icmp i rutery

[ironwall]

chodzi mi dokladnie o "zjawisko" zwane atakiem smurf..
gdzies czytalem (hpyn) ze wysylajac pingi do rutera to ten zamiast odslylac nam echo to zamiast tego rozsyla echo do wszystkich wszystkich wezlow rozgloszeniowych w sieci...jak takie coś zrobic? przeciez zamiast tego powinien standardowo odeslac icmp do naszego hosta.....chyba ze potrzeba jakiejs sztuczki? ktos wie coś na ten temat?

[TQM]

Blisko ale nie do konca... zabawa polega na wyslaniu pinga na adres broadcast sieci w ktorej router pozwala na cos takiego (bledna konfiguracja routera)... wtedy router przekazuje pinga wyslanego na broadcast do wszystkich maszyn w sieci opisanej broadcastem i z kazdej z nich nadawca dostaje odpowiedz (ping -> pong ) - tyle tylko ze nadawca jest spoofowany i ofiara oberwie dosc mocno - zaleznie od wielkosci podsieci i ilosci aktualnie wlaczonych maszyn.

Takie routery sa juz coraz zadziej spotykane aczkolwiek sie trafiaja od czasu do czasu. Taki router blyskawicznie trafi na czarna liste i jego pula adresowa IP przez wielu zostanie wycieta juz na poziomie routingu (bgp blackholing lub zwyczajnie null-routing).

[ironwall]

se zacytuje

warty uwagi jest rowniez atak typu smurf (...)
atakujący wykorzystuje pośrednictwo rutera po sfalszowaniu adresu źródłowego, wysyla duza liczbe pakietow echo protokolu icmp na adres sieci obslugiwanej przez ruter. ruter ten nieswiadomie pelni funkcje wzmacniacza ruchu sieciowego, poniewaz rozsyla pakiet rozgloszeniowy do wszystkich wezlow obslugiwanej sieci. kazdy z wezlow tej sieci odpowiada na pakiet echo pakietem icmp skierowanym pod sfalszowany adres. w zaleznosci od liczby wezlow sieci zarowno ruter jak i komputer bedacy glownym celem ataku moga zostac wręcz zalane odpowiedziami icmp(...)

a więc jak mowisz TQM to jest zla konfiguracja?
bo to dla mnie dziwne ze ten ruter skoro ktos sfalszowal adres ip nadawcy to niewysyla icmp tylko pod ten adres....ale ok..moze wina wlasnie jest zlej konfiguracji? bo normalnie to tak chyba niepowinno być?

[TQM]

adres broadcast oznacza wszystkie adresy IP w danej podsieci... ktos tu w opisie nazwal to wezlem (wezel = aktywny adres IP). Wysylasz jeden pakiet na adres broadcast takiego routera, on rozsyla to do calej podsieci - niech to bedzie sie /25 czyli 128 adresow - 2 (network i broadcast) i masz 126 uzytecznych IP, z czego jeden to router... wiec 125 maszyn max.

Wyslales 1 pakiet, wrocilo 125 - fajnie, co?

W routerach CISCO wystarczy jedno polecenie, o ile pamietam jest to:

Kod:

no ip direct-broadcast

i takie rozglaszanie juz nie bedzie dzialac. smurf i jego ulepszone wersj sa jeszcze czasami spotykane ale sa juz lepsze odmiany atakow bazujacych na tej samej filozofii.
Dopuku firmy (zwlaszcza ogroni ISP) nie zaczna stosowac filtrowania egress (ruchu wychodzacego) aby nie dalo sie spoofowac innych to tak bedzie... z drugiej strony wprowadzajac egress musi to zrobic doslownie kazdy ISP (duzy i maly) bo inaczej to nie ma sensu... a do tego odebraloby to nieco elastycznosci niektorym sieciom, wiec na razie bedzie jak jest... tylko admini powinni odpowiednio ustawiac swoje routery.

[tanaka]

moze wiecie bo ja nie sprawdzalem jak w przypadku standardowych zabezpieczen przed pingiem na broadcast ma się sytuacja podobna , czyli :
ping na router z adresem zrodlowym typu broadcast.

