo exploit, il ping dell'IP broadcast della rete invierebbe il pacchetto ICMP a tutti gli host nella subnet - fino a 254 per la Classe C, o fino a 65535 in una Classe B. L'exploit smurf potrebbe falsificare l'ICMP pacchetto in modo che il ping sembrerebbe provenire dall'IP vittima. Quindi, le risposte sarebbero inondate da tutte le macchine attive che hanno ricevuto il pacchetto contraffatto tramite il loro IP broadcast. In tal modo, un ping sarebbe amplificato fino a 65.000 x in risposte, inondando il downstream dell'IP vittima.

Questa era la fine degli anni '90. In questi giorni, praticamente tutte le reti sono riparate contro questo tipo di exploit e ci sono poche trasmissioni vulnerabili. Un'incarnazione più moderna è l'attacco di amplificazione DNS, che recentemente è stato utilizzato per un grande DDoS.

Anche gli IP nel mezzo dello screenshot sono tutti gli IP locali di RFC1918, quindi il traffico è all'interno della tua LAN. È probabile che non ci sia un attacco di smurf in corso all'interno della tua rete.

    
risposta data 17.06.2015 - 19:26
fonte

Leggi altre domande sui tag