[TQM]

Hahahahahaaaa... papa smurf moze sie czapka przykryc :P
Dobry wariant! Nie mam pojecia co sie stanie - zalezy od routera... podejrzewam (ba - mam nadzieje) ze wiekszosc zignoruje pakiet... w kazdym innym wypadku wygrales

[tanaka]

cos czuje ze jesli router nie robi DROP'a na łańcuchu INPUT wszystkich pakietow z src <broadcast> , to bedzie katastrofa...
Inna sprawa że blokowanie na firewallu wszystkich pakietow przychodzacych z adresami ktorych obecnosc jest normalnie niemozliwa , to podstawa pisania firewalli. Tyle ze takie blokowanie trzeba koniecznie zrobic na interfejsie na swiat , bo wewnatrz sieci to nawet DHCP chodzi po broadcascie.Zastanawia mnie jak sie do tego maja sprzetowe routery z domyslnymi ustawieniami. Taki atak to chyba DDoS się zwie

A teraz wyobraźmy sobie ze jakis provider osiedlowy nie zabezpieczyl swojego routera brzegowego przed tym.... masakra. W sumie ktory admin spodziewa sie dostac na interfejscie (na swiat) pakiet gdzie adresem zrodlowym bedzie broadcast sieci za natem. Takie sieciowe Aikido, wykorzystanie sily przeciwnika zeby go zaciupac... bo mi zeby wyslac taki pakiecik wystarczy moja komorka i gprs

[TQM]

cos czuje ze jesli router nie robi DROP'a na łańcuchu INPUT wszystkich pakietow z src <broadcast> , to bedzie katastrofa...

Jesli tylko powiesz mi jak ustalisz co jest adresem broadcast to przyznam Ci racje... Jesli masz podsiec z maska /22 (4 klasy C - 1024 adresy IP, to adres IP z koncowka .255 moze byc albo rzeczywisty broadcast z konca sieci /22 albo jeden z adresow IP w ramach tej sieci (bo w koncu to 4 klasy C) - to samo dotyczy adresu z koncowka .0

Aby bylo weselej... mam dla siebie cala klase C... teraz podzielilem to na kilka podsieci - /25, /26 i kilka /29 - kazda z nich ma swoj wlasny broadcast!

Badz teraz madry i powiedz mi, ktory adres jest adresem broadcast...

[tanaka]

Jesli tylko powiesz mi jak ustalisz co jest adresem broadcast to przyznam Ci racje... Jesli masz podsiec z maska /22 (4 klasy C - 1024 adresy IP, to adres IP z koncowka .255 moze byc albo rzeczywisty broadcast z konca sieci /22 albo jeden z adresow IP w ramach tej sieci (bo w koncu to 4 klasy C) - to samo dotyczy adresu z koncowka .0

Aby bylo weselej... mam dla siebie cala klase C... teraz podzielilem to na kilka podsieci - /25, /26 i kilka /29 - kazda z nich ma swoj wlasny broadcast!

Badz teraz madry i powiedz mi, ktory adres jest adresem broadcast...

1 przypadek:
jesli masz providera co ma 4 klasy C i jego adres sieci to X.X.X.0 , to broadcast wynosic bedzie X.X.X+3.255

2 przypadek to zwielokrotnienie 1 przypadku... tyle ze kazda z podsieci ma swoj adres broadcastowy.

Broadcast to najwyzszy/ostatni adres z danej sieci/podsieci

[TQM]

2 przypadek to zwielokrotnienie 1 przypadku... tyle ze kazda z podsieci ma swoj adres broadcastowy.

Broadcast to najwyzszy/ostatni adres z danej sieci/podsieci

No wlasnie o to chodzi... skad bedziesz wiedzial i na ile sieci podzielilem moja pule adresow?! Majac do dyspozycji 1 klase C moge miec gdzies miedzy 1 a 128 podsieci i to jeszcze ukladac je wzglednie dowolnie...